NSA kaufte Zero-Day-Lücken von Sicherheitsfirma Vupen

Andre Borbe,
NSA

Seit September 2012 liefert die Sicherheitsfirma Vupen Details über ungepatchte Sicherheitslücken an die NSA. Diese können zur Abwehr von Attacken oder für offensive Maßnahmen eingesetzt werden. Nach eigenen Angaben von Vupen sind Regierungen weltweit Kunden der Firma.

NSADas Sicherheitsunternehmen Vupen aus Frankreich hat Informationen über Zero-Day-Lücken und die Software zum Einsatz an den US-Auslandsgeheimdienst National Security Agency (NSA) verkauft. Das geht aus Unterlagen hervor, die die Open-Government-Website MuckRock aufgrund einer Anfrage nach dem US-Gesetz Freedom of Information Act erhalten hat.

Im vergangenen September unterzeichnete die NSA einen Einjahresvertrag für Vupens Binary-Analysis- und Exploit-Services, dies geht aus den Dokumenten hervor. Das Unternehmen aus Montpellier bezeichnet sich selbst als Spezialisten für “defensive und offensive Cybersecurity-Informationen” und “hoch entwickelte Schwachstellen-Forschung”. Es findet Schwachstellen in Software und Systemen und verkauft die gefundenen Daten an Konzerne und Regierungen.

Auch Lösungen zum Eindringen in IT-System, die es “Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen”, gehören zum Portfolio heißt es auf der Vupen-Website. Die Daten können auch von Regierungen dazu genutzt werden, ihre eigenen kritischen Infrastrukturen vor” bekannten und unbekannten Exploits und Cyber-Bedrohungen” zu schützen.

Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die unter Umständen dafür sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Cyberkriminellen auf dem Schwarzmarkt gehandelt.

Vupen wurde bekannt durch die Teilnahme am Hackerwettbewerb Pwn2Own. Mitarbeiter des Unternehmens präsentierten im März 2013 einen Exploit für Internet Explorer 10 unter Windows 8 mit dem alle Sicherheitsvorkehrungen des Browsers ausgehebelt wurden. Im Jahr davor war es ihnen gelungen, neben Microsofts Internet Explorer auch Googles Browser Chrome zu kompromittieren und Schadcode außerhalb der Sandbox auszuführen.

Die von MuckRock zur Verfügung gestellten Unterlagen stützen einen von Reuters im Mai veröffentlichten Bericht. Darin wird behauptet, dass die Vereinigten Staaten der weltweit größte Abnehmer von Schadprogrammen seien.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de