По адресу expocod.com запустилась российская биржа по покупке уязвимостей в софте. Перепродавать купленные эксплойты Expocod будет госструктурам и компаниям в сфере информационной безопасности. На это обратил внимание «Коммерсантъ». Источники издания утверждают, что с компанией общались сотрудники ФСБ на тему возможного приобретения эксплойтов.
Основатель и единственный владелец Expocod — Андрей Шорохов, по собственным словам, ранее работал в финансовой разведке в управлении финансовых расследований Росфинмониторинга. Он говорит, что в команду Expocod входят бывшие хакеры и специалисты по ИБ.
Кроме покупки и продажи эксплойтов компания хочет сама искать уязвимости и работает над созданием своего ПО с набором тестировочных эксплойтов для оценки защищенности IT-систем. Сообщать о найденных уязвимостях компаниям-производителям софта Expocod не планирует.
Шорохов подчёркивает, что поиск и разглашение уязвимостей в софте не являются противозаконными, даже если оно платное. Это подтверждает гендиректор ALT Linux Алексей Смирнов.
«Биржа» эксплоитов «Экспокод», по сути является монетизацией знания уязвимостей нулевого дня (неизвестных другим участникам рынка), однако в случае «Экспокода» уместнее говорить о «скупке», а не о «бирже». Монетизация такого проекта осложняется тем, что у любой уязвимости, по сути, может быть только один покупатель — сервис, страдающий от неё (если речь не идёт, конечно, о каком-то широкораспространённом свободном ПО). При отказе этого единственного покупателя от сделки с «Экспокодом» раскрывать уязвимость нулевого дня посторонним, получая с этого финансовую выгоду, может быть опасно из-за юридических рисков. В частности, статья 272 УК РФ («Неправомерный доступ к компьютерной информации) предусматривает отдельную ответственность за преступления совершенные группой лиц по предварительному сговору.