eBay schließt Auktion von geknacktem Vista-Notebook
Der Gewinner des Vista-Notebooks beim PWN-to-OWN-Wettbewerb auf der Sicherheitskonferenz CanSecWest hat versucht, das Gerät im geknackten Zustand auf eBay zu verkaufen. Das Internet-Auktionshaus hat die Auktion nach wenigen Stunden gestoppt.
Am letzten Tag des Wettbewerbs PWN-to-OWN auf der Sicherheitskonferenz CanSecWest schaffte es Shane Macaulay von Security Objectives, eine Sicherheitslücke in Adobes Flashplayer unter Vista SP1 zum Kompromittieren des Notebooks zu missbrauchen. Als er am Montag Abend das Gerät auf eBay verkaufen wollte, zog das Auktionshaus jedoch nach kurzer Zeit den Stecker: Die Auktion verstoße gegen die Regeln des Anbieters, nach denen verkaufte Gegenstände anderen nicht schaden dürften.
Eine eBay-Sprecherin äußerte gegenüber US-amerikanischen Medien, dass der Wortlaut der Artikelbeschreibung die Aufmerksamkeit der Sicherheitsexperten des Unternehmens erregt habe, die die Auktionen überwachen. "Dieses Laptop ist eine gute Fallstudie für jede/s Forensik-Gruppe/-Firma/-Individuum, die beweisen wollen, wie cool sie sind. Es ist ein echtes Beispiel und nicht nur eines aus der Konserve, wie es bei einer typischen Incident-Response-Simulation benutzt würde," soll der Auktionstext der New York Times zufolge gelautet haben.
Gegenüber dem britischen Register sagte Macaulay: "Zumindest beim eBay-Angebot war ich etwas sensationsheischend. Aber ich wollte einen Verkauf abschließen." Er habe die Wettbewerbsbedingungen nicht verletzen wollen, die die Veröffentlichung von Details der Lücke vor dem Bereitstehen eines Patches verbieten. Er sei sich sicher, dass die Lücke bereits gepatcht wäre, wenn die Käufer das Notebook erhalten hätten. Er habe das aber nicht so klar ausgedrückt, weil er sehen wollte, was der Markt für eine ungepatchte Lücke zahle.
Macaulay hat das Vista-Notebook auf der CanSecWest zusammen mit zwei Freunden geknackt, Derek Callaway und Alexander Sotirov. Die Zero-Day-Lücke in Adobe Flash, die die Gruppe ausgenutzt hat, wurde nicht öffentlich gemacht, sondern an Adobe gemeldet. Bevor die Lücke nicht geschlossen ist, werden dazu keine weiteren Informationen herausgegeben. Allerdings behauptete Macaulay noch, dass die Lücke in Flash 90 Prozent der Rechner weltweit betreffe und somit nicht nur Vista, unter dem das Notebook lief. (dmk)
