martes, 11 de diciembre de 2007

Vulnerabilidades a la venta

"¡Pásele, pásele, pásele! Lleve su vulnerabilidad güerito, es una oferta, es una promoción". Sólo agréguenle un tono de "vagonero" del metro. Un poco de humor antes de comentarles de la venta (que no se lleva a cabo en el metro todavía) de debilidades en un sitio de Internet.

¿Es justo que si yo descubro una debilidad en un software, me paguen por eso? ¿El tiempo que alguien invierte en descubrir una vulnerabilidad debe ser pagado con un "gracias" y una nota de reconocimiento en el sitio del fabricante? ¿Tanto tiempo para eso? Obviamente si es un criminal y no un investigador el que descubre la debilidad, la explotará seguramente para sacarle algún provecho económico y ahí estará su recompensa al tiempo invertido.

El sitio de Internet Wabisabilabi (parece traba-lenguas) tiene una especie de e-Bay de debilidades, donde el que descubre una debilidad la puede subastar en línea al mejor postor. Según el sitio Wabisabilabi dice que sólo se las vende a gente "respetable".

En fin, por un lado tenemos al investigador o desarrollador que descubre una debilidad y que éticamente se la manda el fabricante, no esperando ninguna remuneración económica. Por otro lado tenemos al mismo investigador que decide venderla y que se le pague por su tiempo invertido. ¿Qué debemos hacer? Aquí es cuestión de ética y habrá numerosas opiniones sobre lo que es correcto hacer: enviar la debilidad sin esperar nada a cambio o venderla. He ahí la cuestión.

Por cierto, me intriga saber quiénes son los "respetables" que compran las debilidades, el sitio en cuestión dice que son "investigadores de seguridad" quienes las compran. Puede ser, pero en primera: cómo le hacen para verificar la "respetabilidad" del comprador? Y en segunda: cuántos investigadores de seguridad pagan cuatro mil dólares por una debilidad (eso es más o menos lo que cuestan)? Sobre todo pensando que para cuestiones de investigación o pruebas se pueden encontrar varias en la red de forma gratuita, cierto?

Así es que yo más bien pongo en duda la ética de este sitio porque creo que la mayoría de estos compradores son realmente criminales o gente con malas intenciones.
La noticia en: http://www.pcworld.com/businesscenter/article/140471/security_vulnerabilities_for_sale_to_the_highest_bidder.html