[Technik] Vupen hielt Lücke im Internet Explorer jahrelang geheim

Das umstrittene französische IT-Sicherheitsunternehmen Vupen - bekannt dafür, Sicherheitslücken nicht öffentlich zu machen oder dem Hersteller zu melden, sondern für hohe Beträge an Regierungskunden zu verkaufen - sorgt wieder einmal für Schlagzeilen. Es wurde nämlich bekannt, dass eine der Sicherheitslücken in Microsofts Browser "Internet Explorer", mit deren Hilfe Vupen im Frühjahr beim Hackerwettbewerb "Pwn2Own" ein hohes Preisgeld kassierte, dem Unternehmen schon seit Jahren bekannt ist. Vupen behielt dieses Wissen jedoch für sich.

In einer Stellungnahme auf einer fachbezogenen Mailinglist gibt Vupen an, die Schwachstelle bereits im Februar 2011 entdeckt zu haben. Erst, nachdem die Lücke im März beim Pwn2Own zum Einsatz kam, gab Vupen die Informationen an Microsoft sowie an den Veranstalter des Wettbewerbs, die "Zero Day Initiative" des Technologie-Konzerns Hewlett-Packard, weiter.

Unbekannt ist, ob Vupen die Sicherheitslücke in den vergangenen drei Jahren an seine zahlungskräftigen Kunden verkauft hat. Über diese Frage dürfte wohl in Fachkreisen derzeit heftig spekuliert werden.

Die fragliche Sicherheitslücke ist mittlerweile geschlossen; sie wurde von Microsoft im Rahmen des Juni-Patchdays behoben.

Quelle: heise online

 

[MSX]

Möge die Schwarze Beulenpest solche Firmen heimsuchen. Hauptsache Geld kassieren und ein paar millionen User gefährden. Solche Firmen sind sicher nicht immer die Einzigen, die entsprechende Lücken kennen und der Öffentlichkeit verschweigen, während man damit Kohle macht.

 

[xbug]

Ist sowas überhaupt legal? Wenn man eine Sicherheitslücke findet und sie dem Projektteam nicht mitteilt, damit diese sie fixen können? Oder könnte man da im Nachhinein aus irgendwelchen Gründen eine Strafanzeige stellen?

 

[MSX]

Ich hätte ehrlich gesagt generell noch nie davon gehört, dass es Gesetze gäbe, die einen Entdecker irgendwelcher Schwachstellen in IT-Systemen gleich welcher Art dazu verpflichten, diese Informationen an den Hersteller weiterzugeben. Klar, von extra dafür eingestellten Mitarbeitern oder ähnlichem abgesehen. Aber so, für "normale Bürger" oder auch Konkurrenzfirmen, wäre mir das neu. Und fürs Weiterleiten solcher Infos an entsprechende Regierungsstellen gibts sicher hier wie da drüben Sonderregelungen.

Die speziellen Gesetze in Frankreich mangels Wissen außer Acht gelassen, steht im hiesigen, imho einzig wichtigen Paragraphen, §202 StGB, diesbezüglich nur, dass man nicht in besonders gesicherte Systeme/Datenbestände/Datenübertragungen eindringen, sie abfangen, solche Lücken schadhaft ausnutzen, oder spezielle Software entwickeln darf, die solches ermöglicht. Die hier ausgenutzte Lücke würde ich, sofern ich es überhaupt richtig verstanden hab, durchaus als "besonders gesichert" bezeichnen. Zumindest der Versuch war scheinbar da, aber eben nicht ausreichend gut. Insofern würde ich also das reine Probieren, einen Exploit dafür hinzubekommen, hierzulande als zumindest offiziell strafbar betrachten. Vielleicht aber dürften sie hier selbst das, weil sie (evtl. eben inoffiziell) sowieso für die Regierung arbeiten.

 

[gelöschter Benutzer]

In Deutschland ist es nach dem Hackerparagrafen eine Straftat, wenn sie nicht vom Hersteller mit dem Finden von Sicherheitslücken beauftragt wurden.

