Bestellplattform für Exploits

Auf dem Schwachstellen-Marktplatz Exploit Hub können sogenannte Penetration Tester nun auch ein Kopfgeld für Exploits ausschreiben. Bislang war nur der umgekehrte Weg möglich: Exploit-Entwickler konnten ihre Demo-Programme interessierten Pentestern zum Kauf anbieten – vergleichbar mit einem eBay für Exploits. Die Pentester nutzen die Exploits, um die Systeme ihrer Auftraggeber auf Verwundbarkeit zu prüfen. Im Exploit Hub dürfen nur Exploits für bereits gepatchte Lücken gehandelt werden.

Um das Belohnungssystem anzukurbeln, hat NSS Labs selbst Exploits für zehn Lücken in Internet Explorer und zwei in Adobe Flash zur Fahndung ausgeschrieben. Dabei gilt das Prinzip "Wer zuerst kommt, mahlt zuerst": Der erste Einsender eines funktionsfähigen Exploits bekommt die Geldprämie. Die Exploits müssen Code in das verwundbare System einschleusen.

Die Aktion scheint bereits erste Früchte zu tragen: die beiden Flash-Lücken sind schon von der Fahndungsliste verschwunden. Weiterhin können Exploit-Entwickler die Plattform nutzen, um ihren Code zu einem selbst wählbaren Preis zum Kauf anzubieten. Der Betreiber NSS kassiert dabei eine Provision von 30 Prozent.

Wer selbst eine Lücke entdeckt hat, wird sollte sich direkt an den Hersteller wenden. Mozilla und Google belohnen dies mit bis zu 3133,7 US-Dollar. Alternativ gibt es Angebote wie die Zero Day Initiative (ZDI) von TippingPoint, an die Bug-Jäger gegen Bezahlung bis dato unbekannte Lücken melden können. TippingPoint gibt die Informationen anschließend an den betroffenen Hersteller weiter und bereitet seine Intrusion-Prevention-Systeme auf die Bedrohung vor. (rei)