NSA kaufte Zero-Day-Lücken von französischer Sicherheitsfirma Vupen

Vupen lieferte seit September 2012 Details über ungepatchte Sicherheitslücken an den Geheimdienst. Sie können zur Abwehr von Angriffen oder auch für offensive Maßnahmen eingesetzt werden. Vupen zählt nach eigenen Angaben Regierungen weltweit zu seinen Kunden.

Das französische Sicherheitsunternehmen Vupen hat dem US-Auslandsgeheimdienst National Security Agency (NSA) Informationen über Zero-Day-Lücken und die Software verkauft, um sie zu benutzen. Das geht aus Unterlagen hervor, die die Open-Government-Website MuckRock aufgrund einer Anfrage nach dem US-Gesetz Freedom of Information Act erhalten hat.

NSA

Den Dokumenten zufolge unterzeichnete die NSA im vergangenen September einen Einjahresvertrag für Vupens Binary-Analysis- und Exploit-Services. Das in Montpellier ansässige Unternehmen beschreibt sich selbst als Spezialisten für „defensive und offensive Cybersecurity-Informationen“ und „hoch entwickelte Schwachstellen-Forschung“. Es findet Anfälligkeiten in Software und Systemen und verkauft die gefundenen Daten an Konzerne und Regierungen.

Zum Portfolio gehören aber auch Lösungen zum Eindringen in IT-Systeme, die es „Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen“, heißt es auf der Vupen-Website. Regierungen können die Daten aber auch nutzen, um ihre eigenen kritischen Infrastrukturen vor „bekannten und unbekannten Exploits und Cyber-Bedrohungen“ zu schützen.

Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die unter Umständen dafür sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Cyberkriminellen auf dem Schwarzmarkt gehandelt.

Bekannt wurde Vupen unter anderem durch die Teilnahme am Hackerwettbewerb Pwn2Own. Im März 2013 präsentieren Mitarbeiter des Unternehmens einen Exploit für Internet Explorer 10 unter Windows 8, der alle Sicherheitsvorkehrungen des Browsers aushebelte. Im Jahr davor war es ihnen gelungen, neben Microsofts Internet Explorer auch Googles Browser Chrome zu kompromittieren und Schadcode außerhalb der Sandbox auszuführen.

Die von MuckRock zur Verfügung gestellten Unterlagen stützen einen von Reuters im Mai veröffentlichten Bericht. Darin wird behauptet, dass die Vereinigten Staaten der weltweit größte Abnehmer von Schadprogrammen seien.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: National Security Agency, Secure-IT, Vupen, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu NSA kaufte Zero-Day-Lücken von französischer Sicherheitsfirma Vupen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *