Eine Ebay-ähnliche Auktionsplattform namens Wabisabilabi
sorgt derzeit in Security-Kreisen für Unruhe. Auf der seit wenigen Tagen freigeschalteten Webpage können ab sofort Informationen über nicht bekannte Schadcodes ersteigert und verkauft werden. Mit dem Dienst wollen die Schweizer Betreiber, die hinter der Plattform stehen, Sicherheitsspezialisten eine mögliche Einnahmequelle erschließen. Gleichzeitig will man durch den transparenten Vorgang dem Umstand entgegenwirken, dass in unkontrollierbaren Grauzonen des Internets zunehmend mit neu entdeckten Exploits gehandelt wird.
„Im Grunde genommen ist es ja eine gute Idee, dass Security-Spezialisten für das Aufspüren von Sicherheitslücken entlohnt werden. Wie hier allerdings mit brisanten Informationen öffentlich umgegangen wird, halte ich ethisch für nicht vertretbar“, sagt Thomas Kristensen vom Sicherheitsunternehmen Secunia. Die in Security-Kreisen etablierte Vorgangsweise sieht vor, dass man zunächst den betroffenen Software-Hersteller unter Ausschluss der Öffentlichkeit über das Problem informiert. Zeige dieser längerfristig kein Interesse, die Schwachstelle zu beheben, sei ein Gang an die Öffentlichkeit gerechtfertigt, meint Kristensen.
Die Informationen jedoch öffentlich anzubieten, ohne sich vorher mit dem betroffenen Unternehmen in Verbindung zu setzen, hält der Security-Experte für falsch: „Wie soll man darüber hinaus sicherstellen, dass diese Informationen nicht in falsche Hände geraten? Wer überprüft die Vertrauenswürdigkeit der Käufer und Anbieter?“ Den Portalbetreibern zufolge erfolgt die Registrierung nur nach einer Überprüfung der Identität. Neben einer Telefonnummer muss zumindest der Personalausweis als Kopie beigelegt werden. Wie diese Überprüfung genau aussieht, ist allerdings nicht bekannt.
In einer Aussendung zum Start der Plattform haben die Betreiber indes gegen die Vorgangsweise von etablierten kommerziellen Sicherheitsanbietern Stellung bezogen. Der angeblich ethische Umgang mit neu entdeckten Schadcodes sei bisher immer auf Kosten der wahren Exploit-Entdecker gegangen. Sowohl die betroffenen Software-Unternehmen als auch die Sicherheitsanbieter hätten wiederholt derartige Information kostenlos für ihre Zwecke missbraucht, so die Wslabi-Gründer. Mit dem Auktionsservice will man dafür sorgen, dass private Security-Experten verstärkt zum Aufspüren von Schadcode animiert und für deren Arbeit belohnt werden.
| Mit Schadcodes lässt sich Geld verdienen (Foto: wslabi.com). |
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…