Das US-Handelsministerium hat vorgeschlagen, den Verkauf von Zero-Day-Lücken einzuschränken, indem man sie wie Waffenlieferungen behandelt. Dazu soll eine bestehende internationale Übereinkunft ausgeweitet werden: Schon seit 2013 gehört „Dual Use„-Software, die das Eindringen in Computersysteme ermöglicht, durch das von den USA, Deutschland und 38 weiteren Staaten unterzeichnete Wassenaar-Abkommen zu den regulierten Exportgütern.
Der Vorschlag hat zu heftigen und widersprüchlichen Reaktionen geführt. Auf Twitter kommentierte Chaokri Bekrar, CEO des französischen Zero-Day-Spezialisten Vupen, dies mache Exporte in die USA für Forscher zur „Hölle“. Vupen hat seine Zero-Day-Exporte dieses Jahr schon aufgrund des Wassenaar-Abkommens auf genehmigte Länder beschränkt.
Adriel Desautels, CEO der auf Penetrationstests spezialisierten Firma Netragard, sagte Reuters: „Eine gewisse Lizenzierung oder Regulation ist nützlich. Aber die hier vorgeschlagene würde die Sicherheitsbranche insgesamt beschädigen. Ich halte das für schlicht dumm.“
Ihm widerspricht Sicherheitsforscher Alan Woodward von der Universität Surrey im Gespräch mit ZDNet.com: „Der Zweck dieses Abkommens ist die Kontrolle von Angriffswaffen. Wenn man die Analogie zu Feuerwaffen und Munition, Bomben und Raketen nimmt, wurde die Forschung dazu doch auch nicht beschädigt, oder? Es geht nur um den Export.“
Auch sei es durchaus sinnvoll, Zero Days – also bisher unbekannte und daher ungepatchte Lücken – strenger zu behandeln, wie es das US-Handelsministerium vorhat: „Jede Zero-Day-Lücke wird als Angriffsmittel behandelt, bis das Gegenteil erwiesen ist. Das ganze Problem von Zero Days ist, dass Hacker sie missbrauchen können. Wenn ich sie geheim halte und verkaufe, können sie als Waffen verwendet werden. Zero Days sind Angriffsmittel.“
Einen Schaden für die Sicherheitsbranche kann Woodward nicht erkennen: „Durch einen Verkauf erhält jemand einen Vorteil. Das ist das Gegenteil von kompletter Offenlegung, was vermutlich die meisten Menschen in der Sicherheitsbranche vorziehen würden.“ Regulierung würde der Branche nur schaden, wenn sie Veröffentlichungen zu Lücken einschränken würde.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…