Zero Day Exploits

Software-Schwachstellen als Handelsware

Sicherheitslücken sind gefährlich und es gibt einen Schwarzmarkt dafür: Für ein paar 100.000 Dollar gibt es Hacks für jede Art von System.

Hacker mit Kapuzenpullover

Handel mit Zero Day Exploits

Eine Zero Day Exploit Attack (ZETA) ist ein Angriff, der eine bisher unbekannte Schwachstelle in einem Computersystem ausnutzt. Der Tag Null ist dabei üblicherweise der Tag, an dem diese unbekannte Lücke erstmals ausgenutzt wird. Am Tag Eins existiert häufig bereits eine entsprechende Aktualisierung, da die Anbieter der Software oder Hardware natürlich Wert darauflegen, Sicherheitslücken so schnell wie möglich zu schließen. Anschließend ist die Schwachstelle dann, zumindest in der Theorie, wertlos, da sie niemand mehr ausnutzen kann, um ein Computersystem lahm zu legen.

Leider ist es in der Praxis nicht so einfach, denn es setzt voraus, dass die Lücke oder der Angriff tatsächlich entdeckt werden. Das ist häufig nicht der Fall: Angreifer haben es bereits geschafft sich über Monate hinweg in Computersystemen frei zu bewegen, ohne dass es den Betreibern aufgefallen ist. Außerdem gibt es für viele bekannte Sicherheitslücken nicht sofort einen Patch, die Hersteller sind häufig recht langsam. Und selbst wenn es ihn gibt, sie werden bei weitem nicht von allen Anwendern angebracht. Vor allem privat genutzte Computer mit älteren Windows-Versionen werden nicht rasch genug aktualisiert.

Darüber hinaus sind Mobilgeräte unter Android ebenfalls recht anfällig für solche Versäumnisse. Das liegt aber nicht an den Nutzern, sondern an den Geräteherstellern. Google als federführender Android-Entwickler bringt regelmäßig Sicherheitsaktualisierungen heraus, die kritische Lücken schließen. Doch die Hersteller ziehen häufig nicht mit und aktualisieren ihre Smartphones zu selten. Vor allem Mobilgeräte mit älteren Android-Versionen werden überhaupt nicht mehr aktualisiert und können somit zum Ziel von Hackern werden.

Viele Schwachstellen bleiben bis zu zehn Jahre unbekannt

Dies führt dazu, dass zahlreiche Schwachstellen ein langes Leben haben. Die Rand Coporation hat die Lebensdauer von Zero Day Exploits etwas genauer untersucht und dabei alarmierende Erkenntnisse gehabt. So können unbekannte Sicherheitslücken im Durchschnitt sieben Jahre lang erfolgreich ausgenutzt werden, bevor sie auffliegen und mit einem Patch geschlossen werden. Interessant: Ein Viertel der Exploits fliegen nach anderthalb Jahren auf. Doch ein weiteres Viertel überlebt fast ein ganzes Jahrzehnt und wird somit zu einer sicheren Bank für Cyberkriminelle.

Natürlich werden nicht alle Sicherheitslücken von Hackern mit dunklen Absichten entdeckt. Es gibt eine ganze Reihe von Wissenschaftlern und öffentlichen Institutionen, die nach Sicherheitslücken fahnden, um sie offenzulegen und den Herstellern damit einen Patch zu ermöglichen. Doch im Grunde sind Zero Day Exploits bares Geld. Auf der einen Seite gibt es amerikanische Geheimdienste, die nach Sicherheitslücken suchen und sie nicht offenlegen, sondern ausnutzen. Auf der anderen Seite gibt es einen Schwarzmarkt rund um Sicherheitslücken. Denn der Verkauf dieser Erkenntnisse ist ein einfacher Weg zu Geld, Malware zu entwickeln ist deutlich aufwendiger.

Zwei Vice-Autoren haben sich etwas näher mit diesem Schwarzmarkt beschäftigt. So zeichnet er sich durch stetig steigende Preise aus, eine Reaktion auf die zunehmende Komplexität der Betriebssysteme und Anwendungsprogramme und die Maßnahmen der Hersteller zu ihrer Absicherung. Ein Rattenrennen, dass derjenige gewinnt, der zwei Millionen US-Dollar für einen vollständigen Hack von iOS 11 ausgeben kann. Der Exploit-Schwarzmarkt ist eine derart starke Wirtschaftskraft, dass Hersteller dazu übergegangen sind, Belohnungen für die Aufdeckung von Sicherheitslücken zu zahlen. Allein Google hat seit 2010 12 Millionen US-Dollar dafür ausgegeben.

Bildquelle: Thinkstock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok