В России появилась биржа по покупке уязвимостей в ПО

1 июня 2016 года

Команда из бывших хакеров и разработчиков запустила по адресу expocod.com российскую биржу по покупке уязвимостей в популярном программном обеспечении, пишет газета «Коммерсант».

Согласно информации, опубликованной на сайте, за информацию об уязвимости в Adobe Flash компания готова заплатить 55 тысяч долларов, уязвимости в различных браузерах могут быть проданы площадке за 35-60 тысяч, а если речь идет об анонимном браузере Tor, цена может составить 80 тысяч долларов. Перепродавать купленную информацию Expocod намерена государственным структурам и компаниям в сфере информационной безопасности (ИБ).

Основатель Expocod Андрей Шорохов сообщил изданию, что раньше работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался на расследовании высокотехнологичных преступлений.

«Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я», – заявил Шорохов, отметив при этом, что в команду проекта входят бывшие хакеры, которые перешли на «светлую сторону», а также специалисты из ИБ-индустрии.

Помимо купли-продажи уязвимостей компания намерена самостоятельно искать их, а также работает над созданием своего ПО, которое позволит оценивать степень защищенности какой-либо IT-системы. По словам Шорохова, компания уже достигла предварительных договоренностей о тестировании этого ПО на системах одного из крупных российских банков.

«Своим существованием хотим показать, что исследователи уязвимостей могут зарабатывать не только благодаря взлому тех или иных объектов, но и отдав свои труды на безопасность», – отметил он. По мнению Шорохова, к концу года оборот Expocod от сделок по приобретению уязвимостей составит около 100-120 миллионов рублей, а оплата будет проводиться банковскими переводами или биткоинами.

Перепродавать уязвимости биржа намерена как ИБ-компаниям, так и госорганам. При этом Шорохов подчеркнул, что компания оставляет за собой право выбирать, кому и что продавать, поскольку этот вопрос касается этики и репутации.

«Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным – почему бы и нет», – сказал Шорохов. При этом два собеседника «Коммерсанта», знакомые с проектом, сообщили, что сотрудники ФСБ общались с Expocod на тему возможного приобретения уязвимостей.

Создатель Expocod подчеркивает, что поиск и разглашение уязвимостей в софте не являются противозаконными. Такого же мнения придерживается гендиректор ALT Linux Алексей Смирнов.

«Многие вендоры, например, тоже покупают информацию об уязвимостях, и не только в своем софте. Например, антивирусные компании покупают ее, чтобы обновлять свои антивирусные базы», – отметил Смирнов.

Напомним, что на минувшей неделе стало известно о планах Минкомсвязи привлечь хакеров для поиска уязвимостей в софте, внесенном в реестр отечественного ПО. По словам представителей ведомства, такая возможность обсуждается с отраслевым сообществом.