Ist der Verkauf von Zero-Day-Exploits ethisch vertretbar?
Zero-Day-Sicherheitslücken sind Fehler in Anwendungen, von denen keiner weiß, bevor es zu spät ist. Kaliber wie Heartbleed oder Shellshock oder jüngst POODLE erlauben es Hackern und Angreifern, bösartigen Code auf fremden Rechnern auszuführen. Andere wie Sandworm und Operation Snowman öffnen zuvor unbekannte Türen in Ihren Computer, wodurch Malware-Schöpfer ihre Opfer auf neue und oftmals ungeschützten Wegen infizieren können.
Zero-Day-Exploits sind gefährlich, da Nutzer nach Bekanntwerden des Problems wortwörtlich “null Tage” Zeit haben, ein Patch einzuspielen. Sobald eine Zero-Day-Sicherheitslücke bekannt wird, können Sie mit ziemlicher Wahrscheinlichkeit davon ausgehen, dass sie bereits von Kriminellen ausgenutzt wird. Aus diesem Grunde ist die größte Sorge beim Thema Zero-Day-Schwachstelle nie, wann ein Problem erkannt wird – denn Bugs werden immer erkannt. Viel relevanter ist die beunruhigende Frage, wie es dazu kommt.
So werden Zero-Day-Probleme erkannt
Die Untersuchung von Zero-Day-Sicherheitslücken ist eine große Sache, und es geht dabei um viel Geld.
Auf der einen Seite gibt es interne Rechercheure, die von Software-Unternehmen angestellt werden, um aktiv nach Sicherheitslücken in den Produkten der Unternehmen suchen, damit man Angreifern einen Schritt voraus bleibt. Werden Zero-Day-Sicherheitslücken gefunden, erhält die Software einfach „ein paar Updates“, und das Problem ist stillschweigend behoben, ohne dass die Nutzer eine Sicherheitswarnung erhalten müssen.
Dies ist zum Beispiel der Fall beim zweiten „Patch“-Dienstag jeden Monat bei PCs mit Windows als Betriebssystem. Derartige Patches sind keineswegs perfekt, und es gibt immer ein kleines Zeitfenster zwischen der Veröffentlichung und dem automatischen Update, das sich Angreifer zu Nutze machen können. Doch machen diese gutgemeinten Patches trotz verbleibender oder neuer Schwachstelle immerhin noch das Beste aus einer bereits bekannt schlechten Situation.
Auf der anderen Seite sieht es dagegen weitaus weniger schön aus. Dort stehen die finanziell motivierten Hacker, die neue Sicherheitslücken ganz allein erkennen.
Sie haben keinerlei Verbindung zu dem Unternehmen oder den Nutzern, die von ihrer Entdeckung betroffen sind, und wollen einfach so viel Geld machen wie möglich, ohne Rücksicht auf andere (oder das Gesetz). In diesem Szenario ist es vorteilhaft, den Mund zu halten und sich die Zero-Day-Sicherheitslücke im Rahmen eines Exploits für eine Malware-Kampagne zu Nutze zu machen. So können mithilfe von Bots gleich Tausende neuer Opfer in wenigen Tagen infiziert werden. Wird die entsprechende Sicherheitslücke schließlich von einem System-Administrator oder anderen Berichterstattern erkannt, wird sie letztlich behoben – aber all dies dauert seine Zeit.
Zwischen diesen beiden Extremen wird es interessant. Manchmal sind die Guten keine offiziellen Angestellten – manchmal sind sie unabhängige Rechercheure, die auf Belohnungen für Bugs aus sind, die bei großen Unternehmen wie Facebook und Microsoft bis zu 150.000 $ betragen können.
Manchmal bekommen diese Rechercheure ihre Belohnungen zusammen mit 15 Minuten Ruhm und Ehre, manchmal aber auch nicht. Im letzteren Fall verschiebt sich alles ein bisschen in die Grauzone, denn verschmähte Rechercheure entscheiden sich bisweilen dazu, ihre Funde öffentlich bekannt zugeben, ohne dass die betreffende Firma dazu ihr Einverständnis gegeben hätte.
In derartigen Situationen ist das Unternehmen üblicherweise zum raschen Handeln gezwungen – aber ob die Nutzer auf der sichereren Seite wären, wenn niemand davon gewusst hätte, ist heftig umstritten. Sie können nicht wissen, was Sie nicht wissen, und bei Zero-Day-Exploits bedeutet das, dass die Möglichkeit besteht, dass sie ebenfalls jemand mit bösen Absichten erkannt hat. Was die Überwachung angeht, so könnte diese Person mit „bösen Absichten“ sogar jemand bei der Regierung sein; in der Tat haben manche in den letzten Monaten nahe gelegt, dass die NSA von Heartbleed wusste.
Zero-Day-Exploits, frische Zero-Day-Exploits!
Wer sonst findet also noch Zero-Day-Sicherheitslücken, um diese auszunutzen? Nun, eine bessere Frage wäre wohl: was geschieht, wenn diese zur Ware werden? Was geschieht, wenn ein paar Unternehmer erkennen, dass das oben dargelegte Spektrum viel mehr als ein Sammlung von Wegen und Mitteln darstellt, auf die Software-Fehler erkannt und bekannt gegeben werden? Wenn sie sich dessen bewusst werden, dass es sich hierbei um die wahre Welt handelt, die nur so vor unerfüllter ökonomischen Nachfrage strotzt?
