По адресу expocod.com запустилась российская биржа по покупке уязвимостей в софте. Перепродавать купленные эксплойты Expocod будет госструктурам и компаниям в сфере информационной безопасности. На это обратил внимание «Коммерсантъ». Источники издания утверждают, что с компанией общались сотрудники ФСБ на тему возможного приобретения эксплойтов.
Основатель и единственный владелец Expocod — Андрей Шорохов, по собственным словам, ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга. Он говорит, что в команду Expocod входят бывшие хакеры и специалисты по ИБ.
Кроме покупки и продажи эксплойтов компания хочет сама искать уязвимости и работает над созданием своего ПО с набором тестировочных эксплойтов для оценки защищенности IT-систем. Сообщать о найденных уязвимостях компаниям-производителям софта Expocod не планирует.
Шорохов подчёркивает, что поиск и разглашение уязвимостей в софте не являются противозаконными, даже если оно платное. Это подтверждает гендиректор ALT Linux Алексей Смирнов.
"Биржа" эксплоитов "Экспокод", по сути является монетизацией знания уязвимостей нулевого дня (неизвестных другим участникам рынка), однако в случае "Экспокода" уместнее говорить о "скупке", а не о "бирже". Монетизация такого проекта осложняется тем, что у любой уязвимости, по сути, может быть только один покупатель - сервис, страдающий от неё (если речь не идёт, конечно, о каком-то широкораспространённом свободном ПО). При отказе этого единственного покупателя от сделки с "Экспокодом" раскрывать уязвимость нулевого дня посторонним, получая с этого финансовую выгоду, может быть опасно из-за юридических рисков. В частности, статья 272 УК РФ ("Неправомерный доступ к компьютерной информации) предусматривает отдельную ответственность за преступления совершенные группой лиц по предварительному сговору.
Добавить 5 комментариев
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс РФ] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, —
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, —
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, —
наказываются лишением свободы на срок до семи лет.
>Это подтверждает гендиректор ALT Linux Алексей Смирнов
Казалось бы, причём тут он.
А еще можно выдвинуть версию, что на этой площадке ФСБ закупает само у себя, ну и может кого-то ловят на этот honeypot.
Ну то есть, принёс ты эксплоит про «Яндекс». Экспокод его тык-мык, тык-мык — «Яндексу» продать не смог.
Продал каким-нибудь хакерам (которые себя назвали «ГруСуперПуперСекурити», конечно). Хакеры попытались ломануть «Яндекс» — не получилось, поймали, арестовали. (У «Яндекса» в этом смысле есть успехи: http://www.kommersant.ru/doc/2884110 )
Спросили: «А как же это вы? Кто-то же вас научил как это делать?» — «Да, Экспокод!»
«О как хорошо!», радуется ФСБ и едет за основателем «Экспокода». И спрашивает: друг мой ситный, а кто ж тебе слил такую ценную информацию? Ну и экспокод натурально рассказывает. Всё что знает
Результат? Простейший: или все идут на скамью подсудимых, или за вычетом «Экспокода», который за особые заслуги продолжит свою деятельность по выявлению умных дураков на благо Родины.
Как часто бывает, ничего нового: попытка локализации доказавших коммерческий успех vupen security и zero day initiative.
Ну и попытка быть громче, чем zorsecurity.ru
Но полутизер-реклама в рунет-СМИ аки «ШОК! ФСБ интересуется…» неплохая, уважуха.