67228

Wslabi.com: Neue Website versteigert Sicherheitslücken

09.07.2007 | 12:28 Uhr |

Eine neue Website bietet Entdeckern von Sicherheitslücken die Möglichkeit an, ähnlich wie bei Ebay & Co. ihren Fund gewinnbringend in Form einer Auktion zu verkaufen.

Mit Wslabi.com ist ein Online-Sicherheitsdienst gestartet, der es Entdeckern von Sicherheitslücken ermöglichen will, ihre Funde meistbietend an Interessenten zu verkaufen.

Nach Angaben der Betreiber soll die Site eine Anlaufstelle für Sicherheitsexperten, Sicherheitssoftware-Hersteller und Software-Hersteller werden, die dem Entdecker einer Sicherheitsschwäche die Möglichkeit bietet, eine dem Fund entsprechende Entlohnung zu erhalten. Herman Zampariolo, Chef des in der Schweiz ansässigen WSLabi, ist der Ansicht, dass es viele Forscher gibt, die Sicherheitslücken entdecken, diese aber häufig nicht melden, weil sie befürchten, dass die Informationen in die falschen Hände geraten könnten. Demnach seien im vergangenen Jahr zwar 7000 Sicherheitsanfälligkeiten gemeldet worden, die tatsächliche Anzahl der Sicherheitslücken könnte aber um ein vielfaches höher bei rund 140.000 Stück pro Jahr liegen.

WSlabi soll den Entdeckern von Sicherheitslücken einen Marktplatz bieten, der ihnen einen fairen Preis für ihren Fund zahlt, so dass die Entdecker nicht mehr gezwungen sind, den Fund für sich zu behalten, gratis ins Netz für jedermann zu stellen oder an potentielle Angreifer zu verkaufen.

Jeder Fund kann bei WSlabi eingereicht werden und wird dann anschließend von einem unabhängigen Labor auf seine Echtheit hin überprüft und analysiert. Erst dann wird er auf dem Marktplatz veröffentlicht und kann von Unternehmen erworben werden, die neben detaillierten Informationen zur Sicherheitslücke auch beispielsweise einen Proof-of-Concept-Code für den gezahlten Preis erhalten. Der Entdecker der Lücke kann dabei festlegen, ob er seinen Fund für einen fixen Preis oder meistbietend verkaufen möchte. Ebenfalls vorgesehen ist die Möglichkeit, dass ein Fund auch zu einem fixen Preis an mehrere Käufer verkauft werden kann.

Die Betreiber von WSlabi sind davon überzeugt, dass durch den Marktplatz höhere Preise für neu entdeckte Sicherheitslücken realisiert werden können, als durch die bisherigen Methoden. Davon würden sowohl die Entdecker als auch die Käufer profitieren. Zum Start werden über WSlabi Informationen zu vier Sicherheitslücken angeboten. Dazu zählen Informationen zu einer Sicherheitslücke im Linux-Kernel für 600 US-Dollar und eine Buffer-Overflow-Anfälligkeit im Yahoo Messenger 8.1 zum Startpreis von 2000 US-Dollar.

Damit ein Deal zustande kommen kann, muss der Entdecker detaillierte Informationen über sich und seinen Fund an WSLabi mitteilen. Das gleich gilt auch für die potentiellen Käufer der Informationen. Damit soll vermieden werden, dass die Informationen in die falschen Hände geraten. Die Informationen über Verkäufer und Käufer behalten die Betreiber des Marktplatzes für sich, nach außen hin treten beide Parteien nur über Spitznamen auf, wie man es beispielsweise von Online-Auktionshäusern wie Ebay kennt. Die Informationen über Käufer und Verkäufer werden auf getrennten, abgesicherten Servern abgelegt.

In den ersten sechs Monaten ist die Nutzung für WSlabi sowohl für Käufer als auch Verkäufer gratis. Danach soll laut Angaben der Betreiber eine Transaktionsgebühr in Höhe von 10 Prozent anfallen, durch die sich der Dienst finanzieren wird.

0 Kommentare zu diesem Artikel
67228