[Technik] Vupen hielt Lücke im Internet Explorer jahrelang geheim

Das umstrittene französische IT-Sicherheitsunternehmen Vupen - bekannt dafür, Sicherheitslücken nicht öffentlich zu machen oder dem Hersteller zu melden, sondern für hohe Beträge an Regierungskunden zu verkaufen - sorgt wieder einmal für Schlagzeilen. Es wurde nämlich bekannt, dass eine der Sicherheitslücken in Microsofts Browser "Internet Explorer", mit deren Hilfe Vupen im Frühjahr beim Hackerwettbewerb "Pwn2Own" ein hohes Preisgeld kassierte, dem Unternehmen schon seit Jahren bekannt ist. Vupen behielt dieses Wissen jedoch für sich.

In einer Stellungnahme auf einer fachbezogenen Mailinglist gibt Vupen an, die Schwachstelle bereits im Februar 2011 entdeckt zu haben. Erst, nachdem die Lücke im März beim Pwn2Own zum Einsatz kam, gab Vupen die Informationen an Microsoft sowie an den Veranstalter des Wettbewerbs, die "Zero Day Initiative" des Technologie-Konzerns Hewlett-Packard, weiter.

Unbekannt ist, ob Vupen die Sicherheitslücke in den vergangenen drei Jahren an seine zahlungskräftigen Kunden verkauft hat. Über diese Frage dürfte wohl in Fachkreisen derzeit heftig spekuliert werden.

Die fragliche Sicherheitslücke ist mittlerweile geschlossen; sie wurde von Microsoft im Rahmen des Juni-Patchdays behoben.

Quelle: heise online

 

[Kenobi van Gin]

Wem würdest du als DAU mehr vertrauen in Punkto Sicherheit? A, die einräumen, das es Lücken geben kann oder B, die das nicht tun sondern mit ihrer qualitativ hochwertigen Arbeit prahlen?

Da kommt dann eben das Verantwortungsbewusstsein ins Spiel: Sollte ich als Unternehmen, in das die Menschen Vertrauen setzen, wirklich die Sicherheit aller Nutzer (auch der DAUs) aufs Spiel setzen, um bessere Absatzzahlen zu haben?

Keine Frage, das ist nicht einfach zu entscheiden.

Aber man muss ja nun diese Aussage "ich zahle Geld für Sicherheitslücken" nicht gleich auf die index Page setzen. Reicht doch, wenn das irgendwo unter "für Entwickler" oder was weiß ich steht.
Wie du schon selbst sagst, DAUs sind ja einfach auszutricksen. Reicht ja, wenn man das etwas versteckt. Es ist allerdings bezeichnend, dass du Startups für dein Beispiel ausgewählt hast. Klar, hier hängt von der gestellten Frage das Bestehen des Unternehmens ab.

Aber Konzerne wie Microsoft, Google, Apple und so weiter sind nicht darauf angewiesen, sich so zu profilieren. Die hätten durchaus die Möglichkeit, hier überhaupt mal ein bisschen Verantwortungsbereitschaft zu zeigen.

 

[accC]

Microsoft, Apple etc verklagen dich aber nicht, wenn du eine Sicherheitslücke meldest.
Wenn du mit Verantwortungsbewusstsein kommst, dann sollte jeder, der eine Sicherheitslücke gefunden hat, diese unmittelbar und ohne wenn-und-aber an den Hersteller melden, möglichst mit einem Bugfix. Schließlich sollte er sich den tausenden anderen Nutzern gegenüber seiner Verantwortung bewusst sein.
Unsere Gesellschaft willst aber für alles etwas haben, man erwartet immer aus allem Gewinn zu schlagen, selbst wenn es darum geht eine beschissene Sicherheitslücke zu melden! Da kann ich verstehen, dass Unternehmen sich mit einer Klage bedanken, wenn du ihnen Sicherheitslücken verkaufen willst. Wer Wind säht, wird Sturm ernten // Wie es in den Wald hinein ruft, so schallt es heraus - nenne es, wie du willst.

 

[Kenobi van Gin]

Wenn du mit Verantwortungsbewusstsein kommst, dann sollte jeder, der eine Sicherheitslücke gefunden hat, diese unmittelbar und ohne wenn-und-aber an den Hersteller melden

Richtig.

