«Коммерсантъ» докладывает о появлении в России первой биржи для продажи уязвимостей, найденных разработчиками и хакерами в популярном ПО вроде Adobe Flash, Windows, Tor и iOS.

Во главе инициативы стоит бывший сотрудник Росфинмониторинга и специалист в области расследования высокотехнологичных преступлений Андрей Шорохов, собравший вокруг себя бывших хакеров и разработчиков ПО. Новообразованная компания Expocod собирается перепродавать информацию о наличии уязвимостей государственным организациям и ИБ-компаниям. Как утверждают источники, стоимость некоторых критических уязвимостей может составить до $500 тыс. В среднем, заявили в компании, за эксплойт в Adobe Flash в Expocod готовы выплатить $55 тыс. Баги в браузерах могут стоить $35–60 тыс., брешь в Tor — до $80 тыс. Уязвимости различной степени критичности в популярных ОС Windows, OS X и Linux можно будет продать за $35–80 тыс. Выплаты будут производиться банковским переводом или биткойнами.

Шорохов, как он сам утверждает, является единственным владельцем и инвестором Expocod. В его команде «белые» хакеры и ИБ-эксперты. Создатель биржи заверил, что купля-продажа эксплойтов и информации об уязвимостях будет использоваться в том числе для собственной системы пентестинга. «Например, мы сможем протестировать на наличие уязвимостей банковские АБС или то, насколько какое-либо оборонное предприятие уязвимо для внешних угроз», — уточнил Шорохов, добавив, что один из крупных российских банков может быть заинтересован в таком продукте.

Как надеется глава Expocod, к концу года оборот биржи должен составить около 100–120 млн рублей. Клиентами компании, по словам Шорохова, будут госорганы и ИБ-компании с целью проверки ИТ-систем на проникновение, а не репрессивные государства и спецслужбы, как утверждают некоторые источники. Впрочем, руководство Expocod оставляет за собой право решать, кому продать ту или иную уязвимость, основываясь на своих представлениях «об этике и репутации».

В Expocod не собираются сообщать об уязвимостях вендорам и разработчикам и убеждены, что деятельность по поиску и сбыту эксплойтов не является противозаконной, так как хакеры занимаются теоретическим исследованием уязвимостей. С Шороховым согласны и коллеги по цеху: многие вендоры, например, учреждают программы Bug Bounty. Но в бизнесе купли-продажи эксплойтов всегда существует риск недобросовестного использования информации об уязвимости. Например, СМИ выяснили, что прародительница известного брокера эксплойтов Zerodium — компания Vupen продавала эксплойты АНБ. Многие помнят долгую тяжбу Apple и ФБР из-за требования взломать смартфон убитого при задержании террориста Сайеда Фарука. ФБР купило эксплойт у неизвестной организации за неназванную сумму и, похоже, не собирается делиться информацией с Apple, вызывая гнев ИБ-сообщества и общественности.

По данным экспертов, рынок эксплойтов растет, притом как на «светлой», так и на «темной» стороне. Для госструктур уязвимости в критически важном ПО вполне могут стоить миллионы евро. В компании Zerodium, которая с 2015 года работает на рынке торговли эксплойтами, готовы платить хакерам больше, чем в Expocod: расценки на некоторые уязвимости в Android и Windows Phone достигают $100 тыс., а в iOS — до $500 тыс. В прошлом году Zerodium выплатила миллион долларов хакерам, нашедшим уязвимость в iOS 9.

Категории: Главное, Уязвимости, Хакеры