Betreiber von Exploit-Auktionen spricht auf Microsofts Hacker-Konferenz

Die kontrovers diskutierte Plattform WabiSabiLabi bietet seit Juli Informationen über Sicherheitslücken und Exploits dem Meistbietenden zum Kauf an.

In Pocket speichern vorlesen Druckansicht 70 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Auf Microsofts hauseigener Hackerkonferenz Blue Hat, auf der die Elite der Sicherheitsspezialisten spricht, aber nur geladene Gäste zuhören dürfen, hat dieses Jahr auch erstmalig ein Vertreter der Exploit-Auktionsplattform WabiSabiLabi (WSLabi) gesprochen. Die kontrovers diskutierte Plattform bietet seit Juli Informationen über Sicherheitslücken und Exploits dem Meistbietenden zum Kauf an. WSLabis Strategic Director Roberto Preatoni gestand gegenüber US-Medien, über die Einladung selbst überrascht gewesen zu sein. Allerdings habe man bereits erste Kontakte mit Microsoft geknüpft.

Preatoni verteidigte auf der Konferenz das WSLabi-Konzept: Einige Sicherheits-Firmen würden das Full-Disclosure-Prinzip missbrauchen, um kostenlos an Informationen über Schwachstellen zu kommen. Die Entdecker der Lücken, die unter Umständen sehr viel Arbeit in deren Entdeckung gesteckt hätten, gingen dann leer aus. Dies habe nach Angaben von Preatoni dazu geführt, dass einige die Informationen an Cyberkrimininelle verkauft hätten. Um zu verhindern, dass diese künftig ihre Informationen über WSLabi beziehen, gäbe es mehrere Überprüfungen der Kaufer durch die Mitarbeiter von WSLabi, darunter auch ein Abgleich der Daten von Personalausweisen mit Bankkontodaten.

Bislang habe man über 1000 Abonnenten auf der Mailingliste und Daten über 128 Schwachstellen von verkaufswilligen Sicherheitsexperten erhalten. Laut Preatoni werden auf der WSLabi-Webseiten die häufigsten Zugriffe von Cisco, Microsoft, IBM, Veritas, Symantec, F-Secure, der U.S. Army, Oracle, VeriSign und SAP verzeichnet. Neben Preatonis Ausführungen gab es auch Vorträge von Halvar Flake, H.D. Moore, Alexander Kornbrust, Dan Kaminsky, David Litchfield und Dug Song zu verschiedenen Sicherheitsthemen.

Siehe dazu auch:

(dab)