iDefense și TippingPoint și-au construit modelul de afaceri pe baza cumpărării drepturilor exclusive asupra bug-urilor software descoperite, potrivit agora.ro. Informațiile sunt folosite apoi pentru crearea de semnături ale vulnerabilităților și includerea lor în produse IPS - Intrusion Prevention Systems, fără ca vulnerabilitățile să fie făcute publice.
- Publicitate -
Această metodă de lucru prezintă riscuri, pentru că semnăturile din sis-temele de prevenire a intruziunilor pot divulga informații privind vulnerabilitățile. Robert Graham, director executiv al Errata Security, a demonstrat că hackerii pot folosi tehnici de reverse engineering nu asupra vulnerabilităților, ci chiar asupra programelor de securitate specializate pe evaluarea vulnerabilității sau prevenirea și detecția de intruziuni. Acesta a comparat brokerii de vulnerabilități cu traficanții de arme.
Cu câteva luni în urmă, Microsoft Security Response Team a postat un anunț pe sla.ckers.org în care solicită cercetătorilor să trimită informații privind vulnerabilitățile direct la Redmond înainte să le facă publice. Invitația, care se referea la bug-uri găsite în aplicațiile și site-urile Microsoft, se înscrie în inițiativa "dezvăluirilor responsabile", conform căreia cercetătorii de securitate ar trebui să avertizeze companiile producătoare înainte de a publica vulnerabilitățile descoperite.
iDefense și TippingPoint și-au construit modelul de afaceri pe baza cumpărării drepturilor exclusive asupra bug-urilor software descoperite, potrivit agora.ro. Informațiile sunt folosite apoi pentru crearea de semnături ale vulnerabilităților și includerea lor în produse IPS - Intrusion Prevention Systems, fără ca vulnerabilitățile să fie făcute publice.
Această metodă de lucru prezintă riscuri, pentru că semnăturile din sis-temele de prevenire a intruziunilor pot divulga informații privind vulnerabilitățile. Robert Graham, director executiv al Errata Security, a demonstrat că hackerii pot folosi tehnici de reverse engineering nu asupra vulnerabilităților, ci chiar asupra programelor de securitate specializate pe evaluarea vulnerabilității sau prevenirea și detecția de intruziuni. Acesta a comparat brokerii de vulnerabilități cu traficanții de arme.
Cu câteva luni în urmă, Microsoft Security Response Team a postat un anunț pe sla.ckers.org în care solicită cercetătorilor să trimită informații privind vulnerabilitățile direct la Redmond înainte să le facă publice. Invitația, care se referea la bug-uri găsite în aplicațiile și site-urile Microsoft, se înscrie în inițiativa "dezvăluirilor responsabile", conform căreia cercetătorii de securitate ar trebui să avertizeze companiile producătoare înainte de a publica vulnerabilitățile descoperite.
