Site faz leilão de vulnerabilidade em softwares

» Colecionador faz lance de US$ 2 milhões em leilão online
» Brasileiro põe mulher à venda em leilão online

Atualmente, os bugs são notificados por voluntários gratuitamente com base em uma política de ética e, por isto, grandes sites de leilão, como é o caso do eBay, não permitem negociações de informações do tipo.

Com o WSLabi, os hackers poderão enviar suas descobertas que serão antes avaliadas pelo laboratório do site e então colocadas à venda em sistemas de leilão comum, compra direta (sem disputa) ou ainda venda para vários compradores.

O que muitos especialistas começam a desconfiar é de como será feita a análise do comprador, o que poderia ser o calcanhar de Aquiles da proposta, possivlmente tornando-a ilegal. No entanto, os responsáveis pelo WSLabi informam que haverá uma avaliação cuidadosa de todos os interessados na compra, para minimizar o risco de que "a coisa certa seja vendida para a pessoa errada".

No site do leilão, em wslabi.com, os responsáveis explicam a idéia que motivou a criação, alegando que o sistema ético atualmente proposto vem sendo abusado pelos fornecedores e firmas de segurança na tentativa de explorar o trabalho de pesquisadores gratuitamente. Os fundadores ainda compararam o mercado de software com a indústria farmacêutica, onde diz que ninguém está "chantageando" os pesquisadores para forçá-los a revelar os resultados de suas pesquisas gratuitamente.

Herman Zampariolo, CEO da WSLabi, comentou ainda que a intenção é que haja justiça na cobrança por suas descobertas, e que os hackers não sejam mais forçados a fornecê-las gratuitamente ou vendê-las para cibercriminosos. "Recentemente foi noticiado que, embora os pesquisadores tenham analisado pouco mais de 7 mil vulnerabilidades publicamente divulgadas no ano passado, o número de novas falhas encontradas em código poderiam ser tão altas quanto 139.362 ao ano", constatou o CEO.

Para serem vendidas, as vulnerabilidades não poderão ter sido obtidas através de operações ilegais, mas ainda não se sabe sob as leis de qual país isto será analisado, o que faz variar o conceito de "ilegalidade".

Robert Hansen, CEO da SecTheory LLC, teme que seja difícil diferenciar entre um comprador legítimo ou um usuário com propósitos nefastos, declarando ao site Dark Reading que muitas das grandes empresas de software já disseram inúmeras vezes que "não comprarão vulnerabilidades, da mesma forma que os Estados Unidos se recusam a negociar com terroristas".

Atualmente o site possui quatro vulnerabilidades em leilão, todas sem qualquer lance até o momento. Entre elas, duas são de aplicações web, uma é para Linux e uma para Windows XP. Três possuem lance inicial em 500 euros (US$ 680), enquanto uma delas, do Yahoo! Messenger para o XP, tem leilão iniciado em 2 mil euros (US$ 2.720).