Wabisabi, l’eBay delle vulnerabilità

Il sito noto per le aste di exploit pianifica di mettere in vendita anche altre tipologie di proprietà intellettuali e comincia a costruire una sua soluzione per la notifica delle intrusioni. Le aste non sembrano però ad oggi essere troppo popolate

Wabisabi Labi, la startup svizzera nota per la vendita di informazioni sulle falle di sistemi, software e siti attraverso un sistema d’aste in stile eBay, ora pianifica non solo di dare vita ad un proprio sistema di notifica intrusioni, ma anche di aprire le sue aste a tipologie diverse di contenuto.

Ha creato un certo scalpore l’arrivo in rete di Wabisabi e di tutta l’ideologia guida il progetto del marketplace. Secondo i fondatori del sito d’aste infatti i ricercatori informatici a tempo libero, quelli che finora per hobby hanno scoperto falle nei software e nelle reti, andrebbero pagati. Sempre secondo Wabisabi, le aziende non possono continuare a contare su un sistema libero e gratuito di segnalazioni di sicurezza, ma rassegnarsi a pagare per averle.

Il sistema di Wabisabi si basa dunque sulla messa all’asta di zero-day, cioè di exploit o vulnerabilità ancora non divulgate: aste dal prezzo abbastanza alto da scoraggiare i pirati informatici dall’acquistarle, ma alla portata delle aziende. Proprio intorno alla premessa ideologica c’è stato un grande scontro di idee: non pochi infatti hanno sostenuto come la ricerca e la scoperta di bug debbano essere per definizione attività libere e che la pubblicazione congiunta di tutta una serie di exploit potrebbe minare l’opinione pubblica riguardo la sicurezza delle reti.

Presso i Wabisabi Labi è in fase di studio un sistema di notifica intrusioni che si basi sull’esperienza raccolta: «stiamo firmando un accordo con un produttore di hardware […], dunque non posso dire quando, ma metteremmo sul mercato un sistema di notifica intrusioni basato sulla firma degli zero-day» ha dichiarato Roberto Preatoni, lo stratega della compagnia. Non solo: il sito d’aste presto ospiterà anche la vendita di prodotti di una nota compagnia di sicurezza della quale non è dato sapere il nome.

Il sito sembra avere ad oggi qualche problema a decollare: varie aste di vulnerabilità che gruppi come Secunia giudicano “highly critical” (come quella sulla toolbar di Ask) rimangono con zero offerte. Il record indicato dall’history del marketplace è ad oggi detenuto da due vulnerabilità “SAP GUI” valutate 5000 e 5100 euro. 2000 euro, invece, per una vulnerabilità di OpenOffice e 150 euro per una in WordPress 2.2.2.

Ti potrebbe interessare