[TdW 62] Exploits - Handelsware oder moralische Verpflichtung?

Tarantoga

Moderator
Auf Anregung von xrayn und SchwarzeBeere beschäftigt sich das TdW diesmal mit einer kontrovers diskutierten Frage aus der IT-Sicherheit: Wie sollte man mit entdeckten Sicherheitslücken umgehen? Ist es moralisch in Ordnung, wenn man Exploits entwickelt & verkauft? Oder ist es eher so, als würde man einem völlig Fremden eine geladene Waffe verkaufen?
Oder sollte man den Betreiber / Urheber des Systems, bzw. der Anwendung / des Dienstes stillschweigend informieren, so dass dieser Gelegenheit bekommt einen Sicherheitspatch zu entwickeln? Und was ist wenn dieser nicht handelt?
Sollte man doch besser offensiv vorgehen, die Sicherheitslücke publik machen und den Betreiber / Urheber so zum Handeln zwingen?
Die Frage, die das TdW heute stellt, lautet also: Sind Exploits eine legitime Handelsware oder doch eher eine moralische Verpflichtung?
 
Zuletzt bearbeitet:

justj

Member of Honour
Ich finde, es kommt sehr stark darauf an, an wen man gefundene Exploits verkauft. Ein Entwickler, der an (halbwegs) sicherer Software interessiert ist, kauft die Exploits für seine Software dann auch ein (bzw. setzt eine Belohnung auf gefundene und exklusiv mitgeteilte Exploits aus). Meiner Meinung nach ist es durchaus legitim, von einem Hersteller Geld für gefundene Sicherheitslücken in seiner Software zu bekommen. Die fallen einem ja auch nicht so einfach in den Schoß.

Die Exploits hingegen in kriminelle Kreise (teilweise muss man leider auch Staaten schon dazu zählen) zu verkaufen, halte ich nicht für vertretbar. Wenn ein Hersteller aber absolut kein Interesse an den gefundenen Sicherheitslücken zeigt, ist es in Ordnung, diese auf entsprechenden offen zugänglichen Plattformen zu veröffentlichen.

mfg
justj
 

Chakky

Member of Honour
In meinen Augen sind Exploits in diesen Zusammenhang ein Werkzeug. Ich schlag das mal auf ein "alltags Problem" runter, ich kann werkzeuge im Handel kaufen sollte aber nicht überall die schrauben lösen......

Von mir aus kann man Exploits verkaufen mit den Hinweis wenn sich der Hersteller nach 14 Tage nicht gemeldet hat....
 

SchwarzeBeere

Moderator
Mitarbeiter
Ich sehe hier mehrere diskussionswürdige Aspekte:

1) Meiner Ansicht nach ist es unbedingt notwendig, dass gefundene Schwachstellen an die Öffentlichkeit weitergegeben werden, da sich jeder Besitzer der Software auf diesen Sachverhalt einstellen muss. Patchmanagement und Patchprozesse sind teils sehr komplex und die Updates müssen im Vorfeld getestet werden, um einen Ausfall der Software durch ein falsch eingespieltes Update zu vermeiden. In dieser Zeit können nur Sicherheitsprodukte aus dem Vulnerability Management auf Basis der vorhandenen Schwachstelleninformationen wirklichen Schutz bieten.

2) Dieses Problem stellt gleichzeitig den Anreiz für Anbieter von Securitysoftware dar, an einem Vulnerability Market teilzunehmen und aktiv Schwachstellen zu kaufen. Aufgrund des aktuellen Wachstums in diesem Bereich kann davon ausgegangen werden, dass auch die Preise in diesen Märkten für Schwachstellen steigen werden, da mit der Verhinderung von Angriffen durch hochaktuelle und schwerwiegende Schwachstellen gegenüber der Konkurrenz ein Vorteil beworben werden kann. Damit steigt aber auch die Schwelle zur vollständigen Veröffentlichung bzw. zur Meldung an den Entwickler, da die Gewinne für Exploits für Entwickler dadurch nur noch verlockender werden. Man könnte hier meiner Meinung nach sagen, dass Geld bereits heute in solchen Märkten über der Moral steht.

