Хакеры открыли свою биржу Первая в России площадка по продаже «дырок» в ПО начала работу
Хакеры готовы поделиться своими разработками с теми, кто отвечает за безопасность информации. В России открылась специальная биржа, где можно приобрести данные об уязвимости программного обеспечения.
Площадка Expocod стала первой в РФ биржей по покупке уязвимостей в программном обеспечении, пишет «Коммерсантъ». Здесь разработчики и хакеры будут продавать найденные ими бреши в популярном ПО, таком как Windows, Adobe Flash, Tor, iOS и др. Основными покупателями могут стать компании сферы информационной безопасности, госструктуры и даже спецслужбы. Стоимость некоторых из таких биржевых товаров может достигать $500 тыс.
Согласно информации на сайте, за эксплойт (программу, использующую уязвимости в ПО для проведения атаки на вычислительную систему) в Adobe Flash компания готова заплатить $55 тыс, а уязвимости в различных браузерах могут быть проданы площадке за $35-60 тыс. «Дыра» в анонимайзере Tor может быть куплена за $80 тыс, а в операционных системах Windows, OS X, Linux и других – за $35-$80 тыс. Купив эти продукты у хакеров, Expocod сможет их выгодно перепродать клиентам.
Основателем Expocod, по данным «Ъ», является бывший сотрудник финансовой разведки Росфинмониторинга Андрей Шорохов, который не скрывает тот факт, что является единственным владельцем и инвестором новой биржи.
По словам Шорохова, в команду Expocod входят бывшие хакеры, которые перешли на «светлую сторону», а также специалисты по информационной безопасности. «Своим существованием хотим показать, что исследователи уязвимостей могут зарабатывать не только благодаря взлому тех или иных объектов, но и отдав свои труды на безопасность», – говорит он.
Помимо купли-продажи эксплойтов, компания намерена самостоятельно искать и разрабатывать уязвимости, а также создавать собственное ПО. При этом она оставляет за собой право выбирать, кому и что продавать, ведь это вопрос этики и репутации. «Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным – почему бы и нет», – отметил Шорохов.
Покупателями могут стать даже спецслужбы: по данным источников «Ъ», сотрудники ФСБ уже общались с Expocod на тему возможного приобретения эксплойтов.
Покупка-продажа программных «дырок» не является чем-то новым в мировой практике. Сейчас в мире насчитывается около 20 крупных площадок по покупке эксплойтов, среди которых наиболее известны Zerodium, Zeronomicon, Zero Day Initiative и Mitnick's Absolute Zero-Day Exploit Exchange, созданная известным бывшим хакером Кевином Митником.
Zerodium в ноябре 2015 года обнародовала установленные у себя цены, за которые компания приобретает эксплойты, и по некоторым пунктам они превышают расценки Expocod. Так, за уязвимости в Android и Windows Phone компания готова заплатить до $100 тыс, а в iOS – до $500 тыс. С предшественником Zerodium – компанией Vupen в 2013 году сотрудничало Агентство национальной безопасности (АНБ) США.
Для структур из госсектора «дыры» в определенном ПО могут иметь стратегическое значение, а потому при сделках с ними стоимость информации об уязвимостях может составлять миллионы долларов, считают эксперты, отмечая, что объемы этого рынка растут очень быстро.
Москва, Александр Шуша
© 2016, РИА «Новый День»