Por uma década, pesquisas de segurança têm feito dinheiro com a venda de detalhes significantes sobre vulnerabilidades dos programas: primeiro o Programa de Contribuição de Vulnerabilidade lançado pela IDefense, em 2002, e, depois, a iniciativa do Dia Zero TippingPoints, que foi ao ar em 2005.
Extendendo o modelo, a empresa de pesquisa de segurança e testes NSS Labs lançou o ExploitHub, um modelo de aplicativo para a venda de códigos para explorar vulnerabilidades conhecidas. Compradores pré-aprovados podem procurar a loja e pagar algo em torno de US$ 50 mil para uso de códigos.
No entanto, a mistura de códigos de ataque tem sido anêmico. Um olhar sobre o ExploitHub revelou que fornecedores estão vendendo códigos de ataque para Oracle, Novell e um punhado de vulnerabilidades do Windows. A NSS Labs espera mudar isso: na semana passada, a empresa introduziu um sistema de votação para compradores de vulnerabilidades específicas ou de interesse, bem como um sistema de prêmio que paga para postar códigos e explorar falhas. A empresa planeja pagar entre US$ 200 e US$ 500 para trabalhar ataques direcionados a vulnerabilidades específicas na Internet Explorer e Adobe Flash.
?Os maus têm a capacidade de criar meios de explorar as vulnerabilidades e lançá-las de forma maliciosa?, explicou Rick Moy, CEO da NSS Labs. ?Mas os moçinhos não têm a isso e não podem testar suas defesas para dizer se estão seguros ou não?, completou.
Embora ataques dia zero – focados em vulnerabilidades desconhecidas e sem correções – ainda causem preocupação, as empresas precisam testar sua segurança contra ameaças conhecidas também. A maioria das companhias atrasa o lançamento de correções e, para ter certeza de que não estão vulneráveis ao ataque, devem ser capazes de bloquear as falhas em seu software.
Com a venda de exploração para falhas conhecidas, o ExploitHub ajuda os times de segurança de TI com testes de invasão e verificação de segurança de uma organização, e isso mantém a pressão sobre os fornecedores de softwares a desenvolverem correções para vulnerabilidades importantes, acredita Marc Maiffret, diretor de tecnologia da eEye Digital Security.
A Agência Espacial Brasileira (AEB) e a Finatec anunciaram a criação do Hub de Inovação…
A inteligência artificial (IA) não tornará os trabalhadores obsoletos nem provocará uma substituição em massa…
América Latina e Caribe formalizaram, nesta quinta‑feira (18), a criação de um bloco regional para…
A Ford está expandindo sua atuação além do mercado automotivo e aposta em tecnologias de…
O mercado de trabalho segue com diversas oportunidades dentro do setor de Tecnologia, com vagas…
O governo da Índia e o Telegram travaram uma disputa regulatória nas semanas que antecederam…