Как стало известно "Ъ", в России заработала первая биржа, на которой разработчики и хакеры будут продавать уязвимости в популярном программном обеспечении, таком как Adobe Flash, Windows, Tor, iOS и др. Компания, основанная бывшим сотрудником Росфинмониторинга, намерена перепродавать информацию госструктурам, компаниям в сфере информационной безопасности и, утверждают источники "Ъ", спецслужбам. Стоимость некоторых брешей в программном обеспечении может достигать $500 тыс.
Команда из бывших хакеров и разработчиков запустила по адресу expocod.com российскую биржу по покупке уязвимостей в популярном программном обеспечении (ПО). Например, согласно информации на сайте, за эксплойт (программу, использующую уязвимости в ПО для проведения атаки на вычислительную систему) в Adobe Flash компания готова заплатить $55 тыс., а уязвимости в различных браузерах могут быть проданы площадке за $35-60 тыс., дыра в анонимайзере Tor может быть куплена за $80 тыс., а в операционных системах Windows, OS X, Linux и др.— за $35-$80 тыс. Перепродавать купленные эксплойты Expocod намерена государственным структурам и компаниям в сфере информационной безопасности (ИБ), говорится в FAQ.
Основатель Expocod Андрей Шорохов, с которым связался "Ъ", утверждает, что ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался в том числе на расследовании высокотехнологичных преступлений. "Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я",— утверждает господин Шорохов. По его словам, в команду Expocod входят бывшие хакеры, которые перешли на "светлую сторону", и специалисты из ИБ-индустрии. Основная деятельность компании заключается в купле-продаже эксплойтов. Кроме этого, компания намерена самостоятельно искать и разрабатывать уязвимости, а также работает над созданием своего ПО с набором тестировочных эксплойтов, которое позволит оценивать степень защищенности какой-либо IT-системы. "Например, мы сможем протестировать на наличие уязвимостей банковские АБС или то, насколько какое-либо оборонное предприятие уязвимо для внешних угроз",— рассказал господин Шорохов. Он утверждает, что предварительные договоренности о таком тестировании уже достигнуты с одним из российских банков, входящих в топ-10. "Своим существованием хотим показать, что исследователи уязвимостей могут зарабатывать не только благодаря взлому тех или иных объектов, но и отдав свои труды на безопасность",— говорит он.
К концу года оборот Expocod от сделок по приобретению эксплойтов у разработчиков и хакеров составит около 100-120 млн руб., оплата будет проводиться банковскими переводами или биткоинами, говорит Андрей Шорохов. Перепродавать купленное Expocod намерена ИБ-компаниям, которым эксплойты нужны для проведения тестов на проникновение, а также госорганам. "Мы оставляем за собой право выбирать, кому и что продавать,— это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным — почему бы и нет",— рассуждает господин Шорохов. Два собеседника "Ъ", знакомые с проектом, утверждают, что сотрудники ФСБ общались с Expocod на тему возможного приобретения эксплойтов. В ФСБ не ответили на запрос "Ъ". Андрей Шорохов отмечает, что использование госорганами эксплойтов — это "необходимость в современном мире для отстаивания своих стратегических интересов в области информационной безопасности". Информировать производителей ПО об уязвимостях в их софте в планы Expocod не входит. При этом он особо отмечает, что поиск и разглашение уязвимостей в софте (платное или бесплатное) не являются противозаконными. "Не надо путать хакеров, которые применяют уязвимости на практике, с исследователями, которые занимаются теоретической стороной уязвимостей",— говорит Андрей Шорохов.
Наиболее известными мировыми площадками по покупке эксплойтов являются Zerodium, Zeronomicon, Zero Day Initiative и Mitnick's Absolute Zero-Day Exploit Exchange, созданная бывшим хакером и ныне ИБ-специалистом Кевином Митником. Zerodium в ноябре 2015 года обнародовала установленные у себя цены, за которые компания приобретает эксплойты, и по некоторым пунктам они превышают расценки Expocod.
Так, за уязвимости в Android и Windows Phone компания готова заплатить до $100 тыс., а в iOS — до $500 тыс. При этом в сентябре 2013 года была обнародована информация о том, что АНБ сотрудничало с предшественником Zerodium — компанией Vupen.