3) Dieses Problem steht auch gegen die Interessen des Entwicklers des betroffenen Programms, wobei auch hier wiederum der Anreiz dafür vorhanden ist, Schwachstellen an den Meistbietenden zu verkaufen. Hierbei kann man sogar teils von kriminiellen Absichten sprechen - immerhin ist die Schwachstelle bekannt und wird nicht im Sinne der Kunden gefixt.
Weiterhin besitzen die Hersteller meist nicht das Geld zur Teilnahme an einem solchen Markt. Damit ist schon von vorne herein ausgeschlossen, dass der Hersteller von einem Verkauf einer Schwachstelle auf solch einem Markt profitiert - und dass damit auch alle Kunden des Entwicklers vom Bekanntwerden einer Schwachstelle profitieren.
 
Zuletzt bearbeitet:

Orniflyer

Member of Honour
Ich finde es immer wieder erschreckend Thematiken zu Moral und Ethik zu finden in welchen überhaupt nicht auf Moral eingegangen wird (beispielsweise Moralsystemrelativierung)

Ähnlich zu Ethikkommissionen in denen kein einziger Ethiker sitzt ... (leider gibt's auch das)

Ich melde mich mal daher zu Wort :D

Zum Thema:

Ich werde einfach mal exemplarisch eine moralische Überlegung skizzieren (nur oberflächlich) welche die Intuition eines gesetzlichen Gebots zur Preisgabe von Exploits aufgreift.

Die Frage was mit Exploits zu geschehen hat ist an sich erstmal eine Formulierung die gesellschaftliche Gültigkeit fordert. Dabei stellt sich in erster Linie die Frage ob es einem Individuum dieser Gesellschaft eigentlich nützt dieser Regel (wie auch immer sie ausschaut) zu folgen.
Zu dieser Thematik gibt es in der praktischen Philosophie und Ökonomie eine Menge an Stoff (beispielsweise Pareto-Verteilungen, Gesellschaftsverträge oder Klugheitsdilemmata).

Wir machen uns es also zum Ziel eine Regel zu formulieren welche definiert, was mit gefundenen Exploits zu machen ist - wobei wir beachten müssen, dass es für das Individuum rationale Gründe geben muss der Regel zu folgen (aus Eigennutzenmaximierungs-perspektive, siehe Homo-Ökonomicus)

Wir könnten beispielsweise festlegen, dass Exploits an entsprechende staatliche Institutionen zu übermitteln seien - mit der Begründung dass es allen besser ginge wenn alle dies täten (da so innerhalb der Gesellschaft keine neuen Exploits zu bösen Zwecken genutzt werden würden). Allerdings ist es sehr fraglich ob sich ein Individuum daran hält - schließlich hat er einen deutlich höheren Nutzen wenn er den Exploit selbst nutzt bzw. verkauft.

Was wäre jedoch wenn wir aus der Gebotsaufforderung zugleich eine Bestrafungsmaßnahme bilden - sodass jeder der sich nicht daran hält eine gewisse Strafe vom Staat bzw. der Gesellschaft auferlegt bekommt.
Hier ist abermals zu ermitteln ob der Aufwand (Kosten) dieser Maßnahme durch den Nutzen kompensiert wird (welches wir jetzt per petitio als wahr annehmen). Diese Überlegungen sind übrigens die Wurzeln jeglichen Rechtsstaates.

So - nun ist es für ein Individuum plötzlich ganz schön nützlich einen gefundenen Exploit preiszugeben - da er sich einen negativen Nutzen (Strafe) einholt wenn er dies nicht täte. (Wir setzen hier vorerst eine hohe, wenn nicht gar vollständige, Aufklärungsquote der Exekutive des Staates voraus)

Was hätten wir also damit gelöst:

Alle innerhalb einer Gesellschaft lebenden Personen, welche einen Exploit entdecken, müssen diesen preisgeben, da sie sonst bestraft werden. (welches sie daher rationalerweise tun).
Dadurch zieht die gesamte Gesellschaft den Vorteil, dass keine aus der Gesellschaft stammenden Exploits gegen sie verwendet werden können.