Da sie wohl keinen Wisch haben, wo das drauf steht, könnte man sie deswegen anzeigen. Bringt halt nix, weil die in FR sitzen.

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

(Quelle: http://dejure.org/gesetze/StGB/202c.html)

Da hier wohl öfters verkauft wurde, könnte ein nicht geschmierter Richter auf Tatmehrheit pochen und den Strohmann und Geschäftsführer zu 10J+ verurteilen. Wird aber nie passieren, da der BND da wohl auch einkauft.

 

[MSX]

Jo, soweit ists recht klar und schrieb ich das auch. Das Finden, das nur durch Umgehen eines besonderen Schutzes möglich war, dürfte hierzulande ebenso wie die Weitergabe strafbar sein.
Die Frage war halt, ob das reine Verschweigen und insbesondere das nicht Weiterleiten an den Hersteller eine Straftat ist. Dazu gibts meines Wissens keine Verpflichtung.

 

[Annika]

Sehe ich genauso: eine juristische Verpflichtung, gefundene Sicherheitslücken zu melden, ist mir nicht bekannt (und ich befasse mich ja nun auch schon ein Weilchen mit solchen Themen, wenn auch sicher nicht so lange wie MSX ).

Ethisch sieht es natürlich schon ganz anders aus (siehe Hackerethik), aber das ist bei einem Unternehmen wie Vupen natürlich eher irrelevant.

 

[MSX]

Off-Topic:

wenn auch sicher nicht so lange wie MSX

Ähm, irgendwas sollte ich nun dazu sagen, aber weiß nicht so genau, was und wie. ;-)

Ich guck nur, was die Leute so treiben, was da alles möglich ist, wie es sich entwickelt, was andere dagegen tun, usw. Zwar beziehe ich meine Infos schon auch recht viel aus recht spezialisierten Kanälen, aber halt auch nur "oberflächlich", dafür aber halt schon möglichst in allen Bereichen, wo man irgendwas missbrauchen kann. Zumindest würde ich das so sehen, wenn ich das mit denen vergleiche, die das alles ausprobieren und können. Von ein paar Sachen im Netz abgesehen, also Zeugs wie XSS oder SQL-Injections (bevor nun der NSA-Praktikant schon wieder nen Haken auf meine Liste setzen will: Ich würde niemals jemandem schaden wollen, oder es auch nur probieren; drum wird sowas im ersten Fall ohne Schadfunktion und das andere lokal oder auf eigenem Webspace probiert), oder sich mal Verbindungen mittels Wireshark anzusehen, probier ich da auch nicht rum, oder lese eben nur die entsprechenden Infos dazu. Was programmierte Sachen angeht, da versteh ich das meiste auch eher nur im Kontext, oder wie es vom Prinzip her funktioniert, aber nicht im Detail. Keine Ahnung, wie man das beschreiben könnte, vor allem in kurz. Dafür ist das Gebiet viel zu umfangreich. ;-)
Aber zumindest interessiert mich das schon extrem lange, ja. Rund 25 Jahre aktiv interessiert, würde ich schon sagen. So die Anfänge waren (vom Interesse für Malware auf Amiga/Atari abgesehen) Novell DOS, oder wie das hieß. Einen Login im Schulnetz vorgaukeln, um das Serverpasswort zu bekommen (aber auch das eben nur, um es mal gekonnt zu haben). :-)

Denk aber, Du dürftest deutlich mehr Ahnung vom Programmieren und den Umgebungen haben, als ich. Und was die Informiertheit bezüglich solcher Themen angeht, bist Du glaub auch mehr als gut dabei. ;-) Und vor allem kannst Du Dir das bestimmt auch noch alles besser merken... :-D

Auf jeden Fall: Kriegsgebiet... ich sachs euch... Kriegsgebiet ist das hier... :-D
Na echt mal. Alle(s) nur noch total gestört...

 

[TBow]

Möge die Schwarze Beulenpest solche Firmen heimsuchen. Hauptsache Geld kassieren und ein paar millionen User gefährden.

