0日間の価値はどのくらいですか?
最近、この話題について誰かと話し合ったところ、合意に達することができなかったので、ここで尋ねるべきだと思いました。一般的に、IOS、Android、Windowsなどのリモートで実行可能なゼロデイの購入コストに関する数字が出回っています。 Vupen ただし、Vupenはエクスプロイトの売買額をサイトのどこにも開示していません。
それを念頭に置いて、企業によって高額のエクスプロイトが売買されていることの具体的な証拠はありますか?その場合、どのような価格でありますか(バグバウンティプログラムなどを除外し、私が見た この記事 ですが、私は確信していません)。
「合法的に」取得したエクスプロイトに加えて、同等のエクスプロイトは「闇市場」でどれほど利用できますか?
「車はいくらで売れるの?」と尋ねるようなものです。つまり、各エクスプロイトには本質的な違いがあり、価値が劇的に変化します。さらに、選択した収益化の方法は、価値にも劇的な影響を与えます(ホワイトハット、ブラックハットなど)。一般的に、ブラックハット方式は絶対的な意味でおそらくより価値があり、それらの方式に付随する手荷物を無視することをお勧めします。 。
この記事はあなたにとって興味があるかもしれません- http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools- to-crack-your-pc-and-get-paid-six-figure-fees /
編集:私はあなたが投稿したフォーブスの記事へのそのリンクを逃したことをどういうわけか謝罪しますあなたが抱えている問題は、あなたが求めている情報が一般に公開されないことだと思います。顧客が支払う価格と一緒に購入する価格は、Vupenの最も近い守られた秘密の一部です。同じことが、このタイプの製品を扱っているほとんどすべての会社に当てはまります。
別のエクスプロイト市場の例としては、1337day [dot] comのような$ 1〜$ 7000の範囲のプライベートエクスプロイトがありますが、実際に求めているタイプのエクスプロイトは実際にはありません。
エクスプロイトは、あなたが得ることができるものとまったく同じ価値があります。 MicrosoftとGoogleは、エクスプロイトまたはパッチ、あるいはその両方の費用を発見者に直接支払うことを提案することで、市場を簡素化します。これには、トランザクション全体を公開および合法にするという追加の利点があります。あなたはそれぞれのサイトで彼らの「賞金」報酬を調べることができます。他の多くの同様の会社でも同じことが言えます。
闇市場で情報を販売することは危険なことであり、そうすることの暗黙のコストは、真の価格を計算することをはるかに困難にします。 $ 100をテーブルの下で作成しても、$ 100を無料でクリアした場合と同じくらいの価値はありません。お金をとることは、金銭的価値をはるかに上回るリスクを伴う可能性があります。
もちろん、あなたがそれのために何を得ることができるかは、誰かが情報を獲得したり保存したりすることを期待できるものに依存します。 NSA社内で同じ発見をするのにどれくらいの時間がかかりますか?知識を彼ら以外の人と共有しないことを確認することは彼らにとってどのくらいの価値がありますか?どれくらい企業がソフトウェアにパッチを適用するのに必要な情報を、路上に出さないようにして支払うのでしょうか?それは、もちろん、どれだけの節約、獲得、または喪失が予想されるかによって異なります。
その結果、ローエンドの訴訟のみからハイエンドの低い6桁まで、どこにでも到達することが期待できます。すべては、当面のケースに固有の要因に依存します。範囲は非常に広く、上記の最初の段落で述べた場合を除いて、結果は予測できない傾向があります。