Zero-Day-Lücken bringen regelmäßig zwischen 50.000 und 100.000 Dollar
Experten von Symantec haben berichtet, das Zero-Day-Lücken auf dem Untergrundmarkt häufig für Beträge zwischen 50.000 und 100.000 Dollar veräußert werden. Damit liegen die so erzielbaren Einnahmen deutlich über den von Softwareanbietern ausgelobten Prämien für unbekannte Sicherheitslücken. Solche Programme unterhalten etwa Google, Facebook, Hewlett-Packard und Microsoft.
Symantec-Experte Candid Wüest, geht von einem “kleinen, aber beständigen Markt” aus. Die steigenden Preise für Zero-Day-Lücken führt er darauf zurück, dass sie zunehmend schwerer zu finden sind. “Für Code-Ausführung mittels eines Browsers … braucht es oft mehrere Schwachstellen gleichzeitig”, sagte er gegenüber TechWeekEurope. “Das macht es schwieriger, eine Zero-Day-Lücke zu finden, und daher steigen die Preise.”
Als Käufer treten nicht nur Kriminelle, sondern wie schon länger bekannt auch Regierungen, Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden auf. Bekannt ist zum Beispiel, dass das französische Unternehmen Vupen dem US-Auslandsgeheimdienst NSA Informationen über Zero-Day-Lücken sowie die Software verkauft hat, um sie auszunutzen. Für sein Verhalten wurde es 2013 von der Organsiation “Reporter ohne Grenzen” als einer der “Feinde des Internets” gebrandmarkt.
Die Softwarehersteller versuchen mit immer höher dotierten Prämienprogrammen gegenzuhalten. Microsoft hat zum Beispiel erst kürzlich den Höchstbetrag für gemeldete Schwachstellen aufgestockt. Und der Konzern sichert auch Zahlungen für Informanten zu, die lediglich auf Zero-Day-Lücken aufmerksam machen, ohne anzugeben, wie ein Exploit funktioniert.
Auch Hackerwettbewerbe werden durch höhere Preisgelder attraktiver. Der von Hewlett-Packard gesponserte Wettbewerb Pwn2Own lockte in diesem Jahr Sicherheitsforscher mit Preisen von insgesamt rund einer Million Dollar. Das war auch für Vupen Security interessant: An das Team Vupen ging mit 400.000 Dollar die bisher höchste Summe, die ein einzelnes Team im Wettbewerb einfahren konnte.
[mit Material von Bernd Kling, ZDNet.de]