Abo
  • Services:
Anzeige
Eine Analyse des Handels mit Zero-Days
Eine Analyse des Handels mit Zero-Days (Bild: Hacking Team)

Spionagesoftware: Der Handel des Hacking Teams mit Zero-Days

Eine Analyse des Handels mit Zero-Days
Eine Analyse des Handels mit Zero-Days (Bild: Hacking Team)

Zero-Day-Exploits sind nicht nur ein lukratives Geschäft, sondern werden auch fernab des Deep Webs äußerst professionell gehandelt. Das Hacking Team musste gegen seine Konkurrenten aufholen - und tätigte dabei auch Fehlkäufe. Das zeigt eine jetzt veröffentlichte Analyse.

Anzeige

Das Hacking Team hinkte jahrelang seiner Konkurrenz in Sachen Exploits hinterher. Nur mühsam konnte sich das Unternehmen im Geschäft um Zero-Days etablieren. Und dieses Geschäft findet nicht nur im Deep Web statt, sondern wird äußerst professionell gehandhabt. Zu diesem Schluss kommt der IT-Sicherheitsexperte Vlad Tsyrklevich, der die geleakten E-Mails des Hacking Teams analysiert hat.

Ein geradezu mondänes Geschäft nennt Tsyrklevich den Handel mit Zero-Day-Exploits. Es unterliegt nach seiner Analyse den gleichen Mechanismen wie jeder andere Handel auch: Es gibt Qualitätsunterschiede, Kundenwünsche und Garantien. Allerdings muss das Vertrauen zwischen Kunden und Verkäufern äußerst hoch sein. Sie müssen sich etwa darauf verlassen, dass beide Seiten die Details zu den Schwachstellen nicht veröffentlichen, besonders dann, wenn der Verkäufer Exklusivität verspricht. Meist werden beispielsweise Ratenzahlungen vereinbart, die eingestellt werden, sollte eine Zero-Day-Lücke an die Öffentlichkeit gelangen.

Anbieter meist im Vorteil

Jenseits des professionellen Umgangs von Verkäufern und Kunden fluktuieren Qualität und Preise aber enorm. Und die verlangten Preise sagen nicht immer etwas über die Qualität der Schwachstellen aus. Hier haben Kunden meist das Nachsehen, wenn sie einen zu hohen Preis aushandeln oder einen schwachen Exploit kaufen. Besonders Zwischenhändler bieten laut Tsyrklevich meist auch minderwertige Schwachstellen an, bleiben aber meist auf den von ihnen angebotenen Zero-Day-Lücken sitzen.

Tsyrklevichs Analyse zufolge begann das Hacking Team bereits 2009, Kontakte zu zahlreichen Händlern herzustellen, die Zero-Day-Lücken anbieten. In dieser Zeit wechselte das Hacking Team vom Sicherheitsdienstleister zu einem Anbieter von Überwachungslösungen und sah sich starker Konkurrenz durch die etablierten Unternehmen wie Gamma oder der NSO Gruppe ausgesetzt.

Probleme mit der Konkurrenz

Die zunächst von Dsquare Security und Vupen eingekauften Exploits erwiesen sich als unzureichend, und das Verhältnis zwischen Vupen und dem Hacking Team wurde im Laufe der Zeit nicht besser. Das Hacking Team vermutete, das Vupen seine Exploits lieber an den Konkurrenten Gamma verkaufte. 2013 beklagte der Hacking-Team-Chef in einer E-Mail das Problem mangelnder Zero-Days. Sie würden sich nach alternativen Anbietern umsehen und gleichzeitig eine interne Abteilung aufbauen, die selbst nach Exploits suchen solle. Vor allem Flash erschien ihnen als geeignete Plattform.

Hinweise vom Fuzzing, fertige Exploits von Zwischenhändlern 

eye home zur Startseite
Nebucatnetzer 29. Jul 2015

Wäre es nicht am einfachsten wenn Microsoft etc. die Bug Bounties erhöhen würde...

Karmageddon 28. Jul 2015

Manchmal denke ich, es ist schade, dass ich vielleicht den ersten Menschen auf dem Mars...

Shadow27374 28. Jul 2015

So sehe ich das auch. Wenn sich zwei meiner Feinde bekriegen ist das für mich nur...

Hu5eL 28. Jul 2015

Weil der Jahrzente alte Code niemals angepasst wird und vermutlich nur wenige 100 Zeilen...

WasntMe 28. Jul 2015

Die Mitteilung von Netragard zeigt, mit was für verdrehten oder flexiblen...



Anzeige

Stellenmarkt
  1. ZIEHL-ABEGG SE, Künzelsau
  2. über Hays AG, Hamburg
  3. ADLON Intelligent Solutions GmbH, Ravensburg
  4. Württembergische Lebensversicherung AG, Stuttgart


Anzeige
Hardware-Angebote
  1. 229,99€
  2. (u. a. Echo Dot für 34,99€ statt 59,99€)

Folgen Sie uns
       


  1. Die Woche im Video

    Zweiräder heben ab und ein Luftschiff kommt runter

  2. Autonomes Fahren

    Singapur kündigt fahrerlose Busse an

  3. Coinhive

    Kryptominingskript in Chat-Widget entdeckt

  4. Monster Hunter World angespielt

    Die Nahrungskettensimulation

  5. Rechtsunsicherheit bei Cookies

    EU warnt vor Verzögerung von ePrivacy-Verordnung

  6. Schleswig-Holstein

    Bundesland hat bereits 32 Prozent echte Glasfaserabdeckung

  7. Tesla Semi

    Teslas Truck gibt es ab 150.000 US-Dollar

  8. Mobilfunk

    Netzqualität in der Bahn weiter nicht ausreichend

  9. Bake in Space

    Bloß keine Krümel auf der ISS

  10. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  2. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  3. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: Dabei sollten doch gerade das Wohlbefinden...

    VigarLunaris | 10:30

  2. Re: Nach dem Testgelände im Kongo/Zaire gab es...

    Der Spatz | 10:29

  3. Re: Sie hat völlig recht!

    Avarion | 10:24

  4. Re: ich frage mich ...

    egal | 10:20

  5. Re: Überleben durch Anzahlungen

    henry86 | 10:18


  1. 09:00

  2. 17:56

  3. 15:50

  4. 15:32

  5. 14:52

  6. 14:43

  7. 12:50

  8. 12:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel