web-dev-qa-db-ja.com

ゼロデイを販売するための手順は何ですか?

私は最近この質問を読みました 「ゼロデイを燃やす」とはどういう意味ですか?

その後、Googleで調査し、いくつかの記事を読みました。「 ゼロデイのための買い物 」は、それだけのビジネスをしている会社を持っている人がいるので、特に興味深いものでした。

誰がそれらを購入するかについてのヒントが与えられ、私は実際に ZerodiumRaytheon が言及されていることを発見しました。もちろん政府も同様です。

しかし、ゼロデイの販売の背後にある手順は何ですか? Zerodiumと同様に、送信する必要があると書かれています。しかし、それは私が思うにちょっと不思議なことかもしれません、特にあなたがそれに専念している実際の会社があるときにあなたが「小さな男」であるならば。

5
0siris

この回答は、ゼロデイをZerodiumのようなリセラーに販売するプロセスにのみ触れており、推測にすぎません。

ゼロジウムから [〜#〜] faq [〜#〜]

ZERODIUMからの買収提案を受け入れた後はどうなりますか?

研究を評価して承認した後、ZERODIUMは最終的な買収提案と署名の同意書を送信します。

契約に署名することにより、あなたは研究をZERODIUMに売却し、関連するすべての知的財産権を私たちに譲渡することに同意します。つまり、研究はZERODIUMの独占的財産となり、あなたは研究の再販、共有、または他の個人または団体への報告を許可されています。

このチャート でZerodiumの提出プロセスを見ることができます。

本文中でイタリック体で示した部分が重要です。研究者は、研究を事前に文書化する必要があります。1 次に、それについて知的財産権を主張します。それはかなり 簡単 で、たとえば米国では安い(35ドルかかると思います)。

Zerodiumは、知的財産を譲渡しない限り、コードを再利用することはできません。ただし、すでに指摘したように、Zerodiumがこれを行わないことを証明するのはかなり困難です。これは、Zerodiumとそのバイヤーが、あらゆる商取引を偽装するためにあらゆることを行うためです。おそらく、Zerodiumがエクスプロイトへの関心を主張した後、研究者がプレオファーを送信する前に契約が署名されたと思われますが、それは私の側の推測にすぎません。

結論として、そのトランザクションの多くは-他の場所に0dayブローカーを置くすべてのトランザクションと同様に-信頼に依存しています。もしあなたそもそも彼らを信用しないなら2 それらに販売しないでください。しかし、あなたが実用的なエクスプロイトを持っているなら、私の推測は彼らがあなたをだますことはないと思います。 1つの実用的なエクスプロイト(Zerodiumが販売しようとしている製品)を開発できる人物は、おそらくさらに開発できるためです。したがって、Zerodiumの観点からは、関係を確立すること、したがってこの人を信頼することは経済的に賢明です。


1これについては100%確実ではありませんが、登録されていなくても、あなたの作品に知的財産が残っていると思います。リンクされたPDFからの引用:「登録されていないIPを使用すると、自動的に作成物に対する法的権利が与えられます。登録されていないIPの形式には、著作権、未登録の設計権、コモンローの商標、機密情報および企業秘密のデータベース権利保護が含まれます」

2 IMHO:倫理上の理由から、すべきではありません

6
Tom K.