Exploit-Informationen zu verkaufen

Bug Hunting – auf der Jagd nach Software-Fehlern, Ruhm und Geld

Seite: 2/2

Firma zum Thema

Alternative Geschäftsmodelle

Unternehmen, die Sicherheitslücken zur Eigennutzung (Security-Scanner) aufkaufen oder an die Produkt-Hersteller im vereinbarten Rahmen weiterleiten sind die eine Seite der Medaille. Die Kehrseite sind dagegen Cyberkriminelle, die ebenfalls an derartigen Sicherheitslücken interessiert sind. Denn ein guter Exploit erlaubt u.U. den Zugriff auf eine Vielzahl von nützlichen und wertvollen Daten.

Jedoch sollte man an dieser Stelle berücksichtigen, dass hier der Begriff „Cyberkriminelle“ stellvertretend für eine größere Gruppe agiert. Es ist nicht allein der klassische Spam-Versender, der auf E-Mail-Kontaktdaten aus ist, sondern möglicherweise auch ein Wirtschaftsunternehmen oder eine staatliche Organisation.

Eine Sicherheitslücke, die den Zugriff auf Wirtschafts- und Forschungsdaten oder gar militärische Informationen erlaubt, ist für diese Klientel höchst willkommen. Diese Gruppe ist aber auch willens und in der Lage, größere Summen für eine „interessante“ Sicherheitslücke zu bezahlen. Sollte Geld allein nicht genügen, so mag ggf. die Aussicht den Ausschlag geben, dem eigenen Land einen patriotischen Dienst zu erweisen.

Ein großes Problem beim Handel mit Sicherheitslücken besteht darin, dass Anonymität und Vertrauen die Basis für eine Zusammenarbeit zwischen Bug-Hunter und „Kunden“ bilden. Zwei Zustände, die sich widersprechen – denn wie kann man Vertrauen zu einer anonymen Person haben?

Fehlt das Vertrauen, dann muss die Anonymität reduziert werden. Wird diese zu sehr reduziert, ist man nicht nur für den Geschäftspartner sichtbar, sondern auch für andere. Ein Blog-Beitrag von Trend Micro belegt, dass auch Cyberkriminelle im Web ihre Spuren hinterlassen.

Wenn ein Geschäftspartner auffliegt ist u.U. die Enttarnung des Compagnons nicht mehr fern. Eine Anklage nach §202a (Ausspähen von Daten) oder §202c (Vorbereiten des Ausspähens und Abfangens von Daten) ist dann durchaus wahrscheinlich.

Zusammenarbeit

Letztendlich ist Sicherheit ein Geschäft und Sicherheitslücken sind Handelsgüter im Portefeuille. Programm-Hersteller investieren sehr viel Geld in eigene Qualitätsmaßnahmen, Code-Überwachung und weitere Security-Maßnahmen. Ein Obolus an „freie“ Bug-Hunter für deren Arbeit sollte sich im Sicherheits-Budget unterbringen lassen (analog Google/Chrome).

Allerdings ist es auch nachvollziehbar, wenn ein Unternehmen lieber auf die Arbeit der eigenen Mitarbeiter vertraut. Denn es mag ja schwarze Schafe geben, die eine Sicherheitslücke mehrfach verkaufen. In einem solchen Fall hat das Unternehmen für eine nicht exklusive Information bezahlt und muss schnellstmöglich den Bug fixen, bevor er ausgenutzt wird.

Die Jagd auf Security-Bugs ist eine vergleichsweise junge Disziplin innerhalb der IT, die aber in den letzten Jahren enorme gewachsen ist und Erfolge verbuchen kann. Was sich aber über die Jahre noch nicht entwickelt hat, ist eine förderliche Form der Co-Operation! Dass es heutzutage auch „Hacker“ gibt, die den Schutzgedanken in den Vordergrund stellen, mag manchen Verantwortlichen noch ungewohnt vorkommen.

Vielleicht sorgt aber auch ein Sponsor-Ansatz wie der von Microsoft für eine Annäherung der Parteien. Es bleibt zu hoffen, dass man sich baldmöglichst auf einen Code of Conduct einigt, der alle Beteiligten zufriedenstellt und Cyberkriminellen den Zugriff auf neue Sicherheitslücken (weitestgehend) entzieht. Bis es so weit ist, sollte man aber als Anwender drauf achten, die verfügbaren Security-Patche umgehend zu installieren!

(ID:2051067)