Wabisabi Labi, la startup svizzera nota per la vendita di informazioni sulle falle di sistemi, software e siti attraverso un sistema d’aste in stile eBay, ora pianifica non solo di dare vita ad un proprio sistema di notifica intrusioni, ma anche di aprire le sue aste a tipologie diverse di contenuto.
Ha creato un certo scalpore l’arrivo in rete di Wabisabi e di tutta l’ideologia guida il progetto del marketplace. Secondo i fondatori del sito d’aste infatti i ricercatori informatici a tempo libero, quelli che finora per hobby hanno scoperto falle nei software e nelle reti, andrebbero pagati. Sempre secondo Wabisabi, le aziende non possono continuare a contare su un sistema libero e gratuito di segnalazioni di sicurezza, ma rassegnarsi a pagare per averle.
Il sistema di Wabisabi si basa dunque sulla messa all’asta di zero-day, cioè di exploit o vulnerabilità ancora non divulgate: aste dal prezzo abbastanza alto da scoraggiare i pirati informatici dall’acquistarle, ma alla portata delle aziende. Proprio intorno alla premessa ideologica c’è stato un grande scontro di idee: non pochi infatti hanno sostenuto come la ricerca e la scoperta di bug debbano essere per definizione attività libere e che la pubblicazione congiunta di tutta una serie di exploit potrebbe minare l’opinione pubblica riguardo la sicurezza delle reti.
Presso i Wabisabi Labi è in fase di studio un sistema di notifica intrusioni che si basi sull’esperienza raccolta: «stiamo firmando un accordo con un produttore di hardware […], dunque non posso dire quando, ma metteremmo sul mercato un sistema di notifica intrusioni basato sulla firma degli zero-day» ha dichiarato Roberto Preatoni, lo stratega della compagnia. Non solo: il sito d’aste presto ospiterà anche la vendita di prodotti di una nota compagnia di sicurezza della quale non è dato sapere il nome.
Il sito sembra avere ad oggi qualche problema a decollare: varie aste di vulnerabilità che gruppi come Secunia giudicano “highly critical” (come quella sulla toolbar di Ask) rimangono con zero offerte. Il record indicato dall’history del marketplace è ad oggi detenuto da due vulnerabilità “SAP GUI” valutate 5000 e 5100 euro. 2000 euro, invece, per una vulnerabilità di OpenOffice e 150 euro per una in WordPress 2.2.2.