¿Cuánto valen 0-días? [cerrado]

Navega tus respuestas
2

Hace poco estuve discutiendo este tema con alguien y no pudimos llegar a un consenso, así que pensé que debería preguntar aquí. Por lo general, hay datos sobre el costo de comprar un ejecutable remoto de 0 días para iOS, Android, Windows, etc. He visto cifras que suben a $ 250,000 USD de compañías como Vupen , sin embargo, Vupen no revela en ninguna parte de su sitio cuánto comprará o vender exploits para.

Teniendo esto en cuenta, ¿existe alguna prueba concreta de que las empresas compren y vendan exploits de alto valor? En caso afirmativo, ¿a qué tipo de precios? href="http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/"> esto Artículo pero no estoy convencido).

Además de los exploits 'legalmente' adquiridos, ¿cuánto valen los exploits comparables en el 'mercado negro'?

    
pregunta NULLZ 26.11.2013 - 23:42
fuente

2 respuestas

1

Es un poco como preguntar "¿Cuánto se vende por un automóvil?" en que habrá diferencias intrínsecas entre cada exploit, alterando dramáticamente el valor. Además, la forma de monetización elegida también afectará dramáticamente el valor (sombrero blanco, sombrero negro, etc.). En general, sugeriría que los métodos de sombrero negro probablemente serían más valiosos en un sentido absoluto, ignorando el equipaje que acompaña a esos métodos, a menos que usted pueda producir constantemente exploits, en cuyo caso sería mejor ser una empresa como Vupen. .

Este artículo puede ser de tu interés - enlace

Edit: Me disculpo de alguna manera, me perdí ese enlace al artículo de Forbes que publicaste. Creo que el problema que tienes es que la información que buscas no va a estar disponible públicamente. Los precios que los clientes estarían pagando junto con quién está comprando serían algunos de los secretos más cercanos de Vupen, lo mismo sucedería con casi todas las compañías que se ocupan de este tipo de producto.

Para un ejemplo de un mercado de exploits diferente, podría ver algo como 1337day [punto] com que tiene exploits privados que van desde $ 1 a $ 7000, pero no realmente el tipo de exploits que está preguntando específicamente.

    
respondido por el Peleus 27.11.2013 - 01:24
fuente
1

Los exploits valen exactamente lo que puedes obtener por ellos, ni más ni menos. Microsoft y Google simplifican el mercado ofreciendo pagar al descubridor directamente por un exploit y / o parche; Esto tiene el beneficio adicional de hacer que toda la transacción sea pública y legal. Puede buscar sus recompensas "generosas" en sus respectivos sitios; Lo mismo ocurre con muchas otras empresas similares.

La venta de información en el mercado negro es un asunto poco fiable, y el costo implícito de hacerlo hace que sea mucho más difícil calcular el precio real; Los $ 100 hechos debajo de la mesa pueden no valer tanto para usted como los $ 100 hechos gratis. Tomar el dinero puede conllevar riesgos que superan con creces el valor monetario.

Por supuesto, lo que puede obtener depende de lo que alguien pueda esperar ganar o ahorrar con la información. ¿Cuánto tiempo le tomaría a la NSA hacer los mismos descubrimientos en la empresa? ¿Cuánto vale para ellos asegurarse de no compartir el conocimiento con nadie más que con ellos? ¿Cuánto pagaría una empresa por la información que necesitarían para parchar el software mientras lo mantiene alejado de las calles? Eso, por supuesto, depende de cuánto esperan ahorrar, ganar o perder.

El resultado es que puede esperar obtener de nada más que de una demanda en el extremo inferior, a 6 cifras bajas en el extremo superior. Todo depende de factores específicos del caso en cuestión. El rango es enorme, y los resultados tienden a ser impredecibles, excepto como se menciona en el primer párrafo anterior.

    
respondido por el tylerl 27.11.2013 - 09:49
fuente

Lea otras preguntas en las etiquetas

Implicaciones de seguridad de las credenciales compartidas en el APN privado Hydra da respuestas incorrectas