Wenn derjenige damit aber die Aufgabe der Firma erledigt hat, die eigentlich eine eigene Abteilung für so etwas beschäftigen sollte, dann darf er sich das auch ruhig bezahlen lassen.
Nochmal: Ich rede ausdrücklich nicht davon, der Firma andernfalls mit Veröffentlich oder sowas zu drohen. Aber die von dir dargestellte Sicht zeigt eigentlich schon die Perversion des ganzen: Du sprichst davon, dass sich Leute mit allem bereichern wollen. Der Unterschied ist hier nur der: Der Hacker (White- oder Blackhat, egal) verdient damit seinen Lebensunterhalt und braucht dementsprechend das (wohlverdiente) Geld (für die Arbeit, die er dem Unternehmen damit abnimmt). Großen Firmen tut das aber nicht weh, wenn sie auf diese Weise etwas stärker in die Sicherheit ihrer User investieren.

 

[bevoller]

Würden die denn etwas verbessern wenn man ihnen die Sicherheitslücken weitergeben würde?

Vermutlich würden "die" etwas verbessern. Es war schließlich ein mit Geldprämie dotierter Wettbewerb, Sicherheitslücken zu finden und weiterzugeben.

Ist es nicht schon mal vorgekommen das Studenten aus der Uni geschmissen wurden weil sie Sicherheitslücken berichteten? Oder das man gerichtlich
gegen solche Leute vorgeht?

Siehe oben. Da es sich ja um einen Hacker-Wettbewerb handelte, kann man derartige Konsequenzen wohl ausschließen.
Konsequenzen sollte es aber für Vupen haben. Die hier genannten Vorschläge, wie bspw. Rückzahlung der Prämie und zukünftiger Ausschluss aus solchen Wettbewerben, sind sicherlich nicht ganz verkehrt.

 

[Promillus]

Der Unterschied ist hier nur der: Der Hacker (White- oder Blackhat, egal) verdient damit seinen Lebensunterhalt und braucht dementsprechend das (wohlverdiente) Geld (für die Arbeit, die er dem Unternehmen damit abnimmt). Großen Firmen tut das aber nicht weh, wenn sie auf diese Weise etwas stärker in die Sicherheit ihrer User investieren.

Sorry, aber das Argument ist ja mal äußerst dürftig.

Wenn die Hacker damit Geld verdienen wollen, dann sollen sie sich offiziell um einen entsprechenden Auftrag von den Firmen bemühen.

Sonst verhalten sie sich nur wie die Gestalten, die einem an der roten Ampel ungefragt die Autoscheiben putzen und dann stinkig werden, wenn man ihnen nicht die erwartete Entlohnung zukommen lässt...

 

[Kenobi van Gin]

und dann stinkig werden, wenn man ihnen nicht die erwartete Entlohnung zukommen lässt...

Nein. Denn das wäre wieder Nötigung/Erpressung. Und das habe ich ausdrücklich ausgeschlossen. Ich denke eher, dass das andersrum funktioniert. Würden die Firmen (zumindest alle großen) sowas von sich aus anbieten, dann müsste das niemand auf eigene Faust machen.

Aber zugegeben, ich kenne mich in dem Metier auch nicht genug aus, um da wirklich was stichhaltiges zu sagen zu können.

 

[Novgorod]

Das Finden, das nur durch Umgehen eines besonderen Schutzes möglich war, dürfte hierzulande ebenso wie die Weitergabe strafbar sein.

verwechselst du hier nicht was mit dem urheberrecht? vom umgehen steht da doch nichts, da gehts ausdrücklich um den zweck also um den zugang zu daten, die eigentlich geschützt sind.. ich kann mir kein szenario vorstellen, in dem das finden eines exploits in irgendeiner weise gegen ein gesetz verstößt, solange eben keine daten dritter involviert sind, d.h. wenn tatsächlich nur demonstriert wird.. es kann mir ja keiner verbieten, meinen internet explorer auf meinem computer auseinanderzunehmen - es ist eben nur dann verboten, wenn daten dritter betroffen sind.. und wenn das entdecken nicht verboten ist, dann kann es auch keine weiteren pflichten geben, so einfach ist das..

