Wabisabilabi, som ble opprettet i sommer, er en markedsplass hvor sikkerhetsforskere kan selge upubliserte sårbarheter til programvareselskaper. Selv om selgere og kjøpere holdes anonyme overfor hverandre og offentligheten, skal markedsplassen internt ha full kontroll på hvem som kjøper og selger, slik at sårbarhetene ikke kommer i hendene på ondsinnede.
Les også:
- [08.11.2007] Arrestert på vei til Paranoia-konferanse
- [30.10.2007] Russisk nettside selger PC-infeksjon
- [12.09.2007] Selger sikkerhetshull på auksjon
I en pressemelding som ble sendt ut i dag, forteller Wabisabilabi at det til nå er blitt levert inn over 150 sårbarheter til markedsplassen. Av disse er 118 til nå blitt lagt ut for salg til priser på mellom 100 og 15.000 euro.
Fordelingen av disse sårbarhetene på plattform/programvare er som følger:
|
Sårbarheter i |
Antall sårbarheter |
|
Webapplikasjoner |
29 |
|
Linux |
19 |
|
Windows |
51 |
|
SAP |
10 |
|
IBM |
1 |
|
Mac |
2 |
|
Annet |
6 |
40 sårbarheter er ikke blitt godkjent, primært fordi de er blitt funnet ved hjelp av «reverse engineering» mot beskyttet programvare eller mot et spesifikt nettsted.
Sårbarhetsinformasjonen som selges, må dreie seg om nulldags-sårbarheter som det tidligere er blitt publisert noe om. Wabisabilabi godtar heller ikke salg av informasjon om sårbarheter som er relatert til programvare eller maskinvare som er blitt skreddersydd for en bedrift, organisasjon eller offentlig instans.
Før sårbarhetene legges ut for salg, blir de gransket Wabisabilabi. Det lages konseptbevis for sårbarhetene, og det sjekkes at sårbarhetene ikke tidligere er blitt offentliggjort.
Til nå har over tusen sikkerhetsforskere registrert seg som potensielle selgere ved Wabisabilabi, mens nettstedet er blitt besøk av 160.000 unike brukere siden det åpnet.
