Googles „Project Zero“ soll Zero-Day-Lücken aufspüren

Google hat mit „Project Zero“ eine neue Sicherheitsinitiative angekündigt, die noch nicht bekannte Schwachstellen aufspüren und öffentlich machen soll. Es beschäftigt dafür ein Team von Sicherheitsforschern, die sich in Vollzeit ausschließlich dieser Aufgabe widmen. Sie sollen nicht nur Googles eigene Software und Dienste sichern, sondern „die Sicherheit rund um das Internet verbessern“.

In einem Blogeintrag führt Google-Sicherheitsexperte Chris Evans aus, dass Zero-Day-Lücken dazu benutzt wurden, um Menschenrechtsaktivisten anzugreifen, Wirtschaftsspionage zu betreiben, Kommunikation zu überwachen, Kreditkartendaten von Verbrauchern zu stehlen und Zugang zu Datenbanken mit persönlichen Informationen zu bekommen. Als Zero-Day-Lücken werden bislang unbekannte und ungepatchte Schwachstellen bezeichnet, die durch Malware auszunutzen sind. „Das muss aufhören“, schreibt er. „Wir glauben, dass mehr getan werden kann, um dieses Problem anzugehen.“ Project Zero soll Googles Beitrag dazu sein, um den „Ball ins Rollen“ zu bringen.

Evans erklärte gegenüber News.com, dass sich das neue Projekt von anderen wie Hewlett-Packards Zero-Day Initiative (ZDI) unterscheiden wird, weil es Vollzeitpositionen für „die besten Sicherheitsforscher der Welt bereitstellt“. Die Forscher sollen nicht nur Schwachstellen aufspüren und beseitigen, sondern auch erkunden, mit welchen defensiven oder analytischen Strategien Sicherheitsgewinne zu erzielen sind. Project Zero ging laut Evans aus der Sicherheitsforschung hervor, die Google-Mitarbeiter in Teilzeit betrieben und dadurch mit zur Entdeckung des schwerwiegenden Heartbleed-Bugs beitrugen.

Vorgesehen ist auch die Schaffung einer öffentlichen Datenbank von Zero-Day-Lücken. Die Schwachstellen sollen zuerst den Softwareanbietern gemeldet werden und später einer breiten Öffentlichkeit, wenn der Fehler behoben ist. Das würde nebenbei auch deutlich machen, wie lange sich die einzelnen Anbieter Zeit lassen, bevor sie eine Lücke schließen.

Ein grundlegendes Problem ist bislang, dass von Hackern oder Sicherheitsforschern aufgespürte Zero-Day-Lücken oft längere Zeit ungepatcht und geheim bleiben. Sie werden auf einem Untergrundmarkt häufig für Beträge zwischen 50.000 und 100.000 Dollar veräußert. Trotz der von Softwarefirmen ausgelobten Prämien finden sich für solche noch unbekannten Sicherheitslücken kriminelle Interessenten, denen sie um einiges mehr wert sind. Nach einem Bericht der MIT Technology Review betätigen sich außerdem Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden als zahlungskräftige Aufkäufer. Das französische Sicherheitsunternehmen Vupen beispielsweise verkaufte dem US-Auslandsgeheimdienst National Security Agency (NSA) Informationen über Zero-Day-Lücken und die Software, um sie auszunutzen.

Brian Gorenc, Manager von HPs Zero-Day Initiative, begrüßte das neue Projekt. „Googles Einstieg in die Schwachstellenforschung bestätigt, wie wichtig diese Art von Forschung branchenübergreifend ist“, sagte er. „Es macht außerdem deutlich, dass die Schwachstellenforschung eine moralisch vertretbare Berufswahl für Hacker sein kann.“

„Als eines der innovativsten Online-Unternehmen weltweit ist Google sicherlich gut aufgestellt, um das Web nach Problemen zu durchsuchen“, lobte auch Roland Messmer von der Sicherheitsfirma LogRhythm die Initiative. Er hält es dennoch für falsch, sich allein darauf zu verlassen, vielmehr müsse jede Firma ihre eigenen IT-Systeme auf ungewöhnliche Aktivitäten überwachen: „Man muss die normalen Netzwerkaktivitäten kennen, um ungewöhnliche Ereignisse zu erfassen – und wer kann besser unterscheiden als das Unternehmen selbst, was Routine und was außergewöhnlich ist?“

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de