瑞士公司提供漏洞信息交易服务

最近，瑞士一家名为WabiSabiLabi的安全公司表示，它们计划在网上新开一个“零天漏洞攻击交易”站点，供合法的买家或卖家在该网站上销售或购买尚未修复的“零天漏洞攻击”的详细资料。 　　WabiSabiLabi公司称，目前该网站已经发布了四个安全漏洞的详细信息，其中的两个漏洞涉及Linux内核与Yahoo Messenger。WabiSabiLabi网站上针对这四款漏洞信息的要价在500-2000欧元之间，但至今无人参与投标购买。 　　WabiSabiLabi公司一直游说于整个电脑安全领域，希望政策导向能关注计算机安全领域内的科研人员，因为他们长期以来一直都在受着不公平待遇，他们通常在发现并公布电脑安全漏洞后而没有任何报酬。 　　WabiSabiLabi希望成立这一市场后，可以使那些从事安全研究领域的科研人员的辛勤付出得到公平回报，确保他们不再被迫免费公开自己的安全资料，甚至将这些资料兜售给网络犯罪分子。 　　像在拍卖站点eBay上一样，针对安全漏洞信息发布人的要求，WabiSabiLabi提供了多种竞价方式，可以按照发布人的固定价格进行销售，也可以在多个卖主之间进行拍卖。 　　尽管WabiSabiLabi声称它们的交易网站只向“合法的”买主服务，但安全公司则提出了不同的看法。 　　Trend Micro公司安全专家David Perry表示，“WabiSabiLabi建立的交易网站可能成为专门供安全漏洞交易的eBay网站。”Perry担心这些安全漏洞的详细资料也很可能会落入犯罪分子的手中。“WabiSabiLabi站点的建立，使我们感觉到计算机安全领域内的隐患在逐渐增长，因为针对一个安全漏洞信息的拍卖过程中，我们不能辨别究竟谁是好人，谁是坏人”。