Netlife: Prämien für Vista-Lücken
Netlife: Prämien für Vista-Lücken
IT-News-World.de
5
5
am 15.01.2007 | von Alfred Krüger
Der Handel mit Sicherheitslücken kommt wieder in Schwung. 8000 Euro heißt das erste Gebot, das das US-Sicherheitsunternehmen iDefense für eine Sicherheitslücke in Windows Vista, Microsofts neuem Betriebssystem, bietet. Wer dazu noch den Exploit-Code mit auf den Tisch des Hauses packt, kann zusätzlich 4000 US-Dollar mit nach Hause nehmen. Zudem hat er das beruhigende Gefühl, eine gute Tat begangen zu haben. Denn die Schwarzmarktpreise für funktionierende Vista-Sicherheitslücken liegen bedeutend höher, und zwar bei derzeit rund 50.000 US-Dollar.
Bessere Marktchancen – höhere Umsätze
Sicherheitsunternehmen wie iDefense oder TippingPoint leben von den Softwarefehlern anderer Firmen. Sie produzieren Sicherheitssoftware, für die ein Markt natürlich immer nur dann vorhanden ist, wenn es eklatante Lücken in populären Programmen gibt. Wer diese Lücken kennt und sie mit seiner eigenen Software schließen kann, erwirbt sich einen nicht zu unterschätzenden Vorteil auf dem hart umkämpften Markt für Sicherheitsprodukte. Bessere Marktchancen und höhere Umsätze hat, wer seine Kunden früher als die Konkurrenz und am besten exklusiv vor neuen Sicherheitslücken beispielsweise in Microsoft-Betriebssystemen schützen kann.
Sicherheit ist eine Ware
Wo Sicherheit ein Geschäft ist, werden Sicherheitslücke zur Ware. 8000 Euro ist der US-Firma iDefense eine Windows-Vista-Sicherheitslücke wert. Dieselbe Summe will man auch für ein möglichst schwer wiegendes Leck im Internet Explorer 7 zahlen. Offenbar ist iDefense nicht selbst in der Lage, solche Lücken zu entdecken. Vielleicht fehlt das nötige Know-how oder einfach nur das Geld, um Sicherheitsspezialisten in Dauerstellung zu beschäftigen. Denn billiger ist es allemal, Sicherheitslücken einfach aufzukaufen.
Eigene Signatur-Updates
Ist der Deal perfekt, dann wird die eigene Schutzsoftware um die Lücke „erweitert“. Sie bekommt ein Signatur-Update, sodass die eigenen Kunden künftig exklusiv geschützt sind. Gleichzeitig nimmt man Kontakt mit dem betroffenen Softwareproduzenten auf und informiert ihn über das Sicherheitsleck. Technische Details werden immer erst dann veröffentlicht, wenn der fragliche Softwareproduzent die Lücke selbst geschlossen hat.
Sicherheitslücken werden indirekt publik gemacht
Kritiker melden gegen eine solche Praxis starke Bedenken an. Der Kreis derjenigen, die frühzeitig von Sicherheitslücken erführen, vergrößere sich in unzulässiger Weise. Technisch sei es nämlich kein besonders großes Problem, aus dem Signatur-Update der Sicherheitsfirma auf die Art des Sicherheitsproblems zu schließen. „Böswillige“ Experten könnten diese Informationen nutzen, um Exploits für diese Sicherheitslücke zu entwickeln, bevor der betroffene Softwareproduzent seine Kunden schützen könne.
Absprache unter Ehrenleuten
Noch bis vor wenigen Jahren herrschte zwischen Sicherheitsfirmen und Softwareproduzenten eine Art Gentlemen’s Agreement. Danach blieben neue Sicherheitslücken völlig unter Verschluss, bis die betroffene Softwarefirma – innerhalb einer angemessenen Frist – eine Problemlösung erarbeitet hatte. Erst wenn ein Sicherheits-Patch zur Verfügung stand und an die Kunden des Softwareproduzenten ausgeliefert worden war, wurde die Öffentlichkeit informiert.
