News

Den Hacker-Markt hacken

Das Microsoft Bug Bounty Program, das im letzten Jahr startete, um Forscher zur Entwicklung neuer offensiver und defensiver Techniken zu ermuntern, war bisher ein voller Erfolg und das Unternehmen sucht nun nach neuen Wegen, es in der Zukunft auszuweiten. Katie Moussouris, Security Strategist bei Microsoft und verantwortlich für die Entwicklung des Programms, sagte, dass das Hauptziel zwar darin bestanden habe, Forscher für ihre innovative Arbeit zu belohnen, es aber auch Teil des Plans gewesen sei, den Sicherheitslücken-Markt aufzumischen.

Moussouris hatte bereits einige Zeit an dem Programm gearbeitet, bevor es letztes Jahr starten konnte. Sie verfolgte nicht nur aufmerksam, wie andere Bounty-Programme dieser Art funktionieren, sondern auch, wie es auf dem legitimen Sicherheitslücken-Markt zugeht. Käufer und Verkäufer von Sicherheitslücken haben jahrelang nur im Verborgenen agiert, doch das hat sich in den letzten paar Jahren verändert, da Unternehmen wie VUPEN und andere den Verkauf von Bugs und Exploits in ein boomendes Geschäft verwandelt haben. Die Produkte von Microsoft stehen immer ganz oben auf der Liste – sowohl für Angreifer als auch für Sicherheitsexperten, und Moussouris wollte einen Weg finden, auf dem Angriffstechniken eher in die Hände von Microsoft gelangen als in die von Bug-Händlern oder Angreifern.

“Wir hatten nie vor, die Schwarzmarkt-Preise zu überbieten. Es geht vielmehr darum, existierende Hebel zu ziehen, um die Bug-Wirtschaft zu zerrütten“, sagte Moussouris bei einer Diskussion auf dem Kaspersky Security Analyst Summit am vergangenen Montag.

Sicherheitsexperten, denen früher kaum Wege offen standen, Geld mit ihrer Suche nach Schwachstellen zu verdienen, haben nun ein breites Spektrum an Möglichkeiten. In Abhängigkeit von ihren Kontakten und anderen Faktoren können sie Bugs an beliebig viele Regierungsstellen, Rüstungsunternehmen oder Drittparteien verkaufen. Bug-Bounty-Programme bieten eine weitere Option, doch sie sind typischerweise weit weniger lukrativ. Microsoft wollte diese Option attraktiver machen, indem es Prämien von bis zu 100.000 Dollar für neue Angriffstechniken auslobte, die es ermöglichen, die Exploit-Abwehr in der neusten Windows-Version zu umgehen. Das Unternehmen hat bereits eine Prämie gezahlt und erst kürzlich die Liste der möglichen Teilnehmer erweitert, unter anderem um kriminaltechnische Teams.

Es gibt weitere mögliche Ergänzungen zum Microsoft Bounty Program, erklärte Moussouris während der Gesprächsrunde, führte allerdings keine neuen Details an.

Moussouris sagte, dass der Kreis der Forscher, die in der Lage sind, qualifizierte Hacking-Methoden zu finden, relativ klein sei, und der Anteil derer, die bereit seien, Ihr Wissen Microsoft zur Verfügung zu stellen, noch sehr viel geringer sei.

“Es gibt vermutlich nur eintausend Personen weltweit, die diese Art von Arbeit ausführen können“, sagte sie, „und vermutlich nur einige hundert von ihnen würden mit Microsoft zusammenarbeiten.”

In der IT-Sicherheitsindustrie wurde viel über den Verkauf von Exploits und eine mögliche Regulierung des Marktes diskutiert. Doch Moussouris hält das für einen Fehler.

“Ich sage den Regierungen, dass ich nicht möchte, dass der Exploit-Markt reguliert wird, denn das würde mich blind machen“, erklärte sie, „dann würde ich nur noch von neuen Attacken erfahren, wenn unsere Kunden bereits davon betroffen sind.“

Quelle:  threatpost

Den Hacker-Markt hacken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach