mboost-dp1

unknown

Exploit-børs

- Via Wabisabilabi - , redigeret af bottiger

Det er nu muligt at købe exploits gennem WSLabi, et vendor neutrals sikkerhedsfirma.

Det vil være muligt for de folk, der har lavet et exploit, at sende det ind til firmaet, som derefter vil teste det. De gennemtestede exploits kan herefter købes på en auktion. Køberne kan på den måde være sikre på, at de får det, de betaler for.

WSLabi vil blandt andet være behjælpelige med at få lavet den bedste handel for den sikkerhedsmand (M/K), som sender et exploit ind.

Strategisk direktør, Roberto Preatoni, fortæller, at der allerede inden åbningen er exploits på børsen. Det er exploits til Linux og Yahoo! Messenger. Han mener, at de har fundet en mangel i markedet, som de så har opfyldt med børsen.





Gå til bund
Gravatar #1 - oscarb
11. jul. 2007 18:44
Newz.dk exploit til salg - få super karma-rating, sæt dit eget alias på indsendte nyheder og meget mere!

Buddene er nu åbne, vi starter ved 3 matematik afleveringer og et nyt, ikke cola-tilklistret tastatur, gerne med medieknapper.
Gravatar #2 - .dot
11. jul. 2007 18:52
#1 - Du er da ikke særlig troværdig når du kun har Neutral karma selv ;)
Gravatar #3 - Plindstrup
11. jul. 2007 19:05
#3 > Jeg har exploits til Microsoft Windows Live Update til salg! Der er restudsalg - alt skal væk! Er brændt inde med alt alt for mange :-)
Gravatar #4 - tordenskiold
11. jul. 2007 20:23
Jeg tror ikke helt jeg forstår konceptet...

Hvis jeg finder et eller andet sikkerhedshul, i et stykke software, så skal jeg sende det til WSLabi, for at de kan teste det, og sælge det videre til rette vedkommende ???

Jeg kan virkelig ikke se, hvordan det skulle kunne virke sikkerhedsfremmende, på nogen måde, at softwarefirmaerne skal til at betale ekstra, for at få rettet deres sikkerhedshuller.
Og hvad med linux folket, hvem er det lige at de tror der vil/kan betale for sådanne exploits.

Enhver sikkerhedekspert/programmør/etc der har bare lidt omtanke, og god moral, sender vel gratis og hurtigst muligt, en exploit til rette vedkommende eller firma, så fejlen kan blive rettet, og den glade indsender kan blive fri, for den fejl i sit system, og sove godt om natten.

De eneste jeg kan forstille mig, ville bruge sådan en børs, er folk med onde hensigter, og selvfølgelig de firmaer der skal til at punge ud, for at få rettet en fejl. Føj.....
Gravatar #5 - Taxwars
11. jul. 2007 20:27
Giv den et par dage og så er han i spjældet *g*
Gravatar #6 - Plindstrup
11. jul. 2007 20:40
#4 > Med mindre det får reele folk til at knokle med at finde dem?
Det er da på tide at folk bliver belønnet for fremme sikkerheden!

Det er vel kun fair at man betaler et symbolsk beløb hvis man vil have viden og hjælp til sin software?
Hvis jeg havde et firma ville jeg gerne betale et symbolsk beløb for viden om sikkerhedsbrister i min software...

Men kan godt se "moralen" i det hele - mener bare ikke det overskygger den "moral" som virksomhederne bør have...

Har man et stykke software folk betaler for at bruge, hvorfor skal man så også have gratis sikkerhedskonsultation - som det vel er når man får foræret et sikkerhedshul på sølvbakke?
Gravatar #7 - uhm
11. jul. 2007 20:51
Jeg anbefaler at man læser deres FAQ. Det dækker nogle af de første spørgsmål som sikkert vil springe op i ens hoved.


Men hvis du har nogle skumle planer om at udnytte en exploit selv efter at have købt det:

Q: I'd like to buy a piece of security research, how can I do it?
A: By simply registering as a buyer from this page. Please note that prospective buyers will be thoroughly scrutinized before being eventually accepted.


Men men men.....kan de garantere at en exploit ikke falder i de forkerte hænder?
Hvordan vil de desuden bevise overfor en firma, at den exploit de sidder med, er gyldig og kritisk, uden at afsløre hvad exploiten handler om?
Er det gennem FUD at de vil skræmme firmaet i at tro, at de ikke har råd til at lade være? (især hvis exploiten bliver lagt ud på auktion, hvor andre vil kunne få fat i den).

Jeg tror at inden længe begynder folk at finde på smarte måder at "udnytte" denne service. Men ellers er det et meget spændende initiativ.

Det minder lidt om den udvikling i USA hvor man kan patentere exploit fixes.
Gravatar #8 - oscarb
12. jul. 2007 08:09
#2 - Du tager jo heller ikke plasticcen af et computerspil, hvis du har tænkt dig at sælge det videre, vel?

Tværtimod, så er min neutral-rating en garant for, at exploiten er helt ren, ny og ubrugt! der er ingen ridser i koden!
Gravatar #9 - tordenskiold
12. jul. 2007 18:08
#6
Har man et stykke software folk betaler for at bruge, hvorfor skal man så også have gratis sikkerhedskonsultation - som det vel er når man får foræret et sikkerhedshul på sølvbakke?


Nu kan jeg kun tale for mig selv, men hvis jeg er bruger af et eller andet stykke software, og jeg opdagede en fejl i det, som f.eks. gjorde at uvedkommende kunne komme ind i mit system, så ville jeg da hurtigst muligt få producenten til at lave en opdatering, til at få lukket hullet.

At man så måske kan tjene nogle håndøre på at sælge sikkerhedshullet, kan da være lige meget, hvis det betyder at der måske er en chance for at luskede personer kunne udnytte hullet i mellemtiden.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login