Quanto vale 0 giorni? [chiuso]

2

Recentemente ho discusso di questo argomento con qualcuno e non siamo riusciti a raggiungere un consenso, quindi ho pensato che dovrei chiedere qui. Generalmente vengono generate cifre relative al costo di acquisto di un 0-day eseguibile in remoto per IOS, Android, Windows ecc. Ho visto cifre arrivare a $ 250.000 USD da aziende come Vupen , tuttavia Vupen non rivela in nessun punto del loro sito quanto compreranno o vendere exploit per.

Con questo in mente, c'è una prova concreta di exploit di alto valore che vengono acquistati e venduti dalle aziende e, in tal caso, a che tipo di prezzi (escludo cose come i programmi di bug bounty ecc. e ho visto questo articolo ma non ne sono convinto.

Oltre agli exploit acquisiti "legalmente", quanto fanno gli exploit comparabili sul "mercato nero"?

    
posta NULLZ 26.11.2013 - 23:42
fonte

2 risposte

1

È un po 'come chiedere "Quanto costa vendere un'auto?" in questo ci saranno differenze intrinseche tra ogni exploit, modificando drammaticamente il valore. Inoltre, il modo scelto di monetizzazione influirà notevolmente anche sul valore (cappello bianco, cappello nero, ecc.). In generale, suggerirei che i metodi black hat sarebbero probabilmente più preziosi in senso assoluto, ignorando il bagaglio che accompagna quei metodi - a meno che non si possano produrre degli exploit coerenti, nel qual caso sarebbe probabilmente meglio essere un'azienda come Vupen .

Questo articolo potrebbe essere di tuo interesse - link

Modifica: Mi scuso in qualche modo mi è mancato il link all'articolo di Forbes che hai pubblicato. Penso che il problema che hai è che l'informazione che stai cercando non sarà pubblicamente disponibile. I prezzi che i clienti pagherebbero, insieme a chi sta acquistando, sarebbero alcuni dei segreti più segreti custoditi da Vupen, lo stesso vale per quasi tutte le aziende che trattano questo tipo di prodotti.

Per un esempio di un mercato di exploit diverso potresti vedere qualcosa come 1337day [dot] com che ha exploit privati che vanno da $ 1 a $ 7000, ma non proprio il tipo di exploit che stai chiedendo specificamente.

    
risposta data 27.11.2013 - 01:24
fonte
1

Gli exploit valgono esattamente quello che puoi ottenere per loro, né più né meno. Microsoft e Google semplificano il mercato offrendo di pagare direttamente lo scopritore per un exploit e / o una patch; questo ha l'ulteriore vantaggio di rendere l'intera transazione pubblica e legale. Puoi cercare i loro premi "taglie" sui loro rispettivi siti; lo stesso vale per molte altre aziende simili.

La vendita di informazioni sul mercato nero è un affare losco e il costo implicito di farlo rende molto più difficile calcolare il prezzo reale; $ 100 fatti sotto il tavolo potrebbero non valere quasi tanto per te come $ 100 resi gratuiti e chiari. Prendendo i soldi può portare rischi che superano di gran lunga il valore monetario.

Ovviamente, ciò che puoi ottenere dipende da ciò che qualcuno può aspettarsi di ottenere o salvare con le informazioni. Quanto tempo impiegherebbe la NSA per fare le stesse scoperte in casa? Quanto vale per loro assicurarsi di non condividere la conoscenza con nessuno tranne loro? Quanto pagherebbe una società per le informazioni di cui avrebbero bisogno per aggiustare il software mantenendolo fuori strada? Questo ovviamente dipende da quanto si aspettano di risparmiare o guadagnare o perdere.

Il risultato è che ci si può aspettare di ottenere da nient'altro che una causa nella fascia bassa, a 6 cifre basse nella fascia alta. Tutto dipende da fattori specifici del caso in questione. L'intervallo è enorme e i risultati tendono ad essere imprevedibili, ad eccezione di quanto menzionato nel precedente paragrafo.

    
risposta data 27.11.2013 - 09:49
fonte

Leggi altre domande sui tag