Prämien für Softwarelücken

Die verkaufte Hintertür

Von Uli Ries

Für manchen Zeitgenossen riecht es schwer nach Erpressung: IT-Sicherheitsexperten finden Lücken in der Software eines großen Herstellers und verkaufen ihr Wissen meistbietend. Kommt das höchste Gebot nicht vom betroffenen Hersteller, läuft dieser Gefahr, dass die Lücke im Cyber-Untergrund zum Exploit heranreift und Teil der nächsten großen Malware-Plage wird.

Unternehmen wie Adobe oder Microsoft lehnen Zahlungen rundheraus ab – wenngleich die offizielle Sprachregelung zumindest bei Microsoft längst nicht mehr so absolut klingt wie noch vor wenigen Monaten. Die Großen bevorzugen eher die „koordinierte Veröffentlichung“: Der Bugfinder meldet seine Entdeckung nur an den betroffenen Hersteller und wartet mit der Veröffentlichung, bis ein Update das Loch stopft.

Einige unabhängige IT-Sicherheitsforscher lehnen diese Gratis-Informationsweitergabe jedoch rundheraus ab; der Ruf nach „no more free bugs“ wird auch in gemäßigten Kreisen immer lauter. Zumal Softwarehersteller ja ohnehin in Tools und Analysen investieren, um ihren Sourcecode möglichst fehlerfrei zu halten.

Für ein paar Dollar mehr

Manche Hersteller, darunter Google, die Firefox-Macher der Mozilla Foundation oder der IT-Sicherheitshersteller Barracuda Networks, zahlen bis zu 3100 US$ pro aufgedeckter Schwachstelle. Von diesen so genannten Bug Bounties profitieren Hacker wie der Chinese Wu Shi, der durch raffinierte Techniken bisher über hundert Bugs in diversen Anwendungen entdeckt hat, u.a. in Google Chrome, so dass er vom Suchmaschinengiganten bezahlt wurde. Wenngleich nicht sehr gut, wie der Hacker in einem Interview angab: Die Zusammenarbeit mit der Zero Day Initiative (ZDI) sei deutlich lohnender.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Am aktivsten ist Wu Shi jedoch, wenn es ums Rütteln an der Sicherheit von Apples Browser Safari geht: 35 Schwachstellen deckte der Experte allein 2010 in Safari auf. Entlohnung durch Apple: 0 Euro, aller Wahrscheinlichkeit nach. Apple selbst gibt keine Auskunft, ob man für Bugs bezahlt. Aber angesichts der restriktiven Informationspolitik erscheint dies sehr unwahrscheinlich.

Bürojob Lückenspürhund

Die von Wu Shi präferierte ZDI kauft Bugs an, um die IT-Sicherheitsprodukte der Firmenmutter TippingPoint frühzeitig gegen Angriffe, die Schwachstellen missbrauchen, wappnen zu können. Tipping Point erspart sich so das mühsame Aufspüren von Exploits und deren Reverse Engineering. Ist der Bug analysiert und das zu erwartende Angriffsmuster im Schutzprodukt hinterlegt, gibt ZDI die Information gratis an den betroffenen Hersteller weiter.

Zum Produkt werden Bugs beim in Frankreich ansässigen Unternehmen Vupen: Dort setzt man auf fest angestellte Forscher, die nichts anderes machen, als kommerzielle Software auf Lücken zu untersuchen. Diese werden dann ausschließlich an zahlende Kunden abgegeben. Gehört der betroffene Hersteller nicht zum Vupen-Kundenkreis, erfährt er sehr wahrscheinlich nichts vom Bug.

Fazit: Verkauft ist verkauft

Vupen gibt keine Auskunft, wie z.B. Microsoft an Informationen kommt. Dass die Redmonder von Vupen beliefert werden, steht außer Frage. Ob sie entgegen sonstiger Aussagen hierfür bezahlen, bleibt das Geheimnis der beiden Firmen. Genau wie die Bug-Jäger nicht offen legen, wie sie die abzuklopfenden Produkte auswählen und welche Firmen sowie staatlichen Organisationen zu den Kunden gehören. Ebenso im Dunklen bleibt, was die Kunden mit den gelieferten Informationen anfangen.

Angeblich schreiben die Vupen-Verträge vor, dass die Bugs und Exploits nur für defensive Zwecke genutzt werden dürfen. Kontrollieren kann das Unternehmen dies jedoch nicht – so dass manche Strafverfolgungsbehörde versucht sein mag, die gekauften Bugs zum Verbreiten von Staatstrojanern einzusetzen.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links