11.08.2014, 14:41 Uhr
Staaten sollen Sicherheitslücken kaufen
An der Black Hat 2014 in Las Vegas hat Dan Geer einige interessante und kontroversielle Vorschläge für die Bekämpfung von Cyberkriminalität gemacht.
$$
CIA-Insider Dan Geer schlägt vor, den Markt für Zero-Day-Softwarelöcher trockenzulegen, indem Staaten wie die USA das zehnfache des üblichen Preises für die Lücken zahlen
CIA-Insider Dan Geer schlägt vor, den Markt für Zero-Day-Softwarelöcher trockenzulegen, indem Staaten wie die USA das zehnfache des üblichen Preises für die Lücken zahlen
An der Sicherheits- und hackerkonferenz Black Hat 2014 haben nicht nur einige Enthüllungen in Sachen neue Schwachstellen für Furore gesorgt, auch einige der Keynotes gaben zu Diskussionen Anlass. So jene von Dan Geer, Chief Information Security Officer von In-Q-Tel, dem Risikokapitalunternehmen des US-Geheimdienstes CIA (Central Intelligence Agency).
Er hatte einen ziemlich unorthodoxen Vorschlag, um die Cybersecurity zu erhöhen. Staaten, allen voran die USA, sollen ihm zufolge sogenannte Zero-Day-Softwarelücken selbst aufkaufen und dabei gut zehn Mal mehr an Geld bieten, als die Hackerseite dafür bereit ist auszugeben. Damit könnte dieser Markt, der erst in den letzten Jahren richtig in Fahrt gekommen ist, trocken gelegt werden.
Allerdings müsste eine Voraussetzung gegeben sein: Die Programme dürften nicht so viele Fehler und Löcher enthalten, dass die Software-Firmen aus dem Patchen nicht mehr herauskommen.
Daneben präsentierte Geer einen weiteren kontroversiellen Vorschlag. Obwohl er sich bewusst sei, dass die Industrie ihn wohl darob ausschelten werde, schlug er vor, dass Software-Hersteller, die Produkte nicht mehr mit Software-Updates versehen wollen, deren Quelltext offenlegen sollten. Prominentes Beispiel, das Geer hier vorschwebt, ist Windows XP, das Microsoft nicht mehr unterstützt.
Zwar sei auch die Open-Source-Community kein Garant dafür, dass weiterhin Sicherheits-Updates geliefert würden, ist sich Geer bewusst. «Es ist das kleinste aller Übel», gibt er zu bedenken.
Er hatte einen ziemlich unorthodoxen Vorschlag, um die Cybersecurity zu erhöhen. Staaten, allen voran die USA, sollen ihm zufolge sogenannte Zero-Day-Softwarelücken selbst aufkaufen und dabei gut zehn Mal mehr an Geld bieten, als die Hackerseite dafür bereit ist auszugeben. Damit könnte dieser Markt, der erst in den letzten Jahren richtig in Fahrt gekommen ist, trocken gelegt werden.
Allerdings müsste eine Voraussetzung gegeben sein: Die Programme dürften nicht so viele Fehler und Löcher enthalten, dass die Software-Firmen aus dem Patchen nicht mehr herauskommen.
Daneben präsentierte Geer einen weiteren kontroversiellen Vorschlag. Obwohl er sich bewusst sei, dass die Industrie ihn wohl darob ausschelten werde, schlug er vor, dass Software-Hersteller, die Produkte nicht mehr mit Software-Updates versehen wollen, deren Quelltext offenlegen sollten. Prominentes Beispiel, das Geer hier vorschwebt, ist Windows XP, das Microsoft nicht mehr unterstützt.
Zwar sei auch die Open-Source-Community kein Garant dafür, dass weiterhin Sicherheits-Updates geliefert würden, ist sich Geer bewusst. «Es ist das kleinste aller Übel», gibt er zu bedenken.
