Esta pregunta es sobre el modelo económico empleado por NSS con su mercado de exploits ExpoitHub ( enlace del sitio ) y si coincide con El sombrero blanco reclama de la empresa. La compañía ha publicado noticias este mes ofreciendo recompensas de cientos de dólares por armar una docena de vulnerabilidades conocidas ( oferta de la empresa ).
Este modelo de negocios parece ser una variación de la tan esperada solución del Santo Grial de crear un mercado para los buenos que se perpetuará a sí mismo y será beneficioso para todos los interesados en la seguridad mejorada. La compañía cita a H.D. Moore (primer enlace arriba) y otros en apoyo del concepto. Su cita sugiere que esta actividad de armamento es benigna porque solo se enfoca en vulnerabilidades que no son de día cero. En la prensa, el Director de Tecnología de eEye, Marc Maiffret ( link ) proporciona un comentario más negativo en la misma línea de pensamiento" Si eres una empresa explotada por vulnerabilidades conocidas, tu seguridad no está haciendo su trabajo ".
NSS afirma que solo 1.000 de 15,000 a 17,000 vulnerabilidades críticas conocidas tienen vulnerabilidades disponibles en Metasploit y que esta brecha presenta una gran oportunidad para que los escritores de exploits apoyen a la comunidad de pruebas de lápiz. El sitio en sí ofrece a los autores de exploits el 30% de los ingresos y vende exploits sin verificar por hasta $ 1,500 cada uno.
¿Quién pagaría $ 1,500 por un único exploit específico? ¿Una simple auditoría de seguridad que identifica la vulnerabilidad no tiene el mismo propósito que un comprobador de penetración de terceros que demuestra la debilidad de forma activa con su ataque comprado? Si ese es el caso, entonces es hora de sugerir que las personas que compran este tipo de proezas no estén usando sombreros blancos o me estoy perdiendo algo importante.