Linkschleuder

Die Ökonomie von Zero-Day-Exploits

Die Bug-Bounty-Plattform HackerOne und Forscher vom MIT und aus Harvard haben untersucht, wie der Markt mit kritischen Sicherheitslücken funktioniert. Wie kann man verhindern, dass sie für viel Geld verkauft und destruktiv genutzt werden, wie kann man mehr „Responsible Disclosure“ fördern und sichern, dass man die gleichen Bugs findet wie bösartige Angreifer. Das Ergebnis: Automatisierung kann […]

Lesen Sie diesen Artikel: Die Ökonomie von Zero-Day-Exploits
Linkschleuder

GI: IT-Sicherheitsgesetz schafft Unsicherheit

Der Präsidiumsarbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) erklärt: IT-Sicherheitsgesetz schafft Unsicherheit. Bisher unveröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) sollen auch künftig nicht veröffentlicht werden. Das Bundesamt für Sicherheit in der Informationstechnik hat nach dem Gesetz zwar die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten, muss sie aber nicht veröffentlichen[…] Arbeitskreissprecher Pohl dazu: „Zur Erreichung eines […]

Lesen Sie diesen Artikel: GI: IT-Sicherheitsgesetz schafft Unsicherheit
Öffentlichkeit

Informationsfreiheits-Ablehnung des Tages: Wie der BND Zero-Day-Exploits kaufen will ist natürlich geheim

Vorgestern berichteten Spiegel, Tagesschau und Süddeutsche, dass der BND 4,5 Millionen Euro für Zero-Day-Exploits ausgeben will. Wir haben mal eine Informationsfreiheits-Anfrage nach Informationen zu diesem Projekt „Nitidezza“ gestellt. Jetzt haben wir unsere mit 18 Stunden bisher schnellste Ablehnung erhalten: Für den Bundesnachrichtendienst gilt die Bereichsausnahme des § 3 Nr. 8 IFG. Nach dieser Vorschrift besteht […]

Lesen Sie diesen Artikel: Informationsfreiheits-Ablehnung des Tages: Wie der BND Zero-Day-Exploits kaufen will ist natürlich geheim
Technologie

IT-Sicherheit oder Unsicherheit? BSI kauft Erkenntnisse zu Sicherheitslücken von VUPEN

Das Bundesamt für Sicherheit in der Informationstechnik hatte bis vor zwei Monaten einen Vertrag mit der umstrittenen Firma VUPEN. Die Behörde bestätigte uns einen Bericht im Spiegel. Weitere Nachfragen will man aber nicht beantworten.

Lesen Sie diesen Artikel: IT-Sicherheit oder Unsicherheit? BSI kauft Erkenntnisse zu Sicherheitslücken von VUPEN
Linkschleuder

Warum staatliche Akteure keine Computer hacken und keine Zero-Day-Exploits kaufen sollten

Der BND will 4,5 Millionen Euro für Zero-Day-Exploits ausgeben. Warum das eine schlechte Idee ist, hat heute der CCC per Pressemitteilung erläutert. Aber auch wir haben das schon oft erklärt, unter anderem auf dem holländischen Hacker-Camp letztes Jahr: tl;dr: Wenn staatliche Stellen Computer hacken dürfen, macht das das Internet nicht sicherer, sondern unsicherer. Sie sollten […]

Lesen Sie diesen Artikel: Warum staatliche Akteure keine Computer hacken und keine Zero-Day-Exploits kaufen sollten
Überwachung

„Schließen statt Verkaufen und Geheimhalten“ – CCC zu Sicherheitslücken-Kaufplänen des BND

Nachdem gestern bekannt wurde, dass der Bundesnachrichtendienst auf dem Schwarzmarkt Zero-Days-Exploits ankaufen will, um den Wissensvorteil um die verborgenen Sicherheitslücken zum Eindringen in fremde Rechner und Netzwerke zu nutzen, hat der Chaos Computer Club eine Stellungnahme veröffentlicht, die derartige Grundrechtseingriffe ablehnt. Mit der unverhohlenen geheimdienstlichen Forderung, hinterrücks in Computer eindringen zu wollen, sollen praktisch kritische […]

Lesen Sie diesen Artikel: „Schließen statt Verkaufen und Geheimhalten“ – CCC zu Sicherheitslücken-Kaufplänen des BND
Linkschleuder

Geheime Unterlagen: BND will 4,5 Millionen Euro für Zero-Day-Exploits ausgeben (Update)

Der aktuelle Spiegel berichtet: Geheimen Unterlagen zufolge hat der Bundesnachrichtendienst (BND) bis 2020 rund 4,5 Millionen Euro eingeplant, um auf dem grauen Markt Informationen über Software-Schwachstellen einzukaufen. Das berichtet der SPIEGEL in seiner aktuellen Ausgabe. Staatliche Stellen sollten Sicherheitslücken schließen, nicht ausnutzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte auf Anfrage mit, es […]

Lesen Sie diesen Artikel: Geheime Unterlagen: BND will 4,5 Millionen Euro für Zero-Day-Exploits ausgeben (Update)
Überwachung

NSA kaufte Exploits bei französischer Sicherheitsfirma VUPEN ein

Neue Dokumente belegen, dass die NSA sogenannte Zero-Day-Exploits beim französischen Sicherheitsunternehmen VUPEN einkaufte. VUPEN ist eines von wenigen Unternehmen, die aktiv nach Sicherheitslücken suchen, Exploits für die gefundene Schwachstelle produzieren und diese Exploits dann weiterverkaufen – vor allem an Regierungen und Polizei. Nach eigenen Angaben verkauft VUPEN Exploits ausschließlich an Demokratien und „vertrauenswürdige Länder„. In der Hackerszene […]

Lesen Sie diesen Artikel: NSA kaufte Exploits bei französischer Sicherheitsfirma VUPEN ein
Überwachung

Digitaler Waffenhandel: Wie Staaten Sicherheitslücken und Exploits kaufen

In den letzten Jahren ist der ehemals schwarze Markt für Sicherheitslücken und Exploits zum Tummelplatz für staatliche Institutionen geworden. Das amerikanische Wirtschaftsmagazin Forbes hat nun eine der sonst nicht gerade öffentlichkeits-geilen Firmen dahinter porträtiert und eine Preisliste für Exploits veröffentlicht.

Lesen Sie diesen Artikel: Digitaler Waffenhandel: Wie Staaten Sicherheitslücken und Exploits kaufen