- Регистрация
- 18.02.16
- Сообщения
- 445
- Реакции
- 414
- Депозит
- 0
- Покупок
-
39
- Продаж
-
0
Обратите внимание, что пользователь заблокирован на форуме. Не рекомендуется проводить сделки. Если пользователь уже обманул вас каким-либо образом, обратитесь в наш арбитраж, дабы мы могли по возможности урегулировать возникшую у вас проблему.
Бывший сотрудник Росфинмониторинга запустил проект Expocod – первую в России биржу, через которую можно продавать софтверные уязвимости. По данным издания «Коммерсант», Expocod намеревается перепродавать полученную информацию госструктурам, компаниям в сфере информационной безопасности и спецслужбам.
Основатель Expocod — Андрей Шорохов, рассказал журналистам, что ранее он работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга, где специализировался в частности на расследовании высокотехнологичных преступлений. Помимо Шолохова в команду проекта входят бывшие хакеры, которые перешли на «светлую сторону», а также специалисты по информационной безопасности.
Помимо купли-продажи эксплоитов Expocod собирается самостоятельно искать и разрабатывать уязвимости, а также работает над созданием собственного набора для пентестов, который позволит оценивать степень защищенности IT-систем.«Я единственный владелец Expocod и конечный бенефициар этого проекта, каких-то тайных инвесторов тут нет, все средства в развитие проекта вкладываю я», — объясняет Шолохов.
Планируется, что к концу 2016 года оборот компании составит порядка 100-120 млн рублей. По словам Андрея Шолохова, оплата будет проводиться банковскими переводами или биткоинами.
Компания оставляет за собой право решать, что потом делать с купленными уязвимостями:
Собственные источники «Коммерсанта» сообщают, что представители ФСБ уже связывались с руководством Expocod по вопросам возможного сотрудничества и приобретения уязвимостей. От официальных комментариев в ФСБ, тем не менее, отказались.«Мы оставляем за собой право выбирать, кому и что продавать,— это вопрос этики и репутации. Безусловно, каким-то борцам за независимость Сомали, КНДР или подобным им режимам мы продавать эксплоиты не будем, а всем остальным — почему бы и нет», — рассказал Шолохов «Коммерсанту».
Сообщать о проблемах производителям уязвимого ПО Expocod, разумеется, не планирует, ведь это моментально обесценит приобретенный эксплоит. Противозаконными такие действия не являются, что наглядно доказывают своим примером такие известные брокеры уязвимостей, как Zerodium, Zero Day Initiative или Vupen в прошлом. Шолохов отдельно заметил, что «не стоит путать хакеров, которые применяют уязвимости на практике, с исследователями, которые занимаются теоретической стороной уязвимостей».
С прайсом Expocod можно ознакомиться на официальном сайте. К примеру, за уязвимости в Acrobat и Flash (RCE, побег из песочницы) ресурс готов заплатить до 55 000 долларов. За LPE-уязвимость в iOS до 80 000 долларов, а за LPE-уязвимость в Windows до 55 000 долларов. Самыми дорогостоящими проблемами числятся уже упомянутые LPE-уязвимости в iOS, а также баги в Tor (RCE и побег из песочницы), — за них компания так же готов предложить до 80 000 долларов.
Цены вполне соответствуют сегодняшним реалиям. Так, на днях на черном рынке как раз появился LPE-эксплоит нулевого дня для Windows, и продавец оценивает его в 95 000 долларов. Также интересующиеся могут сравнить прайс Expocod с «тарифами» компании Zerodium.
Профиль пользователя не подтвержден! Работа с ним может быть не безопасна!
Для подтверждения нужно быть зарегистрированным больше года или приобрести повышение прав.
Для подтверждения нужно быть зарегистрированным больше года или приобрести повышение прав.