"Chợ eBay" của lỗ hổng bảo mật muốn "phình to"

WabiSabiLabi đang khiến dư luận lo lắng, sau khi các quan chức của hãng này tuyên bố họ sẽ "thành lập một sàn giao dịch" cho tất cả những ai muốn bán lỗ hổng zero-day do mình phát hiện được cho người bỏ giá cao nhất.

Gần 2 tháng sau ngày khai trương, WabiSabiLabi quảng cáo là họ đang làm ăn rất tốt, với hơn 160.000 khách truy cập thường xuyên. Kế hoạch của hãng lúc này là: Mở rộng.

"Chúng tôi chuẩn bị tung ra các dịch vụ bên lề", Giám đốc chiến lược Roberto Preatoni cho biết. "Chúng tôi sẽ mở một loạt dịch vụ về bảo mật và truyền thông, bao gồm một hệ thống Phát hiện/Ngăn chặn xâm nhập hoàn toàn mới, dựa trên cơ sở dữ liệu về lỗ hổng zero-day. WabiSabiLabi cũng sẽ hợp tác với nhiều doanh nghiệp bảo mật khác trong thời gian tới".

Hướng tiếp cận có vấn đề?

Tuy nhiên, vấn đề là không phải chuyên gia bảo mật nào cũng mê thích cách tiếp cận của WabiSabiLabi.

"Tôi không phải là fan hâm mộ của ý tưởng đó", nhà phân tích Jon Oltsik của Enterprise Strategy Group nói thẳng. "Giới nghiên cứu thường dành thời gian mày mò lỗ hổng vì ý thích hoặc phục vụ mục đích học thuật. Trong khi ấy, mô hình này lại biến công việc đó thành một cái chợ trời.

Hãy tưởng tượng: Nếu các chuyên gia y học có thể bán công trình nghiên cứu của họ một cách vô tội vạ trên mạng như thế, đây sẽ là cơn ác mộng thực sự cho cơ quan quản lý.... Quá nhiều không gian cho kẻ xấu lạm dụng".

Nguồn: BBC

Phản ứng trước nhận xét này, Preatoni nói rằng ông có góc nhìn hoàn toàn khác. "WabiSabiLabi không hề khuyến khích người dùng bán lỗ hổng mà họ phát hiện được.

Thay vào đó, chúng tôi cung cấp một sàn giao dịch, nơi các chuyên gia bảo mật có thể đổi phát hiện của họ lấy một "giải thưởng hợp pháp".

"Chúng tôi không giao dịch lỗ hổng trên sàn. Người thắng thầu sẽ nhận được một bản báo cáo chi tiết, hoàn chỉnh mô tả về lỗ hổng ý tưởng. Nó chỉ chứng minh lỗ hổng ấy là có thật, có tồn tại, chứ không quá hữu ích cho những mục đích phi pháp".

Chỉ lợi người bán?

Preatoni tỏ ra hoàn toàn hài lòng với sự tăng trưởng của WabiSabiLabi, khi nhận được hơn 150 lỗ hổng từ lúc khai trương đến nay. Không phải lỗ hổng nào cũng được phê chuẩn "lên sàn". Đã có 40 lỗ hổng bị từ chối vì chúng được phát hiện nhờ những kỹ thuật không hợp pháp.

Hiện tại, Microsoft Windows vẫn là "nguồn" cung cấp lỗ hổng dồi dào nhất với 51 lỗ hổng cả thảy. Những lỗ hổng này đã được bán với rất nhiều mức giá khác nhau, thấp nhất là 100 euro và cao nhất là 15.000 euro.

Tất cả những ai tham gia, cả người bán lẫn người mua, đều phải khai báo danh tính của mình cho WabiSabiLabi. Họ sẽ được cung cấp một cái nick khi giao dịch để bảo vệ tên tuổi thật của mình. Những ai không qua nổi khâu "lọc" này sẽ không được phép lên sàn.

Từ một góc độ khác, ông David Aitel, Giám đốc công nghệ của hãng Immunity lại cho rằng: WabiSabiLabi chỉ làm lợi cho người bán mà thôi.

"Một số lượng lớn những lỗ hổng này đã được người khác phát hiện và post lên công khai trước khi đấu giá kết thúc. Cuối cùng, người mua là kẻ chịu thiệt".

Bên cạnh đó, việc định giá một lỗ hổng zero-day cũng có vấn đề. Theo Aitel, lẽ ra công việc này cần phải giao cho một bên thứ ba kiểm tra, đánh giá và xác thực. Tuy nhiên, WabiSabiLabi lại không làm việc này.

Trọng Cầm

Theo PC World, VietNamNet