IT-Sicherheit
Wie Cyber-Spione zu Werke gehen
Pro Fehler 3000 Dollar
Auch der Chinese Wu Shi gibt sich gesetzestreu. Der 37-Jährige wandte sich Bugs zu, nachdem eine Festanstellung als IT-Spezialist in China genauso wenig einträglich war wie sein selbstgegründetes Startup. Seine Spezialität sind Browser wie Apples Safari, Chrome oder der Internet Explorer. An den kriminellen Online-Untergrund will der in Shanghai lebende Wu nicht verkaufen: "Ich arbeite gerne direkt mit Herstellern", sagt er. Im Schnitt liege das Honorar pro Bug bei 3000 Dollar. Mehr als 100 Schwachstellen hat Wu schon aufgedeckt.
Doch die Softwarebranche hat noch keine einheitliche Antwort auf den Handel mit Bugs gefunden. Adobe, Apple oder MicrosoftMicrosoft zahlen grundsätzlich nichts für Hinweise auf Schwachstellen in ihren Produkten, um sich nicht erpressbar zu machen. Vupen-Chef Bekrar findet das inkonsequent, schließlich steckten Softwarehersteller jährlich Millionen in interne Sicherheitschecks, Programmcodeanalysen oder Prüfsoftware. Alles zu Microsoft auf CIO.de
Zu denen, die auf dem Graumarkt mitbieten, gehören dagegen FacebookFacebook, GoogleGoogle oder der Bezahldienstleister PayPal. Sie alle haben sogenannte Bug-Bounty-Initiativen gestartet, Prämienprogramme für Fehler-Finder. Doch die von Google an Informanten ausgeschütteten Summen sind nur Bruchteile dessen, was etwa Geheimdienste zu zahlen bereit sind. Alles zu Facebook auf CIO.de Alles zu Google auf CIO.de
Und so nahm etwa Vupen-Chef Bekrar bereits an einer von Google organisierten Jagd nach Lücken in dessen Browser Chrome teil - nahm aber die 60 000 Dollar Preisgeld für die gefundene Lücke nicht an. Denn Google hatte gefordert, die Details des Angriffs offenzulegen. Damit aber hätte sich der Bug-Broker den lukrativen Weiterverkauf der Schwachstelle verbaut.
(Quelle: Wirtschaftswoche)