Имеющий бреши да услышит

Уязвимости в популярном софте будут продаваться на бирже

Как стало известно "Ъ", в России заработала первая биржа, на которой разработчики и хакеры будут продавать уязвимости в популярном программном обеспечении, таком как Adobe Flash, Windows, Tor, iOS и др. Компания, основанная бывшим сотрудником Росфинмониторинга, намерена перепродавать информацию госструктурам, компаниям в сфере информационной безопасности и, утверждают источники "Ъ", спецслужбам. Стоимость некоторых брешей в программном обеспечении может достигать $500 тыс.

Фото: Andre Penner, AP

Команда из бывших хакеров и разработчиков запустила по адресу expocod.com российскую биржу по покупке уязвимостей в популярном программном обеспечении (ПО). Например, согласно информации на сайте, за эксплойт (программу, использующую уязвимости в ПО для проведения атаки на вычислительную систему) в Adobe Flash компания готова заплатить $55 тыс., а уязвимости в различных браузерах могут быть проданы площадке за $35-60 тыс., дыра в анонимайзере Tor может быть куплена за $80 тыс., а в операционных системах Windows, OS X, Linux и др.— за $35-$80 тыс. Перепродавать купленные эксплойты Expocod намерена государственным структурам и компаниям в сфере информационной безопасности (ИБ), говорится в FAQ.

Основатель Expocod Андрей Шорохов, с которым связался "Ъ", утверждает, что ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался в том числе на расследовании высокотехнологичных преступлений. "Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я",— утверждает господин Шорохов. По его словам, в команду Expocod входят бывшие хакеры, которые перешли на "светлую сторону", и специалисты из ИБ-индустрии. Основная деятельность компании заключается в купле-продаже эксплойтов. Кроме этого, компания намерена самостоятельно искать и разрабатывать уязвимости, а также работает над созданием своего ПО с набором тестировочных эксплойтов, которое позволит оценивать степень защищенности какой-либо IT-системы. "Например, мы сможем протестировать на наличие уязвимостей банковские АБС или то, насколько какое-либо оборонное предприятие уязвимо для внешних угроз",— рассказал господин Шорохов. Он утверждает, что предварительные договоренности о таком тестировании уже достигнуты с одним из российских банков, входящих в топ-10. "Своим существованием хотим показать, что исследователи уязвимостей могут зарабатывать не только благодаря взлому тех или иных объектов, но и отдав свои труды на безопасность",— говорит он.

К концу года оборот Expocod от сделок по приобретению эксплойтов у разработчиков и хакеров составит около 100-120 млн руб., оплата будет проводиться банковскими переводами или биткоинами, говорит Андрей Шорохов. Перепродавать купленное Expocod намерена ИБ-компаниям, которым эксплойты нужны для проведения тестов на проникновение, а также госорганам. "Мы оставляем за собой право выбирать, кому и что продавать,— это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплойты не будем, а всем остальным — почему бы и нет",— рассуждает господин Шорохов. Два собеседника "Ъ", знакомые с проектом, утверждают, что сотрудники ФСБ общались с Expocod на тему возможного приобретения эксплойтов. В ФСБ не ответили на запрос "Ъ". Андрей Шорохов отмечает, что использование госорганами эксплойтов — это "необходимость в современном мире для отстаивания своих стратегических интересов в области информационной безопасности". Информировать производителей ПО об уязвимостях в их софте в планы Expocod не входит. При этом он особо отмечает, что поиск и разглашение уязвимостей в софте (платное или бесплатное) не являются противозаконными. "Не надо путать хакеров, которые применяют уязвимости на практике, с исследователями, которые занимаются теоретической стороной уязвимостей",— говорит Андрей Шорохов.

Наиболее известными мировыми площадками по покупке эксплойтов являются Zerodium, Zeronomicon, Zero Day Initiative и Mitnick's Absolute Zero-Day Exploit Exchange, созданная бывшим хакером и ныне ИБ-специалистом Кевином Митником. Zerodium в ноябре 2015 года обнародовала установленные у себя цены, за которые компания приобретает эксплойты, и по некоторым пунктам они превышают расценки Expocod.

Так, за уязвимости в Android и Windows Phone компания готова заплатить до $100 тыс., а в iOS — до $500 тыс. При этом в сентябре 2013 года была обнародована информация о том, что АНБ сотрудничало с предшественником Zerodium — компанией Vupen.

"В мире около двух десятков крупных площадок по покупке эксплойтов. Стабильно работающие эксплойты под современные браузеры — одни из самых дорогих, их стоимость может достигать $500 тыс. В целом эксплойт — это некое цифровое оружие, и конечный покупатель может преследовать разные цели",— говорит гендиректор Wallarm Иван Новиков. Он отмечает, что существуют легальный и черный рынки по продаже уязвимостей. "В первом случае при покупке эксплойта брокер заключает с разработчиком договор, в котором указаны все его данные",— говорит он. Основатель Zeronomicon Альфонсо де Грегорио рассказал "Ъ", что для структур из госсектора "дыры" в определенном ПО могут иметь стратегическое значение, а потому при сделках с ними стоимость информации об уязвимостях может составлять миллионы евро. "Объемы этого рынка быстро растут. Мы с интересом будем следить за деятельностью и развитием такой площадки в РФ. Насчет сотрудничества — скорее всего нет",— сообщили "Ъ" в хакерской группировке "Анонимный интернационал".

Гендиректор ALT Linux Алексей Смирнов отмечает, что деятельность компаний по покупке-продаже эксплойтов закону не противоречит. "Многие вендоры, например, тоже покупают информацию об уязвимостях и не только в своем софте. Например, антивирусные компании покупают ее, чтобы обновлять свои антивирусные базы. В бизнесе по покупке-продаже эксплойтов просто большие риски — есть вероятность недобросовестного использования информации",— говорит господин Смирнов.

Мария Коломыченко

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...