Das französische Sicherheitsunternehmen Vupen hat dem US-Auslandsgeheimdienst National Security Agency (NSA) Informationen über Zero-Day-Lücken und die Software verkauft, um sie zu benutzen. Das geht aus Unterlagen hervor, die die Open-Government-Website MuckRock aufgrund einer Anfrage nach dem US-Gesetz Freedom of Information Act erhalten hat.
Den Dokumenten zufolge unterzeichnete die NSA im vergangenen September einen Einjahresvertrag für Vupens Binary-Analysis- und Exploit-Services. Das in Montpellier ansässige Unternehmen beschreibt sich selbst als Spezialisten für „defensive und offensive Cybersecurity-Informationen“ und „hoch entwickelte Schwachstellen-Forschung“. Es findet Anfälligkeiten in Software und Systemen und verkauft die gefundenen Daten an Konzerne und Regierungen.
Zum Portfolio gehören aber auch Lösungen zum Eindringen in IT-Systeme, die es „Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen“, heißt es auf der Vupen-Website. Regierungen können die Daten aber auch nutzen, um ihre eigenen kritischen Infrastrukturen vor „bekannten und unbekannten Exploits und Cyber-Bedrohungen“ zu schützen.
Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die unter Umständen dafür sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Cyberkriminellen auf dem Schwarzmarkt gehandelt.
Bekannt wurde Vupen unter anderem durch die Teilnahme am Hackerwettbewerb Pwn2Own. Im März 2013 präsentieren Mitarbeiter des Unternehmens einen Exploit für Internet Explorer 10 unter Windows 8, der alle Sicherheitsvorkehrungen des Browsers aushebelte. Im Jahr davor war es ihnen gelungen, neben Microsofts Internet Explorer auch Googles Browser Chrome zu kompromittieren und Schadcode außerhalb der Sandbox auszuführen.
Die von MuckRock zur Verfügung gestellten Unterlagen stützen einen von Reuters im Mai veröffentlichten Bericht. Darin wird behauptet, dass die Vereinigten Staaten der weltweit größte Abnehmer von Schadprogrammen seien.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
