Pwn2Own und der Handel mit Sicherheitslücken

Die einen ver­an­stalten einen gut dotierten Wett­bewerb, um Sicher­heits­lücken zu schließen.Die anderen ver­dienen gutes Geld damit, die Lücken nur aus­ge­wählten Kunden zur Ver­fügung zu stellen.

Vor kurzem fand wieder einmal der Wett­bewerb Pwn2own statt. Hierbei geht es darum, neue, unbe­kannte kri­tische Sicher­heits­lücken zu finden. HPs Initiative ZDI lässt sich dabei nicht lumpen: Ein Preisgeld von ins­gesamt 500.000 US-Dollar für Zero-Day-Lücken ist schon ordentlich. 

Beim „Mobile Pwn2Own“ wurden auch die großen Mobil-Betriebs­­­systeme erfolg­reich ange­griffen. Die gra­vie­rendsten Lücken betreffen aber wohl iOS. Durch Bugs im Safari-Browser auf Apples iPhone 5S gelang es Hackern, aus der Sandbox-Umgebung der App aus­zu­brechen. Das öffnet Tür und Tor, belie­bigen Schadcode auf den Geräten aus­zu­führen.

Jen­seits dieser Wett­be­werbe zahlen jedoch Firmen wie Paypal und Facebook in der Regel Zehn­tau­sende für Hin­weise auf Sicher­heits­lücken in ihrer eigenen Software.
Grund­sätzlich ist es nicht schlecht, die Sicherheit des eigenen Pro­duktes in einem Wett­bewerb durch externe Spe­zia­listen prüfen zu lassen. Die Höhe des Preis­geldes ist natürlich ein echter Anreiz Lücken auf­zu­decken. Zudem bleiben die Details zu den Lücken unter Ver­schluss, so dass die Her­steller nach­bessern können und deren Kunden nicht über Gebühr einer Gefährdung aus­ge­setzt sind.

Handel mit Lücken
Nach­denklich stimmt mich die Aussage zu den Wett­be­werben: „Sicher­heits­for­scher hin­gegen jammern, dass die Infor­ma­tionen weit unter Wert ver­schleudert wurden; auf dem Schwarz­markt, auf dem sich unter anderem auch Geheim­dienste ein­decken, werden funk­ti­ons­fähige Remote-Code-Exe­­cution-Exploits für sechs­stellige Beträge gehandelt.“ Diese Aussage ist insofern inter­essant, da man davon aus­gehen kann, dass es sich hierbei ent­weder um uner­fahrene Sicher­heits­for­scher handelt – oder um zwar öffentlich noch unbe­kannte, jedoch leidlich aus­ge­nutzte Lücken handelt, die in einem letzten Schritt nochmals ver­silbert werden.

Kevin Mitnick, ehe­ma­liger Hacker, hat bei­spiels­weise in 2014 sein Geschäft um ein wei­teres Angebot erweitert: eine Han­dels­plattform für Zero-Day-Exploits, die mit Premium-Lücken ab 100.000 $ handelt. Darüber hinaus gibt es, zusätzlich zu anderen Geheim­diensten, auch in Deutschland Über­le­gungen, neben dem so genannten „Staats­tro­janer“ auch Zero-Day-Exploits ein­zu­kaufen.

Sicherheit ist relativ
Zusammen mit den in meinem letzten Beitrag vor­ge­stellten Lücken im BIOS  und dem Beitrag von Herrn Feichtner „Bedrohung durch mani­pu­lierte USB-Geräte“ ergibt sich damit eigentlich ein recht düs­teres Bild zur Sicher­heitslage von IT-Sys­­temen: Kom­pro­mit­tierte Hardware, Software bis hin zum angreif­baren Anwender –evtl. unter­stützt durch eigene Inter­essen oder die Lebenslage des Mitarbeiters.
Ja, so ist das!1

Aber damit ist die Situation direkt ver­gleichbar mit den Sicher­heits­vor­keh­rungen im eigenen Heim: Es würde auch kein gesunder Geist auf die Idee kommen, auf Türen, Schlösser, ein­bruch­hem­mende Fenster oder Alarm­anlage zu ver­zichten, nur weil es am langen Ende einfach nichts nützt. Wer unbe­dingt ein­brechen will, wird es irgendwann immer schaffen! Aber dennoch gibt es viele, die es zwar ver­suchen – aber auf­grund der Hürden scheitern!
Grund­sätzlich gilt jedoch immer: Je unin­ter­es­santer das Objekt ist und je höher die Hürden liegen, desto weniger schaffen es, diese zu über­winden. Jeder Ver­ant­wort­liche muss selbst ent­scheiden, wieviel Sicherheit er für ver­tretbar und ange­messen hält.

In diesem Sinne:
Achten Sie künftig nicht nur auf Sicher­heits­up­dates für Software, sondern auch für Sicher­heits­up­dates bei Hardware im Sinne von Firmware oder BIOS-Updates. Und für die Mit­ar­beiter, die mit IT umgehen: Je mehr Gespür jemand für die Untiefen der IT besitzt, desto weniger wird etwas passieren. 

Bild:  © Uta Herbert   / pixelio.de