(In)Seguridad: Nuevo sitio de subastas on-line enfocado a las vulnerabilidades informáticas

Gracias a los chicos de Dark Reading nos enteramos de esta noticia sobre un nuevo portal en internet. Dicho portal es un sitio de subastas al estilo de eBay en el que expertos de seguridad pueden ssubastar sus descubrimientos, vulnerabilidades, exploits, bugs, etc.

Para los más impacientes, este proyecto ha sido desarrollado por "WabiSabiLabi", un laboratorio independiente de seguridad con sede en Suiza. Dicho proyecto pretende ser una vía pública, fiable y legal para el contacto entre empresas y expertos en seguridad, con el fin de que estos últimos puedan ver recompensados sus esfuerzos, investigaciones y descubrimientos.

Según la compañía, ellos guiarán a los vendedores en todo el proceso, consiguiendo de esta forma que el interesado obtenga los máximos beneficios posibles de la venta. Actualmente hay 3 formas de vender un "artículo". Por un lado está la opción tradicional de sacarlo a subasta durante un período de tiempo. Por otro está la posibilidad de vender el descubrimiento a un grupo de compradores, siendo está vez el precio fijo y prefijado. Y por último es posible vender a un único comprador a un precio fijo.

Por su parte, miembros de WSLabi aseguran que no pretenden que este portal se convierta en un hervidero de información para cyber-delincuentes y para ello informan de que todos los compradores serán meticulosamente investigados para verificar que en todo momento se cumpla legalmente.

Del mismo modo y para garantizar que los descubrimientos no son simplemente humo, el laboratorio asegura que analizará todos los artículos que se intenten subastar antes de que la subasta pueda llegar a hacerse efectiva. Además también se investigará al vendedor y el origen del descubrimiento para evitar que se intente vender información obtenida ilegalmente. De esta forma también se vela por los intereses de los posibles compradores.

Por supuesto toda la información sensible referente a compradores y vendedores es confidencial y según nos indican ningún dato aparte de los nicks serán almacenados en los servidores en los que se aloja esta iniciativa. Por contra, dicha información será almacenada en servidores seguros sin relación con dichos servidores web.

Resumiento la web en cuestión es la siguiente: WSLabi MarketPlace y actualmente están en subasta 4 vulnerabilidades, entre ellas un fallo de memoria en el kernel de linux.

Aún así mi opinión al respecto es la siguiente: el proyecto en si, sí realmente están contemplados y cubiertos todos los posibles problemas entre compradores y vendedores me parece una idea muy interesante.

Por supuesto la empresa se quedará con una comisión del importe total de la transacción por lo que queda clara la intención de lucro del proyecto.

Pero me sigue quedando una duda: todo esa iniciativa está siendo llevada a cabo, no lo olvidemos, por un laboratorio de seguridad informática independiente, que será el que en última instancia probará y verificará la autenticidad de los bugs, vulnerabilidades y fallos de software subastados, por lo que ¿tan descabellado es pensar que puedan utilizar esa información para, digamos por ejemplo, desarrollar sistemas de seguridad que poder vender posteriormente de forma "independiente"?

Ahí queda lanzada la pregunta, por mi parte y como siempre, luego más.