У Росії почала працювати біржа з ​​продажу “проломів” в ПО

Як стало відомо “Комерсант”, в Росії запрацювала перша біржа, на якій розробники і хакери будуть продавати уразливості в популярному програмному забезпеченні, такому як Adobe Flash, Windows, Tor, iOS і ін. Компанія, заснована колишнім співробітником Росфінмоніторингу, має намір перепродувати інформацію держструктурам , компаніям в сфері інформаційної безпеки і, стверджують джерела “Комерсант”, спецслужбам. Вартість деяких прогалин у програмному забезпеченні може досягати $ 500 тис.

Команда з колишніх хакерів і розробників запустила за адресою expocod.com російську біржу з купівлі вразливостей в популярному програмному забезпеченні (ПЗ). Наприклад, згідно з інформацією на сайті, за експлойт (програму, що використовує уразливість в ПЗ для проведення атаки на обчислювальну систему) в Adobe Flash компанія готова заплатити $ 55 тис., А уразливості в різних браузерах можуть бути продані майданчику за $ 35-60 тис., Діра в Анонімайзера Tor може бути куплена за $ 80 тис., а в операційних системах Windows, OS X, Linux и др за $ 35- $ 80 тис. Перепродавати куплені експлойти Expocod намір державним структурам і компаніям в сфері інформаційної безпеки (ІБ), говориться в FAQ.

Засновник Expocod Андрій Шорохов, з яким зв’язався “Комерсант”, стверджує, що раніше працював у фінансовій розвідці в управлінні фінансових розслідувань Росфінмоніторингу, де спеціалізувався в тому числі на розслідуванні високотехнологічних злочинів. “Я єдиний власник Expocod і кінцевий бенефіціар цього проекту, якихось таємних інвесторів тут немає, все кошти в розвиток проекту вкладаю я”, - стверджує пан Шорохов. За його словами, в команду Expocod входять колишні хакери, які перейшли на “світлу сторону”, і фахівці з ІБ-індустрії. Основна діяльність компанії полягає в купівлі-продажу експлойтів. Крім цього, компанія має намір самостійно шукати і розробляти уразливості, а також працює над створенням свого ПО з набором тестіровочного експлойтів, яке дозволить оцінювати ступінь захищеності будь-якої IT-системи. “Наприклад, ми зможемо протестувати на наявність вразливостей банківські АБС або те, наскільки якесь оборонне підприємство вразливе для зовнішніх загроз”, - розповів пан Шорохов. Він стверджує, що попередні домовленості про таке тестуванні вже досягнуті з одним з російських банків, що входять в топ-10. “Своїм існуванням хочемо показати, що дослідники вразливостей можуть заробляти не тільки завдяки злому тих чи інших об’єктів, а й віддавши свою працю на безпеку”, - говорить він.

До кінця року оборот Expocod від угод з придбання експлойтів у розробників і хакерів складе близько 100-120 млн руб., Оплата буде проводитися банківськими переказами або біткоіни, каже Андрій Шорохов. Перепродувати куплене Expocod намір ІБ-компаніям, яким експлойти потрібні для проведення тестів на проникнення, а також держорганам. “Ми залишаємо за собою право вибирати, кому і що продавати, - це питання етики та репутації. Безумовно, якимось борцям за незалежність Сомалі, КНДР або подібним їм режимам ми продавати експлойти не будемо, а всім іншим - чому б і ні” , - міркує пан Шорохов. Два співрозмовника “Комерсант”, знайомі з проектом, стверджують, що співробітники ФСБ спілкувалися з Expocod на тему можливого придбання експлойтів. У ФСБ не відповіли на запит “Комерсант”. Андрій Шорохов відзначає, що використання держорганами експлойтів - це “необхідність в сучасному світі для відстоювання своїх стратегічних інтересів у сфері інформаційної безпеки”. Інформувати виробників ПЗ про уразливість в їх софт в плани Expocod не входить. При цьому він особливо відзначає, що пошук і розголошення вразливостей в софті (платне або безкоштовне) не є протизаконними. “Не треба плутати хакерів, які застосовують уразливості на практиці, з дослідниками, які займаються теоретичною стороною вразливостей”, - говорить Андрій Шорохов.

Найбільш відомими світовими майданчиками з купівлі експлойтів є Zerodium, Zeronomicon, Zero Day Initiative і Mitnick’s Absolute Zero-Day Exploit Exchange, створена колишнім хакером і нині ІБ-фахівцем Кевіном Митником. Zerodium в листопаді 2015 року оприлюднила встановлені у себе ціни, за які компанія набуває експлойти, і за деякими пунктами вони перевищують розцінки Expocod.

Так, за уразливості в Android і Windows Phone компанія готова заплатити до $ 100 тис., А в iOS - до $ 500 тис. При цьому у вересні 2013 року було оприлюднено інформацію про те, що АНБ співпрацювало з попередником Zerodium - компанією Vupen.

“У світі близько двох десятків великих майданчиків з купівлі експлойтів. Стабільно працюють експлойти під сучасні браузери - одні з найдорожчих, їх вартість може досягати $ 500 тис. У цілому експлойт - це якесь цифрове зброю, і кінцевий покупець може переслідувати різні цілі”, - говорить гендиректор Wallarm Іван Новіков. Він зазначає, що існують легальний і чорний ринки з продажу вразливостей. “У першому випадку при покупці експлойта брокер укладає з розробником договір, в якому вказані всі його дані”, - говорить він. Засновник Zeronomicon Альфонсо де Грегоріо розповів “Комерсант”, що для структур з держсектора “дірки” в певному ПО можуть мати стратегічне значення, а тому при угодах з ними вартість інформації про уразливість може становити мільйони євро. “Обсяги цього ринку швидко ростуть. Ми з інтересом будемо стежити за діяльністю та розвитком такого майданчика в РФ. Щодо співпраці - швидше за все немає”, - повідомили “Комерсант” в хакерській угрупованню “Анонімний інтернаціонал”.

Гендиректор ALT Linux Олексій Смирнов зазначає, що діяльність компаній з купівлі-продажу експлойтів закону не суперечить. “Багато вендори, наприклад, теж купують інформацію про уразливість і не тільки в своєму софт. Наприклад, антивірусні компанії купують її, щоб оновлювати свої антивірусні бази. У бізнесі з купівлі-продажу експлойтів просто великі ризики - є ймовірність несумлінного використання інформації”, - каже пан Смирнов.

1 June 2016

Facebook починає стежити за незареєстрованими користувачами
У Росії вперше створили захищену операційну систему

• Google заплатить за виявлені на своїх сайтах помилки »»»
Корпорація Google буде платити інтернет-користувачам, які виявили уразливості на її сайтах.
• Експерт по безпеці Microsoft переходить в Mozilla! »»»
Колишній фахівець з питань безпеки Microsoft Уїндоу Снайдер (Window Snyder) переходить на роботу в співтовариство Mozilla.
• Китайська влада воліють Windows 7 через бекдорів в Windows 8 і Windows 8.1 »»»
Як повідомляють місцеві ЗМІ, муніципальна влада Китаю має намір відмовитися від використання операційних систем Windows 8 і Windows 8.
• Windows 7 рекомендують перевірити на сумісність »»»
З 22 жовтня в продажу з'явиться операційна система Windows 7.
• У Росії вперше створили захищену операційну систему »»»
Про створення російської версії операційної системи (ОС) Tizen було оголошено 2 червня.


Copyright © 2009
IT-Новости / Dig-Life