die interessantere frage ist, inwieweit bzw. ab wann das veröffentlichen eines exploits verboten ist.. das ausnutzen (zugang zu daten verschaffen) und das weitergeben als programm zu diesem zweck sind ja in §202 geregelt, aber was ist mit einer reinen dokumentation? irgendwelche WEP-"hack"-tools sind demnach verboten, aber was ist mit einer simplen beschreibung der schwachstelle? wenn das öffentliche dokumentieren von exploits wirklich illegal sein sollte, könnten die firmen die nutzer bewusst einem risiko aussetzen, ohne dass die nutzer es erfahren.. die firmen sind sicherlich nicht verpflichtet, exploits zu schließen, aber genauso haben sie nicht das recht, die information darüber, dass ihre software scheiße ist, verbieten zu lassen.. sonst müssten auch jegliche hotel-test-portale o.ä. verboten sein ..

 

[accC]

verwechselst du hier nicht was mit dem urheberrecht? vom umgehen steht da doch nichts, da gehts ausdrücklich um den zweck also um den zugang zu daten, die eigentlich geschützt sind.. ich kann mir kein szenario vorstellen, in dem das finden eines exploits in irgendeiner weise gegen ein gesetz verstößt, solange eben keine daten dritter involviert sind, d.h. wenn tatsächlich nur demonstriert wird.. es kann mir ja keiner verbieten, meinen internet explorer auf meinem computer auseinanderzunehmen - es ist eben nur dann verboten, wenn daten dritter betroffen sind.. und wenn das entdecken nicht verboten ist, dann kann es auch keine weiteren pflichten geben, so einfach ist das..

Das stimmt nicht so ganz.
Mit dem "Auseinandernehmen" ist das so eine Sache. Zunächst darfst du - Urheberrecht - Software nicht einfach so dekompilieren, um etwa gezielter nach Schwachstellen suchen zu können. Tools, die für Penetrationstests genutzt werden können, sollten durch den Hackerparagraphen verboten werden, insbesondere dann auch deren Verbreitung/ Nutzung in einem konkreten Fall.

die interessantere frage ist, inwieweit bzw. ab wann das veröffentlichen eines exploits verboten ist.. das ausnutzen (zugang zu daten verschaffen) und das weitergeben als programm zu diesem zweck sind ja in §202 geregelt, aber was ist mit einer reinen dokumentation? irgendwelche WEP-"hack"-tools sind demnach verboten, aber was ist mit einer simplen beschreibung der schwachstelle?

Also es gibt sogar Lektüre über Schwachstellen bzw. die beschreibt, welche Schwachstellen in Software häufig vorkommen und wie diese von Angreifern genutzt werden können. Die Autoren berufen sich allerdings immer darauf, dass sie Entwicklern und Anwendern Gefahren aufzeigen wollen, so dass diese sich dagegen schützen können. Eine Anleitung, wie man Schwachstellen ausnutzt - obwohl erstere auch dazu genutzt werden könnten - wäre hingegen illegal. - Genau weiß ich allerdings nicht, wie das mit hypothetischen Beschreibungen aussieht.
Werden aber konkrete Exploits für existierende Unternehmen publiziert, dann kann das schon unter Vorbereitung und/oder Beihilfe (zu) einer Straftat fallen und ist entsprechend verboten.

Die Frage ist viel mehr, ob das auch verfolgt wird und das hängt vor allem mit dem Unternehmen, welches Sicherheitslücken gemeldet bekommt und der Art, wie Sicherheitslücken gemeldet werden zusammen und natürlich auch noch, wer sie meldet.
Meldet ein 3l!70r-Szenehacker Microsoft eine Schwachstelle mit der Nachricht "Ich habe eine Sicherheitslücke in Ihrer Software gefunden. Überweisen Sie $2,235,834.69 auf mein Neuseeländisches Konto, sonst mache ich die Lücke publik und das wird Sie Milliarden kosten..", dann kann man wohl davon ausgehen, dass es zu einer Anzeige kommen wird. Meldet aber Linus Torvalds eine Sicherheitslücke etwa der Apache-Community mit dem Hinweis darauf, dass es sich um einen Fehler beim Schreiben von .htaccess-Dateien im rewrite-Modul handelt, die man durch Prüfung bestimmter Variablen beheben kann, wird wohl keiner klagen.
Es ist doch ziemlich simpel, fühlt man sich bedroht und weiß sich nicht zu helfen, sucht man sich jemanden, der einem hilft, das ist in der Regel der lange Arm des Gesetzes.

