Sàn "giao dịch" lỗ hổng bảo mật

Nếu phát hiện thấy lỗ hổng bảo mật bên trong một phần mềm bất kỳ, các chuyên gia bảo mật hoàn toàn có quyền đem bán nghiên cứu của mình cho người bỏ giá cao nhất.

Một website đấu giá trực tuyến vừa chính thức thành lập, với mục đích bắc nhịp cầu nối giữa giới chuyên gia bảo mật và săn-tìm-lỗ-hổng với những doanh nghiệp "có nhu cầu".

Và tất nhiên, một mục tiêu khác của WabiSabiLabi là xóa bỏ hiện trạng: số lượng lỗ hổng tìm thấy thì ít, trong khi số lượng lỗ hổng đang còn tồn tại trong "bóng tối" vẫn còn quá nhiều.

"Chảy máu" lỗ hổng

Bằng việc "trao thưởng trực tiếp" cho các nhà nghiên cứu, website đấu giá hy vọng sẽ ngăn chặn được nạn lỗ hổng bảo mật lũ lượt chảy vào tay bọn tội phạm mạng.

Nguồn: BBC

Trên thực tế, rất nhiều hacker đã dựa vào các lỗ hổng tồn tại bên trong những phần mềm thông dụng như Windows, IE hay Office để tiếp cận các thông tin cá nhân, có giá trị bên trong máy tính người dùng.

Thậm chí người ta còn biết đến một thị trường chợ đen, nơi các lỗ hổng bảo mật được mang ra giao dịch, mua bán hết sức sôi động, công khai và nhiều kẻ đã kiếm được bộn tiền từ việc rao bán lỗ hổng.

Đầu năm 2006, hãng bảo mật Kaspersky Labs từng tiết lộ rằng họ đã mua lỗ hổng Windows WMF từ một nhóm hacker người Nga với giá 4000 USD.

Lỗ hổng này được rao bán nhiều tuần trên mạng chợ đen trước khi công chúng biết tới nó một cách rộng rãi. Và cũng phải rất lâu sau đấy nữa, hãng phần mềm Microsoft mới bịt được lỗ hổng này.

Tuy nhiên, không phải hacker nào cũng máu mê với ý tưởng rao bán lỗ hổng mà chúng tìm được. Nhiều tổ chức tội phạm thích giữ những phát hiện này làm "của riêng", sử dụng khi chúng cần để đánh cắp thông tin, tấn công máy tính...

Kiếm tiền chân chính

"Chặn đứng dòng lỗ hổng chảy vào thị trường chợ đen bằng cách mở ra một sàn giao dịch hợp pháp cho các nhà nghiên cứu là tiêu chí của chúng tôi", ông Herman Zampariolo, Giám đốc website đấu giá WabiSabiLabi cho biết.

"Những nhà khoa học chân chính sẽ nhận được tiền công xứng đáng cho công sức của họ. Không còn áp lực tài chính để buộc họ phải bán chúng cho bọn tội phạm mạng nữa".

Herman cũng tin rằng với khoản tiền thưởng hậu hĩnh treo trên đầu, nhiều chuyên gia sẽ công bố những lỗ hổng mà lúc đầu họ dự định giữ kín. "Như vậy thì số lỗ hổng được công bố công khai sẽ nhiều hơn, và các hãng sẽ có thể bịt lại dễ dàng hơn. Các phần mềm sẽ trở nên an toàn hơn một chút".

Muốn rao bán một lỗ hổng nào đó trên WabiSabiLabi, đầu tiên, nhà nghiên cứu sẽ phải gửi lỗ hổng đó về cho hãng. WabiSabiLabi sẽ kiểm tra, chứng thực là nó có tồn tại thật, có thể bị hacker khai thác thật. Hết bước này, lỗ hổng mới được đẩy lên website đấu giá.

Những lỗ hổng đầu tiên được niêm yết trên WabiSabiLabi đã bán được với giá từ 500 euro - 2000 euro, và WabiSabiLabi đảm bảo rằng tất cả những khách hàng đứng ra mua đều là "hợp pháp".

Trọng Cầm