Soso, da beschwert sich auf SecurityFocus der Herr Miller, dass er beim Verkauf seiner Zero-Day Vulnerabilites über den Tisch gezogen wurde. Da hat ihm eine Regierungsbehörde 10.000 USD angeboten, an eine andere Behörde wäre er die Lücke für 80.000 USD losgeworden, wenn sie für eine bestimmte Linux-Variante funktioniert hätte und bekommen hat er am Ende 50.000 USD. Und glaubt jetzt, er hätte doch mehr verlangen können und ist beschissen worden. Eigentlich will ich das gar nicht kommentieren.
Interessant scheint mir eher, wie sich der Markt entwickelt. Die öffentlichen Angebote von Firmen wie das iDefense Vulnerability Contributor Program, das jetzt zu Verisign gehört oder die 3Com Zero-Day Initiative, ursprünglich von TippingPoint ins Leben gerufen, sind ja allgemein bekannt. Allerdings ist die Bezahlung nicht so üppig. Mehr Geld haben ganz offensichtlich die Behörden und dort wohl die Geheimdienste zur Verfügung.
Und da stellt sich vor allem die Frage, wie findet man den passenden Käufer? eBay fällt ja leider aus, die Versteigern keine Sicherheitslücken. Ich muss da wohl mal drüber nachdenken.