Eine Ebay-ähnliche Auktionsplattform namens Wabisabilabi
sorgt derzeit in Security-Kreisen für Unruhe. Auf der seit wenigen Tagen freigeschalteten Webpage können ab sofort Informationen über nicht bekannte Schadcodes ersteigert und verkauft werden. Mit dem Dienst wollen die Schweizer Betreiber, die hinter der Plattform stehen, Sicherheitsspezialisten eine mögliche Einnahmequelle erschließen. Gleichzeitig will man durch den transparenten Vorgang dem Umstand entgegenwirken, dass in unkontrollierbaren Grauzonen des Internets zunehmend mit neu entdeckten Exploits gehandelt wird.
„Im Grunde genommen ist es ja eine gute Idee, dass Security-Spezialisten für das Aufspüren von Sicherheitslücken entlohnt werden. Wie hier allerdings mit brisanten Informationen öffentlich umgegangen wird, halte ich ethisch für nicht vertretbar“, sagt Thomas Kristensen vom Sicherheitsunternehmen Secunia. Die in Security-Kreisen etablierte Vorgangsweise sieht vor, dass man zunächst den betroffenen Software-Hersteller unter Ausschluss der Öffentlichkeit über das Problem informiert. Zeige dieser längerfristig kein Interesse, die Schwachstelle zu beheben, sei ein Gang an die Öffentlichkeit gerechtfertigt, meint Kristensen.
Die Informationen jedoch öffentlich anzubieten, ohne sich vorher mit dem betroffenen Unternehmen in Verbindung zu setzen, hält der Security-Experte für falsch: „Wie soll man darüber hinaus sicherstellen, dass diese Informationen nicht in falsche Hände geraten? Wer überprüft die Vertrauenswürdigkeit der Käufer und Anbieter?“ Den Portalbetreibern zufolge erfolgt die Registrierung nur nach einer Überprüfung der Identität. Neben einer Telefonnummer muss zumindest der Personalausweis als Kopie beigelegt werden. Wie diese Überprüfung genau aussieht, ist allerdings nicht bekannt.
In einer Aussendung zum Start der Plattform haben die Betreiber indes gegen die Vorgangsweise von etablierten kommerziellen Sicherheitsanbietern Stellung bezogen. Der angeblich ethische Umgang mit neu entdeckten Schadcodes sei bisher immer auf Kosten der wahren Exploit-Entdecker gegangen. Sowohl die betroffenen Software-Unternehmen als auch die Sicherheitsanbieter hätten wiederholt derartige Information kostenlos für ihre Zwecke missbraucht, so die Wslabi-Gründer. Mit dem Auktionsservice will man dafür sorgen, dass private Security-Experten verstärkt zum Aufspüren von Schadcode animiert und für deren Arbeit belohnt werden.
Mit Schadcodes lässt sich Geld verdienen (Foto: wslabi.com). |
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…