Auktionsplattform für Exploits

Elderan

Elderan

0
Nun wollen die Betreiber des virtuellen Markplatzes WabiSabiLabi eine Auktionsplattform bieten, auf der laut FAQ jeder Sicherheitsspezialist öffentlich Exploits für bislang unbekannte Sicherheitslücken anbieten kann. Damit soll der Verkäufer den bestmöglichen Gewinn für seine Bemühungen erzielen.

Öffentliche Auktionsplattform für Exploits gestartet
Zum Vergrößern anklicken....

Ich befürchte ja, sofern es Kundeschafft gibt, dieses doch erschreckend erfolgreich werden könnte.
Wenn jmd. eine unendeckte Lücke+Exploit findet, wird er es sich schon überlegen, ob er diese kostenlos auf den bekannten Mailinglisten veröffentlicht, oder doch evt. darauf hofft, 1000 Euro dafür zu bekommen.

Ich glaube, solche Personen hat es bisher oft abgeschreckt, irgendwo im Untergrund zu operieren, wenn es aber eine legal Plattform dafür gibt...

Man kann nur hoffen, dass die 'Sicherheitsmaßnahmen' die bösen Leute abhält, wovon ich nicht so überzeugt bin, und dass Sicherheitsfirmen nicht so doof sind und sich 'Exklusivrechte' an Lücken/Exploits kaufen.
 
Wenn ich das jetzt richtig verstanden habe, läuft das dann so ab:
Findet jemand einen Exploit, so kann er/sie ihn (vorerst) für sich behalten und stellt dann eine Auktion dieser Art auf die Plattform:

Verkaufe Exploit in Windows Live Messenger 8.1
Startpreis: 1500 ?
Auktionsdauer: 7 Tage
Zum Vergrößern anklicken....

Und dann kann jeder X-beliebige registrierte User herkommen und mitbieten, um an die Information zu gelangen.

Was passiert?

Die Mailinglisten basierten bisher auf dem guten Willen der User mit Fachkenntnissen, die gefundene Exploits auf die Mailinglisten setzten und den Firmen so diese Verbesserungstipps gaben. Das das teilweise auch im Untergrund (inkl. Geld im Spiel) geschieht, liegt auch auf der Hand.

Aber jetzt - wo der Handel mit Exploits öffentlich ? la Ebay geführt wird - jetzt steigt der Preis für die Information stark an. Denn - nehmen wir obiges fiktives Beispiel - Microsoft wird hier mitbieten. Und Microsoft-Gegner werden auch mitbieten. Und Microsoft wird alles daran setzen, dass diese Information nicht in die falschen Hände gerät und so wird der Preis schnell ins x-Stellige steigen und der Exploit-Finder ein reicher Mann und Microsoft eine arme Firma werden ;).

Also prinzipiell kann ich mich mit dem Gedanken anfreunden :D !
 
Aha. Was passiert nun, wenn so ein Exploit illegal ausgenutzt und der Verkäufer enttarnt wird? Dann drohen ihm unfangreiche Strafen, immerhin hat er gegen Geld Hilfe bei einer Straftat geleistet. Herzlichen Glückstrumpf!
 
Original von blueflash
Aha. Was passiert nun, wenn so ein Exploit illegal ausgenutzt und der Verkäufer enttarnt wird? Dann drohen ihm unfangreiche Strafen, immerhin hat er gegen Geld Hilfe bei einer Straftat geleistet. Herzlichen Glückstrumpf!
Zum Vergrößern anklicken....

Original von Elderan's Link zum Heise-Artikel
Um den Missbrauch für illegale Zwecke zu verhindern, müssen sich sowohl Verkäufer als auch potenzielle Käufer vorher registrieren. Der mögliche Käufer soll dabei einer Prüfung unterzogen werden. Wie genau das vonstatten geht, schreiben die Betreiber, deren Standort in der Schweiz liegt, nicht. Im Anschluss an die Registrierung soll man immerhin eine Kopie des Personalausweises faxen und eine Telefonnummer angeben.
Zum Vergrößern anklicken....

Die Problematik wird ihnen bekannt sein, und sie werden sie auch sicher zu Lösen wissen.
 
Hallo,
und was ist, wenn im Linux-Kernel ein Exploit gefunden wird, der einem Remote-Root Rechte bringt?
Ich glaube kaum, dass OpenSource Gemeinschaften soviel Geld aufbringen können, um an die Infos zu kommen.
Ergo landet diese Information bei den falschen, die daraus Profit erzielen können.
 
