Schweizer Auktionsplattform versteigert brisante Security-Infos

6. Juli 2007, 12:50
  • security
image

Sicherheitsexperte: "Vorgehen ethisch nicht vertretbar"

Sicherheitsexperte: "Vorgehen ethisch nicht vertretbar"
Eine von einer Firma aus Chiasso lancierte Auktionsplattform namens "Wabisabilabi" sorgt derzeit in Security-Kreisen für Unruhe. (Das Portal heisst tatsächlich so, der Name ist japanisch.)Auf der seit wenigen Tagen freigeschalteten Webpage können Informationen über nicht bekannte Sicherheitslücken, Schadcodes usw. ersteigert und verkauft werden. Mit dem Dienst wollen die Betreiber, die hinter der Plattform stehen, Sicherheitsspezialisten eine mögliche Einnahmequelle erschließen.
Anlässlich des Starts der Plattform haben die Betreiber gegen die Vorgangsweise von etablierten kommerziellen Sicherheitsanbietern Stellung bezogen. Der momentan akzeptierte "ethische" Umgang mit neu entdeckten Sicherheitslücken sei bisher immer auf Kosten der wahren Entdecker gegangen. Sowohl die betroffenen Software-Unternehmen als auch die Sicherheitsanbieter hätten wiederholt derartige Information kostenlos für ihre Zwecke missbraucht, so die Gründer. Der Plattformbetreiber WSlabi will selbst keine Sicherheitslücken aufdecken oder kaufen, verlangt aber eine Transaktionsgebühr.
"Im Grunde genommen ist es ja eine gute Idee, dass Security-Spezialisten für das Aufspüren von Sicherheitslücken entlohnt werden. Wie hier allerdings mit brisanten Informationen öffentlich umgegangen wird, halte ich ethisch für nicht vertretbar", kritisiert Thomas Kristensen vom Sicherheitsunternehmen Secunia im Gespräch mit 'pressetext' die Auktionsplattform. Die in Security-Kreisen etablierte Vorgangsweise sieht vor, dass man zunächst den betroffenen Software-Hersteller unter Ausschluss der Öffentlichkeit über das Problem informiert. Zeige dieser längerfristig kein Interesse, die Schwachstelle zu beheben, sei ein Gang an die Öffentlichkeit gerechtfertigt, meint Kristensen.
Herman Zampariolo, CEO von WSLabi, erklärt dagegen in der Mitteilung zu Launch der Plattform: "Obwohl es sehr viele Spezialisten da draussen git, die Sicherheitslücken entdecken, sind nur wenige von ihenn dazu fähig oder dazu bereit, sie den richtigen leuten zukommen zu lassen, da sie befürchten, dass sie lediglich ausgenützt werden. Unsere Absicht ist es über den Marktplatz Sicherheitsspezialisten zu ermöglichen, einen fairen Preis für ihre Entdeckungen zu erhalten und sie nicht mehr dazu gezwungen sind, sie gratis wegzuzugeben oder an Cyberkriminelle zu verkaufen."
Die Informationen jedoch öffentlich anzubieten, ohne sich vorher mit dem betroffenen Unternehmen in Verbindung zu setzen, hält der Secunia-Experte für falsch: "Wie soll man darüber hinaus sicherstellen, dass diese Informationen nicht in falsche Hände geraten? Wer überprüft die Vertrauenswürdigkeit der Käufer und Anbieter?"
Den Portalbetreibern zufolge erfolgt die Registrierung nur nach einer Überprüfung der Identität, und zwar sowohl auf Seite der Verkäufer wie auch insbesondere der Käufer. Neben einer Telefonnummer muss zumindest der Personalausweis als Kopie vorgelegt werden. Wie diese Informationen danach überprüft werden, ist allerdings nicht bekannt. (pte/hjm)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023