想卖一个或者买一个尚未修复的0day安全漏洞么?瑞典新兴安全公司WabiSabiLabi Ltd.就提供这种服务。
近日,来自瑞典的WabiSabiLabi开设了一个安全缺陷交易市场,合法的买家可以在上边销售或购买尚未修复的0day安全漏洞的详细资料。截至目前,已经有四个漏洞摆上“货架”,竞价或售价最低500欧元,最高达2000欧元,但至今没有人购买或竞购。
正在销售的这四件“商品”分别是:Linux Kernel本地内存泄漏、Windows XP Yahoo! Messeger 8.1远程缓冲溢出、Squirrelmail GPG插件命令执行缺陷、MKPortal SQL注入漏洞。
WabiSabiLabi称,为了维护计算机业界里的道德风尚,安全研究人员一直都在享受不公平的待遇,因为他们辛辛苦苦找到了安全缺陷,却没有因此获得任何好处,而在制药和金融业界等其他领域,没有人强制要求研究人员进行这种“义务劳动”,所以,他们成立了这个市场,以便安全研究人员的劳动能获得回报,不再有人逼迫他们免费公开研究资料,或者卖给网络犯罪份子。
趋势科技的David Perry对WabiSabiLabi的这种做法表示担忧,认为根本无法辨别买家的动机,这些漏洞也很可能会被拿去犯罪;3Com Corp.的Tipping Point部门和VeriSign Inc.的iDefense Labs实验室也曾出资买下研究人员发现的问题,但成立这种公开市场还是第一次,弄不好就成了安全漏洞的eBay乐园。
安全研究人员Cesar Cerrudo指出,虽然叫卖安全漏洞这种做法看起来有点儿不可思议,但的确是事实,因为有的研究人员为了更快、更简单地拿到钱,只能在黑市上进行交易。
WabiSabiLabi公司的老板是Herman Zampariolo,曾在意大利网络经销商iLight SpA公司担任CEO;同时Zone-H.org创始人Roberto Preatoni担任策略主管,那是一个以美国军方、大型企业和政府网站为攻击目标的网站。
WabiSabiLabi 0day安全缺陷市场地址:
http://www.wslabi.com/wabisabilabi/initPublishedBid.do?