IT&C 25 Ianuarie 2007
Ati descoperit o vulnerabilitate intr-o aplicatie software utilizata la scara larga? Adriel Desautels intentioneaza sa devina persoana de contact cea mai indicata pentru cercetatorii independenti care doresc sa valorifice vulnerabilitati de securitate.

"Unul dintre motivele pentru care comunitatile de hackeri sunt atat de nemultumite de colaborarea cu marile corporatii este faptul ca acestea profita din plin de pe urma cercetarilor efectuate fara ca hackerii sa primeasca o compensatie decenta pentru eforturile depuse."

Adriel Desautels, CTO (chief technology officer) in cardul Netragard si co-fondator al grupului de cercetari de securitate SNOSoft - Secure Network Operations Software a declarat ca a participat ca broker la incheierea de contracte intre cercetatori si firmele private sau agentiile guvernamentale care au avut ca obiect tranzactionarea de informatii privind vulnerabilitati critice de securitate. Desautels a declarat ca poate valorifica astfel de informatii la sume ce ajung pana la 75.000 $, in conditiile in care pe piata neagra ele sunt in prezent tranzactionate catre atacatori sau crima organizata la preturi ce ajung la 120.000 $.

Aceasta declaratie pare sa prefigureze acceptarea tranzactiilor cu informatii privind vulnerabilitatile software. Astfel de practici, candva controversate, par sa fie adoptate la scara larga. Programe ca Zero-Day Initiative (ZDI) lansat de TippingPoint sau Vulnerability Contributor Program (VCP) al iDefense au adus legitimitate acestor practici. Producatorii de programe software au trebuit sa accepte situatiile in care negociau cu interpusi care ofereau vulnerabilitati de securitate obtinute de la cercetatori anonimi. Microsoft, spre exemplu, a corectat in 2006 cel putin 17 vulnerabilitati raportate in cadrul celor doua programe, ZDI si VCP, in crestere fata de cele 11 vulnerabilitati critice raportate in 2005.

SNOSoft a anuntat lansarea unui program propriu de sprijinire a cercetatorilor independenti de securitate, detaliile fiind disponibile la adresa http://snosoft.blogspot.com/2007/01/exploit-acquisition-program.html . Acestia se angajeaza sa actioneze ca brokeri in relatiile cu marile companii de software din SUA pentru tranzactionarea de vulnerabilitati de securitate.

Despre autor:

Sursa: Gecadnet.ro

Abonează-te pe

Te-ar putea interesa si:

In lipsa unui acord scris din partea Internet Corp, puteti prelua maxim 500 de caractere din acest articol daca precizati sursa si daca inserati vizibil linkul articolului.