Googles „Project Zero“ soll Zero-Day-Lücken aufspüren

Google hat mit „Project Zero“ eine neue Sicherheitsinitiative angekündigt, die noch nicht bekannte Schwachstellen aufspüren und öffentlich machen soll. Es beschäftigt dafür ein Team von Sicherheitsforschern, die sich in Vollzeit ausschließlich dieser Aufgabe widmen. Sie sollen nicht nur Googles eigene Software und Dienste sichern, sondern „die Sicherheit rund um das Internet verbessern“.

In einem Blogeintrag führt Google-Sicherheitsexperte Chris Evans aus, dass Zero-Day-Lücken dazu benutzt wurden, um Menschenrechtsaktivisten anzugreifen, Wirtschaftsspionage zu betreiben, Kommunikation zu überwachen, Kreditkartendaten von Verbrauchern zu stehlen und Zugang zu Datenbanken mit persönlichen Informationen zu bekommen. Als Zero-Day-Lücken werden bislang unbekannte und ungepatchte Schwachstellen bezeichnet, die durch Malware auszunutzen sind. „Das muss aufhören“, schreibt er. „Wir glauben, dass mehr getan werden kann, um dieses Problem anzugehen.“ Project Zero soll Googles Beitrag dazu sein, um den „Ball ins Rollen“ zu bringen.

Evans erklärte gegenüber News.com, dass sich das neue Projekt von anderen wie Hewlett-Packards Zero-Day Initiative (ZDI) unterscheiden wird, weil es Vollzeitpositionen für „die besten Sicherheitsforscher der Welt bereitstellt“. Die Forscher sollen nicht nur Schwachstellen aufspüren und beseitigen, sondern auch erkunden, mit welchen defensiven oder analytischen Strategien Sicherheitsgewinne zu erzielen sind. Project Zero ging laut Evans aus der Sicherheitsforschung hervor, die Google-Mitarbeiter in Teilzeit betrieben und dadurch mit zur Entdeckung des schwerwiegenden Heartbleed-Bugs beitrugen.

Vorgesehen ist auch die Schaffung einer öffentlichen Datenbank von Zero-Day-Lücken. Die Schwachstellen sollen zuerst den Softwareanbietern gemeldet werden und später einer breiten Öffentlichkeit, wenn der Fehler behoben ist. Das würde nebenbei auch deutlich machen, wie lange sich die einzelnen Anbieter Zeit lassen, bevor sie eine Lücke schließen.

Ein grundlegendes Problem ist bislang, dass von Hackern oder Sicherheitsforschern aufgespürte Zero-Day-Lücken oft längere Zeit ungepatcht und geheim bleiben. Sie werden auf einem Untergrundmarkt häufig für Beträge zwischen 50.000 und 100.000 Dollar veräußert. Trotz der von Softwarefirmen ausgelobten Prämien finden sich für solche noch unbekannten Sicherheitslücken kriminelle Interessenten, denen sie um einiges mehr wert sind. Nach einem Bericht der MIT Technology Review betätigen sich außerdem Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden als zahlungskräftige Aufkäufer. Das französische Sicherheitsunternehmen Vupen beispielsweise verkaufte dem US-Auslandsgeheimdienst National Security Agency (NSA) Informationen über Zero-Day-Lücken und die Software, um sie auszunutzen.

Brian Gorenc, Manager von HPs Zero-Day Initiative, begrüßte das neue Projekt. „Googles Einstieg in die Schwachstellenforschung bestätigt, wie wichtig diese Art von Forschung branchenübergreifend ist“, sagte er. „Es macht außerdem deutlich, dass die Schwachstellenforschung eine moralisch vertretbare Berufswahl für Hacker sein kann.“

„Als eines der innovativsten Online-Unternehmen weltweit ist Google sicherlich gut aufgestellt, um das Web nach Problemen zu durchsuchen“, lobte auch Roland Messmer von der Sicherheitsfirma LogRhythm die Initiative. Er hält es dennoch für falsch, sich allein darauf zu verlassen, vielmehr müsse jede Firma ihre eigenen IT-Systeme auf ungewöhnliche Aktivitäten überwachen: „Man muss die normalen Netzwerkaktivitäten kennen, um ungewöhnliche Ereignisse zu erfassen – und wer kann besser unterscheiden als das Unternehmen selbst, was Routine und was außergewöhnlich ist?“

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Bernd Kling

Recent Posts

Was macht attraktive Onlineshops und Co. in den Augen von Kunden aus?

Onlineshopping ähnelt zunehmend einem persönlichen Einkaufserlebnis in einem Offline-Geschäft. Mittlerweile haben Unternehmen reichliche Erfahrungen sammeln…

18 Stunden ago

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

2 Tagen ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

2 Tagen ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

2 Tagen ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

3 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

3 Tagen ago