Öffentliche Auktionsplattform für Exploits gestartet
Ein Linux-Exploit für 500 Euro gefällig? Oder lieber doch den Exploit für den Yahoo Messenger 8.1? Sinn der Plattform soll es sein, dass Sicherheitsspezialisten aus ihrer Arbeit den größtmöglichen Gewinn schlagen sollen.
- Daniel Bachfeld
Dass es im Untergrund Auktionen gibt, bei denen Exploits zum Ausnutzen von Sicherheitslücken verhökert werden, ist seit Längerem bekannt. Nun wollen die Betreiber des virtuellen Markplatzes WabiSabiLabi eine Auktionsplattform bieten, auf der laut FAQ jeder Sicherheitsspezialist öffentlich Exploits für bislang unbekannte Sicherheitslücken anbieten kann. Damit soll der Verkäufer den bestmöglichen Gewinn für seine Bemühungen erzielen. Um den Missbrauch für illegale Zwecke zu verhindern, müssen sich sowohl Verkäufer als auch potenzielle Käufer vorher registrieren. Der mögliche Käufer soll dabei einer Prüfung unterzogen werden. Wie genau das vonstatten geht, schreiben die Betreiber, deren Standort in der Schweiz liegt, nicht. Im Anschluss an die Registrierung soll man immerhin eine Kopie des Personalausweises faxen und eine Telefonnummer angeben.
Aktuell stehen vier Exploits zum Verkauf: Eine lokal ausnutzbare Lücke unter Linux – Startpreis 500 Euro –, ein Exploit für eine aus der Ferne ausnutzbare Lücke im Yahoo! Messenger 8.1 unter Windows XP (2.000 Euro). Ein Exploit für eine Lücke in Squirrelmail startet bei 500 Euro, per Sofortkauf ist er für 1000 Euro zu haben. Zuletzt steht noch ein Exploit für eine SQL-Injection-Lücke in MKPortal in der Liste. Bislang wurde aber noch für keinen der Exploits ein Gebot abgegeben.
Um das Wissen über Sicherheitslücken und das Bauen von Exploits ist in den vergangenen Jahren ein durchaus umsatzstarker Markt entstanden. Zur CeBit spekulierte der Gründer der Kaspersky Labs Eugene Kaspersky: "Wir haben es immer mehr mit einer weltweiten Industrie zu tun, die tausende Menschen beschäftigt. Ich würde mich nicht wundern, wenn sie Beträge umsetzt, die über den Erlösen der Sicherheitssoftware-Branche liegen." Schließlich gehöre zur Internet-Kriminalität eine Begleitinfrastruktur wie Geldwäsche. Auch große Sicherheitsdienstleister wie TippingPoint und iDefense kaufen im Rahmen ihrer Bounty-Programme Informationen über Sicherheitslücken, um ihre Kunden zu schützen.
Siehe dazu auch:
- Exploit-Marketplace, Auktionen auf WabiSabiLabi
(dab)
