Im Darknet floriert der Handel mit gefährlichen Sicherheitslücken für Handys und PCs. 7 krasse Zahlen und Fakten
Software-Schwachstellen, die sich für Computer-Einbrüche eignen, sind begehrt bei Kriminellen und Geheimdiensten. Der Schweizer IT-Sicherheitsexperte Marc Ruef gibt Einblick ins millionenschwere Exploits-Business.
Im Darknet wird nicht nur mit Kinderpornos und Drogen gedealt. Sehr begehrt sind auch Informationen zu Sicherheitslücken, die sich für Einbrüche in Computersysteme verwenden lassen. Sogenannte Exploits.
Am begehrtesten (und teuersten) sind Zero Day Exploits («0-Days»). Das sind Schwachstellen in Betriebssystemen und anderer Software, die besonders wertvoll sind, weil sie niemand kennt und es darum noch keinen Schutz gibt.
Mit solchen Schwachstellen lässt sich viel Schaden anrichten:
Der Angreifer kann unbemerkt Spionage-Software auf einem iPhone installieren – das passiert voll automatisch, wenn das ahnungslose Opfer eine manipulierte Webseite aufruft.
Wie der US-Whistleblower Edward Snowden enthüllt hat, geht es dem US-Geheimdienst NSA um die totale Überwachung der Internetnutzer. Das technische Rüstzeug, um Router, Server und andere Computer zu hacken, sind unzählige Exploits.
Schmutzige Tricks
Verborgen auf einem unbekannten Server, nur erreichbar über die Anonymisierungs-Software Tor, liegt The Real Deal. Über den Schwarzmarkt wurden vor allem Angriffswerkzeuge für kriminelle Hacker verkauft, wie die «Zeit» 2015 berichtete. Die Website mit der «.onion»-Adresse galt als gute Anlaufstelle für Verkäufer und Käufer von Exploits. Doch nach wenigen Monaten Präsenz verschwand die Site spurlos, um einige Monate später wieder aufzutauchen. Über die Gründe könne nur spekuliert werden, sagt der Darknet-Kenner Marc Ruef. «Fachpresse und Vertreter der Industrie werfen den Machern vor, einen sogenannten ‹Exit Scam› vollzogen und mit dem Geld noch nicht vollzogener Transaktionen geflohen zu sein.»
Laut Marc Ruef floriert der Exploits-Handel im Darknet. Der ehemalige Hacker und IT-Sicherheitsexperte spricht von einem explosionsartigen Wachstum, was die Zahl der verfügbaren Exploits wie auch die verlangten Preise betreffe. Das theoretische Marktvolumen sei 2015 auf schätzungsweise 155 Millionen Dollar gewachsen.
Von der Idee bis zum ausführbaren Tool ist es ein weiter Weg. Dafür winken je nach Angriffsziel grosse Summen.grafik: scip ag
Zu den zahlungskräftigsten Abnehmern der digitalen «Waffen» gehören die Geheimdienste. Allen voran die US-Amerikaner sowie despotische Staaten im Nahen und Fernen Osten.
Aber auch die Europäer beteiligen sich rege am Exploits-Business. Letzten November machte das Nachrichtenmagazin «Spiegel» publik, dass der deutsche Bundesnachrichtendienst (BND) bis 2020 für 4,5 Millionen Euro Zero Day Exploits kaufen wolle.
Diktatoren und Saubermänner
Rund um die Exploits hat sich ein starker Industrie-Zweig entwickelt. Private Sicherheitsfirmen entwickeln Software-Tools, die sie für viel Geld an Abnehmer rund um den Globus verkaufen können.
Der renommierte US-Autor James Bamford hat gerade unter dem Titel The Espionage Economy im «Foreign Policy»-Blog einen lesenswerten Beitrag über den kommerziellen Markt für Spionage-Software publiziert. Darin geht es um schmutzige Geschäfte mit Diktatoren und Saubermännern.
Solche Werkzeuge ermöglichten es Regierungen erst, die eigenen Bürger und diejenigen anderer Staaten zu überwachen. Bamford komme daher zum naheliegenden Schluss, dass der Markt strikter kontrolliert und reguliert werden sollte, fasst netzpolitik.org zusammen.
Der Kaufinteressent erhalte zunächst einen grösstenteils funktionierenden Auszug des Exploits. Dadurch könne dessen Legitimität und Qualität geprüft werden.
Bei Gefallen sei dem Verkäufer eine Anzahlung zu überweisen, die bevorzugt in Bitcoins geleistet werde. «Falls beispielsweise ein Exploit den Gesamtpreis von 50'000 US-Dollars hat, wird die Anzahlung 20'000 betragen.»
Danach erfolgten jeweils im Abstand von meist 30 Tagen weitere Teilzahlungen von je 10'000 Dollar.
Durch die gestaffelte Bezahlung könne sich der Käufer gegen zwei unliebsame Effekte wappnen: Falls der Exploit anderswo auftauche und damit die ausgehandelte Exklusivität verliere, werde die Zahlung eingestellt. Und falls der Hersteller die Sicherheitslücke frühzeitig schliesse, könne die Zahlung ausgesetzt werden.
Professionelle Exploit-Anbieter reichten in solchen Fällen als Kompensation einen funktionierenden Exploit nach.
Ruef hat mit Kollegen vom IT-Beratungsunternehmen Scip AG ein Modell entwickelt, um die Preisentwicklung von Exploits zu berechnen. Dazu werden verschiedenste Faktoren berücksichtigt.
