10 juli 2007

Beveiligingsexperts die softwarelekken vinden kunnen hun onderzoeksresultaten nu verkopen aan de hoogste bieder. Een Zwitsers online veilinghuis is opgericht om de belanghebbende partijen bij elkaar te brengen, t.w. de vinders van problemen en de bedrijven die wat aan die problemen kunnen doen. Uiteindelijk moet de site een database krijgen waarin ieder beveiligingsonderzoek naar software is opgenomen. Het doel van het veilinghuis is om de kloof tussen het kleine aantal bugs dat wordt onderzocht en het grote aantal problemen dat men verwacht dat bestaat, kleiner te maken. Door onderzoekers te belonen hoopt het veilinghuis dat softwarelekken in de handen van cyber-criminelen vallen. 'Many malicious and criminal hackers rely on loopholes in widely used software, usually Windows, to get access to the valuable information on users PC's', zo zegt een specialist van Kaspersky Labs. Het is bekend dat er een goede markt is voor deze kwetsbaarheden in de digitale 'onderwereld' en dat er aanzienlijke sommen geld verdiend kunnen worden met het verkopen van beveiligingslekken.

Begin 2006 onthulde het anti-virusbedrijf Kaspersky dat Russische hackers het Windows WMF-lek hadden verkocht voor $ 4.000. Het beveiligingslek werd te koop aangeboden weken voordat het bekend was en nog veel langer voordat Microsoft actie ondernam en het lek dichtte. Criminele groepen geven er de voorkeur aan de kwetsbaarheden zelf uit te buiten door informatie te stelen of computers over te nemen dan die beveiligingslekken door zo ongeveer iedere hacker te laten gebruiken. Het onafhankelijke veilinghuis, WabiSabiLabi (WSLabi) probeert de stroom van kwetsbaarheden richting 'onderwereld' te verminderen door beveiligingsonderzoekers een legitieme marktplaats aan te bieden voor wat ze vinden. 'Our intention is that the marketplace facility on WSLAbi will enable security researchers to get a fair price for their findings ans ensure that thew will no longer be forced to give them away for free or sell them to cyber-criminals', zei Herman Zampariolo, uitvoerend directeur van de veilingsite. Hij voegde er aan toe dat de site ook aanleiding kon zijn voor onderzoekers om onderzoeksresultaten te melden die ze anders geheim gehouden zouden hebben. Op die manier hoopt hij te verzekeren dat veel meer kwetsbaarheden worden gemeld. 'Recently it was reported that although researchers had analyzed a little more than 7,000 publicly disclosed vulnerabilities last year, the number of new vulnerabilities found in code could be as high as 139,362 per year'. Very few of those researchers are able or willing to report it to the 'right' people due to the fear of being exploited', zo gaat Zampariolo verder. Nadat een bug is gemeld zal WSLabi verfieren of het een echte bug is en dat het geexploiteerd kan worden.Hierna zal de bug op de veilingsite geplaatst worden waar het verkocht kan worden aan de hoogste bieder of verkocht aan een bepaald bedrijf. WSLabi stelde dat 'it would ensure that all tose who buy the vulnerabilities were legitimate'. De eerste kwetsbaarheden op WSLabi worden verkocht voor prijzen tussen de 500 en 2000 euro. Roberto Preatoni, WSLabi’s Strategisch Directeur, stelt: 'Before we have even launched the marketplace there are already three new vulnerabilities available from security researchers. The vulnerability research is associated with Linux, Yahoo! Messenger client and SquirrelMail. This shows that this venture is filling a gap within the security research market, a place where security researchers are confident that they will get the right value for their findings'. Veel andere bedrijven, zoals iDefense en Tipping Point, hebben programma's die contante betalingen doen aan beveiligingsexperts die ernstige beveiligingslekken in veel gebruikte software vinden. The Mozilla Foundation, die onder andere de browser Firefox en het Mail-programma Thunderbird ontwikkeld, geeft een t-shirt en $ 500 'bug bounty' aan iedereen die een kritiek lek in haar software vindt. De vraag blijft uiteraard of de nobele doelstelling van WSLabi, de stroom lekken naar de 'onderwereld' verminderen, succes heeft. Dat hangt sterk af van de prijzen die betaald gaan worden. Een t-shirt zal in ieder geval niet voldoende zijn….