Promi-Hacker Kevin Mitnick will beim Exploit-Verkauf mitmischen

Hacker Kevin Mitnick hat den Absolute Zero Day Exploit Exchange aus der Taufe gehoben. Laut Wired arbeitet er bereits seit gut einem halben Jahr an diesem geschlossenen Markplatz, auf dem Zero Day Exploits gehandelt werden sollen. Diese Angriffswerkzeuge sind kritisch, da die Hersteller der betroffenen Produkte wahrscheinlich nichts von der durch den Exploit missbrauchten Lücke wissen. Oder zumindest noch kein Update dafür bereit haben, das die Lücke stopft und den Angriff vereitelt.

Der Einstiegspreis für die laut Webseite exklusiven Exploits soll bei 100.000 US-Dollar liegen. Dafür erwarte den Käufer dann ein funktionierender Angriff auf einen Bug, der mindestens eine Wertung von 8 beim Common Vulnerability Scoring System (CVSS) erhalten würde und in einer weit verbreiteten Software zu finden ist. In der Vergangenheit wurden von anderen Anbietern, die sich in diesem Markt tummeln, jeweils Software wie Adobe Flash, Adobe Reader, Windows, Apples iOS oder Google Chrome als Angriffsziele genannt. Programmiert würden die Angriffs-Tools von eigenen Mitarbeitern und externen Zulieferern. Wieviel Mitnick den freiberuflichen Exploit-Spezialisten jeweils zahlt, geht aus dem öffentlichen Teil der Seite nicht hervor. Käufer können zudem durch die Höhe ihres Gebots die Zeitspanne bestimmen, während der sie exklusiv Zugriff auf den jeweiligen Exploit haben.

Die Exploit-Büchse der Pandora

Verkäufer und Käufer müssen Mitnick entweder persönlich bekannt sein, oder sich durch ein nicht näher beschriebenes, kostenpflichtiges Verfahren als vertrauenswürdig erweisen. Bei vergleichbaren Diensten, wie sie schon seit längerem von Netragard, Vupen, Endgame Systems oder Exodus Intelligence angeboten werden, gibt es in dieser Hinsicht noch weniger Transparenz: Niemand weiß, wie die Anbieter ihre Kunden und Lieferanten auswählen und was mit den Exploits passiert. Dieser Punkt wird dann auch regelmäßig kritisiert: Die Exploit-Händler stehen unter dem Verdacht, Regierungsbehörden wie der NSA die Werkzeuge zu liefern, die diese für ihre weltweiten Angriffe benötigten. Im Fall von Kevin Mitnick hätten Geschäfte mit der US-Regierung einen besonderen Beigeschmack, da er selbst jahrelang vom FBI gejagt wurde.

Mitnick sagte gegenüber Wired, dass er niemals an Regierungen wie die syrische verkaufen würde. In all den Jahren der Diskussion über den Verkauf von Exploits wurde aber noch kein Verfahren bekannt, mit dem Verkäufer nachvollziehen können, was die Käufer mit den Tools machen. Zudem finden sich in der öffentlichen Kritik stehende Werkzeuge wie FinFisher oder das Remote Control System der italienischen Firma Hacking Team, die ebenfalls von Zero Day Exploits Gebrauch machen, immer wieder in Staaten mit Demokratiedefiziten wie Bahrein oder Pakistan. Dies soll angeblich ohne Zutun der Anbieter passiert sein – und genau das könnte auch Kevin Mitnick widerfahren. (fab)