"В мире около двух десятков крупных площадок по покупке эксплойтов. Стабильно работающие эксплойты под современные браузеры — одни из самых дорогих, их стоимость может достигать $500 тыс. В целом эксплойт — это некое цифровое оружие, и конечный покупатель может преследовать разные цели",— говорит гендиректор Wallarm Иван Новиков. Он отмечает, что существуют легальный и черный рынки по продаже уязвимостей. "В первом случае при покупке эксплойта брокер заключает с разработчиком договор, в котором указаны все его данные",— говорит он. Основатель Zeronomicon Альфонсо де Грегорио рассказал "Ъ", что для структур из госсектора "дыры" в определенном ПО могут иметь стратегическое значение, а потому при сделках с ними стоимость информации об уязвимостях может составлять миллионы евро. "Объемы этого рынка быстро растут. Мы с интересом будем следить за деятельностью и развитием такой площадки в РФ. Насчет сотрудничества — скорее всего нет",— сообщили "Ъ" в хакерской группировке "Анонимный интернационал".
Гендиректор ALT Linux Алексей Смирнов отмечает, что деятельность компаний по покупке-продаже эксплойтов закону не противоречит. "Многие вендоры, например, тоже покупают информацию об уязвимостях и не только в своем софте. Например, антивирусные компании покупают ее, чтобы обновлять свои антивирусные базы. В бизнесе по покупке-продаже эксплойтов просто большие риски — есть вероятность недобросовестного использования информации",— говорит господин Смирнов.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
Комитет Госдумы по экономической политике рекомендовал нижней палате парламента принять в первом чтении законопроект о распространении действующего в Донбассе и Новороссии режима свободной экономической...
Самым популярным способом незаконного получения денежных средств с помощью поддельных документов через банки является получение кредита через подставное лицо, говорится в исследовании отечественного AI-разработчика...
Стереотип о том, что мужчинам якобы платят больше, чем женщинам, разбивается о новую реальность — эпоху самозанятых-фрилансеров. По данным экспертов одного из сервисов документооборота, в 2023 году общий годовой...
"Наблюдаемое укрепление рубля вероятно связано с активизацией продаж экспортерами валютной выручки на фоне приближения даты налоговых платежей. При этом рубль может укрепиться до уровня 91,5 за доллар,...
"Банк приносит искренние соболезнования родным и близким", - говорится в публикации. Причины смерти не называются. Скубаков, согласно данным из открытых источников, владел долей в УБРиР в размере 15,86 процента.Поделиться
Управление по контролю за иностранными активами (OFAC) США выпустило генеральную лицензию, которая позволяет до 1 ноября 2024 года проводить с попавшими под санкции российскими банками связанные с энергетикой...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
Комитет Госдумы по экономической политике рекомендовал нижней палате парламента
ПодробнееСамым популярным способом незаконного получения денежных средств с помощью
ПодробнееСтереотип о том, что мужчинам якобы платят больше, чем женщинам, разбивается о
Подробнее"Наблюдаемое укрепление рубля вероятно связано с активизацией продаж
Подробнее"Банк приносит искренние соболезнования родным и близким", - говорится в
ПодробнееУправление по контролю за иностранными активами (OFAC) США выпустило
ПодробнееЭкономика сегодня
🔷 Курс рубля будет снижаться к концу 2024 года — при этом в худшем сценарии возможен подъем доллара до 110 рублей , считают аналитики...
Подробнее Почта Банк с 26 апреля отменил комиссию и лимит на бесплатные переводы по Системе быстрых платежей (СБП) между собственными счетами в разных банках. Об этом сообщила пресс-служба кредитной организации...
Подробнее В 2024 году максимальная выплата женщинам в период беременности и после родов с учетом стажа и размера зарплаты может составить до 565 тысяч рублей, рассказал депутат Госдумы Алексей Говырин («Единая...
Подробнее 📰 Снижению ключевой ставки препятствует сохранение рисков перегрева экономики из-за высокого спроса, на этом фоне российский ВВП продолжает расти высокими темпами, рассказывает «Коммерсант» о заявлениях главы ЦБ Эльвиры Набиуллиной. Из данных регулятора следует, что, несмотря на высокие ставки, в
Подробнее Банки начали предлагать вклады с плавающей ставкой, которая зависит от ключевой ставки ЦБ РФ — хотя ставки по ним сейчас высокие, в результате вкладчик может получить не ту доходность, на которую рассчитывал, предупреждает главный аналитик финансового маркетплейса Банки Богдан Зварич. Как
Подробнее Пожилые люди в Испании получают самую щедрую пенсию в мире. Выплаты могут доходить до 3060 фунтов стерлингов – 356 000 рублей в месяц, пишет
Подробнее
Комментарии (0)