Es ist ein Sparte der Computerwelt, die üblicherweise das Licht der Öffentlichkeit scheut: Am Schwarzmarkt floriert der Handel mit sogenannten Zero-Day-Lücken, also Fehlern in populärerer Software, für die der Hersteller bisher noch kein Update geliefert hat – und die ihm meist gar nicht bewusst sind. Abnehmer sind dabei gleichermaßen Geheimdienste wie auch Kriminelle.

Analyse

Wie einträglich dieses Geschäft tatsächlich ist, zeigt sich nun mithilfe der im Gefolge des Hacking-Team-Einbruchs veröffentlichten Daten. Der Sicherheitsexperte Vlad Tsyrklevich hat diese durchforstet. Dabei haben sich einige interessante Details aufgetan.

Exklusiv

So machen die aktuell gebotenen Preise klar, warum die Versuchung so groß ist, eine Lücke gewinnbringend zu verkaufen, anstatt sie dem Hersteller zu melden. Die besten Preise gibt es offenbar für jene Exploits, denen es gelingt, Apples mobiles Betriebssystem zu knacken. Ein exklusiver Exploit, mit dem sich ein iPhone oder iPad übernehmen lässt, könne schon mal für ein bis zwei Millionen US-Dollar gehandelt werden, heißt es etwa in einer E-Mail eines Hacking-Team-Lieferanten.

Verhandlungsgeschick

Auch wenn dies eine Ausnahme darstellt, sind auch sonst die Preise recht hoch: So hat Hacking Team seit Ende 2013 offenbar in Summe mehrere hunderttausend US-Dollar für den Zukauf von Zero-Day-Exploits ausgegeben. Wie viel schlussendlich gezahlt wurde, hing auch nicht zuletzt vom Verhandlungsgeschick der einzelnen Beteiligen ab. So wurde etwa eine Windows-Lücke ursprünglich um 150.000 US-Dollar angeboten, Hacking Team konnte den Preis aber schlussendlich auf 95.000 US-Dollar drücken – nur um dann doch das Interesse zu verlieren.

Firefox

Gescheiterte Verhandlungen finden sich in den Dokumenten überhaupt öfter, wohl weil die Zero-Day-Händler oft parallel mit mehreren Abnehmern verhandeln. So hatte etwa die Firma Vulnerabilities Brokerage International eine Firefox-Lücke für 150.000 US-Dollar angeboten, um sie nach Preisverhandlungen schlussendlich jemandem anderen zu geben. Dass eine Firefox-Lücke so hohe Preise erzielt, liegt übrigens daran, dass sie die Basis für den Tor-Browser bildet. Hier sucht man also einen Weg, über Tor anonymisierte Nutzer identifizieren zu können.

Flash

Ein besonders beliebtes Ziel ist – wenig überraschend – Flash, da das Plug-in in beinahe allen Browsern über unterschiedliche Betriebssysteme hinweg zu finden ist. So fand sich in der Preisliste des Lieferanten Netragard denn auch eine mit 215.000 US-Dollar veranschlagte Lücke in der Adobe-Software, die bei allen aktuellen Windows-Versionen einen Ausbrauch aus der Sandbox erlaubte. Zu dem hohen Preis trug in dem Fall bei, dass der Fehler über automatisierte Sicherheitsprüfungen de facto nicht aufzuspüren war.

Business as usual

In anderen Fällen ist Hacking Team jährliche Verträge mit Lieferanten eingegangen, die im Rahmen dessen versprachen, eine gewisse Zahl von Lücken zu liefern – und bei guter Leistung einen Bonus erhielten. Interessant sind auch die Details der Transaktion, vor allem wie "normal" diese sind. So gibt es sowohl die Möglichkeit der Ratenzahlung als auch Garantieleistungen. Und Exklusivität hat natürlich einen besonders hohen Preis.

Konkurrenz

Einmal mehr demonstrieren die Mails aber auch, wie groß die Animositäten in der Branche sind. So äußert sich Hacking Team an mehreren Stellen mit der Qualität der vom Malware-Hersteller Vupen gelieferten Exploits unzufrieden – und vermutet, dass die Firma gemeinsame Sache mit Konkurrent Gamma macht. (apo, 28.7.2015)