Google will mit Project Zero unbekannte Sicherheitslücken aufspüren

SicherheitSicherheitsmanagement
security-sicherheit (Bild: Shutterstock)

Ein Team von Sicherheitsforschern soll nicht nur Googles eigene Software und Dienste absichern, sondern “die Sicherheit rund um das Internet verbessern”. Eine öffentlich zugängliche Datenbank mit Zero-Day-Lücken soll auch die Reaktionszeiten von Softwareanbietern transparent machen. Außerdem werden die Experten Strategien entwickeln, mit denen sich die Sicherheit verbessern lässt.

Google hat die Sicherheitsinitiative “Project Zero” angekündigt. Mit ihr sollen noch nicht bekannte Schwachstellen aufgespürt und bekannt gemacht werden. Der Konzern beschäftigt dazu ein Team von Sicherheitsforschern, die sich ausschließlich dieser Aufgabe widmen. Sie nehmen allerdings nicht nur Googles eigene Software und Dienste unter die Lupe, sondern sollen “die Sicherheit rund um das Internet verbessern”.

security-sicherheit-shutterstock_FuzzBones

Als Zero-Day-Lücken werden bislang unbekannte und ungepatchte Schwachstellen bezeichnet, die sich durch Malware ausnutzen lassen. “Das muss aufhören”, erklärt Google-Sicherheitsexperte Chris Evans. “Wir glauben, dass mehr getan werden kann, um dieses Problem anzugehen.” Project Zero soll Googles Beitrag dazu sein, um den “Ball ins Rollen” zu bringen.

Gegenüber News.com sagte Evans , dass sich das neue Projekt von anderen, etwa wie Hewlett-Packards Zero-Day Initiative (ZDI) dadurch unterscheide, dass es Vollzeitpositionen für “die besten Sicherheitsforscher der Welt bereitstelle”. Sie sollen nicht nur Schwachstellen aufspüren und beseitigen, sondern auch Strategien entwicklen, mit denen sich Malware besser abwehren und die Sicherheit erhöhen lässt.

Project Zero ging laut Evans aus der Sicherheitsforschung hervor, die Google-Mitarbeiter bisher in Teilzeit betrieben haben. Der Entschluss, diese Tätigkeit auszubauen, ist offenbar nach der Entdeckung des Heartbleed-Bugs durch diese Google-Mitarbeiter gefasst worden.

Geplant ist auch die Schaffung einer öffentlichen Datenbank mit Zero-Day-Lücken. Die Schwachstellen sollen zuerst den Softwareanbietern gemeldet werden und später, wenn der Fehler behoben ist, der Öffentlichkeit bekannt gemacht werden. Das soll auch deutlich machen, wie lange die einzelnen Anbieter brauchen, bevor sie eine Lücke schließen.

Von Hackern oder Sicherheitsforschern aufgespürte Zero-Day-Lücken bleiben derzeit oft lange Zeit ungepatcht. Sie werden auf einem rasch wachsenden Schwarzmarkt für Beträge zwischen 50.000 und 100.000 Dollar veräußert – was deutlich über den von Softwarefirmen ausgelobten Prämien liegt. Berichten der MIT Technology Review zufolge treten neben Kriminellen auch Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden als zahlungskräftige Käufer auf.

Brian Gorenc, Manager von HPs Zero-Day Initiative, begrüßte das neue Projekt. “Googles Einstieg in die Schwachstellenforschung bestätigt, wie wichtig diese Art von Forschung branchenübergreifend ist”, sagte er. “Es macht außerdem deutlich, dass die Schwachstellenforschung eine moralisch vertretbare Berufswahl für Hacker sein kann.”

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen