Coraz częściej odkrywcom luk w popularnych programach nie wystarcza tylko uznanie i chcą oni, aby ktoś zapłacił im za prace wykonaną przy znalezieniu błędu - podaje Associated Press. Giganci rynku oprogramowania ciągle nie chcą płacić, ale cyberprzestępcy i agencje rządowe kupują informacje chętnie i płacą dobrze.
Przedstawiciele firm produkujących oprogramowanie ubolewają nad tym, że "łowcy dziur" nie tylko sugerują, że chcieliby otrzymać pieniądze, ale zaczynają wręcz grozić, że w przypadku nie otrzymania zapłaty udostępnią informacje cyberprzestępcom. Rynkowi giganci nadal zapowiadają, że nie będą ulegać takim naciskom.
Przedstawiciele firm Microsoft oraz Cisco potwierdzili dla agencji Associated Press, że nie planują w przyszłości żadnego płacenia za informacje o lukach. Również przedstawiciele eEye Digital Security uważają, że płacić nie warto, bo to z czasem doprowadzi do wzrostu cen za informacje.
Dziurawy rynek
Znakiem tego, że można już mówić o "rynku dziur" jest otwarty w tym miesiącu serwis WabiSabiLabi. Jest to po prostu platforma aukcyjna, na której sprzedawane są informacje o usterkach w oprogramowaniu. Jej twórcy chcą, aby z czasem serwis stał się "eBayem luk 0-day".
Twórcy WabiSabiLabi nie widzą w swoim działaniu nic złego. Mówią, iż jedynie umożliwiają oni specjalistom znalezienie nabywców. To co potem stanie się z informacjami na temat luki, to już sprawa kupującego. Przedstawiciele serwisu wątpią też w to, aby korzystali z niego cyberprzestępcy, którzy raczej wybiorą absolutną anonimowość.
Są już również firmy, które za informacje o lukach płacą chętnie. Należą do nich iDefense oraz Tipping Point. Terri Forslof z Tipping Point mówi, że zdaje sobie sprawę z tego, iż oferowane przez jego firmę sumy nie są tak wysokie jak te proponowane przez cyberprzestęców, ale wierzy on w to, że uczciwy ekspert zgodzi się na mniejszą sumę mając pewność, że nikomu w ten sposób nie szkodzi.
Łowcy luk zwracali również uwagę na to, że producenci oprogramowania najzwyczajniej nie szanują informacji, które dostaną za darmo. Niejednokrotnie badacz, który dyskretnie poinformował o krytycznej dziurze, musiał czekać na jej załatanie wiele miesięcy.
Specjalista Matthew Murphy mówi, że pieniądze uzyskane od tych firm nie mogą raczej zastąpić pełnego etatu, ale mogą znacznie podreperować budżet. Inny specjalista - Charlie Miller z ISE - powiedział agencji Associated Press, że informacje o pewnej luce zakupiła od niego agencja rządowa za sumę 50 tys. USD. Zdaniem Millera z "łowienia dziur" nie da się jednak wyżyć.
Przedstawiciele firm produkujących oprogramowanie ubolewają nad tym, że "łowcy dziur" nie tylko sugerują, że chcieliby otrzymać pieniądze, ale zaczynają wręcz grozić, że w przypadku nie otrzymania zapłaty udostępnią informacje cyberprzestępcom. Rynkowi giganci nadal zapowiadają, że nie będą ulegać takim naciskom.
Przedstawiciele firm Microsoft oraz Cisco potwierdzili dla agencji Associated Press, że nie planują w przyszłości żadnego płacenia za informacje o lukach. Również przedstawiciele eEye Digital Security uważają, że płacić nie warto, bo to z czasem doprowadzi do wzrostu cen za informacje.
Dziurawy rynek
Znakiem tego, że można już mówić o "rynku dziur" jest otwarty w tym miesiącu serwis WabiSabiLabi. Jest to po prostu platforma aukcyjna, na której sprzedawane są informacje o usterkach w oprogramowaniu. Jej twórcy chcą, aby z czasem serwis stał się "eBayem luk 0-day".
Twórcy WabiSabiLabi nie widzą w swoim działaniu nic złego. Mówią, iż jedynie umożliwiają oni specjalistom znalezienie nabywców. To co potem stanie się z informacjami na temat luki, to już sprawa kupującego. Przedstawiciele serwisu wątpią też w to, aby korzystali z niego cyberprzestępcy, którzy raczej wybiorą absolutną anonimowość.
Są już również firmy, które za informacje o lukach płacą chętnie. Należą do nich iDefense oraz Tipping Point. Terri Forslof z Tipping Point mówi, że zdaje sobie sprawę z tego, iż oferowane przez jego firmę sumy nie są tak wysokie jak te proponowane przez cyberprzestęców, ale wierzy on w to, że uczciwy ekspert zgodzi się na mniejszą sumę mając pewność, że nikomu w ten sposób nie szkodzi.
Łowcy luk zwracali również uwagę na to, że producenci oprogramowania najzwyczajniej nie szanują informacji, które dostaną za darmo. Niejednokrotnie badacz, który dyskretnie poinformował o krytycznej dziurze, musiał czekać na jej załatanie wiele miesięcy.
Specjalista Matthew Murphy mówi, że pieniądze uzyskane od tych firm nie mogą raczej zastąpić pełnego etatu, ale mogą znacznie podreperować budżet. Inny specjalista - Charlie Miller z ISE - powiedział agencji Associated Press, że informacje o pewnej luce zakupiła od niego agencja rządowa za sumę 50 tys. USD. Zdaniem Millera z "łowienia dziur" nie da się jednak wyżyć.