Se la richiesta di pagamento da parte di una parte interessata per la divulgazione di vulnerabilità è considerata estorsione, in che modo i ricercatori indipendenti in materia di sicurezza guadagnano da vivere o reddito collaterale dalla ricerca di vulnerabilità della sicurezza?
In senso "bianco", le aziende più note che pagano i ricercatori per acquistare vulnerabilità o exploit sono:
Alcune società come Mozilla e Google hanno stabilito programmi di bug bug: acquistano da sole le vulnerabilità dei loro software.
Charlie Miller (famoso sviluppatore di exploit) ha scritto un piccolo articolo sull'argomento: è una lettura interessante: The Legitimate Vulnerability Market: The Secretive World of 0-Day Exploit Sales (2007)
Mi vengono in mente i programmi di bug bounty e le competizioni come pwn2own.
Non sarebbe un elenco esaustivo, ma grandi aziende che offrono bounties di bug:
Microsoft è un'eccezione notevole.
Potresti anche ottenere una borsa di ricerca da università e governo.
Direi che ha molto da fare con l'ordine delle operazioni:
Estorsione:
Squadra tigre:
A meno che non sia già stato impostato un bug, provare a trovare vulnerabilità e hacking è più o meno lo stesso senza un contratto preesistente.
Conosco alcuni consulenti indipendenti / di piccole dimensioni che riescono a guadagnarsi da vivere lavorando come tigri per le aziende. Direi che la parte più difficile è ottenere la reputazione, in modo che tu possa presentare alla società che dovresti essere la persona che pagano per questo lavoro.
Leggi altre domande sui tag disclosure bug-bounty