Exploits: Regierungen und Konzerne decken sich am Schwarzmarkt mit ZD-Lücken ein


Exploit

Durch die forcierte offensive Cyberkriegs-Strategie der US-Regierung hat sich mittlerweile ein beachtlicher Schwarzmarkt etabliert, der unter anderem auf Zero-Day-Lücken abzielt. Laut einem Bericht von MIT Technology Review betätigen sich Geheimdienste, Rüstungsfirmen oder Ermittlungsbehörden als zahlungskräftige Käufer von bislang unbekannten Schwachstellen, welche etwa durch Malware ausnutzbar sind.

Man bezeichnet den Untergrund mittlerweile als Malware-Industrial-Complex. Er bewirke dem Bericht von MIT zufolge gleichzeitig eine Gefährdung aller Online-Nutzer. Aus der Hackerszene selbst war zuletzt von einer dramatisch reduzierten Anzahl an offengelegten Bugs die Rede. Ein Sicherheitsexperte der Bürgerrechtsorganisation ACLU gab zu verstehen, dass dies wohl auf den Aufkauf von Sicherheitslücken durch Regierungen und Industrie zurückzuführen ist.

Der Aufkauf von Zero-Day-Lücken und anderen Schwachstellen erfolge mittlerweile im ganz großen Stil, nachdem allein in der Malware Stuxnet vier Zero-Day-Lücken erfolgreich ausgenutzt wurden. Auf der anderen Seite verbreiten Regierungen und Wirtschaftsunternehmen jedoch große Hektik zur Thematik Cybersicherheit. Andererseits nehmen z.B. die USA an einem weltweiten Markt der Schwachstellen teil und treiben die Preise entsprechend in die Höhe, so Christopher Soghoian, Technologieexperte der Bürgerrechtsorganisation ACLU.

In verschiedenen Gesprächen hätte er von Preisen zwischen Zehn- und Hunderttausenden US-Dollar erfahren, gab er zu verstehen. Ein besonderes Interesse liegt wohl auf Exploits (Schwachstellenausnutzung) vor, die bei Mobilbetriebssystemen zur Anwendung gebracht werden können - dies u.a. deshalb, weil diese weniger häufig aktualisiert werden. Dementsprechend können diese Lücken für eine recht lange Zeit ausgenutzt werden, Entdecker von derartigen Zero-Day-Lücken könnten gar mit monatlichen Zahlungen rechnen, solange diese nicht enthüllt sind. “Solange Apple oder Microsoft es nicht behoben haben, wird man bezahlt”, erklärt der ACLU-Experte.

Der Verkauf von Schwachstellen-Exploits an Regierungen oder andere Kreise wird teilweise über Mittelsmänner betrieben. Laut einem Sicherheitsforscher aus Bangkok vermittelt er Deals mit Regierungsstellen in den USA oder auch Westeuropa. Diese könnten bis zu einer Viertelmillion US-Dollar bringen, er behält dabei eine Vermittlungsprovision von 15 Prozent ein.

Die französische Sicherheitsfirma Vupen zum Beispiel ist ebenfalls im Geschäft mit derartigen Lücken aktiv. Diese rühmt sich selbst, dass sie über Exploits für alle wichtigen Browser verfügen würde. Nicht mal für eine Million US-Dollar wolle Vupen-CEO Chaouki Bekrar z.B. Google in Kenntnis über entsprechende Lücken setzen, man wolle die Informationen für die eigenen Kunden vorhalten.

  
Bücherindex Bild Link

Weitere Inhalte