一個類似eBay的拍賣漏洞網(wǎng)站的出現(xiàn)，可以讓研究人員把他們發(fā)現(xiàn)的漏洞以合理的價格賣出，該網(wǎng)站的建立者說道。
目前存在的商業(yè)模式在給漏洞研究人員回報的方面是失敗的，WSLabi網(wǎng)站的首席執(zhí)行官Herman Zampariolo說道。Herman Zampariolo正是該漏洞拍賣網(wǎng)站的創(chuàng)始人。他說，目前只有小部分的漏洞已經(jīng)打了補丁，因為IT專家們即使公布了他們發(fā)現(xiàn)的漏洞，也無法得到任何經(jīng)濟回報。正如消防人員如果拿不到薪水，火災就沒那么容易被撲滅一樣。
“只要漏洞仍然在私下里進行買賣，那么它的價格就不會確定�！� Zampariolo說道，“我們的目標就是建立一個平臺WSLabi，讓安全研究人員能夠把他們發(fā)現(xiàn)的漏洞賣上個合理的價格，這樣他們就不用再免費的公布，或者私下里賣給進行網(wǎng)絡犯罪的人員”。因為在公共的平臺上拍賣后，產(chǎn)品出現(xiàn)漏洞的廠商或者相關政府部門，可能會主動購買下漏洞，以避免漏洞造成危害，廠商也可以及時更新補丁。
目前這個站點上正在拍賣的漏洞及其利用代碼有：一個Yahoo Messenger的緩沖區(qū)溢出漏洞，一個Linux內(nèi)核內(nèi)存泄漏漏洞和一個針對MKPortal和SquirreMail的SQL注入漏洞等等。
盡管安全研究人員在去年共公布了7000多個漏洞，但是據(jù)估計，實際發(fā)現(xiàn)的漏洞數(shù)目已經(jīng)超過了100000個，這個數(shù)字援引于Gunter Ollmann的分析，他曾工作于ISS安全公司，現(xiàn)任IBM安全顧問。
漏洞市場的這種現(xiàn)狀，讓原意大利網(wǎng)絡公司iLight的首席執(zhí)行官Zampariolo下定決心，自己投資創(chuàng)業(yè)建立了WabiSabiLabi這個網(wǎng)站。這個網(wǎng)站的交易流程很嚴格，漏洞購買者需要向WabiSabiLabi網(wǎng)站通過傳真或者信件方式提供身份證明和他們的銀行賬戶。出于安全性考慮，交易不允許使用電子銀行。目前，已經(jīng)有很多漏洞購買者和漏洞出售者在網(wǎng)站上注冊。下周將會有更多的待售漏洞發(fā)布在網(wǎng)站上。
Zampariolo說道，現(xiàn)在越來越多的漏洞在網(wǎng)站提交，要求出售，WabiSabiLabi網(wǎng)站的工程師們正加班加點驗證漏洞的真實性。
漏洞購買者可以使用昵稱進行匿名交易，但是WSLabi網(wǎng)站知道他們的身份。任何一個漏洞要想在網(wǎng)站上出售，攻擊代碼必須公布給WSLabi，這樣WSLabi可以對漏洞的真實性進行驗證，從而對漏洞購買者負責。
WSLab的交易平臺可以免費使用六個月。六個月之后，買賣雙方在交易成功后，要向網(wǎng)站支付10%的費用，網(wǎng)站更大的收入來源則是他們可以把這些漏洞信息出售給第三方組織，建立漏洞信息知識庫。這筆銷售所得由WSLab站點和漏洞的發(fā)現(xiàn)者即出售者來分成。Zampa riolo希望通過這種服務模式，可以讓眾多軟件公司不必再花錢運營自己的安全實驗室。
隨著這種運行模式的運行，安全公司的利益會大大受到?jīng)_擊。目前WabiSabiLabi尚答應把收益和安全公司分成，但是當WabiSabiLabi做大后，像iDefnse，ISS這樣的安全公司利益必定大大受損。
這種商業(yè)模式的出現(xiàn)，引起了一些批評之聲，趨勢科技的教育執(zhí)行官David Perry說道，一個專賣漏洞的eBay出現(xiàn)了，但是當我們這樣做時，如何道哪些是好人，哪些是壞人呢？
WSLabi這個站點有五百萬歐元的經(jīng)濟支持，這筆資金來自個人投資，網(wǎng)站的建立者希望18個月后，網(wǎng)站能夠成功上市。

標簽： linux 安全 代碼 漏洞 網(wǎng)絡

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。