Сколько будет стоить уязвимость?

Пусть у меня есть инфа об уязвимости вроде heartbleed, только лучше (например, которая позволит в 100% случаев атак получить секретный ключ).
За какую сумму её можно продать и кому?
Имеется в виду контора вроде ФСБ/АНБ/какая-нибудь китайская спецслужба или какой-то фонд/компания вроде EFF/Google; вариант с чёрным рынком не интересен. И возможно ли это сделать самому или придётся связываться с посредниками вроде zerodium?
ЗЫ. Достоверная инфа о продаже (со ссылками) предпочтительней личных мнений.
  • Вопрос задан
  • 2391 просмотр
Решения вопроса 1
Storchak
@Storchak
специалист по защите информации


В РФ это запрещено законом (статьи 272 и 273 УК РФ), поэтому лучше сообщить о найденной уязвимости через баг баунти- программу (можно поискать на оф.сайте или на HackerOne, Bugcrowd). Если таковой ней, то уведомить через оф.сайт производителя.
Ответ написан
Пригласить эксперта
Ответы на вопрос 8
chupasaurus
@chupasaurus
Сею рефлекторное, злое, временное
Цена будет разниться от 13337$ в случае с Гуглом (если они не решат щедро осыпать выплатой в размере π сотен тысяч долларов, например) до чека на сумму стоимости лечения последствий терморектального криптоанализа (исходя из того, что вы подобные вопросы задаёте здесь, то именно таким способом спецслужбы "оплатят" уязвимость).
Ответ написан
berezuev
@berezuev
#define TRUE FALSE
Удачно проданная уязвимость обойдется вам тюремным заключением сроком до 7 лет согласно ст. 272 УК РФ.
Ответ написан
Heartbleed это потенциально более серьезная уязвимость, чем просто получение секретного ключа, т.к. позволяет угонять любые данные из памяти сервера.
Доступ к секретному ключу позволяет только проводить атаки MitM и обходить certificate pinning, но при наличии Forward Secrecy - только активные в реальном времени с подменой сертификата, т.е. декодировать данные при пассивной прослушке или восстановить ранее переданные и перехваченные данные нельзя, даже имея доступ к ключу.

Суммы выплат за подобные уязвимости определяются реальным импактом уязвимости (при каких настройках она реально работает и какие сервисы затрагивает), текущим спросом на этот импакт, и умением торговаться, и тем, на каком рынке они продаются - белом, сером или черном, и могут быть очень индивидуальны, от десятков тысяч до миллионов долларов. За Heartbleed было выплачено $15000 в качестве поощрения https://hackerone.com/reports/6626 - но у репортера не было цели заработать, и даже эти деньги ушли в благотворительный фонд.
Ответ написан
@Trotilla
Самой конторе, у кого эта уязвимость.
Они больше всего заинтересованы.
Цена - как сторгуетесь (или точнее - смотря насколько вы сможете их убедить в серьезности).

Но на самом деле будет так как у меня:

Моему клиенту написали хацкеры, взломавшие (реально) сайт.
Запросили денег за информацию.

Клиент обратился ко мне.
Профинансировал мне создание нового сайта с нуля.

Спасибо таким как вы.
Хацкерам ни копейки не выплатили.
Все деньги достались мне.
Правда и информация об уязвимости была не нужна мне для работы.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
Гуглу может и получится загнать - если это конечно реально ценная уязвимость. А прочие - придут и сами забесплатно заберут
Ответ написан
Выплата за найденную уязвимость называется обычно "bounty" или "bug bounty":

P.S. перед тем, как связаться с «крутыми парнями», трезво оцените свои риски.
Ответ написан
Stalker_RED
@Stalker_RED
Если вы white hat, то можете сделать себе имя на этой уязвимости, продемонстрировав POC, сдав ее разработчикам этого уязвимого софта и покатавшись по конференциям. Естественно, раскрывать подробности можно будет только после того, как уязвимость закроют. Хотя могут и неразглашение потребовать, и даже посадить.

Если интересуют именно деньги, и хочется их побольше, то лучше в даркнет, наверное.
Ответ написан
h4r7w3l1
@h4r7w3l1
В случае участия компании в программах bugbounty - изучайте условия, scope, все описано включая цен вознаграждения.

В случае отсутсвия подобных мероприятий, и отсутсвие информации на самом сайте, попробуйте обсудить данный вопрос с приближенными к it или dev отделу людьми по доступным каналам связи.

Ссылки на bugbounty описаны другими людьми к этому вопросу.

Что касаеться ожидаймости/реальности.
В первую очередь предоставление PoC, грамотно составленный репорт, и как минимум учитывая условия, в случае bounty используйте сервисы h1 и т.п., так как в первую очередь сервис выступает в роли гаранта между ресёрчерами и вендроами.
По существу, баг репортов заваливаеться не один десяток ежедневно в крупных компаниях. Факт, рассматриваються далеко не все, еще бОльший факт, оплачиваються лишь те которые реально конструктивно описаны и предоставляют серьезные последствия и то в меру общей "картины".

Конкретно по заданному вопросу, уязвимость да, серьезная. Но в случае обсуждения данного вопроса без сервиса гаранта, любой намек на ssl/hb/дамп памяти - даст понять в чем же проблема, и найти ее не составит никакого труда, да и если уж по честному, я бы с трудом назвал это "найденной" уязвимостью. Думаю по существу вопроса, можно оценить начальный уровень компитенции, и тупо скан на "удачу" портов. Только найденная HB еще не значит что все так удачно. Попробуйте провести хоть какие-то действия которые могут повлечь за собой серьезнее последствия чем пару пар куков возможно даже не авторизированных юзеров.

Я бы такой репорт бы максимум оценил за спасибо. На большее я думаю не стои расчитывать. Уж темболее взяв черный рынок, Вас, заставят предоставить информацию о товаре. И вы подарите уязвимость бесплатно, а скрыть тип уязвимости и раз уж крупный вендор, ссылку или название бренда, как-то до получения средств шансы порядка сотых нуля %.

Ну и к тому же, можете повлечь всем этим не очень хорошие последствия, даже обращаясь к вендору на прямую. У вас слова, у них логи. Рулить будут не слова)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы