Den Hacker-Markt hacken

Das Microsoft Bug Bounty Program, das im letzten Jahr startete, um Forscher zur Entwicklung neuer offensiver und defensiver Techniken zu ermuntern, war bisher ein voller Erfolg und das Unternehmen sucht nun nach neuen Wegen, es in der Zukunft auszuweiten. Katie Moussouris, Security Strategist bei Microsoft und verantwortlich für die Entwicklung des Programms, sagte, dass das Hauptziel zwar darin bestanden habe, Forscher für ihre innovative Arbeit zu belohnen, es aber auch Teil des Plans gewesen sei, den Sicherheitslücken-Markt aufzumischen.

Moussouris hatte bereits einige Zeit an dem Programm gearbeitet, bevor es letztes Jahr starten konnte. Sie verfolgte nicht nur aufmerksam, wie andere Bounty-Programme dieser Art funktionieren, sondern auch, wie es auf dem legitimen Sicherheitslücken-Markt zugeht. Käufer und Verkäufer von Sicherheitslücken haben jahrelang nur im Verborgenen agiert, doch das hat sich in den letzten paar Jahren verändert, da Unternehmen wie VUPEN und andere den Verkauf von Bugs und Exploits in ein boomendes Geschäft verwandelt haben. Die Produkte von Microsoft stehen immer ganz oben auf der Liste – sowohl für Angreifer als auch für Sicherheitsexperten, und Moussouris wollte einen Weg finden, auf dem Angriffstechniken eher in die Hände von Microsoft gelangen als in die von Bug-Händlern oder Angreifern.

“Wir hatten nie vor, die Schwarzmarkt-Preise zu überbieten. Es geht vielmehr darum, existierende Hebel zu ziehen, um die Bug-Wirtschaft zu zerrütten“, sagte Moussouris bei einer Diskussion auf dem Kaspersky Security Analyst Summit am vergangenen Montag.

Sicherheitsexperten, denen früher kaum Wege offen standen, Geld mit ihrer Suche nach Schwachstellen zu verdienen, haben nun ein breites Spektrum an Möglichkeiten. In Abhängigkeit von ihren Kontakten und anderen Faktoren können sie Bugs an beliebig viele Regierungsstellen, Rüstungsunternehmen oder Drittparteien verkaufen. Bug-Bounty-Programme bieten eine weitere Option, doch sie sind typischerweise weit weniger lukrativ. Microsoft wollte diese Option attraktiver machen, indem es Prämien von bis zu 100.000 Dollar für neue Angriffstechniken auslobte, die es ermöglichen, die Exploit-Abwehr in der neusten Windows-Version zu umgehen. Das Unternehmen hat bereits eine Prämie gezahlt und erst kürzlich die Liste der möglichen Teilnehmer erweitert, unter anderem um kriminaltechnische Teams.

Es gibt weitere mögliche Ergänzungen zum Microsoft Bounty Program, erklärte Moussouris während der Gesprächsrunde, führte allerdings keine neuen Details an.

Moussouris sagte, dass der Kreis der Forscher, die in der Lage sind, qualifizierte Hacking-Methoden zu finden, relativ klein sei, und der Anteil derer, die bereit seien, Ihr Wissen Microsoft zur Verfügung zu stellen, noch sehr viel geringer sei.

“Es gibt vermutlich nur eintausend Personen weltweit, die diese Art von Arbeit ausführen können“, sagte sie, „und vermutlich nur einige hundert von ihnen würden mit Microsoft zusammenarbeiten.”

In der IT-Sicherheitsindustrie wurde viel über den Verkauf von Exploits und eine mögliche Regulierung des Marktes diskutiert. Doch Moussouris hält das für einen Fehler.

“Ich sage den Regierungen, dass ich nicht möchte, dass der Exploit-Markt reguliert wird, denn das würde mich blind machen“, erklärte sie, „dann würde ich nur noch von neuen Attacken erfahren, wenn unsere Kunden bereits davon betroffen sind.“

Quelle:  threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.