Российские разработчики создали биржу по продаже уязвимостей в ПО

После получения информации о багах в ПО, биржа будет перепродавать их компаниям, занимающимся информационной безопасностью и заинтересованным госструктурам. По предварительным оценкам, за некоторые бреши в программном обеспечении компании готовы платить очень большие суммы вплоть до 500 тысяч долларов.

На сегодняшний день к самым уязвимым продуктам можно отнести Adobe Flash, десктопную операционную систему Windows, мобильную платформу iOS и пр. Примечательно, что в последнее время особое внимание уделяется анонимному браузеру Tor, который недавно удалось взломать ФБР.

Биржа заработала на сайте expocod.com. Там даже появились первые расценки. Например, если какой-то хакер предоставит информацию о новой уязвимости в Adobe Flash, то он сможет получить до 55 тысяч долларов. Дыры в браузерах в зависимости от их критичности могут стоить минимум 35 тысяч долларов. Больше всего смогут заработать те хакеры, которые обнаружили уязвимость в анонимном браузере Tor. За нее биржа готова платить 80 тысяч долларов. Во столько же оценивается информация о критической уязвимости в любой из десктопных операционных систем. За менее серьезные дыры организаторы биржи готовы платить от 35 000 долларов.

Журналистам «Коммерсанта» удалось пообщаться с основателем биржи Expocod Андреем Шороховым. Он рассказал, что ранее его специализацией было проведение расследований по поводу совершения высокотехнологичных преступлений. Шорохов отметил, что он является единственным владельцем биржи. Никаких инвестиций для ее открытия или работы он не привлекал. Проект создавался исключительно за его собственные средства. Команду специалистов он собирал из хакеров, которые решили перейти на «белую» сторону и посвятить свои умения работе во благо. Также несколько специалистов из нынешней команды ранее были заняты в сфере интернет-безопасности.

Кроме осуществления сделок по купле-продаже информации об уязвимостях, специалисты, занятые в проекте, будут самостоятельно работать над обнаружением серьезных дыр в программном обеспечении. Также в планах компании создать собственное ПО, с помощью которого можно будет оценивать, насколько хорошо защищена та или иная система. Ее могут применять как банковские учреждения, для того чтобы оценить, насколько их сервисы защищены от внешних угроз. Допускается даже использование этой программы для оценки безопасности оборонных систем.

По предварительной информации, Шорохов уже заключил договор о тестировании этого ПО на системе одного из крупнейших российских банков.

Создатель биржи по купле-продаже эксплойтов надеется, что его площадка вызовет большой интерес у хакеров и разработчиков, что позволит уже к концу года довести общий оборот от сделок до 100 млн рублей. Биржа готова расплачиваться со своими продавцами с помощью денежных банковских переводов или перечисления биткоинов. При этом Шорохов отметил, что компания будет сама решать, кому продавать полученную от хакеров информацию об уязвимостях. Это должно подогреть интерес и увеличить стоимость такой информации.

На сегодняшний день уже вполне успешно функционирует несколько площадок по приобретению эксплойтов. Среди самых известных из них можно отметить Mitnick's Absolute Zero-Day Exploit Exchange, Zeronomicon, Zerodium. Расценки у них намного выше, чем предлагают россияне. Но учитывая то, что в России Expocod является первой такой компанией, то расценки у них вполне приличные.