Im Darknet floriert der Handel mit gefährlichen Sicherheitslücken für Handys und PCs. 7 krasse Zahlen und Fakten
Software-Schwachstellen, die sich für Computer-Einbrüche eignen, sind begehrt bei Kriminellen und Geheimdiensten. Der Schweizer IT-Sicherheitsexperte Marc Ruef gibt Einblick ins millionenschwere Exploits-Business.
Im Darknet wird nicht nur mit Kinderpornos und Drogen gedealt. Sehr begehrt sind auch Informationen zu Sicherheitslücken, die sich für Einbrüche in Computersysteme verwenden lassen. Sogenannte Exploits.
Am begehrtesten (und teuersten) sind Zero Day Exploits («0-Days»). Das sind Schwachstellen in Betriebssystemen und anderer Software, die besonders wertvoll sind, weil sie niemand kennt und es darum noch keinen Schutz gibt.
Mit solchen Schwachstellen lässt sich viel Schaden anrichten:
- Der Angreifer kann unbemerkt Spionage-Software auf einem iPhone installieren – das passiert voll automatisch, wenn das ahnungslose Opfer eine manipulierte Webseite aufruft.
- Wie der US-Whistleblower Edward Snowden enthüllt hat, geht es dem US-Geheimdienst NSA um die totale Überwachung der Internetnutzer. Das technische Rüstzeug, um Router, Server und andere Computer zu hacken, sind unzählige Exploits.
Laut Marc Ruef floriert der Exploits-Handel im Darknet. Der ehemalige Hacker und IT-Sicherheitsexperte spricht von einem explosionsartigen Wachstum, was die Zahl der verfügbaren Exploits wie auch die verlangten Preise betreffe. Das theoretische Marktvolumen sei 2015 auf schätzungsweise 155 Millionen Dollar gewachsen.
Von der Idee bis zum ausführbaren Tool ist es ein weiter Weg. Dafür winken je nach Angriffsziel grosse Summen.
grafik: scip ag
Zu den zahlungskräftigsten Abnehmern der digitalen «Waffen» gehören die Geheimdienste. Allen voran die US-Amerikaner sowie despotische Staaten im Nahen und Fernen Osten.
Aber auch die Europäer beteiligen sich rege am Exploits-Business. Letzten November machte das Nachrichtenmagazin «Spiegel» publik, dass der deutsche Bundesnachrichtendienst (BND) bis 2020 für 4,5 Millionen Euro Zero Day Exploits kaufen wolle.
Diktatoren und Saubermänner
Rund um die Exploits hat sich ein starker Industrie-Zweig entwickelt. Private Sicherheitsfirmen entwickeln Software-Tools, die sie für viel Geld an Abnehmer rund um den Globus verkaufen können.
Der renommierte US-Autor James Bamford hat gerade unter dem Titel The Espionage Economy im «Foreign Policy»-Blog einen lesenswerten Beitrag über den kommerziellen Markt für Spionage-Software publiziert. Darin geht es um schmutzige Geschäfte mit Diktatoren und Saubermännern.
Solche Werkzeuge ermöglichten es Regierungen erst, die eigenen Bürger und diejenigen anderer Staaten zu überwachen. Bamford komme daher zum naheliegenden Schluss, dass der Markt strikter kontrolliert und reguliert werden sollte, fasst netzpolitik.org zusammen.
So laufen die Deals ab
Wie Marc Ruef in einem Beitrag zu seinen Darknet-Recherchen schildert, laufen Exploit-Deals in der Regel gestaffelt ab:
- Der Kaufinteressent erhalte zunächst einen grösstenteils funktionierenden Auszug des Exploits. Dadurch könne dessen Legitimität und Qualität geprüft werden.
- Bei Gefallen sei dem Verkäufer eine Anzahlung zu überweisen, die bevorzugt in Bitcoins geleistet werde. «Falls beispielsweise ein Exploit den Gesamtpreis von 50'000 US-Dollars hat, wird die Anzahlung 20'000 betragen.»
- Danach erfolgten jeweils im Abstand von meist 30 Tagen weitere Teilzahlungen von je 10'000 Dollar.
- Durch die gestaffelte Bezahlung könne sich der Käufer gegen zwei unliebsame Effekte wappnen: Falls der Exploit anderswo auftauche und damit die ausgehandelte Exklusivität verliere, werde die Zahlung eingestellt. Und falls der Hersteller die Sicherheitslücke frühzeitig schliesse, könne die Zahlung ausgesetzt werden.