Amen Bruder. Möge man ihnen auch noch die Sackhaare alle einzeln ausreissen.

 

[MSX]

Noch kurz zum Weitergeben solcher Infos an Hersteller o.ä.: Zumindest, aber nicht nur hierzulande läuft man bei sowas eh nur größtenteils Gefahr, dass man danach Ärger am Hals hat. Und bei den paar Firmen, die solche Bug-Bounty-Programme laufen haben, liest man auch immer wieder, dass die dann halt behaupten, das hätten sie eh schon gewusst, oder sie ignorieren es schlicht, fixen nicht oder behaupten sogar noch, es sei ein Feature. Also ich würde mich sowas schon gar nicht trauen, ehrlich gesagt. Selbst mit Anonymisierungsdiensten wäre mir das zu gefährlich.

Von solchen Problemen las ich immer wieder mal bei http://www.de.reddit.com/r/netsec/.

 

[accC]

Rechtlich kann man wohl nicht gegen die vorgehen, allerdings wäre es sicher interessant, ob man ihnen nachträglich das Preisgeld aberkennen und zurück fordern kann. Da müsste man eventuell mal in den AGB/ Verträgen/ Teilnahmebedingungen schauen. Auf jeden Fall würde ich als Veranstalter (HP?) zukünftig Vupen prinzipiell ausschließen.

 

[Bernd]

Würden die denn etwas verbessern wenn man ihnen die Sicherheitslücken weitergeben würde? Ist es nicht schon mal vorgekommen das Studenten aus der Uni geschmissen wurden weil sie Sicherheitslücken berichteten? Oder das man gerichtlich gegen solche Leute vorgeht?

 

[accC]

Das kommt eben darauf an, wie man das kommuniziert. Wenn man sich dem Thema Sicherheitsprüfung verschreibt, dann sollte man sich schon mit den getesteten Unternehmen absprechen. Etwa 'Wir würden gerne Ihr Produkt XY testen", sobald man dann eine offizielle Erlaubnis hat, kann man auch nicht mehr in rechtliche Schwierigkeiten geraten. Zumal Microsoft jetzt auch nicht der Konzern ist, der dich verklagt, sobald du eine Sicherheitslücke meldest. Dafür sind sicherlich auch einige bekannt, aber Microsoft ist mir dahingehend zumindest nicht bekannt.

 

[Larius]

Ich schätze es geht hierbei eher um den Privatperson Faktor bzw wie eine Uni das handhabt.

Solltest du irgendwann mal eine Lücke finden kannst du sie einfach an die Firma melden. Dafür sollte dir nichts passieren da einfach der Shitstorm zu gross wäre wenn publik wird.

Solltest du jedoch die Lücke eiskalt ausnuetzen und publik machen noch bevor du überhaupt die Firma informiert hast dann kann es sehr wohl zu Konsequenzen kommen.

 

[BurnerR]

Ich erinnere mich auch an Fälle, wo die 'Entdecker' einer Lücke auf ein betroffenes Unternehmen zugingen indem sie eine monetäre Entlohnung für ihre Mühen angeregt haben....
und dann wegen Erpressung angeklagt wurden.

 

[accC]

@BurnerR: Das ist ja auch selbstverständlich. Wie man in den Wald hinein ruft, so schallt es heraus. Ich habe ja bereits gesagt, dass es sicherlich damit zusammen hängt, wie man es kommuniziert. Nach einer finanziellen Vergütung zu verlangen um im Gegenzug eine Lücke bekannt zu geben, klingt eben sehr nach Erpressung. - Wobei es ja auch einige Unternehmen gibt, die ganz offiziell anbieten die Finder von Sicherheitslücken zu vergüten, das ist aber dann eben etwas anderes.

 

[Kenobi van Gin]

Für mich klingt das einfach sehr danach, als wollten Unternehmen oft gar nicht, dass Lücken in ihrer Software gefunden werden. Und wenn, dann doch bitte zumindest nur von den eigenen Leuten.

