Бизнес модель
Писать патчи для open source софта, с их помощью внося туда баги. Затем, писать эксплоиты для своих же багов и продавать их от 3000$ за тушку.
Реализация
Конечно, мэйнтэйнеры OSS не дураки и очевидные ошибки в релиз не пропустят. В связи с этим необходимо чёткое планирование коммитов багонесущих патчей, с тем, чтобы один баг размазать по десятку патчей, внося к тому же изрядную долю избыточности, для страховки на случай, если какие-то патчи не попадут в stable-версию. Плюс к тому, в мире OSS открыты технологии тестирования любого серьезного продукта, будь то kernel или firefox, так что обход системы тестирования также не является непреодолимой задачей.
Проблемы
1. Для программиста, пишущего бизнес-приложения, исходники OSS и документация к ним являются типичным кошмаром не совместимым с жизнью (по своему опыту знаю...), так что на роль исполнителей придётся брать самих авторов OSS или активных членов комьюнити с опытом ковыряния в завалах дефайнов от 3х лет, что само по себе может быть проблемой. Думаю, что не каждый пейсатель согласится портить лелеемый им самим софт…
Решение:
С другой стороны, достаточно найти одного человека понимающего архитектуру жертвы и солидарного с вами в гнусных планах, а ничего не подозревающих кодировщиков полностью официально нанять на соответствующих форумах, они даже рады будут, что кто-то им платит за то, что они и так делают. :)
2. Высокий риск того, что а) ваши баги наложатся на чужие и перестанут работать б) мэйнтейнеры не закоммитят важные части «вредоносного» кода. В обоих случаях инвестиции оказываются под угрозой.
Решение:
Что-то конкретное посоветовать сложно, тут всё зависит от того, кто будет проектировать баг, какую долю redundancy заложит в патчи, как проследит за процессом коммита. В любом случае, тут всё зависит только от стартапщиков.
Деньги
Если принять среднюю стоимость чистого 0day RCE для браузера (не будем показывать пальцем) за 3k$, а число проданных копий, пока уязвимость остаётся в кулуарах, может достигнуть двадцати-тридцати легко посчитать выручку в среднем 75000$, из которых, по умозрительным прикидкам, 5k at max идёт на программистов, а с архитектором (если это не вы сами) — как договоритесь.
В целом бизнес похож на высокорентабельный и не сильно уголовный.
Prerequisites
1. Деньги. Чем больше — тем лучше, но 5k$ — имхо за глаза.
2. Связи. Обязательно нужно точно знать кто у вас сплоит купит, желательно несколько человек знать персонально.
3. Время. Готовность рискнуть деньгами, заморозив их на время проекта, которое опять же разное, в зависимости от release-cycle'а продукта.
«Бизнес должен быть социально ответственным!»
Трудно переоценить влияние подобных групп, буде они появятся, для мира OSS, ибо сама возможность описанного мной сценария — бомба с часовым механизмом для самых основ коллективной разработки софта, и упаси Гейтс, чтобы она не сработала на нашем веку…
