Quali società agevolano il pagamento in cambio della divulgazione delle vulnerabilità?

16

Se la richiesta di pagamento da parte di una parte interessata per la divulgazione di vulnerabilità è considerata estorsione, in che modo i ricercatori indipendenti in materia di sicurezza guadagnano da vivere o reddito collaterale dalla ricerca di vulnerabilità della sicurezza?

    
posta Nick 25.05.2011 - 12:19
fonte

3 risposte

16

In senso "bianco", le aziende più note che pagano i ricercatori per acquistare vulnerabilità o exploit sono:

Alcune società come Mozilla e Google hanno stabilito programmi di bug bug: acquistano da sole le vulnerabilità dei loro software.

Charlie Miller (famoso sviluppatore di exploit) ha scritto un piccolo articolo sull'argomento: è una lettura interessante: The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales (2007)

    
risposta data 25.05.2011 - 12:30
fonte
5

Mi vengono in mente i programmi di bug bounty e le competizioni come pwn2own.

Non sarebbe un elenco esaustivo, ma grandi aziende che offrono bounties di bug:

Microsoft è un'eccezione notevole.

Potresti anche ottenere una borsa di ricerca da università e governo.

    
risposta data 25.05.2011 - 12:31
fonte
5

Direi che ha molto da fare con l'ordine delle operazioni:

Estorsione:

  • trova vulnerabilità
  • contatta l'azienda e richiedi il pagamento

Squadra tigre:

  • contatta l'azienda e negozia il contratto
  • trova le vulnerabilità

A meno che non sia già stato impostato un bug, provare a trovare vulnerabilità e hacking è più o meno lo stesso senza un contratto preesistente.

Conosco alcuni consulenti indipendenti / di piccole dimensioni che riescono a guadagnarsi da vivere lavorando come tigri per le aziende. Direi che la parte più difficile è ottenere la reputazione, in modo che tu possa presentare alla società che dovresti essere la persona che pagano per questo lavoro.

    
risposta data 25.05.2011 - 15:45
fonte

Leggi altre domande sui tag