iPon Hírek

Az árverés tárgya: a rés a pajzson

Dátum | 2007. 07. 10.
Szerző | Gabriel
Csoport | IT VILÁG

Az eBay-hez hasonló, program-sebezhetőségekkel üzletelő aukciós oldal alapítói projektjükkel a kutatók nagyobb megbecsülésére kívánják ösztönözni azok munkáltatóit, és ezáltal fokozni a programaik biztonságát.

Herman Zampariolo, a WabiSabiLabi aukciós oldal atyja és a WSLabi vezérigazgatója szerint a jelenlegi üzleti modellek teljes kudarcot vallottak a kutatók megfelelő honorálásában. Azt is hozzátette, hogy jelenleg az összes sebezhetőségeknek csupán egy elenyésző hányadát javítják ki, mivel a szakemberek nem kapnak kellő anyagi ösztönzést a felkutatásukra: "Ha nem fizetik meg a tűzoltókat, ne is csodálkozzunk, ha leég a ház".

"Amíg a sebezhetőségek zárt ajtók mögött cserélnek gazdát, addig nem is fogják a tényleges értéküknek megfelelően kezelni őket" - állítja Zampariolo, majd így folytatta: - "A WSLabi-s piacterünkkel éppen azt szeretnénk elérni, hogy a sebezhetőségeket kutató szakemberek megfelelő díjazásban részesüljenek az eredményeikért, és ne legyenek rákényszerítve, hogy ingyen váljanak meg azoktól, vagy hogy kiberbűnözőknek adják el őket".

Az oldalon jelenleg a Yahoo Messenger egy távolsági puffertúlcsordulása, a Linux kernelének egy memóriahibája, az MKPortal egy SQL-injekciós hibája és egy SquirrelMail-sebezhetőség kapható.

Zamparialo elmondása szerint tavaly a kutatók mintegy 7.000 sebezhetőséget elemeztek ki - holott a forráskódokban évente akár 139.362 sebezhetőség is fellelhető lehet. Ezt a meglepően pontos értéket elsőként Gunter Ollmann említette, a jelenleg az IBM leányvállalataként működő ISS biztonsági cég berkeiből.

Ez a tényállás ösztönözte az iLight olasz hálózattechnikai cég egykori vezérigazgatóját, Zampariolot a WabiSabiLabi létrehozására a stratégiai igazgató szerepét betöltő Roberto Preatonival, a Zone-h.org kiberbűnözési-archívum alapítójával együtt. Egyelőre ugyan egyetlen licit sem érkezett még az oldalra, de ez jó eséllyel betudható annak, hogy a vásárlók azonosítása meglehetősen időigényes egy folyamat: minden leendő licitálónak hagyományos postai úton vagy faxszal kell azonosítania magát és bankszámláját, mivel az oldal nem fogad el elektronikus fizetőeszközöket. Eddig mintegy 20 vásárlót és 30 eladót regisztráltak, akik újabb jelentős kötegre való sebezhetőséggel gazdagították az oldal tárházát; ezek várhatóan a jövő héten jelennek majd meg az oldalon.

"Teljes gőzzel törünk előre" - mondta Zampariolo. - "Az újonnan beérkezett sebezhetőségeket jelenleg is ellenőrizzük és formázzuk, a munka hétvégén sem áll meg."

A vásárlók egymás között megőrizhetik ugyan anonimitásukat a nickneveik révén, a WSLabi viszont pontosan tudni fogja, ki kicsoda. Minden leendő eladónak fel kell fednie az oldalon megjelenítendő sebezhetőséget a WSLabi előtt, akik ellenőrzik azokat, és csak a bizonyítottan fennálló hibákat jelenítik meg az oldalon, így minden leendő vásárló biztos lehet benne, hogy "valódi árut" kap a pénzéért. A cég 10 technikust alkalmaz erre a célra, és szükség esetén több szabadúszót is felfogad.

A piacteret hat hónapig mindenki ingyenesen használhatja -- majd ennek lejárta után a cég 10% kezelési díjat számít fel a vásárlóknak és az eladóknak. Fő bevételi forrásukat azonban az így felhalmozott sebezhetőségi tudásbázis alapján kívülálló feleknek nyújtott szolgáltatásaik fogják képezni -- az ebből származó bevételeket pedig megosztják az adott szolgáltatás tárgyát képező sebezhetőség felfedezőjével. Zampariolo hangot adott ama reményének is, hogy egyes cégek is igénybe veszik majd ezirányú szolgáltatásaikat ahelyett, hogy saját biztonsági műhelyeket üzemeltetnének.

Ami magukat a cégeket illeti, fele-fele arányban oszlanak meg köztük a WabiSabiLabi támogatói és ellenzői, egyesek pedig, Zampariolo szerint, szinte biztosan veszíteni fognak vele: "Szándékunkban áll teljesen átalakítani a biztonsági ügyek kezelési folyamatát. Márpedig ha sikerrel járunk, akkor ezt ők meg fogják szenvedni". Az "ők"-re példaként megemlítette az iDefense-et és az ISS-t is.

David Perry, a Trend Micro oktatási igazgatója kételyeinek adott hangot. Publikált cikkeiben a WabiSabiLabi-t "a sebezhetőségek eBay-je"-ként említette, és azt kérdezte: "Ha ez az üzlet beindul, honnan tudhatjuk majd, hogy ki melyik oldalon áll?"

Egyéni befektetők összesen körülbelül 5 millió euroval (6.8 millió dollárral) támogatják a másfél éven belül valamelyik tőzsdére (valószílűleg a londoni AIM-re, vagy Oslo egyik hasonló piacára) is betörni szándékozó WSLabi-t.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

1. amazing
2007.07.09. 15:43

Az eBay-hez hasonló, program-sebezhetőségekkel üzletelő aukciós oldal alapítói projektjükkel a kutatók nagyobb megbecsülésére kívánják ösztönözni azok munkáltatóit, és ...
 
Válasz írásához előbb jelentkezz be!