Mal ernsthaft. Selbst für kleinere Unternehmen sollte es doch absolut kein Problem darstellen, für eine Sicherheitslücke zumindest einen kleinen Finderlohn im dreistelligen Bereich oder so bereit zu stellen und dann auch so ehrlich zu sein, diesen auszuzahlen, statt den Finder zu verklagen. Sowas macht mich echt immer ein bisschen wütend

 

[Larius]

So einfach ist es wieder auch nicht. Wenn du irgendwo hin schreibst, das es für eine Sicherheitslücke einen Finderlohn gibt, passieren 2 Sachen:

-) Du kannst noch so stark betonen das du qualitativ hochwertieg Arbeit ablieferst - man glaubt dir nicht wenn du öffentlich aufrufst Sicherheitslücken zu finden.
-) Du lockst damit auch Blackhats an die einfach nur darauf aus sind Schaden anzurichten.

Ehrlich, wenn zu mir jemand kommt und meint "Ich hab eine schwere Sicherheitslücke gefunden. Für einen gewissen Betrag überlasse ich ihnen die Infos, ansonsten veröffentliche ich sie!" kriegt der von mir n Tritt in den Arsch und n Rudel wilder Anwälte hinterher geschickt.

 

[Kenobi van Gin]

Larius, du verstehst da was falsch, glaube ich.
Dass Sicherheitslücken existieren in jedweder Software sollte klar sein. Menschen sind nicht perfekt und du kannst eine Software nicht auf alle möglicherweise existierenden Hard- und Software-Konfigurationen hin sicher gestalten.

Wenn ich also irgendwo schreibe "finde in meiner Software eine Sicherheitslücke und ich gebe dir 100 €" sagt das nichts darüber aus, dass meine Software Schrott ist, sondern lediglich, dass ich genug Eier hab Fehler zuzugeben und genug Verantwortungsgefühl, die Nutzer meiner Software bestmöglich schützen zu wollen.

Und dass ein Blackhat ausdrücklich dann versucht meine Software zu knacken, wenn ich sage, dass ich Geld zahle für das Finden einer Sicherheitslücke? Daran verstehe ich den Sinn nicht. Wollte der Blackhat nur Schaden anrichten, könnte es ihm egal sein, ob ich dafür Geld zahle oder nicht.
Und wenn er es nur des Geldes wegen macht: Soll er doch. Solang dadurch die IT-Welt sicherer wird

[EDIT:]
Was du im letzten Abschnitt ansprichst, ist ja eine ganz andere Geschichte. Da geht es nun wirklich um Erpressung oder Nötigung. Aber wenn die Softwarehersteller von vorherein das Untersuchen ihrer Software durch Außenstehende (auch finanziell) unterstützen würden und niemand Angst haben müsste, dass er - wenn er denen eine Lücke aufzeigt - dafür auch noch verknackt wird, dann würden Fälle wie der von dir beschriebene ja gar nicht (oder viel seltener) auftreten.

 

[Larius]

Es ist schon klar das in jeder Software Lücken drinnen sind. Es ist auch die richtige Vorgehensweise sich beiden Leuten zu bedanken wenn sie eine Lücke gemeldet haben. Aber gehe nunmal von folgendem Beispiel aus:

2 Startups sind am Markt, beide produzieren Software die das Gleiche kann. Jetzt schreibt sich Startup A auf die Fahne das sie die Leute entschädigen wenn sie eine Lücke finden, B macht das nicht.

Wem würdest du als DAU mehr vertrauen in Punkto Sicherheit? A, die einräumen, das es Lücken geben kann oder B, die das nicht tun sondern mit ihrer qualitativ hochwertigen Arbeit prahlen?

Bzgl. den Blackhats: Kann sein das ich da zuviel hineininterpretiere...

----

Nachtrag: Das mit dem Erpressen bezog sich auf https://ngb.to/threads/10607-Vupen-...Explorer-jahrelang-geheim?p=332982#post332982 weil das aufgetreten ist