¿Qué compañías facilitan el pago a cambio de la divulgación de vulnerabilidades?

16

Si la solicitud de pago a una parte afectada directamente por la divulgación de vulnerabilidades se considera una extorsión, ¿cómo pueden los investigadores de seguridad independientes ganarse la vida o un ingreso adicional al investigar vulnerabilidades de seguridad?

    
pregunta Nick 25.05.2011 - 12:19
fuente

3 respuestas

16

En el sentido 'blanco', las compañías más conocidas que pagan a los investigadores para comprar vulnerabilidades o explotaciones son:

Ciertas compañías como Mozilla y Google han establecido programas de recompensa de errores, ellos mismos compran vulnerabilidades de su software.

Charlie Miller (famoso desarrollador de exploits) ha escrito un pequeño artículo sobre el tema. Es una lectura interesante: El mercado legítimo de vulnerabilidad: el mundo secreto de las ventas de explotación de 0 días (2007)

    
respondido por el john 25.05.2011 - 12:30
fuente
5

Los programas de recompensas de errores y las competiciones como pwn2own vienen a la mente.

No sería una lista exhaustiva pero las grandes empresas que ofrecen recompensas de errores:

Microsoft es una excepción notable.

También puede obtener una beca de investigación de las universidades y el gobierno.

    
respondido por el Rakkhi 25.05.2011 - 12:31
fuente
5

Yo diría que tiene mucho que ver con el orden de las operaciones:

Extorsión:

  • encontrar vulnerabilidad
  • contactar a la compañía y exigir el pago

Tiger Team:

  • póngase en contacto con la empresa y negocie el contrato
  • encontrar vulnerabilidades

A menos que ya haya un programa de búsqueda de errores configurado, intentar encontrar vulnerabilidades y piratear es casi lo mismo sin un contrato preexistente.

Conozco a algunos consultores de empresas pequeñas e independientes que logran ganarse la vida trabajando como un equipo tigre para empresas. Yo diría que la parte más difícil es obtener la reputación, por lo que puede hacer un caso a la empresa para que usted sea la persona a quien paga por este trabajo.

    
respondido por el bethlakshmi 25.05.2011 - 15:45
fuente

Lea otras preguntas en las etiquetas