Konsequenz: Problematik gelöst

... oder nicht ?

Klarerweise stehen hier zwei riesige Elephanten im Raum:

Zum Einen besitzt die Bestrafung nur dann eine effektive Funktion wenn sie auch effektiv durchgeführt wird - also das Individuum auch davon ausgeht dass er/sie bestraft wird wenn er/sie gegen das Gesetz verstößt.
Realistisch ist das freilich nicht. Es wird wohl kaum möglich sein, dass eine auch nur annährend zur Abschreckung ausreichende Aufklärungsquote erreicht werden kann. Das Individuum stellt daher eine Trade-Off Überlegung an bei welcher das (geringe) Risiko mit dem daraus resultierenden (hohen) Nutzengewinn verrechnet wird; welches nunmal die Folge hat, dass es (in zumindest erster Instanz) rational ist gegen das Gesetz zu verstoßen.

Des weiteren löst diese Maßnahme nicht gefundene Exploits außerhalb der Gesellschaft - da die Exekutive hier keine Macht besitzt. Hier könnte man allerdings den Schluss ziehen zu sagen, dass alle Gesellschaftlichen (Rechtsgebiete) sich rationalerweise zusammentun sollten und dieses Gesetz gemeinsam einführen - da dadurch ein Nutzengewinn zu Stande kommt. Wozu in der Realität allerdings keine Möglichkeit besteht - trotz Instanzen wie Interpol.

Was hat uns das also gebracht?
Die Einsicht, dass wir solange wie nicht diese beiden Probleme in den Griff kriegen keine Lösung des Problems durch eine Gesetzgebung, welche das preisgeben von Exploits gebietet, lösen können.
(und hierbei wurde sich vorerst nur auf den Homo-Ökonomikus bezogen, es gibt noch ganz andere Motivationsmodelle)

Das Ganze dient als Beispiel dazu wie eine sehr oberflächliche moralische Überlegung zu so einem Thema aussehen könnte. (Wenn ihr schon den Begriff Moral ins Thema packt ;) )
Es sei aber gesagt, dass das hier nur die Spitze des Eisbergs ist - würde ich die Thematik tatsächlich tiefgründig angehen würden hier sehr schnell mehrere dutzend Seiten zusammenkommen (allerdings auch wohlmöglich die ein oder andere gewinnbringende Erkentniss)
 

benediktibk

Standardgruppe für nicht aktivierte User
Außerdem würde sich beim Ansatz kaum einer mehr die Mühe antun Exploits zu suchen. Dadurch dass das Ergebnis einer Suche nach Exploits ja strafbar ist wäre gewissermaßen schon die Exploitsuche ganz allgemein strafbar. So nach dem Prinzip: Mit Waffen schießen ist allgemein verboten, man darf aber am Abzug einer geladenen Waffe ziehen.

mfg benediktibk
 

end4win

Member of Honour
@orniflyer
Also eine Behörde und eine strafbewehrte Meldepflicht für Exploits halte ich doch
für etwas übertrieben.
Wir haben schliesslich unseren heissgeliebten Hackerparagraphen. :D
Mal abgesehen davon, dass eine solche Behörde auch nicht mehr machen könnte,
als den Bug dem Softwarehersteller weiterzuleiten und zu hoffen das dieser ihn
schnell gefixt bekommt, reicht meiner Meinung nach die Strafandrohung der
Nutzung einer solchen Lücke an fremden Systemen und deren wissentliche
Weitergabe zu diesem Zweck vollkommen aus.
Angesichts der Masse an Softwarefehlern und den dazugehörigen Exploits ist die
Anzahl derer. die dann wirklich eine Gefahr, weil sie Remote anwendbar sind,
relativ gering. Zudem basieren sie oft genug auf einer speziellen Konfiguration
des Systems und nicht aktueller Software.
Meiner Meinung nach wäre es eine gewaltige Verschwendung von staatlichen
Ressourcen. Man müsste hier also erstmal bei den Usern ansetzen, dass diese
ihre Systeme nach dem aktuellen Stand sicher halten, dies wäre dann allerdings
ein gewaltiger Eingriff, welcher einen Rattenschwanz an Überwachung und Reklementierungen
nach sich ziehen würde.