- Professionelle Exploit-Anbieter reichten in solchen Fällen als Kompensation einen funktionierenden Exploit nach.
Ruef hat mit Kollegen vom IT-Beratungsunternehmen Scip AG ein Modell entwickelt, um die Preisentwicklung von Exploits zu berechnen. Dazu werden verschiedenste Faktoren berücksichtigt.
«Wir gehen von einem 0-day Exploit aus, dessen Schwachstelle und Existenz nicht bekannt ist. Er wird exklusiv und einmalig verkauft, bis die Schwachstelle publik oder ein alternativer Exploit herausgegeben wird. Sobald diese Exklusivität verloren geht, wird ein tagesaktueller Preis erzeugt. Dieser ist von Ereignissen (Bekanntwerden der Schwachstelle, alternativer Exploit verfügbar, Gegenmassnahme veröffentlicht) und der zeitlichen Entwicklung abhängig.»
Marc Ruef über das Modell zur Exploits-Preisentwicklung.
quelle: scip ag
Das Modell sei in den letzten Jahren weiter verfeinert worden und erlaube es mittlerweile, die Preise relativ genau vorauszusagen. Für watson hat Ruef spannende Entwicklungen zu den Smartphones und PC-Systemen in den folgenden Grafiken zusammengefasst.
So viel sind die gefährlichsten Schwachstellen (Zero Day Exploits) wert
RCE-Exploits erlauben das (heimliche) Ausführen von bösartigen Programmen auf fremden Computersystemen.
bild: scip ag
«Acrobat»-Exploits sind am günstigsten, iPhone-Exploits gehen richtig ins Geld
Zero-Day Exploits: Die Preisspanne ist riesig. Mit Abstand am teuersten/wertvollsten sind iPhone-Lücken.
grafik: scip ag
Laut Ruef sind Exploits am wertvollsten, wenn sie dem Angreifer erlauben, unbemerkt fremden Code über eine Netzwerkverbindung auszuführen, wenn also kein physischer Zugang nötig ist.
2016 dürften erstmals 1,5 Millionen Dollar für einen iPhone-Exploit bezahlt werden
iPhone-Exploits: Die Kurve zur Preisentwicklung steigt an, dieses Jahr dürften erstmals 1,5 Millionen Dollar für einen Exploit bezahlt werden, der Angreifern Zugriff auf fremde Geräte ermöglicht.
grafik: scip ag
Auf dem Graumarkt gibt's nur wenige hochklassige Exploits, hingegen sehr viel «Schrott»
Im Top-Segment gibt es nur wenige Exploits, die den Entwicklern über 100'000 Dollar einbringen.
infografik: scip ag
Android ist stärker verbreitet, doch iPhone-Exploits sind viel wertvoller
iOS (iPhone) dominiert seit nunmehr drei Jahren das oberste Preissegment, die Preise sind massiv gestiegen. Für das weitverbreitete Google-System Android sind sie hingegen nur langsam angestiegen. «Wir gehen davon aus, dass hier Android massiv aufholen wird in den kommenden fünf Jahren», sagt Ruef.
grafik: scip ag
Der Markt für Windows-Exploits hat sich seit Windows XP massiv verändert
Die Preise für die verschiedenen Windows-Versionen sind ab 2013 massiv gestiegen, bewegen sich aber – im Vergleich mit iPhone-Exploits – auf relativ tiefem Niveau.
grafik: scip ag
«Extrem schlechte Idee»
Abschliessend gilt festzuhalten, dass Software-Schwachstellen im Prinzip alle Nutzer von Smartphones und Computern bedrohen. Den Markt für Exploits zu unterstützen, sei aus staatlicher Sicht eine extrem schlechte Idee, meint Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Jede Lücke sei für die Bürger, Behörden und Unternehmen ein grosses Risiko, da niemand wisse, wer alles das Know-how um die Schwachstellen kaufe.
So richtig ins öffentliche Bewusstsein gelangte das fragwürdige Millionen-Geschäft letztes Jahr durch den erfolgreichen Hackerangriff auf die italienische Sicherheitsfirma The Hacking Team.
Die 25 spannendsten Gadgets, die du 2016 kaufen kannst
Das «Thermo» genannte Gadget von Withings misst die Körpertemperatur, indem es die Temporalarterie an der Schläfe abtastet. Es dauert nur zwei Sekunden, bis die Messwerte sowohl auf dem Gerät angezeigt als auch an eine Smartphone-App übertragen werden. Knapp 100 Franken kostet das vernetzte Thermometer.