 

[Novgorod]

Die Frage ist viel mehr, ob das auch verfolgt wird und das hängt vor allem mit dem Unternehmen, welches Sicherheitslücken gemeldet bekommt und der Art, wie Sicherheitslücken gemeldet werden zusammen und natürlich auch noch, wer sie meldet.

das ist hätte, würde, könnte... ich will doch als (hypothetischer) schwachstellen-finder nicht vom wohlwollen irgendwelcher drecksfirmen abhängig sein!? ich spreche auch nicht von drohungen und erpressung, das erfüllt nämlich bereits andere straftatbestände (nur dafür wird man angezeigt, nicht fürs exploit finden); ich spreche vom bloßen entdecken und dokumentieren, damit sich andere user schützen können (z.b. indem sie weitere schutzmaßnahmen ergreifen oder eben das produkt wechseln) - wobei die intention eigentlich irrelevant ist, solange diese nicht gegen das gesetz verstößt (zugang zu daten dritter).. die autoren dieser lektüre, von der du sprichst, haben sich bestimmt nicht darauf verlassen, dass die firmen alle ganz lieb und nett zu ihnen sind, oder? beim lockpicking z.b. ist das "auseinandernehmen" und dokumentieren rechtlich ja kein problem - nur an der haustür vom nachbar ausprobieren darf man es nicht.. wo ist da denn bitteschön der unterschied zum finden von exploits, wofür man keine fremden systeme aufbricht? das urheberrecht verbietet ja nicht generell, alle schlösser zu knacken (um in der analogie zu bleiben), sondern lediglich diejenigen, die eine kopie dessen, was dahinter ist, verhindern sollen - und bei OS-bezogenen exploits geht es nun wirklich nicht um vervielfältigungen von urheberrechtlich geschütztem zeug, dem muss selbst ein hamburger richter folgen...

 

[accC]

Was es mit dem Auseinandernehmen und dem Urheberrecht auf sich hat, habe ich bereits angedeutet.
Ein Schloss kannst du physisch in einzelne Bauteile zerlegen. Eine Software musst du für eine Analyse (in der Regel) wenigstens dekompilieren. Dieser Vorgang ist jedoch bereits ein Verstoß gegen das Urheberrecht und ist damit verboten.

Einige Unternehmen haben offizielle Statements dazu abgegeben, dass man Sicherheitslücken finden und melden soll, insbesondere wenn dann Prämien ausgelobt werden, dann muss man davon ausgehen, dass das Finden und die Herausgabe von Sicherheitslücken explizit erwünscht und damit auch erlaubt ist.
Andere Unternehmen haben extra Abteilungen bzw. Mitarbeiter, die sich mit dem Testen der Software beschäftigen. Da haben die Mitarbeiter (Arbeits-)Verträge, in denen explizit festgehalten wird, dass sie vom Unternehmen beauftragt wurden, nach Schwachstellen in der eigenen Software zu suchen. Rechtlich ist man damit auf jeden Fall auf der sicheren Seite.
Bei den Autoren habe ich ja bereits gesagt, wie die sich schützen. Bücher werden nicht etwa als Anleitung "wie mache ich etwas kaputt" - und schon gar nicht, auf ein bestimmtes System bezogen, etwa "wie mache ich das Warenwirtschaftssystem der Deutschen Bahn AG kaputt". Viel mehr werden Bücher in der Regel so geschrieben, dass allgemein gesagt wird, wo häufig (konzeptionelle) Lücken bei Software (allgemein) auftreten und wie diese von Hackern genutzt werden können, um Systeme anzugreifen. Etwa, SQL-Injections, die durch Schwachstellen, nämlich unescapte Benutzereingaben durchgeführt werden. Dabei wird dann eben darauf hingewiesen, warum die Schwachstelle auftritt (konzeptionelle Schwachstelle des Sprach-Designs) und dass viele Programmierer dem nicht begegnen, obwohl es mit escapen von Benutzereingaben getan wäre oder indem man noch besser gleich prepared Statements verwendet. Es wird also explizit auf die Abwehr oder die Prävention abgezielt und nicht auf das Angriffsszenario, obwohl man das natürlich auch leicht selbstständig nachvollziehen und damit auch durchführen könnte.

Wenn du für dich auf die Suche nach Schwachstellen gehst, läufst du eben Gefahr, dass ein Unternehmen dich aus irgendwelchen Gründen verklagen kann. Urheberrecht wäre da nur eine mögliche Ursache. Was man da noch alles konstruieren kann und auf Grundlage welcher Gesetze man eventuell gegen dich klagen könnte, weiß ich nicht, ich bin kein Jurist. Wenn du kein (theoretisches) Risiko eingehen willst, dann solltest du schlicht nicht versuchen Sicherheitslücken sichtbar zu machen.

 

[Novgorod]

ich bezweifle mal, dass dem gesetzgeber derart komplizierte wörter wie "dekompilieren" bekannt sind.. zumindest was mein halbwissen übers UrhG angeht, wird dort von geistigem "eigentum" und vervielfältigung gesprochen, nicht von neuinterpretation von maschinencode (es wird weder was vervielfältigt noch der geschützte quellcode kopiert).. aber wie dem auch sei, das ist für diesen fall auch völlig unerheblich, da sich der exploit-sucher kaum selbst anzeigen wird, falls er dafür ein phöses "illegales" tool benutzt hat (wobei das "illegal" schonmal ausgeschlossen ist, wenn man es auf dem eigenen rechner macht und keine warez kopiert).. am ende zählt allein das resultat, also die information über einen exploit..

der rest von dem was du sagst hat leider nichts mit der rechtslage zu tun.. ja, wenn firmen explizit dazu einladen, nach exploits zu suchen und sie zu melden, wirkt sich das wahrscheinlich zu deinen gunsten aus, wenn sie dich trotzdem verklagen sollten.. als verantwortungsbewusster bürger würde ich den exploit aber trotzdem sofort dokumentieren, um eben andere zu warnen, denn es liegt nicht in meiner macht, ob und wann die firma das problem behebt und so lange bleiben alle nutzer ungeschützt und - viel schlimmer - arglos! wenn mir als hobbybastler auffällt, dass die bremsen in jedem toyota unter bestimmten bedingungen ausfallen können, dann wäre es grob fahrlässig, das für mich zu behalten, oder? die firma wird dadurch ja ebenfalls informiert und kann den fehler beheben, aber sie muss es eben nicht (ja, bei autos gibts andere vorschriften, aber für die analogie reicht's).. aber das wichtigste ist, dass die nutzer sofort maßnahmen ergreifen können und nicht irgendwann mal wenn (falls!) ein patch da ist darüber informiert werden, dass sie sich in den letzten 6 monaten allen möglichen scheiß eingefangen haben könnten... solche verschleierungspolitik wäre im "echten leben", wo es um was geht, absolut undenkbar - warum sollte das ausgerechnet bei persönlichen daten anders sein?

und natürlich bedeutet eine dokumentation eines exploits nicht, dass es eine anleitung bzw. aufforderung zum datendiebstahl ist (dafür gibts wie für erpressung eigene straftatbestände) - man kann jeden exploit so dokumentieren wie die besagten bücher es tun ("warum der IE in untrusted-netzen unsicher ist, am beispiel eines hypothetischen XYZ-angriffs" )..

Wenn du kein (theoretisches) Risiko eingehen willst, dann solltest du schlicht nicht versuchen Sicherheitslücken sichtbar zu machen.

genau, schön den kopf in den sand stecken, hauptsache man selbst ist sicher und das wissen nimmt man mit ins grab .. man "darf" legale information (und das ist ein neutral dokumentierter exploit, ansonsten wäre die information selbst nach §202 illegal) nur in wenigen ausnahmefällen nicht weitergeben: entweder es ist ein staatsgeheimnis (snowden & co.) oder man hat sich vertraglich zum stillschweigen verpflichtet (z.b. mitarbeiter der firma, sonst aber niemand) oder es verstößt gegen das urheberrecht (exploits im DRM der playstation könnten darunter fallen, aber sicher keine lücken im IE)..

verklagt werden kann man theoretisch immer und von jedermann, allein schon weil man existiert! jeder, der etwas in ein hotelbewertungsportal schreibt, kann verklagt werden, aber eben ohne rechtsgrundlage, sofern man wahrheitsgemäß berichtet - und genauso ist es mit exploits, denn software auf privat-PCs genießt sicherlich nicht den status von staatsgeheimnissen (abgesehen vom NSA-trojaner, aber da enden die gesetze ja zum glück an der landesgrenze )..