Gruss
 

muller

Banned
Humor?

Ich bitte höflichst um Verzeihung, aber auch in diesem Thema hier werden Dinge besprochen die es in der Form überhaupt nicht gibt.

Jeder der sich selbst ernst nimmt weiß, dass der hier thematisierte Markt für exploits nicht existiert.

Ich ziehe es erstmal vor zu glauben, dass hier die gesamte Rubrik "Politik" nicht ernst gemeint sein kann oder ein Verständnisproblem vorgespielt wird um auf mir noch unverständliche Weise zu unterhalten.

Gruß
muller
 
Zuletzt bearbeitet:

muller

Banned
verstehendes Lesen

xrayn, ich werde nicht versuchen unhöflich zu sein, weil ich das Niveau nicht dauerhaft so tief halten kann. Dich ehrt, diese Gabe zu haben.
Wenn Du meinst, mit Beleidigungen, Comics und der abgedroschensten Linksammlung die Du finden konntest antworten zu müssen kann ich nur spekulieren was Dein Problem ist und lasse das lieber.

Wenn Du das ernst meinst kann Dir im Moment sowieso keiner helfen. Wirklich nicht.

Es bleibt zu wiederholen, dass es die hier beschriebene Form des Handels mit exploits so nicht gibt und nie geben wird.
 
Zuletzt bearbeitet:

SchwarzeBeere

Moderator
Mitarbeiter
Es bleibt zu wiederholen, dass es die hier beschriebene Form des Handels mit exploits so nicht gibt und nie geben wird.

Hast du auch Argumente, die deine These untermauern oder wenigstens auf ein solides Fundament stellen könnten? Oder kannst du das hier Gesagte in irgendeiner Form widerlegen? Wenn ja - immer her mit den Infos. Eine Diskussion lebt nunmal von lebendigen (Gegen-)meinungen ;)
 

CDW

Moderator
Mitarbeiter
Ich bitte höflichst um Verzeihung, aber auch in diesem Thema hier werden Dinge besprochen die es in der Form überhaupt nicht gibt.
muller hat gesagt.:
Es bleibt zu wiederholen, dass es die hier beschriebene Form des Handels mit exploits so nicht gibt und nie geben wird.
( ) Du hast das erste Posting gelesen.
( ) Du hast das erste Posting gelesen und verstanden.
1 Posting hat gesagt.:
Ist es moralisch in Ordnung, wenn man Exploits entwickelt & verkauft?
( ) Du möchtest einfach trollen.
 

muller

Banned
Antworten & Vorschläge

Hast du auch Argumente, die deine These untermauern?
reichlich
oder wenigstens auf ein solides Fundament stellen könnten?
Ja und Argumente tun das auch ohne mich.
Oder kannst du das hier Gesagte in irgendeiner Form widerlegen?
Ja

Es ist für mich auch kein Problem es einfach zu unterlassen.

Vorschläge/Möglichkeiten:
- Thema eröffnen (geduldeter Ort)
- PM
- email
- blog
- chat
- mich persönlich besuchen
- in der sogenannten Öffentlichkeit
- be imaginative

allen Nicht-Interessenten wünsche ich herzlichst
happy exploit trading or happy fighting exploit trading

Für Interessenten wurden Vorschläge gemacht.

Gruß von mir und vom President of The Leading Providers of Defensive and Offensive Cyber Security Intelligence (sorry for that! :wink:)
 
Oben