漏洞就是金钱?探究安全漏洞的价值

　　漏洞的价值

　　漏洞已经变成了一件贵重的商品。近来谣言四起的WMF漏洞（0 day攻击），就是在公众根本不知情的情况下展开攻击的，这个漏洞的资料被卖到了4000美元，尽管这只是一起到目前也没有经过证实的谣传。如果这是真实的，我敢打赌这种情况是前无古人的，我也能够确定它不会后无来者。甚至有像iDefense和3Com这样的公司愿意从这些安全研究者手中购买未公开发布的漏洞信息。这些情况对于漏洞研究的影响你是怎么认为的呢？不管你以哪种方式去看这个问题，在今天来讲，漏洞就是金钱。

　　虽然iDefense公司和3Com公司提供的程序不能对拥有安全研究小组的公司产生吸引，但他们确实能影响那些独立的研究者。因为有了这些程序，独立研究者就可以全身心地投入这种研究中。倘若他很擅长于找出漏洞，他就能够以此为职业，这种研究工作也就变成专职的工作了。我想这是非常可怕的。

　　漏洞的道德规范

　　一些人可能会对隐藏在贩卖漏洞信息之后的道德规范产生置疑。安全研究者不应该昧着良心透露漏洞的信息不是吗？也许是吧。不是这样的话难道我们应该期望安全研究者来审查商业软件是盈利销售还是免费吗？如果认为漏洞信息的销售有碍道德规范，那么我首先要问的就是那些销售非常不安全、没有保障的软件符合什么道德？当然我们知道，开发完全没有漏洞的软件是不可能的，显而易见，那些公司也不要绞尽脑汁去开发安全产品，这样，道德问题也就不会与公司纠缠了，它仅仅集中在问题的底线上。开发安全产品需要时间和金钱，软件公司不喜欢花费时间和金钱来解决这些问题，除非在这条底线上有了激烈的碰撞。


　　你会站在哪一边呢？你相信漏洞仅仅在公开之后才成为一种真正的威胁？还是相信无论是否公开都是都会产生威胁？

　　漏洞的价值

　　漏洞已经变成了一件贵重的商品。近来谣言四起的WMF漏洞（0 day攻击），就是在公众根本不知情的情况下展开攻击的，这个漏洞的资料被卖到了4000美元，尽管这只是一起到目前也没有经过证实的谣传。如果这是真实的，我敢打赌这种情况是前无古人的，我也能够确定它不会后无来者。甚至有像iDefense和3Com这样的公司愿意从这些安全研究者手中购买未公开发布的漏洞信息。这些情况对于漏洞研究的影响你是怎么认为的呢？不管你以哪种方式去看这个问题，在今天来讲，漏洞就是金钱。

　　虽然iDefense公司和3Com公司提供的程序不能对拥有安全研究小组的公司产生吸引，但他们确实能影响那些独立的研究者。因为有了这些程序，独立研究者就可以全身心地投入这种研究中。倘若他很擅长于找出漏洞，他就能够以此为职业，这种研究工作也就变成专职的工作了。我想这是非常可怕的。