Das US-Handelsministerium hat vorgeschlagen, den Verkauf von Zero-Day-Lücken einzuschränken, indem man sie wie Waffenlieferungen behandelt. Dazu soll eine bestehende internationale Übereinkunft ausgeweitet werden: Schon seit 2013 gehört „Dual Use„-Software, die das Eindringen in Computersysteme ermöglicht, durch das von den USA, Deutschland und 38 weiteren Staaten unterzeichnete Wassenaar-Abkommen zu den regulierten Exportgütern.
Der Vorschlag hat zu heftigen und widersprüchlichen Reaktionen geführt. Auf Twitter kommentierte Chaokri Bekrar, CEO des französischen Zero-Day-Spezialisten Vupen, dies mache Exporte in die USA für Forscher zur „Hölle“. Vupen hat seine Zero-Day-Exporte dieses Jahr schon aufgrund des Wassenaar-Abkommens auf genehmigte Länder beschränkt.
Adriel Desautels, CEO der auf Penetrationstests spezialisierten Firma Netragard, sagte Reuters: „Eine gewisse Lizenzierung oder Regulation ist nützlich. Aber die hier vorgeschlagene würde die Sicherheitsbranche insgesamt beschädigen. Ich halte das für schlicht dumm.“
Ihm widerspricht Sicherheitsforscher Alan Woodward von der Universität Surrey im Gespräch mit ZDNet.com: „Der Zweck dieses Abkommens ist die Kontrolle von Angriffswaffen. Wenn man die Analogie zu Feuerwaffen und Munition, Bomben und Raketen nimmt, wurde die Forschung dazu doch auch nicht beschädigt, oder? Es geht nur um den Export.“
Auch sei es durchaus sinnvoll, Zero Days – also bisher unbekannte und daher ungepatchte Lücken – strenger zu behandeln, wie es das US-Handelsministerium vorhat: „Jede Zero-Day-Lücke wird als Angriffsmittel behandelt, bis das Gegenteil erwiesen ist. Das ganze Problem von Zero Days ist, dass Hacker sie missbrauchen können. Wenn ich sie geheim halte und verkaufe, können sie als Waffen verwendet werden. Zero Days sind Angriffsmittel.“
Einen Schaden für die Sicherheitsbranche kann Woodward nicht erkennen: „Durch einen Verkauf erhält jemand einen Vorteil. Das ist das Gegenteil von kompletter Offenlegung, was vermutlich die meisten Menschen in der Sicherheitsbranche vorziehen würden.“ Regulierung würde der Branche nur schaden, wenn sie Veröffentlichungen zu Lücken einschränken würde.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…