Schwachstellen zum Verkauf

Originalartikel von Raimund Genes, CTO

Das letzte Jahr hat gezeigt, dass in allen Anwendungen Sicherheitslücken vorhanden sein können. Sowohl Heartbleed als auch Shellshock haben Systemadministratoren unvorbereitet getroffen, denn sie haben vor Augen geführt, dass quelloffene Serveranwendungen auch schwere Lücken aufweisen können. Tatsächlich ist es schwierig und kostspielig wenn nicht gar unmöglich, Software frei von Schwachstellen zu gestalten. Man kann pro tausend Zeilen Code mit 15 bis 50 wie auch immer gearteten Fehlern rechnen. Möglicherweise lässt sich diese Fehlerrate bei wirklich kritischen Anwendungen, wie solchen in der Raumfahrt, reduzieren, doch dies führt zu längeren Entwicklungszeiten und höheren Kosten.

Doch unabhängig von den damit verbundenen Kosten, müssen Entwickler mehr dafür tun, um sichere Produkte zu erstellen. Änderungen in der Art und Weise, wie Softwarelücken entdeckt und veröffentlicht werden, bedeuten, dass die mit den Schwachstellen verbundenen Risiken für Nutzer höher als je zuvor sind. Entdeckte Schwachstellen wurden an die Entwickler gemeldet, sodass diese sie schließen konnten, um so viele Nutzer wie möglich zu schützen. Doch immer mehr Sicherheitslücken werden von Unternehmen entdeckt, die diese Informationen an Meistbietende verkaufen. Diese Praxis hilft niemand – außer den Unternehmen, die mit diesen Lücken handeln. Entwickler können ihre Produkte nicht verbessern, Nutzer bleiben in Gefahr und die Sicherheits-Community erfährt nichts von den Bedrohungen. Das Internet als Ganzes ist dadurch weniger sicher.

Daher ist es nicht verwunderlich, dass einige Regierungen bereits versuchen, diese Märkte zu kontrollieren. Im letzten Jahr ordnete Wassenaar Arrangement Exploit-Code in die neue Kategorie “Intrusion Software” ein, das heißt der Code wurde als „zweifach verwendet“ eingestuft – in militärischen und zivilen Anwendungen. Das aber bedeutet, dass die 41 Mitgliedsstaaten des Arangements diese Art von Code unter Exportkontrolle stellen können. Tatsächlich wurden an der Pwn2Own interessierte Teilnehmer aufgefordert, mit den jeweiligen Juristen zu prüfen, ob eine Exportgenehmigung oder die Benachrichtigung der Regierung erforderlich ist, bevor sie teilnehmen durften.

Natürlich wollen Sicherheitsforscher, die Schwachstellen aufdecken, für ihre Arbeit auch entlohnt werden. Es gibt Wege, dies zu tun, ohne Sicherheitslücken im offenen Markt zu verkaufen. Große Websites und Anbieter zahlen bereits Fehlerprämien an Sicherheitsforscher, die in ihren Produkten Lücken finden.

Unternehmen oder Einzelne können nicht daran gehindert werden, Schwachstellen zu verkaufen oder zu erwerben, doch lässt sich das Angebot austrocknen – indem sicherere Produkte erstellt werden, die weniger Fehler enthalten, und auch indem die vorhandenen verbessert werden. Damit gestalten wir das Internet für jeden sicherer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*