Laut Magazin Forbes hat eine regierungsnahe US-Organisation für einen sog. Zero-Day-Exploit für das iPhone- bzw. iPad-Betriebssystem von Apple 250.000 US-Dollar gezahlt.

Der Hacker „the Grugq“ hatte schon mehrmals als Vermittler agiert, um solchen Schadcode, der noch nicht bekannt ist, an Interessierte zu verkaufen. Im letzten Jahr habe er eine Million US-Dollar mit dieser Art von Vermittlung gemacht.

Die folgende Tabelle stellt grob die Preise für Schadcode von aktuellen nicht bekannten Sicherheitslücken dar. Er bezieht sich auf einen exklusiven Verkauf und auf die aktuellste Version des Herstellers.

Die Preise werden einerseits durch die Verbreitung der Software und andererseits durch die Schwierigkeit, um die Software zu knacken, bestimmt. Auf die Frage, wer solche Summen bezahlt, antwortet „the Grugq“, hauptsächlich die westlichen Regierungen, speziell USA. Die Einschränkung auf diesen Bereich der nördlichen Hemisphäre ist für den Hacker hauptsächlich eine Frage des Überlebens.

Selling a bug to the Russian mafia guarantees it will be dead in no time, and they pay very little money. Russia is flooded with criminals. They monetize exploits in the most brutal and mediocre way possible, and they cheat each other heavily.

China habe zu viele Hacker, die auch nur die Sicherheitslücken an die chinesische Regierung verkaufen. Das drücke den Preis, so „the Grugq“.

Personen, die solche Zero-Day-Exploits verkaufen, werden auch als „Händler des Todes“ bezeichnet. Wenn eine solche Schadsoftware in die Hände von Gruppen gelangt, die damit Schaden an einer kritischen Infrastruktur anrichten wollen, sind massive Probleme vorprogrammiert.

Chris Soghoian, Datenschutz-Aktivist auf einer Kaspersky-Tagung:

Security researchers should not be selling zero-days to middle man firms…These firms are cowboys and if we do nothing to stop them, they will drag the entire security industry into a world of pain.

Artikel von forbes.com,23.03.2012: Shopping For Zero-Days: A Price List For Hackers‘ Secret Software Exploits