Wer spammen möchte aber zu faul ist ausnutzbare Fehler selber zu suchen kann sich jetzt bei einem Internet-Auktionshaus das exklusive Wissen über neue Sicherheitslücken ersteigern.

Das klingt zwar kurios, gibt’s aber wirklich. Das Projekt nennt sich Wabisabilabi und wurde mit dem Ziel gestartet die Entdecker von Sicherheitslücken besser zu entlohnen. Wer eine neue Lücke findet kann eine Auktion starten und muss sein Wissen am Ende dem Höchstbietenden preisgeben.

Doch wer sollte dort mitbieten? Außer für den Hersteller der Software sind diese Informationen nur für jemanden interessant der sich über einen Trojaner ein Botnetzwerk aufbauen möchte (z.B. für DDoS Attacken oder Fake-Visits/Clicks). Und Sicherheitslücken in Webservern (Apache, ISS) und Internetsoftware (Foren, Blogs, CMS, Wikis) könnten Spammer ausnutzen.

Und wenn ich heute eine Sicherheitslücke in WordPress für 50.000 Dollar verkaufe und morgen meine Oma in ihrem Security-Blog das entsprechende Exploit veröffentlicht, fühlt sich der Käufer dann nicht verarscht? Wie will man beweisen, dass die gleiche Lücke nicht zeitgleich von zwei unabhängig von einander agierenden Personen entdeckt wurde?

Dieser Artikel wurde am 17.07. 2007 von nXplorer geschrieben.