[HaBo]

Elderan

Anzeige

Ich befürchte ja, sofern es Kundeschafft gibt, dieses doch erschreckend erfolgreich werden könnte.
Wenn jmd. eine unendeckte Lücke+Exploit findet, wird er es sich schon überlegen, ob er diese kostenlos auf den bekannten Mailinglisten veröffentlicht, oder doch evt. darauf hofft, 1000 Euro dafür zu bekommen.

Ich glaube, solche Personen hat es bisher oft abgeschreckt, irgendwo im Untergrund zu operieren, wenn es aber eine legal Plattform dafür gibt...

Man kann nur hoffen, dass die 'Sicherheitsmaßnahmen' die bösen Leute abhält, wovon ich nicht so überzeugt bin, und dass Sicherheitsfirmen nicht so doof sind und sich 'Exklusivrechte' an Lücken/Exploits kaufen.

dutchman2006

Wenn ich das jetzt richtig verstanden habe, läuft das dann so ab:
Findet jemand einen Exploit, so kann er/sie ihn (vorerst) für sich behalten und stellt dann eine Auktion dieser Art auf die Plattform:

Und dann kann jeder X-beliebige registrierte User herkommen und mitbieten, um an die Information zu gelangen.

Was passiert?

Die Mailinglisten basierten bisher auf dem guten Willen der User mit Fachkenntnissen, die gefundene Exploits auf die Mailinglisten setzten und den Firmen so diese Verbesserungstipps gaben. Das das teilweise auch im Untergrund (inkl. Geld im Spiel) geschieht, liegt auch auf der Hand.

Aber jetzt - wo der Handel mit Exploits öffentlich ? la Ebay geführt wird - jetzt steigt der Preis für die Information stark an. Denn - nehmen wir obiges fiktives Beispiel - Microsoft wird hier mitbieten. Und Microsoft-Gegner werden auch mitbieten. Und Microsoft wird alles daran setzen, dass diese Information nicht in die falschen Hände gerät und so wird der Preis schnell ins x-Stellige steigen und der Exploit-Finder ein reicher Mann und Microsoft eine arme Firma werden .

Also prinzipiell kann ich mich mit dem Gedanken anfreunden !

blueflash

Aha. Was passiert nun, wenn so ein Exploit illegal ausgenutzt und der Verkäufer enttarnt wird? Dann drohen ihm unfangreiche Strafen, immerhin hat er gegen Geld Hilfe bei einer Straftat geleistet. Herzlichen Glückstrumpf!

dutchman2006

Die Problematik wird ihnen bekannt sein, und sie werden sie auch sicher zu Lösen wissen.

Elderan

Hallo,
und was ist, wenn im Linux-Kernel ein Exploit gefunden wird, der einem Remote-Root Rechte bringt?
Ich glaube kaum, dass OpenSource Gemeinschaften soviel Geld aufbringen können, um an die Infos zu kommen.
Ergo landet diese Information bei den falschen, die daraus Profit erzielen können.

ERit

die frage ist nur was die gründer der plattform zu so einer idee treibt?

blueflash

Hmm...
Man könnte argumentieren, dass ein Exploit ein abgeleitetes Werk im Sinne der GPL darstellt und vom Anbieter dann die Herausgabe des Quellcodes erzwingen.

Elderan

Hallo,
oftmals ist es bei Exploits so, dass dieser nur per TCP (o.ä.) connecten und dann ihren Code einschleusen.
Natürlich gibts Diskussionen, ob wenn man per TCP/IP auf ein GPL Programm zugreift das dann auch unter GPL stellen muss, ich finde soetwas aber schwachsinnig.
Wenn ich einen Browser vertreibe, der nicht unter GPL steht, dann darf dieser keine GPL-Webserver kontaktieren ?( ?( ?(

Außerdem heißt ja GPL nicht automatisch kostenlos:
Ich verteile meinen Exploit gegen 1000 Euro und liefere automatisch den Quellcode mit (ist ja so üblich) und schon erfüll ich die GPL.

@ERit: Ganz einfach, Profit...
Dieses ist ein sehr großer Markt und verspricht auch viel Profit. Die müssen nicht viel mehr als eine Plattform bereitstellen und pro Auktion sagen wir mal 1% verlangen. Wenn dass richtig boomt, kannst dir ja ausrechnen was dabei rausspringt.

Pet2001

Muss ich auch mal meinen Senf dazugeben.

Also so wie ich die Sache einschätze wird das eine ganz schöne Katastrophe wenn das wirklich boomen sollte, denn warum sollte ich als legal denkender Mensch gefundene Exploits einfach in irgendeine Mailingliste hängen anstatt damit noch Kohle abzuschöpfen?!? Die Schlussfolgerung dürfte doch dann sein, das viel weniger Exploits public werden und jeder von uns in Zukunft einer viel größeren (möglichen) Gefahr ausgesetzt sein wird als vorher, weil viel weniger Sicherheitslücken geschlossen werden, weil einfach keiner von dessen Existenzen weiß, außer Verkäufer und Käufer.
Bin ich da mit meinen Gedanken auf dem Holzweg o. ist an meinem Gedankenschiss auch ein Funken von möglicher Zukunftsrealität dran?

MfG. PET2001

--
edit: Im nachhinein noch mal drüber nachgedacht, im Grunde existierte der Markt ja schon immer, nur in dieser Form auf eine viel öffentlichere Art und Weise. Das Einzigste was sich ändert, ist doch der Zugang um Exploits zu verhökern. Wird sich also gar nicht so viel ändern.

Heinzelotto

Hmm, diese Idee schwirrte schon länger im Netz herum und wurde jetzt scheinbar wirklich in die Tat umgesetzt.
Trotzdem denke ich, dass viele Leute (hauptsächlich die, die jetzt schon ihren Quellcode kostenlos anbieten, z.B. GPL) auch ihre Sicherheitslücken weiterhin öffentlich verbreiten werden. Außerdem ist das Verkaufen ziemlich kontraproduktiv, denn Sicherheitslücken können dann ja nicht geschlossen werden (solange es nicht der Entwickler kauft).
Allerdings werden, wie ich denke, die meisten so argumentieren: "Ach, es macht nichts, wenn ich einmal einen Exploit nicht auf ner Mailingliste veröffentliche, es wird schon genug andere geben, die es so machen." Diese Einstellung ist jedoch Grundlegend falsch.

zero-9

ja, nur dem verkäufer wird es egal sein udn der verkäufer will ja genau das. wofür auch immer.

valenterry

Es hat auch seine Vorteile.
Diverese Firmen werden (bzw. müssen) sich besser um die Sicherheit von Produkten kümmern. Tun sie das nicht, kann es teuer(er) werden.
Benutzer können dadurch auch Vorteile haben.
Jemand, der einen Exploit für Windows findet und damit eigentlich zahllose Rechner infiziert hätte, lässt sich diesen von Micrsoft abkaufen. Am Ende bekommt er gleich viel Geld und Windowsbenutzer werden nicht infiziert. Pech gehabt hat dann Micrsoft. Also werden sich die Redmonder in Zukunft besser auf Sicherheitslücken konzentrieren, was wieder Vorteile für Benutzer und Softwareentwickler bringt. Kleine Firmen gehen dadurch auch nicht pleite, denn niemand wird in deren Programmen suchen. Viel zu unlukrativ.
Man kann also sagen, dass die Großen kleiner werden und die Kleinen größer werden. Zumindest für die Benutzer ist das sehr gut. Und mal ehrlich, dagegen, dass Microsoft Probleme damit hat, kann doch keiner was haben.

Elderan

Hallo,
Sagen wir mal, du findest eine SQL Injection in osCommerce (bekannte kostenlose Onlineshop-Software) und verbreitest deine normalen Programme unter GPL/LGPL.

Wenn du dann überlegst, ob du für die Lücke evt. 3000 Euro oder deutlich mehr bekommst* (ka wie so die Preise dafür sind, aber bestimmt nicht schlecht), aufgrund der Verbreitung und der vielen, sensiblen Daten in so nem Shop, oder ob du diese lieber Publik machen sollst und finanziell nix davon hast, dann ist dies schon eine harte Entscheidung.
Besonders wenn dies evt. mit einer nicht so guten finanziellen Lage gepaart ist, sagen wir mal ein Student findet die Lücke, dann ist es eine echt harte Entscheidung und ich kanns auch verstehen wenn sich jmd. fürs Geld entscheidet.


*: Also irgendwo hab ich mal gelesen, meine bei Heise oder in der c't, dass wirklich profitable Lücken im schwarzmarkt mit Preisen von 10 000 bis 20 000 Euro gehandelt werden. Und es gibt nicht viele, die bei solchen Summen ihre idealistische Einstellung beibehalten.

fetzer

Es gibt dabei doch einige Fragen:
1) Wer würde eine Sicherheitslücke anbieten?
2) Wer würde sie kaufen?
3) Ist sie überhaupt bekannt/gefixt?

zu 1)
Es ist doch recht gefährlich, potentiellen Schadcode für Geld zu verkaufen und später eventl. wegen Mithilfe angeklagt zu werden? Ich persönlich würde das Risiko nicht auf mich nehmen. Sicherlich gibt es viele Leute, die keine Skrupel haben, aber auch denen würde ich nicht zutrauen, eine noch nicht gefixte Lücke öffentlich (!) zu verkaufen.

zu 2)
Wer kauft eine Lücke? Ein Hacker, der sich damit öffentlich macht, dass er Code kauft, der dazu geeignet ist, einem System zu schaden? Ich denke nicht. Da wird es eher eine Firma kaufen, die über das nötige Kleingeld verfügt.

zu 3) Ein Beispiel:
Die Lücke ist bereits bekannt und gefixt:
http://cve.mitre.org/cgi-bin/cvename...=CVE-2007-1000
Somit bekäme man solche Informationen auch auf anderem Wege zu einem weitaus günstigeren Preis.