SassyOS2の日記: 脆弱性実証コード、どこよりも高く買います! 14
日記 by
SassyOS2
つい最近もVista と IE7 の賞金付きバグ探しコンテストのストーリーがありましたが、このほどNetragard, L.L.C.が未パッチの脆弱性の実証コードをほかの会社よりも高く買い上げるというExploit Acquisition Programを始めたそうです。実証コードを買い上げるための必須条件が10ほど列挙されていますが、あくまで「悪意や秘密機能を含まず」「一度も公表されたことがない」ものが条件なのだそうです。残念なことに相場は書かれていませんが、偶然見つけた未知のセキュリティホールの実証コード、皆さんでしたらいくらで買い取ってほしいでしょうか?
他店より一円でも安い場合は (スコア:4, おもしろおかしい)
オークションにでもすればいいのに。
Re:他店より一円でも安い場合は (スコア:1)
良い商売かもね (スコア:4, すばらしい洞察)
環境で動かそうとすると検証にすごく手間がかかるんだよね。
苦労して書いたExploitコードで開発元に脆弱性の報告をしても有難がられる
どころか煙たがられるだけだし、BUGTRAQ等に自己顕示欲任せに脆弱性情報を
公開しても公開自体が法律に引っかかる国も増えてきました。
情報の行き場がなくなると当然地下に潜るわけで、今はPCも普及してきて
カモが増えてきた事もあって、近年一番の脆弱性情報の買取先はマルウェア
業界らしいですからね。
この会社がそうなのかは知らないですけど、マルウェア業界に行っていた情報を
横流しにせよ開発にフィードバックして正常な状態に戻すように情報の流れを
変えようとするのは褒められるべき事です。
ただ上記の商売が成り立つのは考えにくく
最初は情報をマルウェア業界に買ってもらって開発側が対処せざる得ない状態に
させて開発側にも善意を装って情報を買ってもらうとかいうマッチポンプモデルを
邪推してしまうんですがw
「どこよりも高く売ります」? (スコア:2, すばらしい洞察)
あるいは業界随一の脆弱性発見率かしら
Re:「どこよりも高く売ります」? (スコア:2, おもしろおかしい)
>たった1つの判断ミスで、安定した仕事が確保される
まさに商売ですね。
Re:「どこよりも高く売ります」? (スコア:1, 興味深い)
販売先の確保ができているのかもしれませんね。
さて、それはどこでしょう?
文化的違い? (スコア:0, すばらしい洞察)
文化の違いなんでしょうか。あっちのこういうのの方がちょっと理解しかねる感じなのですが。
Re:文化的違い? (スコア:0)
Re:文化的違い? (スコア:0)
Re:文化的違い? (スコア:0)
#もっと、わかりにくい。
Re:文化的違い? (スコア:0)
そしてエロサイトに売ると (スコア:0)
↓
無限ループ
秘密機能を含まない脆弱性? (スコア:0)
ってどういうことなのでしょう?たいていの脆弱性はこれを含まないものでしょうか?
Re:秘密機能を含まない脆弱性? (スコア:2, 参考になる)
脆弱性そのものではなく実証コードだからでしょ。
もらったコードを自力で解析する気がなくて右から左でどこかへ渡すかまたは公開するタイミングだけをコントロールするつもりだってことで。