iDefense si TippingPoint si-au construit modelul de afaceri pe baza cumpararii drepturilor exclusive asupra bug-urilor software descoperite. Informatiile sunt folosite apoi pentru crearea de semnaturi ale vulnerabilitatilor si includerea lor in produse IPS - Intrusion Prevention Systems, fara ca vulnerabilitatile sa fie facute publice. Aceasta metoda de lucru prezinta riscuri, pentru ca semnaturile din sistemele de prevenire a intruziunilor pot divulga informatii privind vulnerabilitatile 0-day.
Comentariile d-lui. Ollman, care nu reprezinta punctul de vedere al companiei IBM, au urmat prezentarilor Errata Security din cadrul conferintei Black Hat. Dl. Robert Graham, director executiv al Errata Security, a demonstrat ca hackerii pot folosi tehnici de reverse engineering nu asupra vulnerabilitatilor, ci chiar asupra programelor de securitate, specializate pe evaluarea vulnerabilitatii sau prevenirea si detectia de intruziuni. Acesta a comparat brokerii de vulnerabilitati cu traficantii de arme.
Cu cateva luni in urma, Microsoft Security Response Team a postat un anunt pe sla.ckers.org in care solicita cercetatorilor sa trimita informatii privind vulnerabilitatile direct la Redmond inainte sa le faca publice. Invitatia, care se referea la bug-uri gasite in aplicatiile si site-urile Microsoft, se inscrie in initiativa "dezvaluirilor responsabile", conform careia cercetatorii de securitate ar trebui sa avertizeze companiile producatoare inainte de a publica vulnerabilitatile descoperite.
In lipsa unui acord scris din partea Internet Corp, puteti prelua maxim 500 de caractere din acest articol daca precizati sursa si daca inserati vizibil linkul articolului Cumpararea vulnerabilitatilor de securitate - taxa de protectie ?.