WSLabi ra mắt trang đấu giá trực tuyến lỗ hổng bảo mật

Một trang đấu giá trực tuyến mới có tên là WSLabi đang thực hiện một loại hình kinh doanh khá mới mẻ: bán lỗi khai thác bảo mật cho những người có nhu cầu.

WSLabi cho biết động lực để họ thực hiện công việc kinh doanh trên là bởi hình thức trọng thưởng cho những nhà nghiên cứu có công phát hiện lỗ hổng bảo mật đã không còn công bằng như trước đây và dần bị phá vỡ.

Cũng theo WSLabi, hãng này hy vọng hình thức kinh doanh mới sẽ giúp các nhà cứu bảo mật sẽ không phải "biếu không" các phát hiện hoặc bán chúng cho giới tội phạm. WSLabi cũng hy vọng hình thức này sẽ giúp công khai nhiều lỗ hổng bảo mật hơn.

Chỉ tính riêng năm 2006 đã có hơn 7.000 lỗ hổng bị phát hiện, nhưng các nghiên cứu chỉ ra rằng chỉ có khoảng 132.000 lỗ hổng trong số này được công bố, và như vậy số còn lại được giữ kín hoặc được sử dụng riêng trong giới tội phạm mạng.

Hiện tại, giá một lỗ hổng bán cho nhà cung cấp phần mềm (chẳng hạn như Microsoft) có giá trung bình là 300-1.000USD. Tuy nhiên, WSLabi tin rằng khoản tiền này sẽ tăng lên gấp 10 đến 20 lần nếu được đem ra đấu giá.

WSLabi sẽ thử nghiệm từng lỗi khai thác trong phòng lab độc lập rồi sau đó sẽ ban hành kèm cả mã demo (proof of concept) để các nhà nghiên cứu có thể đưa ra đấu giá hoặc bán cho một hoặc nhiều người mua với mức giá cố định.

WSLabi sẽ thẩm định nguồn gốc của từng người mua trong khi cam kết đảm bảo giữ bí mật tuyệt đối thông tin người dùng. Ngoài ra, cũng như eBay, người dùng có thể sử dụng nickname để đăng ký đấu giá trên trang của WSLabi.

Hiện tại có 3 lỗ hổng đã được đấu giá trên website của WSLabi, bao gồm lỗi tràn bộ nhớ nhân Linux, tràn bộ đệm điều khiển từ xa Yahoo Messenger, và lỗi SQL injection trong MKPortal.