Kopfgeld auf Apache

In der IT-Security-Szene kursieren Gerüchte über ein Sicherheitsloch in der aktuellen 1.3.x-Version von Apache (1.3.27), für die sogar ein Exploit im Umlauf sein soll. Diese Gerüchte nimmt die Firma iDefense offenbar zum Anlass, Hacker gezielt auf den Open-Source-Webserver anzusetzen. In einem E-Mail-Rundschreiben, das heise online vorliegt, heißt es: "Hat jemand von so einem Exploit gehört? Welche Schwachstelle könnte der ausnutzen? Die Prämie für solche Sachen steigt." ("Bounty is increasing for this kind of stuff.")

iDefense setzt bereits seit August 2002 Prämien für die Aufdeckung von Sicherheitslöchern aus. Ihre Höhe bemisst sich daran, ob es sich lediglich um die Meldung einer Verwundbarkeit handelt oder gar ein Exploit geliefert wird, wie gefährlich das Sicherheitsloch ist, wie detailliert darüber berichtet wird, wie viel Benutzer betroffen sind und auf welche Systeme sich der Angriff anwenden lässt. Der am Vulnerability Contribution Program (VCP) Interessierte darf seine Meldung selber veröffentlichen, alternativ kann er dies iDefense überlassen. Die Anonymität des Meldenden wird auf Wunsch gewahrt.

Gezahlt wird nur bei Erfolg: Nur wenn iDefense das gemeldete Problem reproduzieren kann, gibt es Geld. Vor einer Veröffentlichung wird der Hersteller informiert, um ihm Gelegenheit zu geben, das Loch zu beseitigen. iDefense übernimmt dabei sämtliche Verhandlungen mit dem Hersteller.

Auch die eigenen Kunden informieren die Sicherheitsberater noch vor der breiten Öffentlichkeit über die neueste Angriffsmöglichkeit. Sie sollen so in den Genuss einer Vorlaufzeit kommen, um entsprechende Abwehrmaßnahmen einleiten zu können -- solche Dienste lassen sich die Sicherheitsfirmen natürlich gut bezahlen, und das nicht nur zur Finanzierung der Kopfgelder auf Sicherheitslücken. (ola)