„responsible disclosure“
Eine solche „Absprache unter Ehrenleuten“ bzw. das so genante Prinzip der „responsible disclosure“ wurde früher von allen Beteiligten eingehalten. Die seit ein paar Jahren um sich greifende Praxis, aus marktstrategischen Gründen das Gentlemen’s Agreement zumindest teilweise aufzukündigen, unterläuft dieses Prinzip. Der Kreis der potenziellen Mitwisser erweitert sich. Die allgemeine Sicherheitslage verschlechtert sich. Risiken und Nebenwirkungen einer solchen Geschäftspolitik werden billigend in Kauf genommen.
Weitere News aus Netzwelt
25.06.2008 | Alfred Krüger | Anfang Juli schlug das Sicherheitsunternehmen Kaspersky Alarm. Die russischen Schadprogrammfahnder hatten gefährliche Trojaner in der freien Wildbahn des Internets aufgespürt: Ransomware - Schadprogramme, die Dateien im Opfer-PC verschlüsseln und ihre Opfer anschließend erpressen. Kaspersky rief daraufhin die Webgemeinde auf, bei der Entschlüsselung mitzuhelfen. Kritiker vermuteten einen PR-Gag. Und tatsächlich zeigt sich jetzt, dass es gar nicht nötig ist, den Schlüssel herauszufinden. Ein simples Recovery-Programm reicht aus, damit man wieder an die Daten kommt. 
Weiter lesen ...
16.05.2008 | von Alfred Krüger | Alle Jahre wieder legt die Business Software Alliance (BSA) ihren Pirateriebericht vor. Es geht um raubkopierte Software und die Schäden, die dadurch bei den Softwarefirmen entstehen. In Deutschland, so berichtet die BSA in ihrem jüngsten Pirateriebericht, ist der Anteil raubkopierter Software 2007 auf 27 Prozent zurückgegangen. Weltweit verzeichnet die BSA jedoch einen Anstieg um drei Prozent auf 38 Prozent. Die Zahlen werden vom US-Marktforschungsinstitut IDC ermittelt und sind mit Vorsicht zu genießen. Weiter lesen ...
13.05.2008 | von Alfred Krüger | Vom Schreibtisch aus in ferne Galaxien? Microsoft macht’s möglich – mit WorldWide Telescope. Die Software erlaubt einen digitalen Blick durch verschiedene Weltraumteleskope in die unendlichen Weiten des Universums. Wer die technischen Möglichkeiten besitzt, kann sogar ein eigenes Teleskop über die neue Software aus dem Haus Microsoft fernsteuern. Die Daten, die WorldWide Telescope benutzt, stammen von verschiedenen Teleskopen auf der Erde und der Erdumlaufbahn. Wer WorldWide Telescope benutzen möchte, braucht allerdings einen in jeder Hinsicht überdurchschnittlich leistungsfähigen PC. Es gilt das Motto: Mehr ist immer besser. Weiter lesen ...
04.05.2008 | von Alfred Krüger | Das Pokern um die Übernahme von Yahoo durch Microsoft ist vorerst vorbei. Microsoft hat sein Übernahmeangebot offiziell zurückgezogen. Yahoo wird dem Redmonder Softwarekonzern nicht einverleibt. Das gab Microsoft-Chef Steve Ballmer heute in einem Brief an Yahoo-Chef Jerry Chang bekannt. Zwischen beiden hatte es noch in den letzten Tagen Gespräche gegeben – aber offenbar in der Sache keine Annäherung. Obwohl Microsoft den Preis noch einmal um zwei Dollar pro Aktie von 31 auf 33 Dollar angehoben haben soll, zeigte Chang sich offenbar nicht willig. Analysten gehen nun davon aus, dass der Kurs der Yahoo-Aktie kräftig sinken wird. Weiter lesen ...
30.04.2008 | von Alfred Krüger | eBay rüstet auf in Sachen Sicherheit. Nicht nur in Australien, sondern nun auch in Deutschland gilt: In bestimmten Fällen müssen eBay-Verkäufer ihre finanziellen Transaktionen künftig über den Bezahldienst PayPal abwickeln. PayPal ist eine eBay-Tochter und bietet Käufern, die per PayPal zahlen, eine Absicherung bis zu 1000 Euro. Der PayPal-Zwang soll für Verkäufer eingeführt werden, die gewisse Mindestkriterien nicht erfüllen. In Australien wurde der PayPal-Zwang bereits vor rund drei Wochen angekündigt. Weiter lesen ...
Weitere News aus dem Bereich Netzwelt »
