Ese tipo de información o servicio no es ilegal, venderlo tampoco lo sería si estuviera ofreciendo un paquete de seguridad. Sin embargo, si está tratando de hacer esto de alguna manera nefasta, podría ser responsable de que su producto posiblemente se use como arma y que los tribunales demuestren que esa era su intención (comenzando con esta pregunta en Quora). Si está tratando de entrar en algún tipo de negocio de venta de exploits de 0 días, también podría ser considerado responsable si está ofreciendo exploits no reportados.
Finalmente, estaría vendiendo exploits que ya existen en la mayoría de los casos. Las vulnerabilidades más recientes generalmente vienen con una prueba de explotación de concepto para la vulnerabilidad. Por ejemplo: Exploits Database By Offensive Security ofrece muchos exploits, así como los scripts / código para ejecutar el exploit. Por lo tanto, es posible que su producto no tenga mucho que ofrecer fuera de lo que ya está disponible gratuitamente.
Herramientas como software de prueba de penetración, seguridad de prueba de lápiz | Metasploit también está disponible de forma gratuita y tiene una ventaja enorme sobre lo que quieras probar y hacer por el tiempo que lleva. Además, existen muchas herramientas para todas estas ‘cosas de seguridad’ que ya son integrales.
- ¿Qué quieres vender a China?
- ¿Qué necesitas hacer como principiante para vender artículos en Amazon?
- ¿Qué tan importante es la visualización del embudo de ventas en su elección de CRM?
- ¿Es realmente necesario comenzar su carrera haciendo un trabajo de ventas si desea continuar en un dominio de marketing?
- ¿Cuál es la captura de Dunkin Donut de vender una bebida grande a un precio un poco más alto que una bebida mediana?
Si estás tratando de vender herramientas para atacar a alguien y no estás en alza, estás destinado a la cárcel. Los kits de explotación no son herramientas de prueba de penetración. Son kits para desplegar cargas útiles para la explotación de software y sistemas con fines nefastos.
También estás destinado a mucho peor que esto, ya que no eres una persona de seguridad que encuentra estas hazañas, solo estás cobrando a las personas que lo hicieron. Por lo tanto, sus posibilidades de empleo después de la prisión serían muy bajas. Ninguna compañía confiará en una persona de TI procesada que vendió kits de exploits a personas para trabajos nefastos bajo el pretexto de que eran herramientas de seguridad legítimas.
Antes de entrar en algo de esto, tomaría una larga lectura aquí:
Ley de Organizaciones Corruptas e Influentes de Racketeer
Raqueta (crimen)
Entonces debería pensar seriamente si el servicio que está tratando de ofrecer es en realidad si está tratando de sacar provecho de un delito. Organízate alrededor de eso y haz que otros participen y ahora eres procesado bajo la ley RICO.
Happy Hacking 🙂