+43 699 / 18199463
office@itexperst.at

Was kostet ein Zero-Day-Exploit?

Laut Magazin Forbes hat eine regierungsnahe US-Organisation für einen sog. Zero-Day-Exploit für das iPhone- bzw. iPad-Betriebssystem von Apple 250.000 US-Dollar gezahlt.

Der Hacker „the Grugq“ hatte schon mehrmals als Vermittler agiert, um solchen Schadcode, der noch nicht bekannt ist, an Interessierte zu verkaufen. Im letzten Jahr habe er eine Million US-Dollar mit dieser Art von Vermittlung gemacht.

Die folgende Tabelle stellt grob die Preise für Schadcode von aktuellen nicht bekannten Sicherheitslücken dar. Er bezieht sich auf einen exklusiven Verkauf und auf die aktuellste Version des Herstellers.

Zero-Day-Exploit fürPreis
Adobe Reader5.000,- bis 30.000,-
Mac OSX20.000,- bis 50.000,-
Android30.000,- bis 60.000,-
Flash oder Java Browsing Plug-In40.000,- bis 100.000,-
Microsoft Word50.000,- bis 100.000,-
Windows60.000,- bis 120.000,-
Firefox oder Safari Browser60.000,- bis 150.000,-
Chrome oder Internet Explorer Browser80.000,- bis 200.000,-
IOS100.000,- bis 250.000,-

Die Preise werden einerseits durch die Verbreitung der Software und andererseits durch die Schwierigkeit, um die Software zu knacken, bestimmt. Auf die Frage, wer solche Summen bezahlt, antwortet „the Grugq“, hauptsächlich die westlichen Regierungen, speziell USA. Die Einschränkung auf diesen Bereich der nördlichen Hemisphäre ist für den Hacker hauptsächlich eine Frage des Überlebens.

Selling a bug to the Russian mafia guarantees it will be dead in no time, and they pay very little money. Russia is flooded with criminals. They monetize exploits in the most brutal and mediocre way possible, and they cheat each other heavily.

China habe zu viele Hacker, die auch nur die Sicherheitslücken an die chinesische Regierung verkaufen. Das drücke den Preis, so „the Grugq“.

Personen, die solche Zero-Day-Exploits verkaufen, werden auch als „Händler des Todes“ bezeichnet. Wenn eine solche Schadsoftware in die Hände von Gruppen gelangt, die damit Schaden an einer kritischen Infrastruktur anrichten wollen, sind massive Probleme vorprogrammiert.

Chris Soghoian, Datenschutz-Aktivist auf einer Kaspersky-Tagung:

Security researchers should not be selling zero-days to middle man firms…These firms are cowboys and if we do nothing to stop them, they will drag the entire security industry into a world of pain.

Artikel von forbes.com,23.03.2012: Shopping For Zero-Days: A Price List For Hackers‘ Secret Software Exploits

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen