ハッカーのジレンマ

バグオークションがハッカーを合法化







私たちはジレンマに直面しています。 あなたがコンピューターハッカーであり、攻撃者がお金や個人データを盗む可能性のあるプログラムに穴を見つけたとします。 これはあなたに名誉と尊敬をもたらす可能性がありますが、もちろんあなたはそれらをパンに塗ることはありません。 では、どのようにして発見を最高の価格で販売できますか? この脆弱なソフトウェアを製造している会社にお金を要求するという考えは、一見すると恐blackのように思えるかもしれません。 会社が拒否した場合、この情報は疑わしい手に落ちる可能性があると推測するのは簡単です。 そして同時に、この知識に価値を加えるのは、このような機会です。 それで、適切な価格は何であり、誰が交渉すべきですか?





ご存知のように、自然と同様に、経済は常に空白を埋めようとし、ハッカーのジレンマは「セキュリティ企業」の業界全体の出現を引き起こしています。 これらの企業は、ハッカーに提供するソフトウェアホールに関する情報を購入するために産業規模で始まりました(政治的に正しい、「セキュリティ研究者」と呼ばれます)。 その後、この情報をソフトウェア企業に販売し、対応する「パッチ」と一緒に販売したり、より危険な、つまり収益性の高いホールを検索するなど、より深い「研究」に使用したりします。 そのような企業は、一方ではハッカーによって、他方ではソフトウェア会社によって信頼される仲介者として行動する傾向があります。 彼らは、市場を熟知し、最適な価格を設定していることを皆に納得させるよう努めています。 ただし、多くの場合、どちらの側でも信頼性を得ることができません。 ハッカーは、同じような会社に情報の支払いにいくら払うかを尋ねると、会社の従業員の多くがそれに気づくので、その価格が急激に下がると文句を言います。 一方、ソフトウェア会社は、そのような仲介業者は通常、最も重要な情報を提供しないと考えています。 彼らは、最も危険なホールに関する情報が闇市場に直接送られると疑っています。



数週間前、トレーディングバグをより透明にし、同時にハッカーにより有利な条件を提供する特別なサービスが登場しました。 このサービスを組織したスイスの会社WabiSabiLabiは 、情報の販売と購入に参加しないという点で、通常のセキュリティ会社とは異なります。 代わりに、彼女はそのような取引のためのプラットフォームを提供しています。



名声をお金に変える



バグハンターは、3つの方法のいずれかでこのサービスを使用できます。 彼は自分の発見をオークションにかけることができ、その勝者はこの情報に対する独占的権利を受け取ります。 彼は自分の発見を無制限の数のバイヤーに販売できますが、固定価格です。 または、オークションに頼ることなく、この情報を特定の価格で単一の会社に販売しようとする場合があります。



取引プラットフォームに加えて、WabiSabiLabiはさらに2つの重要な機能を市場にもたらしました。 1つ目は、正当なトレーダーのみが情報を売買する権利を持つようにする試みです。 2つ目は、サービスの管理が各製品を事前にチェックして、その製品が説明と一致することを確認することです。



WabiSabiLabiのチーフHerman Zamparioloは、サービスが開始されてから数百人のハッカーが登録していると言います。 ただし、4つのホールのみが売りに出され、買い手が提供する価格はそれほど高くはありませんでした。おそらく、買い手が急いでいないために、サービスが実際にどのように表示されるかを最初に見たいからです。 ただし、別の200のバグが現在検討中であり、取引への参加を待っています。



そのようなバグオークションがその価値を証明したとしても、他の多くの障害を克服する必要があります。 それらの1つは、売り手が自分の提案の本質をあまりにも明確に説明している場合、買い手はこの穴がどこにあるかを独立して推測でき、もちろん支払わないということです。 もう1つは、時間が経つにつれて、誰かが穴を発見する可能性が高くなるということです。 そのため、ハッカーは検索結果をできるだけ早く販売することに関心があるため、管理者はアプリケーションをできるだけ早く検討する必要があります。 しかし、バグオークションを開催する上で最も深刻な障害になる可能性があるのは、その法的地位です。



スタンフォード大学のジェニファーグラニック弁護士は、このトピックを数年間研究しており、誰かがWabiSabiLabiなどのオークションでプログラムの穴に関する情報を取得し、これを使用して犯罪を犯した場合、オークションは大きな問題があるでしょう。 米国刑法では、有罪を認めるために、所有者が意図的に行動したことを証明する必要があります。 同時に、民事訴訟を満足させるには、所有者が過失を示したことを示すだけで十分です。



ワイルドウエストの映画では、良いカウボーイは白い帽子をかぶり、悪役は黒い帽子をかぶっています。 ハッカーにも同様の象徴性があり、ワークショップの代表者として正当に考えられる人々、および輝かしい芸術のみを信用しない人々を指定します。 最初のバグオークションを開くことにより、WabiSabiLabiは3番目のタイプのカウボーイ(灰色の帽子)を生み出します。 また、倫理的境界を廃止したハッキン​​グの分野は、わずかに拡大する可能性があります。



英語からの翻訳:

ローマン・ラブウェ



worldwebstudioからクロスポスト



All Articles