Das französische Sicherheitsunternehmen Vupen hat dem US-Auslandsgeheimdienst National Security Agency (NSA) Informationen über Zero-Day-Lücken und die Software verkauft, um sie zu benutzen. Das geht aus Unterlagen hervor, die die Open-Government-Website MuckRock aufgrund einer Anfrage nach dem US-Gesetz Freedom of Information Act erhalten hat.
Den Dokumenten zufolge unterzeichnete die NSA im vergangenen September einen Einjahresvertrag für Vupens Binary-Analysis- und Exploit-Services. Das in Montpellier ansässige Unternehmen beschreibt sich selbst als Spezialisten für „defensive und offensive Cybersecurity-Informationen“ und „hoch entwickelte Schwachstellen-Forschung“. Es findet Anfälligkeiten in Software und Systemen und verkauft die gefundenen Daten an Konzerne und Regierungen.
Zum Portfolio gehören aber auch Lösungen zum Eindringen in IT-Systeme, die es „Regierungsbehörden erlauben, ihre offensiven Cyber-Missionen durchzusetzen“, heißt es auf der Vupen-Website. Regierungen können die Daten aber auch nutzen, um ihre eigenen kritischen Infrastrukturen vor „bekannten und unbekannten Exploits und Cyber-Bedrohungen“ zu schützen.
Als Zero-Day-Lücken bezeichnet man sicherheitsrelevante Fehler, die von Forschern oder Hackern entdeckt wurden und für die es vom Hersteller noch keinen Patch gibt. Diese Fehler können unter Umständen benutzt werden, um sich Zugang zu Systemen zu verschaffen und Informationen zu stehlen. Oft werden sie von ihren Entdeckern vertraulich an die jeweiligen Hersteller gemeldet, die unter Umständen dafür sogar eine Belohnung zahlen. Zero-Day-Lücken werden aber auch von Cyberkriminellen auf dem Schwarzmarkt gehandelt.
Bekannt wurde Vupen unter anderem durch die Teilnahme am Hackerwettbewerb Pwn2Own. Im März 2013 präsentieren Mitarbeiter des Unternehmens einen Exploit für Internet Explorer 10 unter Windows 8, der alle Sicherheitsvorkehrungen des Browsers aushebelte. Im Jahr davor war es ihnen gelungen, neben Microsofts Internet Explorer auch Googles Browser Chrome zu kompromittieren und Schadcode außerhalb der Sandbox auszuführen.
Die von MuckRock zur Verfügung gestellten Unterlagen stützen einen von Reuters im Mai veröffentlichten Bericht. Darin wird behauptet, dass die Vereinigten Staaten der weltweit größte Abnehmer von Schadprogrammen seien.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
