WabiSabiLabi MarketPlace… el tepito de los 0-days y PoC’s
Por ahi en Slashdot me leo una nota por demas interesante y escalofriante a la vez…
Un grupo de seguridad Suizo llamado WabiSabiLabi a sacado un interesante mercado estilo eBay, MercadoLibre, etcétera donde el principal producto o mercado que quieren acaparar es el mercado de las vulnerabilidades de seguridad.
En si es solo un sitio que permite que las personas que descubren vulnerabilidades de seguridad puedan vender sus hallazgos (0-days, pruebas de concepto, etc…) hacia otras personas interesadas en las mismas.
Como entenderán esto ha causado un gran impacto en todo lados y a hecho hablar a mas de uno de los conocidos de la red dedicados a la seguridad informática, WabiSabiLabi proclama que lo hace por el bien del mundo o con un fin “ético” dándole un espacio a los investigadores (y gente a fin) un lugar donde poder obtener una remuneración por sus trabajos y para los afectados (o la otra cara) un lugar donde sabremos (y podremos por un precio saber y mitigar) que esta ocurriendo en el verdadero mundo salvaje de la Internet y no solo escucharemos investigaciones rimbombantes en los laboratorios de seguridad mas prestigiados presentados en diferentes conferencias a fin.
Como también no podría pasar mas sin que (como su servidor) mucha gente piensa que esto abre paso a la compra de vulnerabilidades por parte de gente con claras intenciones malignas o no éticas (digase crackers) para que estos mismos puedan obtener una vulnerabilidad no-parcheada y darle usos malignos, aunque claro WabiSabiLabi indica que se investigara a los posibles compradores para evitar usos “no-éticos”, no estamos seguros -al menos yo no- de que sea asi o se lleve asi.
Aunque apenas y solo cuenta con 4 vulnerabilidades a la venta en el sitio, esperamos todos -incluyéndome- que esto no cambie la manera ética de como se debe proceder ante una hallazgo, el cual normalmente es avisar al fabricante/vendedor antes de sacar al publico una de estas, ya que si no digamos que hipotéticamente alguien venda una vulnerabilidad para un servicio como el de gmail o digamos una vulnerabilidad de windows, las implicaciones son altísimas sobretodo contando con los riesgos de ser una vulnerabilidad no-parcheada o sin parche oficial.
La verdad siendo sincero algo dentro de mi desea que esta web solo sea parte del boom de la web 2.0 y muera tan casi rápido como una web estilo web 2.0 normalmente lo hace.
Escrito por: Masiosare
6 de Julio del 2007 a las 1:48 pm
Si, ojala muera pronto.
aunque bueno… ya me toca cambiar de carro y mis trajes ya estan un poco viejitos… un dinerito extra no me vendria mal
xD
Escrito por: JoRgE-1987
7 de Julio del 2007 a las 12:48 am
Opa….
Interesante lugar…
¿Cuanto durará?
O mejor dicho…
¿Cuanto tarda en repèrcutir fuertemente en los medios?
Seguro las grandes empresas lo van a calificar como un mercado Negro de Vulnerabilidades…
Saludos.
Escrito por: Trancek
7 de Julio del 2007 a las 4:00 pm
Esa pagina para sacarse unas pelillas…no esta nada mal jejeje pero seguro que mas de un vendor prefiere ver esa pagina y que sea publica, porque en el tiempo que tarda en comprarse tal vez lo arreglen sabiendo que tienen que buscar un bug, eso si todo dependera de la informacion que se de en el titulo, y del programa, porque a los de yahoo supongo que les costara saber donde exactamente, pero el de sql injection, supongo que les sera mas facil descubirlo y parcharlo.
Escrito por: g30rg3_x
7 de Julio del 2007 a las 4:56 pm
@Trancek: Fijate que lo que se vende no son en si los advisories si no los 0-days o los PoCs (mejor dicho)…
Osea se venden el codigo de como explotar una vulnerabilidad, claro habra vulnerabilidades 0-days (ejemplo las de microsoft) que no han sido parcheadas pero a larga seran parcheadas las mismas..
Escrito por: martín
11 de Julio del 2007 a las 3:18 am
tal vez sólo sea parte de un gran plan de invulnerabilidad, en el que (además de ganar dinero) pueden recoger suficiente información sobre sus puntos débiles =# o… tal vez -simplemente- no.
Escrito por: megabyte
13 de Julio del 2007 a las 2:40 am
krees ke me kompren un XSS de hotmail?? xD
Y si es asi sera seguro darles el bug, ke tal si se lo chingan y lo subastan y no te pagan
alguien ya les vendio algo?
Escrito por: DarK-ZeRo
14 de Julio del 2007 a las 11:59 pm
estoy esperando que subas algo
del resultado de argentina vs mexico
ke nos decias que nos iban a ganar
te acuerdas de esto?:
g30rg3_x | Las Argentinas VS Papa Mexico… se escuchan apuestas dijo:
mexico los partira la puta madre..
g30rg3_x | Las Argentinas VS Papa Mexico… se escuchan apuestas dijo:
y vas a venir llorando como en el juego boca vs chivas
jajajajaja, chau méxico…
nos vemos g30rg3….
que habíamos apostado?
jajaja!
Escrito por: g30rg3_x
15 de Julio del 2007 a las 11:45 pm
Checa la descripcion de la categoria futbol ahi esta tu respuesta de porque no hablo de mexico…
Aparte jodete, puto ya vendras llorando…
Escrito por: dapaf
19 de Julio del 2007 a las 8:30 pm
JAJAJAJAJAJA, hasta del mundial sub 20 los dejamos afuera, son horribles!!!!
Escrito por: Rafael
25 de Julio del 2007 a las 12:30 pm
Este website esta que saca ronchas hay muchos comentarios y opiniones porque algunos afirmos que se puede prestar a chantajes u extorsiones.
Voy a suscribirme para dar mas opiniones de forma concreta, hasta entonces nos vemos.
Escrito por: DANIEL
5 de Septiembre del 2007 a las 11:55 am
LA PERSONAKE LE NAZCA DE CORAZON AYUDARME A ENCONTRAR EL ENLACE PARA DESCARGAR UN XPLOT SE LO AGRADECERIA MI MSN ES [censurado] ES PARA UNA BUENA RAZON S KE ALGUNOS TIPOS POR MEDIO DE MSN ESTAN EXTORCIONANDO A MI HERMANA Y CREO KE UNA DE LAS FORMAS POR LAS KE PODRIA LLEGAR A ALGUNA PISTA SERIA POR MEDIO DE SU MSN LE PIDO ESE ENORME FAVOR…
UN AMIGO KE KIZAZ ALGUN DIA LES PUEDA AYUDAR
PingBack de: Un mercado negro de internet: ¡venta de exploits!
28 de Agosto del 2007 a las 2:50 pm