Betreten Sie die Welt der Untersuchung von Zero-Day-Schwachstellen zu finanziellen Zwecken. Hier werden Sicherheitslücken gekauft und an den Höchstbietenden verkauft.
Hier werden Sicherheitslücken nicht nur beiläufig von Sicherheitsfanatikern untersucht, welche die Welt der Software sicherer und vielleicht auch den einen oder anderen Euro dabei machen möchten. Hier sucht man in aggressiver Art und Weise nach Zero-Day-Sicherheitslücken – und sobald man sie findet, nutzt man die Angst einer Aufdeckung durch die Öffentlichkeit als effizientes Verkaufsinstrument.
Das funktioniert so:
Jemand tritt an ein Unternehmen heran und berichtet davon, dass er eine (bis dato) geheime Sicherheitslücke in Ihrem Produkt gefunden habe, mit Hilfe derer andere Sie und Ihre Kunden um ihr Geld und persönliche Informationen erleichtern könnten.
Diese Person gewährt Ihnen Zugang zu diesen geheimen Informationen, aber nur gegen Zahlung. Zunächst sind Sie verzweifelt, aber dann denken Sie: soll ich dieser Person vertrauen? Oder ihr die Tür vor der Nase zuschlagen? Dann erkennen Sie: wenn diese Person die Wahrheit sagt, was könnte sie dann davon abhalten, diese angeblich geheimen Informationen auch an andere zu verkaufen?
Von einem rechtlichen Standpunkt aus würde dem nichts im Wege stehen. Denn die Untersuchung von Zero-Day-Sicherheitslücken und sogar der Handel damit ist vollkommen legal. Denn es ist nicht das Gleiche, von einer Zero-Day-Sicherheitslücke zu wissen und diese mit einem Zero-Day-Exploit auszunutzen. Von einem Fehler zu wissen ist nicht illegal, und Unternehmen, die von solchen Fehlern betroffen sind, können mit diesem Wissen etwaige verheerende Sicherheitsdebakel verhindern. Das Problem ist allerdings, dass dieses Wissen nicht immer an jene Unternehmen verkauft wird, die davon betroffen sind. Es wird nach Gutdünken des Verkäufers an jeden verkauft, der entsprechend zahlungswillig ist.
Manchmal wird es an Konkurrenten verkauft. Manchmal auch an Regierungen. Die Preise bewegen sich im fünf- bis siebenstelligen Bereich, und viele der Großkunden zahlen für katalogartige Abonnements, die ihnen pro Jahr Zugang zu Hunderten Sicherheitslücken gewähren.
Kleinere Software-Unternehmen auf der anderen Seite können sich das oftmals allerdings nicht leisten. Dies bedeutet häufig, dass unabhängige Rechercheure sich nicht einmal die Mühe machen, nach Fehlern in solchen Produkten zu suchen, selbst wenn diese Produkte gut sind und von vielen Menschen verwendet werden. Es kann ebenso bedeuten, dass beim Erkennen von Zero-Day-Sicherheitslücken, die eigentlich kleinere Unternehmen betreffen, Rechercheure viel mehr verdienen können, indem sie ihr Wissen an größere Konkurrenten verkaufen und die betroffene Firma oder ihre Nutzer in Unkenntnis lassen.
Firmen, die derlei Fehler finden und verkaufen, lassen sich leicht mit Google finden. Bei einer Suche werden Sie schnell feststellen, dass es wirklich viele gibt und sich unter den Ergebnissen auch ein paar Artikel finden, die sich mit der Ethik des Themas beschäftigen.
Wissen um Zero-Day-Schwachstellen mag sich grundlegend von der Ausnutzung von Zero-Day-Exploits unterscheiden – aber die Frage, ob man dieses Wissen verkaufen sollte, um Exploits vorzubeugen, bleibt ohne Antwort. In einer freien Marktwirtschaft, in der mit Sicherheitslücken gehandelt wird, ist das Einzige, was ein Unternehmen oder eine Person davon abhält, eine Zero-Day-Sicherheitslücke an Kriminelle oder repressive Regierungen zu verkaufen, das Gewissen dieses Unternehmens oder dieser Person. Viele halten dieses Hindernis für viel zu subjektiv und mit dem Einsatz der richtigen Geldsummen allzu leicht zu beseitigen. Viele sorgen sich ebenso darum, dass die meisten Händler sich geschworen haben, ihre Kunden geheim zu halten.
Für Nutzer, die von Sicherheitsfehlern in den Produkten betroffen sind, mit denen sie ihre Arbeit und ihr Leben organisieren, stellt sich an dieser Stelle die Frage, ob die Untersuchung von Zero-Day-Schwachstellen letzten Endes positive oder negative Auswirkungen hat.
Grundlegend gilt: Ist Software sicherer in einer Welt, in der die Untersuchung von Zero-Day-Exploits in privater Hand liegt? Oder ist der Handel mit Sicherheitslücken einfach Malware Light?
Wie immer freuen wir uns darauf, Ihre Gedanken zum Thema zu lesen.
Wir wünschen eine schöne Zeit (ohne Zero-Day-Sicherheitslücken)!