Selger sikkerhetshull på auksjon

Robert Preatoni tjener penger på å la hackere auksjonere bort programvarehull i blant annet SAP.

Hackere – her brukt i den positive betydningen av ordet – må erfaringsmessig ofte nøye seg med godord fra store IT-aktører når de oppdager sårbarheter i deres produkter. Det er en positiv utvikling fra tidligere tiders søksmålrefleks – for eksempel Ciscos hevnaksjon mot Michael Lynn i 2005 – men mange ønsker seg også lønn for strevet.

Det kom fram på hackersamlingen Defcon i sommer at Cisco har forbedret seg radikalt siden den tiden: De har opprettet et eget tilbud til hackere der opplysninger om nye hull kan gis i kryptert form. En annen som har inngått et samarbeid med hackerundergrunnen, er Microsoft, som betalte flere for å granske Vista før det nye operativsystemet ble satt i produksjon.

Det er vanskelig å fastslå den reelle markedsverdien til sikkerhetshull. Et tiltak som kan bidra til å styrke hackernes stilling er en tjeneste som ble etablert i juli i år: Wabisabilabi, også kalt WSLabi.

Her kan hackere legge ut sikkerhetshull til auksjon, etter samme prinsipp som eBay.

Utvalget av sikkerhetshull er forholdsvis bredt, fra detaljerte beskrivelser av programmeringsfeil i 3Com-protokoller for filoverføring, til for eksempel et hull i det grafiske grensesnittet til SAP, som har fått et bud på 5000 euro.

Andre eksempler er sårbarheter i Linux, Yahoo Messenger og SquirrelMail.

WSlabi er en lovlig kommersiell tjeneste, etablert i Chiasso i den italiensk-talende delen av Sveits. Den støttes av private investorer som har stilt to millioner dollar til rådighet de første to årene, og lovet ytterligere tre millioner dollar dersom forretningen går bra. Selskapet har en stab på 20 kvalifiserte IT-sikkerhetseksperter.

Daglig leder i WSlabi, Herman Zamporiolo, sa da tjenesten ble lansert at mens forskere i fjor analyserte 7000 offentlig kjente programvarehull, kan tallet på faktisk oppdagede hull være nærmere 140.000.

– Vår hensikt er at markedsplassen på WSlabi gir sikkerhetsfolk en rettferdig pris for deres funn, slik at de ikke tvinges til å gi dem bort gratis eller selge dem til kyberkriminelle.

For å kunne legge ut sikkerhetshull på tjenesten, må man registrere seg. Sikkerhetshullet må så granskes og kvalitetssikres på uavhengig vis. Det legges opp til tre mulige salgsmetoder: auksjon, fast pris til flere enn én kjøper, eller eksklusivt salg til én kjøper.

WSlabi tilbyr råd om hvilken forretningsmodell som er mest hensiktsmessig for et gitt sikkerhetshull.

Selve handelen på WSlabi skal foregå anonymt, for både kjøper og selger: Alle opererer under alias, og bare WSlabi vil vite hvem som står bak.

Selskapet fikk sin første anledning til å presentere seg for et internasjonalt publikum på Hack in The Box Security Conference 2007 i Malaysias hovedstad Kuala Lumpur i forrige uke. Konferansen beskrives som Asias største konferanse innen nettverksikkerhet.

WSlabis strategidirektør Robert Preatoni holdt innledningen, og lot seg intervjue av flere medier etterpå. Preatoni er kjent for IT-sikkerhetsbransjen som gründer av Zone-h, et arkiv over vandaliserte nettsteder.

Innledningen fikk ifølge Preatonis blogg en positiv mottakelse. Preatoni mener han fikk oppklart flere mulige misforståelser, blant annet rundt hvorvidt tjenesten kan misbrukes av kriminelle. Preatoni forsikrer for eksempel at WSlabi bare overfører penger til bankkonti som tilhører folk hvis identiteter de har sjekket.

Preatoni redegjorde også for at WSlabi vil utvide sin forretningsmodell ved å selge advarsler om nyoppdagede sikkerhetshull, på abonnementsbasis. Dette skal i første omgang være forbeholdt det asiatiske markedet, der det er få sikkerhetstjenester på asiatiske språk.

Til toppen