Schweizer gründen Auktionsplattform für Bug-Informationen

EnterpriseSicherheit

Wer mehr über die neueste Zero-Day-Attacke unter Windows oder Details zu Lecks im neuen Linux-Kernel braucht, kann sich diese Informationen jetzt ganz legal ersteigern.

Die schweizerische Start-up-Firma WabiSabiLabi betreibt neben einem Security-Labor für das Aufspüren von Fehlern und Lücken seit drei Tagen auch eine Auktionsplattform. Diese wurde bereits als ‘Ebay für Security-Lücken’ bekannt. Das innovative Geschäftsmodell richtet sich allerdings nicht an Dunkelmänner, sondern an Sicherheitsforscher und Firmen, die dringend Informationen zu Lücken brauchen.

Hier werden harte Informationen gehandelt. Die Schweizer vergeben die präzisen Forschungsinformationen aus ihren Labors. Wie bei jeder B2B-Auktionsplattform muss sich der Interessierte aber vorher registrieren und sein Interesse begründen. Dann kann er online mitbieten. Bei Redaktionsschluss war für unregistrierte Nutzer erkennbar, dass derzeit bereits vier Fehlerinformationen angeboten werden: Das remote Buffer Overflow Leck in Yahoo Messenger 8.1 ist brandaktuell und wird mit einem Startpreis von 2000 Dollar angegeben, gefolgt von dem SquirrelMail GPG Plugin, das einen Startpreis von 500 Dollar aufweist und bei Sofortkauf 1000 Dollar kosten würde; Infos über weitere Lecks in der Web-Anwendung MKPortal und ein Memory-Loch im Local Linux Kernel können ebenfalls ersteigert werden. Derzeit liegen noch keine Gebote vor.

Eigenen Angaben zufolge wurde die Plattform von unabhängigen und angestellten Sicherheitsforschern gegründet, die mit dem herrschenden System der Weitergabe von Information, der Vergütung und Anerkennung für den Forscher durch die Hersteller, Security-Firmen und Anwenderunternehmen unzufrieden waren und die Informationen zum gerechten Marktpreis abgeben wollten. Damit Schwarzmarkt und Kriminelle nicht ihren Vorteil daraus ziehen, wurde die Community mit strengen Einlassregeln versehen, die gewährleisten sollen, dass alle registrierten User berechtigt sind.

Wie Herman Zampariolo, CEO der Firma, sagte, soll die Plattform sich eines Tages als Datenbank aller Security-Lecks und ihrer Beschreibungen darstellen. Er wolle mehr Transparenz und Sicherheit schaffen und relevante Lecks schneller bekannt machen, so dass die Gegenmaßnahmen rascher hergestellt werden können. Immerhin gebe es weltweit viele Security-Forscher, die ihre Ergebnisse wegen der aufwändigen Weitergabe und dem teuren Nachweis, bei geringer oder keiner Bezahlung durch die Firmen nicht weitergeben würden und sie lieber anonym posten oder aber für hohe Preise an Cyber-Kriminelle verkaufen müssten.

Immerhin, so sagte er, stünden etwa 7000 öffentlich bekannt gemachten Lecks im Jahr 2006 die Zahlen gegenüber, dass pro Jahr durchschnittlich mehr als 100.000 Softwarefehler gefunden würden. Diese Diskrepanz soll durch die Business-Plattform verschwinden. Security-Forscher könnten bei einer entdeckten und analysierten Lücke zwischen drei Optionen wählen: Sie zu einem Fixpreis an so viele Käufer wie möglich verkaufen – mit einem definierten Startpreis eine Online-Auktion starten – die Infos exklusiv einem bestimmten Interessenten verkaufen. Zampariolo will die Softwarewelt mit ‘WSLabi’ sicherer machen.