Eine Auktionsplattform auf der man Sicherheitslücken kaufen kann?! Ein Schweizer Labor für Softwaresicherheit namens „WSLabi“ (www.wslabi.com). Hat sich was ganz tolles ausgedacht und eine Online-Auktionsplattform in Netz gestellt, auf der man Sicherheitslücken in Software und Betriebssystemen und anderen IT-Infrastrukturen kaufen oder verkaufen kann. Also quasi so eine Art “Spezial-eBay für Hacker”? Gute Idee oder unseriös? Nützlich oder schädlich?
Die Idee wird wie folgt propagiert. Findet ein Sicherheitsexperte – oder wer auch immer – eine Sicherheitslücke, die er bisher unentdeckt glaubt, so soll er erst die Firma, die die Software, das Betriebssystem oder das IT-System herstellt oder betreibt darüber informieren. Dann soll er eine „angemessene“ Zeit warten, ob diese reagiert. Hört er nichts, ja dann darf er mit seiner Entdeckung auf „WabiSabiLabi“ das große Geld machen, indem er seine Entdeckung an den Meistbietenden verhökert. Und das scheint sogar lukrativ zu sein! Wie wäre es mit einem „Lokalen Linux Kernel Speicher Leck“ für 600 Euro! Darauf wurde immerhin schon ein Gebot abgegeben. Oder können Sie sich einen „Yahoo Messenger 8.1 Remote Puffer Überlauf“ für satte 2000 Euro leisten. Auch wenn die Auktionsseite nicht wie eBay aussieht, so hat man sich doch der bekannten Prinzipien bedient, denn wenn Sie nicht auf „Squirrelmail GPG Plugin Command Execution“ mit einem Startgebot von 700 Euro einsteigen wollen, dann können Sie diese Sicherheitslücke auf per Sofort Kaufen für 2650 Euro direkt ergattern.
Hätten wir nicht Mitte Juli, sondern den ersten April, könnte man diese Seite für einen Scherz halten, aber die Seite ist in der Tat erst letzte Woche an den Start gegangen. Irgendwie wirkt das wie eine Art Seite für Software-Spanner. Man kann zuschauen, wer sicherheitsmäßig gerade die Hose unten hat und den ungeschützten blanken Hintern ins Internet streckt. Die Schweizer Betreiben hingegen verlautbaren in Ihrer Pressemeldung (übersetzt):
„Eine Revolution in der Weise, wie Sicherheitsforschung angegangen wird und berichtet wird, hat begonnen. WSLabi (www.wslabi.com), ein Hersteller unabhängiges Schweizer Labor, hat einen neuen Weg zum Austausch internationaler Sicherheitsforschung gestartet. Dieser Austausch geschieht mit einem Portal, auf dem Sicherheitsforscher und Sicherheitsdienstleister sowie Software-Firmen in einem freien Markt miteinander interagieren können. Das soll Forschern ermöglichen, den angemessenen Wert für ihre Entdeckungen zu erhalten. Die Plattform soll eine globale Datenbank werden, in dem jede jemals gefundene Sicherheitslücke verzeichnet wird“
Wie immer wird hier quasi behauptet man tue gutes und edles. Und doch geht’s hier um den schnöden Mammon. Getreu dem Motto, gib mir Geld oder ich sage jedermann, wie er dich hacken kann. Worüber sich die FAQ ausschweigen ist, an welcher Stelle eines solchen Deals WSLabi als Betreiber die Hand aufhält! Nirgendwo werden konkrete Gebühren genannt. Aber man liest, dass persönliche Daten wegen des Schweizer Geldwäschegesetztes vom Verkäufer einer Sicherheitslücke angegeben werden müssen. Na will man sich da vielleicht eine Hintertür offen halten? Falls der Staatsanwalt bei WSLabi klingelt kann man dann auf der Verkäufer zeigen und jodeln: „Der war’s! Der war’s!“. Getreu dem Motto „Wer hat’s erfunden – die Schweizer“ komme ich zu dem Urteil: Manche Idee der Eidgenossen ist weder so lecker noch so nützlich wie Riiiiiicoooollaaaaaaaaaaa!
Loading ...