Hallo,
und was ist, wenn im Linux-Kernel ein Exploit gefunden wird, der einem Remote-Root Rechte bringt?
Ich glaube kaum, dass OpenSource Gemeinschaften soviel Geld aufbringen können, um an die Infos zu kommen.
Ergo landet diese Information bei den falschen, die daraus Profit erzielen können.
Zum Vergrößern anklicken....

Hmm...
Man könnte argumentieren, dass ein Exploit ein abgeleitetes Werk im Sinne der GPL darstellt und vom Anbieter dann die Herausgabe des Quellcodes erzwingen.
 
Hallo,
Original von blueflash
Man könnte argumentieren, dass ein Exploit ein abgeleitetes Werk im Sinne der GPL darstellt
Zum Vergrößern anklicken....
oftmals ist es bei Exploits so, dass dieser nur per TCP (o.ä.) connecten und dann ihren Code einschleusen.
Natürlich gibts Diskussionen, ob wenn man per TCP/IP auf ein GPL Programm zugreift das dann auch unter GPL stellen muss, ich finde soetwas aber schwachsinnig.
Wenn ich einen Browser vertreibe, der nicht unter GPL steht, dann darf dieser keine GPL-Webserver kontaktieren ?( ?( ?(

Außerdem heißt ja GPL nicht automatisch kostenlos:
Kopien des Programms dürfen kostenlos oder auch gegen Geld verteilt werden, wobei der Quellcode mitverteilt oder dem Empfänger des Programms auf Anfrage zum Selbstkostenpreis zur Verfügung gestellt werden muss.
Zum Vergrößern anklicken....
Ich verteile meinen Exploit gegen 1000 Euro und liefere automatisch den Quellcode mit (ist ja so üblich) und schon erfüll ich die GPL.

@ERit: Ganz einfach, Profit...
Wir haben es immer mehr mit einer weltweiten Industrie zu tun, die tausende Menschen beschäftigt. Ich würde mich nicht wundern, wenn sie Beträge umsetzt, die über den Erlösen der Sicherheitssoftware-Branche liegen.

Quelle: Gründer der Kaspersky Labs Eugene Kaspersky zur CeBit
Zum Vergrößern anklicken....
Dieses ist ein sehr großer Markt und verspricht auch viel Profit. Die müssen nicht viel mehr als eine Plattform bereitstellen und pro Auktion sagen wir mal 1% verlangen. Wenn dass richtig boomt, kannst dir ja ausrechnen was dabei rausspringt.
 
Muss ich auch mal meinen Senf dazugeben.

Also so wie ich die Sache einschätze wird das eine ganz schöne Katastrophe wenn das wirklich boomen sollte, denn warum sollte ich als legal denkender Mensch gefundene Exploits einfach in irgendeine Mailingliste hängen anstatt damit noch Kohle abzuschöpfen?!? Die Schlussfolgerung dürfte doch dann sein, das viel weniger Exploits public werden und jeder von uns in Zukunft einer viel größeren (möglichen) Gefahr ausgesetzt sein wird als vorher, weil viel weniger Sicherheitslücken geschlossen werden, weil einfach keiner von dessen Existenzen weiß, außer Verkäufer und Käufer.
Bin ich da mit meinen Gedanken auf dem Holzweg o. ist an meinem Gedankenschiss auch ein Funken von möglicher Zukunftsrealität dran?

MfG. PET2001

--
edit: Im nachhinein noch mal drüber nachgedacht, im Grunde existierte der Markt ja schon immer, nur in dieser Form auf eine viel öffentlichere Art und Weise. Das Einzigste was sich ändert, ist doch der Zugang um Exploits zu verhökern. Wird sich also gar nicht so viel ändern.
 
Hmm, diese Idee schwirrte schon länger im Netz herum und wurde jetzt scheinbar wirklich in die Tat umgesetzt.
Trotzdem denke ich, dass viele Leute (hauptsächlich die, die jetzt schon ihren Quellcode kostenlos anbieten, z.B. GPL) auch ihre Sicherheitslücken weiterhin öffentlich verbreiten werden. Außerdem ist das Verkaufen ziemlich kontraproduktiv, denn Sicherheitslücken können dann ja nicht geschlossen werden (solange es nicht der Entwickler kauft).
Allerdings werden, wie ich denke, die meisten so argumentieren: "Ach, es macht nichts, wenn ich einmal einen Exploit nicht auf ner Mailingliste veröffentliche, es wird schon genug andere geben, die es so machen." Diese Einstellung ist jedoch Grundlegend falsch.
 
