Händler konkurrieren mit Kriminellen
Zerodium ist einer der bekanntesten Händler von Zero Day-Exploits. Zu den Kunden gehören Firmen und staatliche Institutionen, die entsprechende Informationen haben wollen, um Spionage-Malware oder Staatstrojaner zu bauen, wie winfuture.de dazu erläuterte.
Um aber exklusiv an Daten zu Sicherheitslücken zu kommen, muss man die Security-Forscher, die erst einmal das Interesse der Nutzer im Sinn haben, schon mit deutlich höheren Summen bestechen, als im Rahmen der üblichen Bug Bounty-Programme zu haben sind. Und natürlich muss man auch mit den gewöhnlichen Kriminellen konkurrieren.
Millionen Beträge
Wie weiter dazu verlautete, ist Zerodium jetzt bereit für einen Zero Day-Exploit für Apples iOS-Plattform einen Betrag von bis zu 2 Millionen Dollar zu zahlen. Der Entdecker des Bugs muss schon eine gewisse Beständigkeit seines Hacks gewährleisten können und auch einen Zugang ermöglichen, die keine Interaktion mit dem Gerätebesitzer erfordert. Für Informationen, mit denen man Schadcode mit nur einem Klick des Anwenders auf ein iPhone bekommt, gibt es immerhin noch 1,5 Millionen Dollar.
Millionen-Summen auch für andere Sicherheitslücken
Aber auch andere Plattformen können interessante Ziele darstellen. Für entsprechende Sicherheitslücken in Messaging-Systemen werden ebenfalls hohe Beträge geboten. Dazu gehören unter anderem:
- iMessage
- SMS/MMS-Plattformen der Mobilfunkbetreiber
Hier werden bis zu einer Million US-Dollar geboten und damit doppelt so viel wie bisher. Solche Summen bietet das Unternehmen auch für Zero Days für SMB- und RDP-Protokolle.
Fazit
Die Beträge lassen auch erahnen, mit welchen Preisen in der weiteren Verwertungskette agiert wird. So kann ein Zero Day-Exploit beispielsweise seinen Weg von Zerodium oder einem anderen Anbieter aus der Branche zu einem Malware-Entwickler wie Gamma nehmen, bei dem dann Behörden wie das BKA mit Steuergeldern einen Staatstrojaner einkaufen. Da wundert es kaum, dass auch die deutsche Regierung bereit ist, hohe Beträge in die Hand zu nehmen, um mit Zitis eine eigene Hacker-Behörde aufzubauen, die sich selbst mit der Suche nach verwertbaren Schwachstellen beschäftigt, so winfuture.de.
Weiterführende Links:
Daten verschlüsseln und sichern
winfuture.de: Exploit-Händler bietet jetzt 2 Millionen Dollar für iOS-Schwachstellen