Exploits für Strafverfolger im Angebot

Die Bug-Sucher von Vupen bieten Strafverfolgern einen besonderen Service: Sie suchen gezielt nach Exploits in Software, mit deren Hilfe die Behörden Rechner angreifen können. Ob auch deutsche Strafverfolger zu den Abnehmern gehören, ist nicht bekannt.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Uli Ries
  • Daniel Bachfeld

Ganz offen beschreibt der französische IT-Sicherheitsdienstleister Vupen seinen Exploit-Dienst für Strafverfolgungsbehörden im Internet (Law Enforcement Agencys, LEA). Damit betreten die professionellen Bug-Jäger Neuland. Denn Vupen-Geschäftsführer Chaouki Bekrar sagte gegenüber c’t noch vor wenigen Monaten, dass die mit den Regierungsorganisationen geschlossenen Verträge einen offensiven Einsatz der von Vupen gelieferten Informationen ausschließen. Lediglich zur Verteidigung der eigenen kritischen Infrastruktur sollten die Details über Bugs und Exploits dienen dürfen. Wie und ob Vupen diese Klausel jemals überprüfte, blieb unklar.

Jetzt ist von Verteidigung keine Rede mehr: Bereits im englischen Seitenbanner des angebotenen LEA-Dienstes bewirbt man den Dienst mit dem Adjektiv "offensive". Welche Einsatzszenarien als offensiv bezeichnet werden, dürfte auf der Hand liegen: Einschleusen von staatlich verordneter Schadsoftware wie dem Bundestrojaner im Inland und infizieren von PCs in ausländischen Unternehmen respektive Regierungsbehörden.

Auf die Diskrepanz zwischen dem Angebot und seiner damaligen Aussagen angesprochen, sagte Bekrar gegenüber heise Security, dass "unsere Dienstleistungen sich weiterentwickeln, um den Ansprüchen unserer Kunden zu genügen. Zu diesen Ansprüchen gehört auch die nationale Sicherheit." In diesem Zusammenhang betonte er, dass nur "vertrauenswürdige Organisationen" aus den Mitgliedsstaaten von NATO, ANZUS (Australia, New Zealand, United States) und ASEAN (Verband Südostasiatischer Nationen) als Abnehmer für Bugs und Exploits infrage kommen. Welche Behörden dies genau ist, wollte Bekrar nicht verraten. Und auch sonst gibt Vupen keinerlei Details über die Dienstleistung preis.

Im Verborgenen bleibt auch, wie die bisherigen Vupen-Kunden aus der Softwarebranche den LEA-Service aufnehmen. Denn mitunter dürften es ihre Produkte sein, in denen die festangestellten Hacker Lücken ausmachen. Würde Vupen diese Informationen im Rahmen seines herkömmlichen Informationsangebots TPP (Threat Protection Program) an den betroffenen Hersteller weitergeben, wäre der 0day-Exploit kein solcher mehr – ein Update stünde schneller bereit, als es den Strafverfolgern lieb sein kann. Insofern schließen sich die Dienste aus. Vupen-Boss Bekrar sagte hierzu nur: "Wir kümmern uns um all unsere Kunden. Egal ob Softwarehersteller, Fortune-500-Unternehmen oder Regierungen."

Einmal mehr hat ein von Vupen angebotener Dienst aus Sicht der Softwarehersteller einen milden Anklang von Erpressung. Denn es gibt Andeutungen, dass die Exploit-Jäger nur die betroffenen Softwarehersteller informieren – gegen ein höheres Entgelt beispielsweise.

Ebenso wenig auskunftsfreudig wie Vupen zeigte man sich bei deutschen Strafverfolgungsbehörden wie dem Bundeskriminalamt. Eine Sprecherin wollte gegenüber heise security weder bestätigen noch verneinen, ob man zu den Vupen-Kunden gehöre. Und auch eine generelle Einschätzung des LEA-Dienstes mochte das BKA nicht abgeben. Genauso hält es auch Adobe, dessen Produkte höchstwahrscheinlich im Fokus der Bemühungen von Vupen stehen dürften. Zum Thema Vupen wollte man keinen Kommentar abgeben.

Der unter anderem durch verschiedene Preisgewinne beim hochdotierten Hackerwettbewerb Pwn2Own bekannt gewordene Charlie Miller hat indes mit Vupens Vorgehen kein Problem: "Wer auch immer einen Bug findet, kann damit machen, was er will", erklärte Miller gegenüber heise Security. Er ergänzte: "Vupen geht einen neuen Weg, um Bugs zu Geld zu machen. Wir Sicherheitsforscher kämpfen alle mit diesem Problem. Gerne würden wir von der Bug-Jagd leben. Aber die Prämien sind zu niedrig, um davon eine Familie zu ernähren. Ich wünsche Vupen jedenfalls viel Glück und bin gespannt, wie sich die Sache entwickelt."

Vupen-Chef Chaouki Bekrar ist jedenfalls der Meinung, dass sein Unternehmen nicht das einzige ist, das Wissen rund um Sicherheitslücken an Strafverfolger weitergibt: "Softwarehersteller wie Microsoft teilen Information über 0day-Exploits mit Regierungen. Angeblich, um die kritische Infrastruktur zu schützen", so Bekrar. Microsoft hat mit DISP (Defensive Information Sharing Program) in der Tat ein Programm, das die Zusammenarbeit mit Behörden regelt. Wie ein Microsoft-Sprecher gegenüber heise Security erklärte, werden im Rahmen von DISP jedoch lediglich wenige Details über die kommenden Sicherheitsupdates an die Regierungsstellen weitergegeben, die für den Schutz der kritischen Infrastruktur verantwortlich sind. Man gebe aber keine Informationen über noch nicht veröffentlichte Schwachstellen frei, solange kein Sicherheitsupdate bereitsteht. Mehr wollte Microsoft, das einen neuen Leiter für das Programm sucht, nicht über DISP nicht sagen.

Bekrar jedenfalls bezweifelt, dass die auf diesem Weg verteilten Informationen nur Gutes tun: "Niemand kann sich sicher sein, wie dieses Wissen von Regierungen verwendet wird. Es kann mir niemand erzählen, dass die von Microsoft gelieferten Details nur zur Verteidigung verwendet werden", erklärte der Vupen-Geschäftsführer.

Der Sicherheitsexperte Charlie Miller hingegen sieht dies etwas entspannter: "Exploits sind nur Werkzeuge. Der Einsatzzweck entscheidet, ob es etwas Gutes oder Schlechtes daraus wird. Vupen verkauft offenbar nur an vertrauenswürdige Regierungen. Ich bin kein besonderer Freund meiner eigenen Regierung. Ich kann denen aber nicht böse sein, die Waffen an die Regierung verkaufen. Schließlich gehört das zu den Rollen einer Regierung."

Abseits des Geschäfts mit Strafverfolgern scheinen Bekrar und seine Kollegen hin und wieder den Robin Hood in sich zu entdecken: Per Twitter teilte der Vupen-Boss mit, dass sein Unternehmen auch Schwachstellen gratis an betroffene Softwarefirmen weiterreicht – solange es sich nicht um einen milliardenschweren Hersteller handelt. (dab)