Eine Ebay-ähnliche Auktionsplattform namens Wabisabilabi
sorgt derzeit in Security-Kreisen für Unruhe. Auf der seit wenigen Tagen freigeschalteten Webpage können ab sofort Informationen über nicht bekannte Schadcodes ersteigert und verkauft werden. Mit dem Dienst wollen die Schweizer Betreiber, die hinter der Plattform stehen, Sicherheitsspezialisten eine mögliche Einnahmequelle erschließen. Gleichzeitig will man durch den transparenten Vorgang dem Umstand entgegenwirken, dass in unkontrollierbaren Grauzonen des Internets zunehmend mit neu entdeckten Exploits gehandelt wird.
„Im Grunde genommen ist es ja eine gute Idee, dass Security-Spezialisten für das Aufspüren von Sicherheitslücken entlohnt werden. Wie hier allerdings mit brisanten Informationen öffentlich umgegangen wird, halte ich ethisch für nicht vertretbar“, sagt Thomas Kristensen vom Sicherheitsunternehmen Secunia. Die in Security-Kreisen etablierte Vorgangsweise sieht vor, dass man zunächst den betroffenen Software-Hersteller unter Ausschluss der Öffentlichkeit über das Problem informiert. Zeige dieser längerfristig kein Interesse, die Schwachstelle zu beheben, sei ein Gang an die Öffentlichkeit gerechtfertigt, meint Kristensen.
Die Informationen jedoch öffentlich anzubieten, ohne sich vorher mit dem betroffenen Unternehmen in Verbindung zu setzen, hält der Security-Experte für falsch: „Wie soll man darüber hinaus sicherstellen, dass diese Informationen nicht in falsche Hände geraten? Wer überprüft die Vertrauenswürdigkeit der Käufer und Anbieter?“ Den Portalbetreibern zufolge erfolgt die Registrierung nur nach einer Überprüfung der Identität. Neben einer Telefonnummer muss zumindest der Personalausweis als Kopie beigelegt werden. Wie diese Überprüfung genau aussieht, ist allerdings nicht bekannt.
In einer Aussendung zum Start der Plattform haben die Betreiber indes gegen die Vorgangsweise von etablierten kommerziellen Sicherheitsanbietern Stellung bezogen. Der angeblich ethische Umgang mit neu entdeckten Schadcodes sei bisher immer auf Kosten der wahren Exploit-Entdecker gegangen. Sowohl die betroffenen Software-Unternehmen als auch die Sicherheitsanbieter hätten wiederholt derartige Information kostenlos für ihre Zwecke missbraucht, so die Wslabi-Gründer. Mit dem Auktionsservice will man dafür sorgen, dass private Security-Experten verstärkt zum Aufspüren von Schadcode animiert und für deren Arbeit belohnt werden.
| Mit Schadcodes lässt sich Geld verdienen (Foto: wslabi.com). |
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…
Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…
Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…