Questa domanda riguarda il modello economico impiegato da NSS con il proprio marketplace exploit di ExpoitHub ( link del sito ) e se con Jives il cappello bianco rivendica la compagnia. La società ha fatto notizia questo mese offrendo centinaia di dollari per l'armamento di una dozzina di vulnerabilità note ( offerta aziendale ).
Questo modello di business sembra essere una variante della tanto attesa soluzione del Santo Graal di creare un mercato per i buoni che si auto-perpetuano e un vantaggio per tutti coloro che sono interessati a una maggiore sicurezza. La società cita H.D. Moore (primo collegamento sopra) e altri a sostegno del concetto. La sua citazione suggerisce che questa attività di armamento è benigna perché si concentra solo sulle vulnerabilità non-zero-day. Nella stampa, il CTO di eEye Marc Maiffret ( link ) fornisce un commento più negativo lungo la stessa linea di pensiero" Se sei un'azienda sfruttata da vulnerabilità note, la tua sicurezza non sta facendo il suo lavoro. "
Gli stati NSS sono che solo da 15.000 a 17.000 vulnerabilità note note hanno exploit disponibili in Metasploit e che questa lacuna rappresenta una grande opportunità per gli scrittori di exploit per supportare la comunità dei test delle penne. Il sito stesso offre agli autori degli exploit il 30% delle entrate e la vendita di exploit non verificati per un massimo di $ 1.500 ciascuno.
Chi pagherebbe $ 1.500 per un singolo exploit specifico? Un semplice controllo della sicurezza che identifica la vulnerabilità non servirebbe allo stesso scopo passivamente di un tester di penetrazione di terze parti che dimostra la debolezza attiva del suo attacco acquistato? Se è così, è giunto il momento di suggerire che le persone che acquistano tali exploit potrebbero non indossare questi cappelli bianchi o mi manca qualcosa di importante?