Obchodník se zranitelnostmi softwaru zavřel krám, i když ceny za chybu dosahovaly i statisíců dolarů

Transakce běžně trvaly čtyři měsíce a jedna se táhla 7 měsíců a nakonec se nezrealizovala, protože software opravil mezitím samotný výrobce. Zranitelnosti softwaru mají vesměs krátkou „dobu života“, po níž mají nějakou cenu. Během té doby musel zprostředkovatel samozřejmě zajistit i příslušnou validaci.



Firma Netragard obchodující se zranitelnostmi v softwaru zavřela krám. Důvodem údajně nebyl malý zájem zákazníků, ale příliš složité administrování celého procesu. Řada potenciálních zákazníků například tak dlouho zkoumala nabízené chyby, až se na ně mezitím objevila záplata.

Svůj obchodní model Exploit Acquisition Program zkoušela firma Netragard provozovat rok. Průměrná cena za zranitelnost se údajně pohybovala mezi 17 a 18 tisíci dolary a v jednom případě dosáhla až 200 000 dolarů. Firma neprozradila, kdo byli její zákazníci, zda soukromé firmy nebo spíše vládní agentury. Kromě výzkumu v oboru ale kupci používali získané informace údajně k výrobě oprav pro vlastní potřeby.
O zákazníky prý Netragard nouzi neměla a stejně tak se našlo dost lidí, kteří zranitelnosti za úplatu objevovali. Firma mezi oběma těmito stranami fungovala jako zprostředkovatel, nicméně administrovat celý proces bylo prý těžko zvládnutelné. Transakce běžně trvaly čtyři měsíce a jedna se táhla 7 měsíců a nakonec se nezrealizovala, protože software opravil mezitím samotný výrobce. Zranitelnosti softwaru mají vesměs krátkou „dobu života“, po níž mají nějakou cenu. Během té doby musel zprostředkovatel samozřejmě zajistit i příslušnou validaci.
Obchodní model v této oblasti funguje dnes vesměs jinak, tedy alespoň na legálním trhu. Například firma TippingPoint, která spadá pod 3Com, sice objevy zranitelností kupuje rovněž, ale dále neprodává a na jejich základě vyvíjí například software pro prevenci vniknutí.

Firma Netragard pokračuje ve svém podnikání v oblasti penetračních testů, ale se zranitelnostmi v softwaru už obchodovat nehodlá. Ale co její dodavatelé? Nepřeorientují se na černý trh?

Zdroj: Computerworld.com
O podnikání firmy TippingPoint viz také článek
Přechod 3Com do čínských rukou vyvolává obavy z bezpečnostních rizik










Komentáře