«Wir gehen von einem 0-day Exploit aus, dessen Schwachstelle und Existenz nicht bekannt ist. Er wird exklusiv und einmalig verkauft, bis die Schwachstelle publik oder ein alternativer Exploit herausgegeben wird. Sobald diese Exklusivität verloren geht, wird ein tagesaktueller Preis erzeugt. Dieser ist von Ereignissen (Bekanntwerden der Schwachstelle, alternativer Exploit verfügbar, Gegenmassnahme veröffentlicht) und der zeitlichen Entwicklung abhängig.»
Marc Ruef über das Modell zur Exploits-Preisentwicklung.quelle: scip ag
Das Modell sei in den letzten Jahren weiter verfeinert worden und erlaube es mittlerweile, die Preise relativ genau vorauszusagen. Für watson hat Ruef spannende Entwicklungen zu den Smartphones und PC-Systemen in den folgenden Grafiken zusammengefasst.
So viel sind die gefährlichsten Schwachstellen (Zero Day Exploits) wert
RCE-Exploits erlauben das (heimliche) Ausführen von bösartigen Programmen auf fremden Computersystemen.bild: scip ag
«Acrobat»-Exploits sind am günstigsten, iPhone-Exploits gehen richtig ins Geld
Zero-Day Exploits: Die Preisspanne ist riesig. Mit Abstand am teuersten/wertvollsten sind iPhone-Lücken.grafik: scip ag
Laut Ruef sind Exploits am wertvollsten, wenn sie dem Angreifer erlauben, unbemerkt fremden Code über eine Netzwerkverbindung auszuführen, wenn also kein physischer Zugang nötig ist.
«Wir gehen davon aus, dass hier Android massiv aufholen wird in den kommenden fünf Jahren.»
Marc Ruef, IT-Sicherheitsexperte
2016 dürften erstmals 1,5 Millionen Dollar für einen iPhone-Exploit bezahlt werden
iPhone-Exploits: Die Kurve zur Preisentwicklung steigt an, dieses Jahr dürften erstmals 1,5 Millionen Dollar für einen Exploit bezahlt werden, der Angreifern Zugriff auf fremde Geräte ermöglicht.grafik: scip ag
Auf dem Graumarkt gibt's nur wenige hochklassige Exploits, hingegen sehr viel «Schrott»
Im Top-Segment gibt es nur wenige Exploits, die den Entwicklern über 100'000 Dollar einbringen.infografik: scip ag
Android ist stärker verbreitet, doch iPhone-Exploits sind viel wertvoller
iOS (iPhone) dominiert seit nunmehr drei Jahren das oberste Preissegment, die Preise sind massiv gestiegen. Für das weitverbreitete Google-System Android sind sie hingegen nur langsam angestiegen. «Wir gehen davon aus, dass hier Android massiv aufholen wird in den kommenden fünf Jahren», sagt Ruef.grafik: scip ag
Der Markt für Windows-Exploits hat sich seit Windows XP massiv verändert
Die Preise für die verschiedenen Windows-Versionen sind ab 2013 massiv gestiegen, bewegen sich aber – im Vergleich mit iPhone-Exploits – auf relativ tiefem Niveau.grafik: scip ag
«Extrem schlechte Idee»
Abschliessend gilt festzuhalten, dass Software-Schwachstellen im Prinzip alle Nutzer von Smartphones und Computern bedrohen. Den Markt für Exploits zu unterstützen, sei aus staatlicher Sicht eine extrem schlechte Idee,
meint Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere
Informationstechnologie. Jede Lücke sei für die Bürger, Behörden und Unternehmen ein grosses Risiko, da niemand wisse,
wer alles das Know-how um die Schwachstellen kaufe.
Die 25 spannendsten Gadgets, die du 2016 kaufen kannst
1 / 27
Die 25 spannendsten Gadgets, die du 2016 kaufen kannst
Das «Thermo» genannte Gadget von Withings misst die Körpertemperatur, indem es die Temporalarterie an der Schläfe abtastet. Es dauert nur zwei Sekunden, bis die Messwerte sowohl auf dem Gerät angezeigt als auch an eine Smartphone-App übertragen werden. Knapp 100 Franken kostet das vernetzte Thermometer.
Du hast watson gern? Sag das doch deinen Freunden!
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Gantii
27.01.2016 14:23registriert Februar 2015
es sollte illegal sein, steuergelder für jegliche exploits (nicht nur 0-day) auszugeben.
Das Darknet ist nicht nur eine Handelsplattform. Hier können sich Leute ungestört austauschen ohne dass jemand mithört! Hier herrscht absolute Meinungsfreiheit.
SBB verbessern Halbtax Plus: Neues Refill-Feature ab sofort verfügbar
Im Dezember 2023 lancierte die Alliance SwissPass mit dem sogenannten Halbtax Plus ein Guthaben-Abo. Der Verkaufsschlager wartet nun mit einer entscheidenden Veränderung auf.
Der Name «Halbtax Plus» erweckt den Eindruck, dass es sich um eine erweiterte Version des bekannten Halbtax-Abos handelt. Ursprünglich war dies auch geplant, da das Halbtax direkt in das Angebot von Halbtax Plus integriert werden sollte. Aufgrund technischer Herausforderungen wurde dieser Plan vor der Einführung im Dezember letzten Jahres verworfen. Der Name blieb jedoch bestehen.