US-Navy sucht Exploit-Entwickler

Das Naval Supply Systems Command (NAVSUP) der US-Navy sucht nach einem "qualifiziertem Lieferanten, der dazu in der Lage ist, funktionsfähige Exploits zu entwickeln". Dies geht aus einer öffentlichen Ausschreibung hervor, die mittlerweile gelöscht wurde. Eine Kopie davon findet sich noch bei den Bürgerrechtlern der EFF. Die Navy interessiert sich sowohl für Zero-Day-Exploits als auch für Exploits, die Lücken ausnutzen, welche vor maximal sechs Monaten geschlossen wurden.

Die gelieferten Exploits müssen in gängige Exploit-Frameworks integrierbar sein, sodass die Navy eine eigene Payload auswählen kann, die nach dem Ausnutzen der Sicherheitslücke ausgeführt wird. Der Ableger der Kriegsmarine hat es unter anderem auf Angriffscode abgesehen, der es mit Android, Java und Linux sowie Produkten von Adobe, Apple, Cisco, IBM, Linksys, Microsoft und Novell aufnehmen kann.

Über einen Zeitraum von zunächst einem Jahr soll der Vertragspartner der Navy quartalsweise eine Liste von Schwachstellen zur Verfügung stellen, aus der sie eine Auswahl trifft, für die passende Exploits entwickelt werden sollen. Die Navy räumt sich ein, den Vertrag bei Bedarf um weitere drei Jahre zu verlängern.

Der Vertragsnehmer muss im Jahr mindestens zwei Exploits pro Quartal und insgesamt zehn pro Jahr abliefern. Wichtig ist dem Auftraggeber auch, dass sich die Exploits so weit von verbreiteten Proof-of-Concepts unterscheiden, dass sie nicht über deren Signaturen aufspürbar sind. (rei)