Venta de Vulnerabilidades en software

Hoy en día, muchos informáticos con conocimientos sobre vulnerabilidades, explotación de las mismas, e ingeniería inversa en general, se pueden ganar un buen sueldo con la venta de lo que descubren de forma legal, vendiéndolo a empresas que tienen clientes que proteger, y reportándolo a la empresa propietaria del software afectado o a los encargados de hacer ese software.

Actualmente, de forma legal conozco 2 y aunque habrá más, son las más conocidas. También hay otra que no es muy "legal" que se pueda decir, ya que vende vulnerabilidades a los que pongan el precio sin importar quien sea, pero con los datos del comprador en teoría, no directamente a la empresa que lo reportará a la afectada como debería ser para evitar problemas.

Os voy a hablar un poco de las 3:

ZeroDayInitiative(ZDI)
Pertenece a 3com-TippingPoint y pagan bastante bien. Es una de las 2 empresas que conozco, y la verdad, parece muy buena. Ellos te proporcionan una lista de las aplicaciones y fabricantes que seguramente acepten vulnerabilidades, y a partir de ahí, dependiendo del tipo de vulnerabilidad, uso extendido y demás de la aplicacion te pagan más o te pagan menos.
Ejemplos conocidos:

Adobe Pdf Reader 8.1.2 Local and Remote Code Execution across Web Browser --> 4000$

Adobe Flash Player 9.0.115.0 and earlier DeclareFunction2 Invalid Object Use Vulnerability --> 5500$

Sacado de infolancer - Vallejo.cc

iDefense Labs
La otra empresa que parece bastante buena y pertenece a Verisign, y que recientemente hizo algunos cambios por lo que pagará más en algunas vulnerabilidades importantes porque creo que quitaron concursos que hacían antes. Ésto me llegó al mail ya que ando registrado ahí desde hace tiempo. No tengo ninguna suma conocida, pero en la misma web que en ZDI, la de Vallejo, comenta que una vulnerabilidad con ejecución de código en algún software, de momento desconocido, le han llegado a pagar 8000$.

Wabisabilabi
Desde hace pocos días, no me aparece las que se venden actualmente, no muestra ninguna, así que no se si seguirá en funcionamiento si quiera...Ya bastante info hay de este en las noticias de internet.
Os dejo una lista de lo que se ha pagado por algunas vulns:

PostgreSQL 8.3.1 con PoC, Remota(No especifica de que tipo) --> 800 Euros
Safari 3.1 con Poc, Remota(Visitando un link seguramente) --> 300 Euros
IBM DB2 9.1.0 sin Poc, Remota --> 1050 Euros
SAP GUI v 620 con Poc x 3 Vulnerabilidades --> 5100 Euros/Vulnerabilidad

Ahi teneis lo que se ha pagado y por cuales.
http://www.wslabi.com/wabisabilabi/initAssignedBid.do?

Luego hay otras que ofrecen menos dinero y son menos conocidas, o directamente las ventas ilegales, que ahí si que te pueden pagar grandes cantidades. Pero merece la pena hacer eso y que te miren mal, pues no.

Espero que os sirva, y el día que consiga vender una, os daré mejor mi opinión, si es que algú día lo consigo, que cada bug que consigo o ya ha sido encontrado o es flojillo y no lo compran porque no les merece la pena.

Vendiendo Vulnerabilidades

Hace relativamente poco tiempo parecia que iba a causar furor una web de este tipo y que se iba a acabar el ser buena persona y reportarlos gratuitamente como se ha hecho la mayoria de veces, pero una web Wabisabilabi en la que ponian los fallos y el dinero que vale, lo mas gracioso que era de preveer es que la gente que estaba en contra de esto, han empezado a ver la web para que posteen uno y buscar el bug y publicarlo antes de que se venda, y a mi parecer hacen bien que lo hagan gratuitamente, es mas yo estare atento alguna que otra vez para ver si puedo hacer algo, porque asi no se trafica tanto con la informacion jeje, y bueno la verdad que lo venden muy caro para el sotfware que es, asi que vendan lo que puedan pero eso si en poco tiempo o ya no servira.


PD: Para los que publican los bugs gratuitamente una enhorabuena a todos, eso si no habria muchos si se programase mejor y se vigilase desde el principio eso :P