[Sonstiges] Hackerlegende Kevin Mitnick verkauft Zero-Day-Exploits

Der ehemalige Hacker und IT-Kriminelle Kevin Mitnick ist für seine Fähigkeiten im Social Engineering - der geschickten Manipulation seiner Mitmenschen zwecks Umgehen von Sicherheitsmaßnahmen - ebenso wie für sein großes Selbstbewusstsein bekannt. Er war nach einer verbüßten Haftstrafe wegen IT-Verbrechen als Sicherheitsberater tätig und veröffentlichte mehrere Bücher über seine Eskapaden und die anderer Hacker.

Nun ist Mitnick offenbar auf der Suche nach neuen Verdienstmöglichkeiten fündig geworden: Er verkauft sogenannte Zero-Day-Exploits - von Software-Entwicklern noch nicht behobene Schwachstellen, die für Angriffe ausgenutzt werden können- zum beeindruckenden Startpreis von 100.000 US-Dollar (umgerechnet knapp 79.000 Euro). Der neue Geschäftszweig, bezeichnet als "Mitnick's Absolute Zero Day Exploit Exchange", soll sowohl selbst gefundene als auch von Dritten zugekaufte Lücken und Exploits anbieten. Als Käufer kommen bei diesen Preisen vor allem Regierungen oder äußerst wohlhabende Unternehmer in Frage. Angeblich experimentiert Mitnick schon seit einem halben Jahr mit diesem Geschäftsmodell, machte dieses jedoch erst jetzt weithin bekannt. Namen von Käufern oder die Anzahl bereits verkaufter Exploits gibt Mitnick nicht bekannt. Er sagte lediglich, Regierungen seien nicht seine bevorzugte Zielgruppe. Er hoffe vielmehr, an Sicherheitsexperten oder an Software-Anbieter, die für Lücken in ihren eigenen Produkten zahlen, zu verkaufen. Dies ist zwar durchaus möglich, jedoch wirkt die Hoffnung, dass sich die Käufer allein aus dieser Zielgruppe rekrutieren, reichlich optimistisch bis naiv.

Illegal ist Mitnicks neue Geschäftsidee nach US-Recht nicht - ist sie jedoch ethisch? An dieser Frage scheiden sich wohl die Geister.

Quelle: Sophos Naked Security

 

[MistaKanista]

Sehr interessant, gerade wo er doch damals nie darauf aus war, finanzielle Gewinne zu erzielen. Ethisch verwerflich finde ich es aber trotzdem nicht, schließlich gehts hier ja um Firmen die teilweise Umsätze in Höhe von Milliarden machen.

 

[TBow]

Ethisch verwerflich finde ich es aber trotzdem nicht, schließlich gehts hier ja um Firmen die teilweise Umsätze in Höhe von Milliarden machen.

Klar, wer Kohle hat dem gehts gut. Ethik pur.

 

[p3Eq]

Naja, verständlich ist es insofern, als dass die ein oder anderen Sicherheitslücken für Kriminelle viel wert sind. Auf legalem Wege Profit damit zu machen, ist für mich daher nachvollziehbar, auch wenn es moralisch vielleicht nicht sonderlich einwandfrei ist.
Auf der anderen Seite sehe ich das auch ein bisschen als Appell an Softwareunternehmen: Macht euren Kram sicher und setzt von Anfang an auf Sicherheitsexperten.

 

[MistaKanista]

@TBow: Nach deiner Auffassung, wäre wohl auch ein Robin Hood unethisch?

 

[TBow]

@TBow: Nach deiner Auffassung, wäre wohl auch ein Robin Hood unethisch?

Oha, Herr Mitnick raubt Geld von den Reichen und gibt es den Armen? Irgendwie schein ich da was verpasst zu haben.

Wenn Herr Mitnick das tun würde, was er in den letzten Jahren so getan hat, dann wäre alles paletti.
Microsoft hat einen Zero Day Exploit im Browser? OK, dann verkauf ihn an Microsoft und nur an Microsoft. Nicht an andere! Sein Geschäftsmodell sieht jedoch leider anders aus. Das ist das Problem.

 

[Annika]

Wenn Herr Mitnick das tun würde, was er in den letzten Jahren so getan hat, dann wäre alles paletti.
Microsoft hat einen Zero Day Exploit im Browser? OK, dann verkauf ihn an Microsoft und nur an Microsoft. Nicht an andere! Sein Geschäftsmodell sieht jedoch leider anders aus. Das ist das Problem.

Das sehe ich auch so... "Bug Bounty"-Programme und dergleichen finde ich eine sehr gute Idee, aber Exploits an den Meistbietenden zu verkaufen ist in meinen Augen höchst gefährlich. Siehe beispielsweise auch Vupen, die sich mit dem Argument "wir verkaufen nur an Regierungen" als moralisch überlegen darstellen wollen... dabei missbrauchen Regierungen so etwas durchaus regelmäßig, wie wir spätestens seit Snowden wissen.

 

[p3Eq]

@TBow: Ähnelt im weiten Sinne Erpressung: Entweder ihr zahlt mir Betrag x, oder ich werde euch die Sicherheitslücke nicht nennen.

 

[MistaKanista]

Oha, Herr Mitnick raubt Geld von den Reichen und gibt es den Armen? Irgendwie schein ich da was verpasst zu haben.

Wenn Herr Mitnick das tun würde, was er in den letzten Jahren so getan hat, dann wäre alles paletti.
Microsoft hat einen Zero Day Exploit im Browser? OK, dann verkauf ihn an Microsoft und nur an Microsoft. Nicht an andere! Sein Geschäftsmodell sieht jedoch leider anders aus. Das ist das Problem.

Hui, da hab ich nicht aufmerksam genug gelesen. Bin davon ausgegangen, dass er ausschließlich an die Firmen verkauft, wo auch die Lücke besteht. So ist das natürlich eher fragwürdig, geb ich dir absolut recht.

 

[accC]

Nun er ist Unternehmer aus Luft und Liebe wird er sich wohl nicht die Finger krumm machen. Dass er Sicherheitslücken nicht für einen Apfel und ein Ei raus wirft, finde ich in so fern gut, als dass das sicherstelt, dass nicht jeder Hinz und Kunz mal eben ein paar Zero-Day-Exploits kaufen kann. Andererseits finde ich es bedenklich, Sicherheitslücken zu verkaufen. Schließlich müsste man diese möglichst schnell schließen.

Schade, irgendwie zerstört das mein Bild von Mitnick.

 

[gelöschter Benutzer]

Wenn man älter wird, verkauft man sich anscheinend eher.

Herzlichen Glückwunsch, Mitnick. Bist vom Vorbild zum Kommerzgandalf geworden.

 

[p3Eq]

Ach Leute, ihr habt immer so gut reden, wenn es um Moral geht. Aber ab irgendeinem Punkt muss man mal an sich denken. Das hat mit Egoismus auch nicht viel zu tun, aber jeder von uns strebt nach zumindest ein wenig Luxus. Ist er deswegen ein Unmensch? Klar, Sicherheitslücken zu verkaufen ist schon eine gewaltige Nummer, aber das ist nunmal sein Talent.

 

[gelöschter Benutzer]

Ich könnte doppelt so viel verdienen, wenn ich in einer skrupellosen, machtorientierten Firma arbeiten würde.

Tue ich aber nicht. Ich mag meinen Job, Geld ist mir echt egal. Ab nem gewissen Einkommen (das hatte Mitnick die letzten 10 Jahre sicher) ist es echt egal, ob man 50% mehr oder weniger verdient.

 

[TBow]

Klar, Sicherheitslücken zu verkaufen ist schon eine gewaltige Nummer, aber das ist nunmal sein Talent.

Nö, sein Talent hat er die letzten Jahre zu Geld gemacht, als er Sicherheitsberater/Penetrationstester war.
Was er jetzt tut, ist nur das Verhökern von Sicherheitslücken an die zahlende Kundschaft. Egal wer das auch sein mag.

 

[War-10-ck]

Nö, sein Talent hat er die letzten Jahre zu Geld gemacht, als er Sicherheitsberater/Penetrationstester war.
Was er jetzt tut, ist nur das Verhökern von Sicherheitslücken an die zahlende Kundschaft. Egal wer das auch sein mag.

Und deswegen macht er sein Talent jetzt nicht mehr zu Geld? Wenn du was schreiben willst okay. Aber das macht so mal gar keinen Sinn.

 

[gelöschter Benutzer]

Na ja, Waffenhändler (das ist Mitnick imho jetzt) haben in der Regel kein Interesse, die Waffen zu benutzen oder zu erklären, sondern sie verkaufen sie nur.

 

[TBow]

@War-10-ck
Ich bezog mich auf die Aussage, er würde mit dem Verkauf von Exploits nur seinem Talent folgen. Das ist nicht der Fall, denn er hat in den letzten Jahrzehnten gezeigt, dass seine Talente woanders liegen. Nämlich im entdecken solcher Exploits.

 

[War-10-ck]

Naja sein Talent ist das Entdecken von Exploits und die logische Schlussfolgerung ist die Vermarktung des Talents und damit der Exploits. Ich sehe da nichts Außergewöhnliches.

 

[The_Emperor]

Ach Leute, ihr habt immer so gut reden, wenn es um Moral geht. Aber ab irgendeinem Punkt muss man mal an sich denken.

Es ist wichtig die gesunde Mitte von beidem zu finden. Von Moral alleine kann man sich nichts zum Fressen kaufen.

 

[Ungesund]

Ich sehe warum man die Idee Exploits zu verkaufen als unethisch/unmoralisch/unfair etc. ansehen könnte, jedoch haben profitorientierte Unternehmen mit Ethik nichts am Hut. Man befindet sich dort bereits auf einem Spielfeld auf dem diese, für das unser eigenes leben sehr wichtigen Faktoren, nicht mehr als Marketingsgags sind. Für diese Firmen kommt es nur darauf an den Schein von ethischem Handeln für Konsumenten und Anleger zu bewahren, letztendlich ist Profitmaximierung aber das ultimative Ziel. So lange die Gesetze es zulassen, so lange ist es nicht verwerflich. So läuft nun mal Kapitalismus. Sich um irgendwelche Moral scheren hat noch niemanden Reich gemacht. Deswegen finde ich die Idee von Herrn Mitnick gut. Mal ein bisschen am Affenkäfig rütteln, Panik verbreiten und dabei entweder Geld von jenen nehmen deren Existenz darin besteht selbiges mit den Produkten in denen die Fehler bestehen zu vermehren, oder ihnen schaden und die Exploits an Konkurrenten/Kriminelle verkaufen... Klingt erstmal prima in meinen Ohren.

Hinzu kommt, das man nur so druck auf die Betroffenen ausüben kann, den Fehler zu beheben. Wie oft hat man schon von Exploits gelesen auf die die Betroffenen hingewiesen wurden, und die trotzdem noch Monatelang fortbestanden... Vielleicht wirkt sich das ganze ja sogar positiv auf die Qualität der Software an ich aus, weil dann jeder vorsorglich Prüft, wer weiß.