Уязвимость программного обеспечения стала продаваться на российской бирже – «Коммерсантъ»

В России заработала первая биржа, на которой будет продаваться уязвимость в популярном программном обеспечении, пишет «Коммерсантъ». Проект запущен командой бывших хакеров по адресу expocod.com. Так, стоимость эксплойта — программы, использующей уязвимость в ПО для проведения атаки, — в Adobe Flash может составить $55 000, в браузерах — $35 000–60 000, в анонимайзере Tor — $80 000, а в операционных системах Windows, OS X, Linux — $35 000-$80 000.

Основатель Expocod Андрей Шорохов рассказал, что ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга. Там он специализировался на расследовании высокотехнологичных преступлений. Шорохов - единственный владелец Expocod и его конечный бенефициар. В проект он вкладывает личные средства. В команду Expocod входят бывшие хакеры, перешедшие на «светлую сторону», а также специалисты из ИБ-индустрии.

Задача проекта – купля-продажа эксплойтов, но уязвимости Expocod намерен искать и самостоятельно. Команда Шорохова разрабатывает ПО с набором тестировочных эксплойтов для оценки защиты IT-систем. «Например, мы сможем протестировать на наличие уязвимостей банковские АБС или то, насколько какое-либо оборонное предприятие уязвимо для внешних угроз»,— говорит он.

Купленные эксплойты организатор биржи намерен продавать госструктурам и компаниям в сфере информационной безопасности. «Мы оставляем за собой право выбирать, кому и что продавать,— это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным — почему бы и нет», - говорит Шорохов. По его словам, предварительные договоренности о тестировании достигнуты с одним из российских банков из топ-10. Два знакомых с проектом собеседника издания утверждают, что сотрудники ФСБ общались с Expocod с вопросом о возможности приобретения эксплойтов. В службе на запрос не ответили.

К концу года оборот Expocod от покупки эксплойтов должен составить около 100-120 млн руб., планирует Шорохов. Оплата будет проводиться банковскими переводами или биткоинами.

В мире известны такие площадки по торговле эксплойтами, как Zerodium, Zeronomicon, Zero Day Initiative и Mitnick's Absolute Zero-Day Exploit Exchange, созданная бывшим хакером, а сейчас ИБ-специалистом Кевином Митником. За уязвимости в Android и Windows Phone в ноябре 2015 г. Zerodium готова была платить до $100 000, а в iOS — до $500 000. В сентябре 2013 г. сообщалось, что с предшественником этой компании – Vupen – сотрудничали представители АНБ.