Das Canhe-Fit genannte Gerät soll dem Tierhalter Auskunft geben, wie viel sein Hund oder seine Katze isst, sich bewegt und wie viele Kalorien das Tier dabei verbraucht. Die so gesammelten Daten soll man dann dem Tierarzt zeigen, damit der über eine Diät oder ein Fitnessprogramm entscheiden kann.
Mit Ember soll man sich nie mehr die Zunge verbrühen und sich nicht mehr über kalten Kaffee ärgern. Der 129 Dollar teure Thermobecher kühlt Kaffee und Tee auf eine voreingestellte Trinktemperatur ab und hält diese über Stunden.
Mit dem Prizm-Player soll man immer die Musik hören, die dem Geschmack der Zuhörer im Raum entspricht. Dazu lernt der Player über eine Like-Taste, welche Songs man mag. Ausserdem kann man ihm Zugang zu seinen Accounts bei Spotify, Deezer und SoundCloud geben und ihm per App Vorlieben mitteilen. Indem man beispielsweise seine Smartphones oder Smartwatches mit ihm verbindet, kann der Player dann erkennen, wer gerade im Zimmer ist, und die passende Musik abspielen.
Das ist nur etwas für Profis: Der Skifahrer-Airbag von Inemotion wird wie eine schusssichere Weste getragen. Erkennen seine Sensoren einen drohenden Unfall, bläst er sich wie eine Rundum-Rettungsweste auf und soll so vor Verletzungen schützen. Hört sich gut an, ist aber teuer. Gut 1000 Euro zahlt man für die Schutzweste.
Indem man den Boomstick zwischen Smartphone und Kopfhörer steckt, soll dessen Klang deutlich verbessert werden. Computeralgorithmen und psychoakustische Tricks sollen das möglich machen. Im ersten Kurztest klappte das auch ziemlich gut. Aber das wollen wir noch genauer wissen. 100 Dollar kostet der Klangverbesserer.
Nach iPod, iPhone und iPad gibt es jetzt auch noch «igrow», allerdings nicht von Apple, sondern von einer Firma namens Apira Science. Die behauptet, man müsse sich nur regelmässig den Helm mit eingebauten Laserlämpchen aufsetzen und schon würden die Haare wieder spriessen. Wer dran glaubt, muss für den Rotlichthelm 800 Dollar berappen.
Parrot zeigt auf der CES eine etwas andere Drohne für den Heimgebrauch. Das Disco genannte Fluggerät sieht eher aus wie ein Stealth-Bomber, soll bis zu 80 Stundenkilometer schnell fliegen und 45 Minuten in der Luft bleiben.
Wer diesen Schuh trägt, braucht kein Fitnessarmband mehr. Denn im Smartshoe von Digitsole sind alle nötigen Sensoren, beispielsweise zum Schrittezählen, schon eingebaut. Deren Daten werden per App ausgewertet. Und wenn es mal kalt wird, schaltet man einfach die eingebaute Sohlenheizung an.
Beim SuperBike von Letv läuft vieles digital: Zur Grundausstattung gehört ein Kleincomputer mit BikeOS-Betriebssystem, einer Android-Variante. Dieser Mini-PC sammelt die Daten verschiedener Sensoren, zeigt Navigationsdaten an und verriegelt das Fahrrad, wenn man es abstellt. Statt per Schlüssel entsperrt man es mit seinem Fingerabdruck. Mindestens 1270 Dollar kostet so ein Hightech-Drahtesel.
Acer steht eigentlich für Billigcomputer und Gamer-PCs. Mit dem Switch 12 S versucht die Firma sich nun aber im Premium-Segment. Über 1200 Euro kostet das neue 2-in-1-Gerät. Dafür bekommt man eine Kombination aus Tablet und Notebook, wobei Bildschirm und Tastatur magnetisch miteinander verbunden werden.
Haier hat den oft als fahrenden Mülleimer bezeichneten Roboter R2-D2 als Kühlschrank nachgebaut. Das 1:1-Modell kann mit maximal einem Kilometer pro Stunde durch die Wohnung fahren, piepst wie das Original und hat einen integrierten 720p-Videobeamer zum Filmegucken.
Der neue Weinkühler von Haier ist interessant. Statt mit einem brummenden Kompressor erzeugt er seine Kälte mit einem neuartigen H2O/CO2-Wärmetauscher und einem Kühlchip.
Das BreakSafe Magnetic USB-C Power Cable von Griffin soll Besitzer moderner Notebooks die Sorge nehmen, das als Stromversorgung genutzte USB-Kabel könnte abbrechen, wenn mal etwas schiefgeht. Es löst sich automatisch, wenn man beispielsweise darüber stolpert.