Original von Heinzelotto
Außerdem ist das Verkaufen ziemlich kontraproduktiv, denn Sicherheitslücken können dann ja nicht geschlossen werden (solange es nicht der Entwickler kauft).
Zum Vergrößern anklicken....

ja, nur dem verkäufer wird es egal sein udn der verkäufer will ja genau das. wofür auch immer.
 
Es hat auch seine Vorteile.
Diverese Firmen werden (bzw. müssen) sich besser um die Sicherheit von Produkten kümmern. Tun sie das nicht, kann es teuer(er) werden.
Benutzer können dadurch auch Vorteile haben.
Jemand, der einen Exploit für Windows findet und damit eigentlich zahllose Rechner infiziert hätte, lässt sich diesen von Micrsoft abkaufen. Am Ende bekommt er gleich viel Geld und Windowsbenutzer werden nicht infiziert. Pech gehabt hat dann Micrsoft. Also werden sich die Redmonder in Zukunft besser auf Sicherheitslücken konzentrieren, was wieder Vorteile für Benutzer und Softwareentwickler bringt. Kleine Firmen gehen dadurch auch nicht pleite, denn niemand wird in deren Programmen suchen. Viel zu unlukrativ.
Man kann also sagen, dass die Großen kleiner werden und die Kleinen größer werden. Zumindest für die Benutzer ist das sehr gut. Und mal ehrlich, dagegen, dass Microsoft Probleme damit hat, kann doch keiner was haben. ;)
 
Hallo,
Trotzdem denke ich, dass viele Leute (hauptsächlich die, die jetzt schon ihren Quellcode kostenlos anbieten, z.B. GPL) auch ihre Sicherheitslücken weiterhin öffentlich verbreiten werden
Zum Vergrößern anklicken....
Sagen wir mal, du findest eine SQL Injection in osCommerce (bekannte kostenlose Onlineshop-Software) und verbreitest deine normalen Programme unter GPL/LGPL.

Wenn du dann überlegst, ob du für die Lücke evt. 3000 Euro oder deutlich mehr bekommst* (ka wie so die Preise dafür sind, aber bestimmt nicht schlecht), aufgrund der Verbreitung und der vielen, sensiblen Daten in so nem Shop, oder ob du diese lieber Publik machen sollst und finanziell nix davon hast, dann ist dies schon eine harte Entscheidung.
Besonders wenn dies evt. mit einer nicht so guten finanziellen Lage gepaart ist, sagen wir mal ein Student findet die Lücke, dann ist es eine echt harte Entscheidung und ich kanns auch verstehen wenn sich jmd. fürs Geld entscheidet.


*: Also irgendwo hab ich mal gelesen, meine bei Heise oder in der c't, dass wirklich profitable Lücken im schwarzmarkt mit Preisen von 10 000 bis 20 000 Euro gehandelt werden. Und es gibt nicht viele, die bei solchen Summen ihre idealistische Einstellung beibehalten.
 
Es gibt dabei doch einige Fragen:
1) Wer würde eine Sicherheitslücke anbieten?
2) Wer würde sie kaufen?
3) Ist sie überhaupt bekannt/gefixt?

zu 1)
Es ist doch recht gefährlich, potentiellen Schadcode für Geld zu verkaufen und später eventl. wegen Mithilfe angeklagt zu werden? Ich persönlich würde das Risiko nicht auf mich nehmen. Sicherlich gibt es viele Leute, die keine Skrupel haben, aber auch denen würde ich nicht zutrauen, eine noch nicht gefixte Lücke öffentlich (!) zu verkaufen.

zu 2)
Wer kauft eine Lücke? Ein Hacker, der sich damit öffentlich macht, dass er Code kauft, der dazu geeignet ist, einem System zu schaden? Ich denke nicht. Da wird es eher eine Firma kaufen, die über das nötige Kleingeld verfügt.

zu 3) Ein Beispiel:
WabiSabiLabi code ZD-00000007
Title Local Linux kernel memory leak
Published on Monday, 02 July 2007 17:59:55
Time to live 11 days 11 hours 7 minutes
Vulnerability type local
Affected system Linux
Remote false
Local true
PoC true
Public description

This PoC will demonstrate the Linux kernel CVE-2007-1000 vulnerability and will search for patterns inside memory.

Affected Linux kernel versions: 2.6.0 to 2.6.20.1

Current auction price
500?
Zum Vergrößern anklicken....
Die Lücke ist bereits bekannt und gefixt:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1000
Somit bekäme man solche Informationen auch auf anderem Wege zu einem weitaus günstigeren Preis.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben