En Russie, le marché a commencé à travailler pour la vente des “lacunes” dans le logiciel

Comme le “Kommersant”, la Russie a gagné le premier échange, sur lequel les développeurs et les pirates vont vendre des vulnérabilités dans les logiciels populaires tels que Adobe Flash, Windows, Tor, iOS et d’autres. La société, fondée par un ancien employé de Service fédéral de surveillance financière, a l’intention de revendre les informations aux organes de l’Etat , les entreprises dans le domaine de la sécurité de l’information et, selon les sources, “b”, les services secrets. Le coût de certaines des lacunes dans le logiciel peut être jusqu’à 500 000 $.

Une équipe d’anciens hackers et développeurs lancé à expocod.com bourse russe pour l’achat de vulnérabilités dans les logiciels populaires (PO). Par exemple, selon les informations sur le site pour un exploit (un programme qui utilise une vulnérabilité dans le logiciel pour effectuer une attaque sur un système informatique) en compagnie Adobe Flash est prêt à payer 55 000 $. Et les vulnérabilités dans les différents navigateurs peuvent être vendus le site pour 35-60000 $., Trou à Tor anonymizer peut être acheté pour 80 000 $. et dans les systèmes d’exploitation Windows, OS X, Linux et autres-pour mille $ 35- $ 80. Revendre acheté exploits Expocod vont à des organismes gouvernementaux et des entreprises dans le domaine de la sécurité de l’information (iS), selon le FAQ.

Fondateur Andrew Expocod Shorohov, qui est associé à “b”, indique que précédemment travaillé dans le renseignement financier dans la gestion des enquêtes financières Rosfinmonitoring, où il est spécialisé notamment enquêter sur la criminalité de haute technologie. “Je suis le seul propriétaire Expocod et le bénéficiaire final de ce projet, certains investisseurs, il n’y a pas de secret, par tous les moyens d’investir dans le développement du projet I”, - dit M. Shorohov. Selon lui, en Expocod équipe comprend d’anciens pirates qui sont passés à “côté plus léger”, et des experts de l’industrie de la sécurité de l’information. L’activité principale de la société est la vente d’exploits. En outre, la société prévoit de rechercher et de développer la vulnérabilité, ainsi que de travailler pour développer son logiciel avec un ensemble de testirovochnyh exploits qui permettent d’évaluer le degré de protection à tout système informatique. “Par exemple, nous serons en mesure de tester pour la banque vulnérabilités ABS ou la mesure dans laquelle toute entreprise de défense est vulnérable aux menaces extérieures”, - a déclaré M. Shorohov. Il fait valoir que l’accord préliminaire sur un tel test a déjà été réalisé avec l’une des banques russes dans le top 10. “Son existence à vouloir montrer que les chercheurs de la vulnérabilité peuvent gagner non seulement la rupture à travers divers objets, mais aussi en donnant leurs œuvres dans la sécurité,” - dit-il.

À la fin du chiffre d’affaires Expocod année des acquisitions d’exploits de développeurs et les pirates autour de 100-120 millions., Le paiement se fera par virement bancaire ou Bitcoins, dit Andrew Shorohov. Revendre acheté Expocod entend société basée à IB qui exploite nécessaire pour effectuer des tests de pénétration, ainsi que les organismes d’État. “Nous nous réservons le droit de choisir qui et quoi vendre - il est une question d’éthique et de réputation Bien sûr, certains combattants pour l’indépendance de la Somalie, la Corée du Nord, ou de régimes similaires nous vendons exploits ne sera pas, et tout le reste -. Pourquoi pas?” - dit M. Shorohov. Deux compagnon “b” familier avec le projet disent que le FSB a communiqué avec Expocod sur l’acquisition possible d’exploits. Le FSB n’a pas répondu à la demande “b”. Andrew Shorohov note que l’utilisation d’organismes gouvernementaux exploits - une “nécessité dans le monde d’aujourd’hui pour défendre ses intérêts stratégiques dans le domaine de la sécurité de l’information.” Informer les fournisseurs au sujet des vulnérabilités dans leur logiciel Expocod pas de plans. Cependant, il souligne que la recherche et la divulgation des vulnérabilités dans le logiciel (payant ou gratuit) ne sont pas illégales. “Ne pas confondre les pirates qui utilisent la vulnérabilité dans la pratique, avec des chercheurs qui sont engagés dans les vulnérabilités théoriques”, - dit Andrey Shorohov.

Les plus célèbres sites du monde pour l’achat exploits sont Zerodium, Zeronomicon, Zero Day Initiative, et Absolute Zero-Day Exploit de Mitnick change, créé par un ancien pirate et le courant expert en sécurité de l’information Kevin Mitnick. Zerodium en Novembre ici à 2015 a publié un ensemble au prix pour lequel la société acquiert les exploits, et sur certains points, ils dépassent les prix Expocod.

Donc, pour les vulnérabilités dans Android et Windows Phone la société est prête à payer jusqu’à 100 000 $, et iOS -. Pour 500 000 $ Cette information a été rendu public en Septembre 2013 que la NSA a travaillé avec le prédécesseur Zerodium -. Société Vupen.

“Dans le monde d’environ deux douzaines de grands sites pour l’achat d’exploits exploits de travail Toujours pour les navigateurs modernes -. L’un des plus chers, le coût peut atteindre 500 $ kDa global exploit - est une sorte d’armes numériques, et l’acheteur final peut poursuivre des objectifs différents,” - Wallarm déclare le PDG Ivan Novikov. Il a noté qu’il existe des marchés juridiques et noir pour la vente de vulnérabilités. “Dans le premier cas, l’achat du courtier exploiter conclut un contrat avec le promoteur, qui précise toutes ses données,” - dit-il. Fondateur Zeronomicon Alfonso de Gregorio dit “Kommersant” que les structures du secteur public “trous” dans un certain logiciel peuvent être d’une importance stratégique, et parce que lorsque la valeur des transactions avec eux des informations sur les vulnérabilités peut être des millions d’euros. “Les volumes de ce marché sont en croissance rapide Nous attendons devront suivre les activités et le développement d’un site dans la Fédération de Russie concernant la coopération - .. Probablement pas” - “Kommersant” a rapporté par le groupe de pirates “Anonymous international”.

PDG ALT Linux Alexei Smirnov note que les activités des entreprises pour l’achat et la vente d’exploiter est pas contraire à la loi. “De nombreux fournisseurs, par exemple, acheter également des informations de vulnérabilité, et non seulement dans leur logiciel Par exemple, les entreprises anti-virus achètent pour mettre à jour leurs bases de données antivirus Dans le domaine de l’achat et la vente des exploits tout simplement de grands risques -.. Est susceptible d’abuser de l’information”, - dit M. Smirnov.

1 June 2016

Facebook commence à suivre les utilisateurs non enregistrés
En Russie, pour la première fois créé un système d’exploitation sécurisé

• Google va payer pour les erreurs relevées sur leurs sites Web »»»
Google Inc paiera pour les utilisateurs d’Internet qui a découvert la vulnérabilité sur son site.
• Le système d'exploitation est conçu pour une spéciale organismes gouvernementaux de but - le directeur général de "NPO RusBITeh" »»»
Association de production scientifique "technologies de l'information de base russe"
• Kaspersky a déclaré aux journalistes du journal The New York Times, a déclaré que les programmeurs et les pirates russes, le plus habile dans le monde »»»
Les fabricants de logiciels russes, ainsi que cyberhawks de la Russie sont les plus qualifiés dans le monde.
• En Russie, pour la première fois créé un système d'exploitation sécurisé »»»
Sur la mise en place de la version russe du système d'exploitation (OS) Tizen a été annoncé le 2 Juin.
• Nationale de Russie OS basé sur Linux sera en 2011 »»»
Pour l’année prochaine en Russie devrait apparaître système d’exploitation national, qui seront recommandés pour une utilisation dans des organismes gouvernementaux.


Copyright © 2009
IT-Новости / Dig-Life