Vorbei sind die Zeiten, als SSDs nur geringe Kapazitäten boten, dafür fürchterlich teuer waren. Auf der CES stellt Samsung eine neue Version seiner externen SSDs vor. Die nun T3 genannten Geräte bieten bis zu zwei Terabyte Speicherplatz, sollen über ihren USB-3.1-Anschluss bis zu 450 MB/s übertragen können. Und stabil sind die 50 Gramm leichten Speichergeräte in ihrem Metallgehäuse auch noch.
Die französische Firma Netatmo stellt in Las Vegas die Presence vor, eine etwas andere Outdoor-Überwachungskamera. Zum einen, weil die Presence mit einem starken LED-Scheinwerfer bestückt ist, der angehen kann, wenn die Kamera Bewegungen erkennt. Zum anderen, weil die Kamera zwischen Menschen, Autos und Tieren unterscheiden kann.
Man fragt sich schon, wie sich dieses Exponat auf die CES verirrt hat, denn der Spider-Man-Flipperautomat hat weder Sensoren noch eine App oder gar einen Internetanschluss. Dafür soll er eben der «ultimative Spider-Man»-Flipper sein. Spass macht er jedenfalls.
Mit den Gadgets von Smarter soll man seine Küche nachträglich vernetzen. Zum Angebot gehört eine Kamera, die regelmässig Fotos vom Inhalt des Kühlschranks macht, sodass man unterwegs am Handy nachschauen kann, was fehlt. Die hier gezeigten Matten können zum Beispiel den Füllstand von Milchflaschen oder Gemüsefächern messen. Sie warnen, wenn der Vorrat zur Neige geht.
Der Taschenhersteller Knomo erweitert seine ohnehin schon stark auf Gadgets ausgerichteten Taschen und Rucksäcke um integrierte Zusatzakkus. In Kombination mit Handyhüllen samt drahtloser Ladefunktion sollen sie Smartphones mühelos unterwegs aufladen, wenn man sie in die Ladetasche fallen lässt. Ein paar Monate wird es aber noch dauern, bis die ersten Modelle marktreif sind.
Brauen ist im Trend. Mit dem Pico Brew soll der zeitaufwendige und teils schwierige Vorgang nun automatisiert werden. Man füllt einfach Wasser und die per Internet bestellbaren Zutaten in die 600-Dollar-Maschine, lässt sie ein paar Stunden kochen und fünf Tage später soll das selbst gebraute Bier fertig sein.
Wenn jetzt alles smart wird, warum nicht auch ein Piano? Das Smart Piano von der One Music Group soll jedenfalls den Klavierlehrer überflüssig machen. Stattdessen soll man per iPad-App Klavierspielen lernen, während LEDs an der Klaviatur anzeigen, welche Tasten man gerade drücken soll. 1500 Dollar kostet dieses Modell, ohne iPad.
Der Helix Cuff soll eine weibliche Zielgruppe ansprechen. Das in fünf Farben verfügbare Armband hat im Grunde keine technischen Funktionen, dient lediglich als Transportbox für ein paar In-Ohr-Kopfhörer. Der Preis: je nach Modell 200 bis 400 Dollar.
Elektronische Haarwuchsmittel boomen auf der CES. Auch das Hairmax Laserband verspricht neue Haarpracht durch Laserlicht. Als Photo-Biostimulation wird der Prozess bezeichnet, der mit 90-sekündigen Behandlungen täglich kahlen Köpfen wieder zu vollem Haarwuchs verhelfen soll.
Huawei möchte mehr Frauen für seine Smartwatches begeistern und hat auf der CES zwei Modelle speziell für diese Zielgruppe gezeigt. Die Jewel und Elegant genannten Geräte unterscheiden sich technisch nicht von anderen Smartwatches, sind dafür aber beispielsweise mit Swarovski-Kristallen verziert.
Fisher-Price will Kinder schon im Vorschulalter an Programmiertechnik gewöhnen, mit dem Code-a-Pillar. Die Plastik-Raupe besteht aus verschiedenen Modulen, die unterschiedliche Funktionen haben. Je nachdem wie man die Segmente kombiniert, bewegt sich die Raupe unterschiedlich durch den Raum. Auf diese Weise sollen Kinder lernen, durch logische Verknüpfungen Ziele zu erreichen.
So überwacht uns der Staat
Das könnte dich auch interessieren: