Первая российская биржа уязвимостей распространённых программных продуктов намерена перепродавать данные госструктурам и ИБ-компаниям
Заработала первая российская биржа, на которой разработчики и хакеры будут продавать уязвимости в популярном программном обеспечении – она запущена на сайте expocod.com, пишет «Коммерсант».
Компания основана бывшим сотрудником Росфинмониторинга Андреем Шороховым, сообщает издание. Она намерена перепродавать информацию госструктурам и компаниям в сфере информационной безопасности, говорится на сайте.
Также на сайте сообщаетсяя, что за программу, демонстрирующую уязвимость в Adobe Flash, компания готова заплатить 55 тысяч долларов, а уязвимости в различных браузерах могут быть проданы за 35-60 тысяч долларов. Дыра в анонимайзере Tor стоит до 80 тысяч долларов, а в операционных системах Windows, OS X, Linux и др.— 35-80 тысяч долларов.
Основатель Expocod Андрей Шорохов утверждает, что ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался в том числе на расследовании высокотехнологичных преступлений, пишет «Коммерсант».
Кроме купли-продажи обнаруженных уязвимостей компания намерена искать их самостоятельно, а также работает над созданием своего ПО для оценки степени защищенности какой-либо IT-системы.
Новая компания сразу заявила о о претензиях на деятельность в международном масштабе. «Мы оставляем за собой право выбирать, кому и что продавать, — это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты (код, демонстрирующий уязвимость. -ред.) не будем, а всем остальным — почему бы и нет», — говорит Шорохов. По его словам, информировать об уязвимостях производителей ПО Expocod не намерена.
Два собеседника издания, знакомые с проектом, утверждают, что сотрудники ФСБ общались с Expocod на тему возможного приобретения эксплойтов. В ФСБ на запрос прокомментировать информацию не ответили.
Наиболее известными мировыми площадками по покупке эксплойтов являются Zerodium, Zeronomicon, Zero Day Initiative и Mitnick’s Absolute Zero-Day Exploit Exchange, созданная бывшим хакером и ныне ИБ-специалистом Кевином Митником. Zerodium в ноябре 2015 года обнародовала установленные у себя цены, за которые компания приобретает эксплойты, и по некоторым пунктам они превышают расценки Expocod, пишет «Коммерсант».