Spekulationen über Schwarzmarktpreise für Exploits

Bis zu 5 Millionen Dollar würden auf dem Schwarzmarkt für gute Exploits in Adobe-Software gezahlt, ließ Matt Moynahan, Geschäftsführer des Sicherheitsunternehmens Veracode, kürzlich in einem Interview verlauten. Realistische Schätzungen gehen eher von einer Größenordnung von 100.000 Dollar aus.

Nicht erst seit Stuxnet gleich vier Zero-Day-Lücken in Windows ausnutzte, schießen die Spekulationen ins Kraut, was Informationen über solche Schwachstellen auf dem Schwarzmarkt kosten. Die von Moynahan ins Spiel gebrachte stolze Summe von 5 Millionen US-Dollar halten jedoch die meisten Sicherheitsexperten für maßlos übertrieben. Auch er selbst ruderte in einem Blog-Beitrag wieder zurück und korrigierte die Preisspanne auf 100.000 bis 500.000 US-Dollar.

Das untere Ende hält Dan Holden für realistisch. Er ist der Leiter der Sicherheitsforschung bei den DV Labs, zu denen auch die für den Pwn2Own-Wettbewerb bekannte Zero Day Initiative (ZDI) gehört. Im Gespräch mit heise Security erklärte Holden, dass Exploits für weitverbreitete Produkte wie Adobe Reader, Internet Explorer oder Windows zwischen 50.000 und 100.000 US-Dollar auf dem Schwarzmarkt bringen. "Was gerade verlangt wird, hängt immer vom Ziel der Angreifer ab. Manchmal sind Lücken gesucht, die sich für Wurm-Attacken eignen. Ein andermal soll per Spear-Phishing nur eine kleine Zahl von Opfern infiziert werden", erklärte Holden. Letzteres lässt sich am ehesten über Lücken in Adobe Reader oder einer Office-Anwendung bewerkstelligen.

Holden sollte wissen, wovon er redet, schließlich kauft die ZDI selbst Sicherheitslücken auf und steht damit in direkter Konkurrenz zu Schwarzmarkt-Käufern. Mit dem Geschäftsmodell von ZDI und Co. und der Motivation der Hacker, die mit ihnen zusammenarbeiten, befasst sich auch der Artikel Das Geschäft mit den Bugs in der aktuellen c't 5/11. (ju)