Бывший сотрудник Росфинмониторинга запустил проект Expocod – первую в России биржу, через которую можно продавать софтверные уязвимости. По данным издания «Коммерсант», Expocod намеревается перепродавать полученную информацию госструктурам, компаниям в сфере информационной безопасности и спецслужбам.
Основатель Expocod — Андрей Шорохов, рассказал журналистам, что ранее он работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался в частности на расследовании высокотехнологичных преступлений. Помимо Шорохова команду проекта входят бывшие хакеры, которые перешли на «светлую сторону», а также специалисты по информационной безопасности.
«Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я», — объясняет Шорохов.
Помимо купли-продажи эксплоитов Expocod собирается самостоятельно искать и разрабатывать уязвимости, а также работает над созданием собственного набора для пентестов, который позволит оценивать степень защищенности IT-систем.
Планируется, что к концу 2016 года оборот компании составит порядка 100-120 млн рублей. По словам Андрея Шорохов, оплата будет проводиться банковскими переводами или биткоинами.
Компания оставляет за собой право решать, что потом делать с купленными уязвимостями:
«Мы оставляем за собой право выбирать, кому и что продавать,— это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплоиты не будем, а всем остальным — почему бы и нет», — рассказал Шорохов «Коммерсанту».
Собственные источники «Коммерсанта» сообщают, что представители ФСБ уже связывались с руководством Expocod по вопросам возможного сотрудничества и приобретения уязвимостей. От официальных комментариев в ФСБ, тем не менее, отказались.
Сообщать о проблемах производителям уязвимого ПО Expocod, разумеется, не планирует, ведь это моментально обесценит приобретенный эксплоит. Противозаконными такие действия не являются, что наглядно доказывают своим примером такие известные брокеры уязвимостей, как Zerodium, Zero Day Initiative или Vupen в прошлом. Шорохов отдельно заметил, что «не стоит путать хакеров, которые применяют уязвимости на практике, с исследователями, которые занимаются теоретической стороной уязвимостей».
С прайсом Expocod можно ознакомиться на официальном сайте. К примеру, за уязвимости в Acrobat и Flash (RCE, побег из песочницы) ресурс готов заплатить до 55 000 долларов. За LPE-уязвимость в iOS до 80 000 долларов, а за LPE-уязвимость в Windows до 55 000 долларов. Самыми дорогостоящими проблемами числятся уже упомянутые LPE-уязвимости в iOS, а также баги в Tor (RCE и побег из песочницы), — за них компания так же готов предложить до 80 000 долларов.
Цены вполне соответствуют сегодняшним реалиям. Так, на днях на черном рынке как раз появился LPE-эксплоит нулевого дня для Windows, и продавец оценивает его в 95 000 долларов. Также интересующиеся могут сравнить прайс Expocod с "тарифами" компании Zerodium.
Фото: Fotolia