Cosa fa Zerodium con i loro exploit e bug acquisiti? [chiuso]

Naviga le tue risposte
1

Mi sono imbattuto nella società di cibersicurezza Zerodium . Offrono premi più grandi rispetto alla maggior parte delle aziende che richiedono cacciatori di bug:

Acausadeibugpiùgrandi,icacciatoridibugvendonoiloroexploit/bugaZerodiumpiuttostocheallacompagniachehagliexploit/bug.

Nellaloropagina"Chi siamo" non menzionano cosa fanno con i loro exploit e bug o come guadagnano i loro soldi. Nella loro faq menzionano:

ZERODIUM customers are mainly government organizations in need of specific and tailored cybersecurity capabilities, as well as major corporations from defense, technology, and financial sectors, in need of protective solutions to defend against zero-day attacks. Access to ZERODIUM solutions and capabilities is highly restricted and is only available to a very limited number of organizations.

C'è qualche ulteriore informazione per i loro clienti e cosa fa Zerodium con i loro exploit e bug acquisiti?

    
posta Nightscape 10.12.2018 - 13:33
fonte

2 risposte

4

Zerodium non è "ben noto per i suoi grandi doni", ma è noto per il marketing aggressivo. In realtà sono giocatori piuttosto piccoli nell'intero mercato degli exploit broker e pagano molto meno di quanto pubblicizzano. In generale, aziende come queste compreranno exploit armati e li rivenderanno, di solito ai governi che li usano per, tra le altre cose, sfruttare e seguire i dissidenti o persino i giornalisti.

Si noti che il prezzo che elencano è il massimo pagamento. La stragrande maggioranza degli exploit sarà acquistata a un prezzo molto più basso. È più probabile che si allinei con il prezzo che vendono per, in quanto hanno bisogno di realizzare un profitto. Poiché i governi hanno un ampio denaro da parte dei contribuenti, possono permettersi di pagare prezzi non competitivi e garantire che Zerodium e il loro genere vendano preferibilmente a loro.

L'industria 0day è composta da un numero di società diverse, alcune delle quali sono appaltatori esplicitamente governativi, così come individui privati che comprano e vendono exploit. Generalmente, dai loro un exploit armato e ti pagano lentamente per un periodo di tempo. Se per qualsiasi ragione l'exploit viene rattoppato prima di aver pagato, smetteranno di pagarti. Questo fornisce un incentivo a non usare e bruciare l'exploit da solo. I broker di exploit spesso si conoscono e parlano di quali vulnerabilità sono in possesso di viaggi veloci, il che rende di per sé difficile cercare di vendere la stessa vulnerabilità a più società diverse. Questo è vero per la maggior parte dei broker di exploit.

    
risposta data 10.12.2018 - 14:05
fonte
3

Da Wikipedia , seconda frase:

Its main business is acquiring premium zero-day vulnerabilities with functional exploits from security researchers and companies, and reporting the research, along with protective measures and security recommendations, to its corporate and government clients.

E dal secondo riferimento nell'articolo di Wikipedia: Ecco un listino prezzi delle aziende spia per le tecniche segrete degli hacker :

... customers, which it says include "government organizations in need of specific and tailored cybersecurity capabilities," as well as corporate customers it says use the techniques for defensive purposes

Non è documentato pubblicamente ciò che i clienti effettivamente fanno con questa conoscenza acquistata e chi sono esattamente i clienti (cioè gli aspetti legali ed etici non sono noti e potrebbero non essere allineati con l'etica che la maggior parte di noi ha) - ma sembra vale la pena per loro di acquistare queste informazioni.

    
risposta data 10.12.2018 - 14:07
fonte

Leggi altre domande sui tag

Cookie ASPSESSIONIDSACSARTD creato senza flag httponly Posso fidarmi dei browser a non curiosare nelle mie attività?