Ehemaliger Hacking-Team-Anbieter verkauft aus ethischen Gründen keine Zero-Day-Exploits mehr

Der italienische Surveillance-Software-Hersteller Hacking Team behauptete kürzlich, dass es nach dem massiven Verlust seiner internen Daten vor zwei Wochen noch keine Kunden verloren habe. Aber es hat mindestens einen Geschäftspartner verloren: den Penetrationstestspezialisten mit Sitz in den USA und den Zero-Day-Exploit-Broker Netragard.

Am Wochenende kündigte Netragard an, dass es sein langfristig laufendes Exploit Acquisition Program (EAP) beendet Enthüllungen über Kunden des Hacking-Teams als einer der Gründe.

EAP wurde 1 gegründet und ermöglichte es Netragard, den Verkauf von Exploits für ungepatchte Schwachstellen - auch als Zero-Day-Exploits bekannt - zwischen privaten Forschern und ausgewählten Organisationen, die an solchen Computern interessiert sind, zu vermitteln Intrusion Tools.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Interne E-Mail-Mitteilungen des Hacking Teams haben ergeben, dass das Mailänder Unternehmen eine Geschäftsbeziehung zu Netragard unterhält und mindestens eine Day - Exploit durch sein Programm.

Hacking Team entwickelte ein ferngesteuertes Computerüberwachungsprogramm namens Galileo oder RCS und verkaufte es an Strafverfolgungsbehörden und andere Regierungsbehörden aus der ganzen Welt Welt. Als Teil des Pakets bot das Unternehmen auch Zero-Day-Exploits an, mit denen sein Programm auf Überwachungssystemen installiert werden konnte, wenn seine Besitzer eine bestimmte Website besuchten oder ein bestimmtes Dokument öffneten.

Am 5. Juli ein oder mehrere Hacker über 400 GB E-Mail-Kommunikation, Quellcode, Dokumentation, Kundenlisten und andere interne Dateien, die vom Hacking-Team gestohlen wurden. Forscher haben bisher vier Zero-Day-Exploits im Datencache gefunden, drei für Flash Player und einen für Windows, was Adobe Systems und Microsoft dazu veranlasste, Notfallkorrekturen zu veröffentlichen.

Andere Dateien enthüllten, dass das Hacking Team seine Dienste an Regierungen verkaufte Erfolgsbilanz der Verletzung der Menschenrechte, einschließlich Ägypten, Sudan und Äthiopien; dies hat Netragard anscheinend wütend gemacht.

"Die Verletzung von HackingTeam ist ein Segen im Unglück", sagte Netragards CEO Adriel Desautels in einem Blogbeitrag kurz nach dem Leck. "Der Verstoß enthüllte ihre Kundenliste, die eine Vielzahl fragwürdiger Länder enthielt, die für Menschenrechtsverletzungen bekannt waren. Ihre Kunden sind genau dieselben Kunden, die wir so schwer zu vermeiden versucht haben. Es ist selbstverständlich, dass unsere Beziehung zu ihnen vorbei ist und wir unseren Lieferantenprüfprozess verschärft haben. "

Es scheint jedoch, dass die Trennung von Hacking Team nicht genug war und der Vorfall ein Weckruf für Netragard war "Wir haben beschlossen, unser Exploit Acquisition Program (wieder) zu beenden", sagte Desautels in einem neuen Blogbeitrag über das Wochenende. "Unsere Motivation für die Kündigung dreht sich um Ethik, Politik und unseren primären Geschäftsschwerpunkt."

Die Hacking-Team-Verletzung hat bewiesen, dass Netragard die "Ethik und Absichten" potenzieller Zero-Day-Exploit-Käufer nicht ausreichend prüfen kann, sagte Desautels. "Obwohl es keine Verantwortung eines Anbieters ist, zu kontrollieren, was ein Käufer mit dem erworbenen Produkt macht, ist die exponierte Kundenliste von HackingTeam für uns inakzeptabel. Die Ethik ist entsetzlich, und wir wollen nichts damit zu tun haben. "

Laut Desautels wird die Kündigung von EAP Neatrard nicht viel angreifen, da das Kerngeschäft des Unternehmens Penetration Testing Services ist, keine Vermittlung von Exploit-Verkäufen.

Das Unternehmen bleibt jedoch der "starken Begünstigung" der ethischen Entwicklung, des Verkaufs und der Nutzung von Zero-Day-Exploits treu und könnte das EAP in Zukunft wiederbeleben, wenn der Markt korrekt reguliert wird und ein gesetzlicher Rahmen geschaffen wird, der die Käufer zur Rechenschaft zieht verwenden Sie eine solche Technologie, sagte Desautels.

Der Verkauf von Zero-Day-Exploits an Regierungsbehörden oder private Unternehmen ist seit langem in der Sicherheitsgemeinschaft ein Diskussionsthema. Einige Kritiker argumentieren, dass diese Vorgehensweise jeden weniger sicher macht, da sie Anreize bietet, Schwachstellen vor betroffenen Anbietern geheim zu halten, mögliche Fehler zu verzögern und böswilligen Angreifern Zeit zu geben, die gleichen Probleme selbst zu entdecken.

Andere haben Zero-Day-Exploits verglichen zum Verkauf von Cyberwaffen und das scheint auch die Interpretation des US-Handelsministeriums zu sein. Im Mai schlug das Büro für Industrie und Sicherheit (BIS) des DOC Änderungen an einem internationalen Waffenkontrollpakt namens Wassenaar Arrangement vor, der eine spezielle Lizenz für den Export von Einbruchssoftware, Internetüberwachungssystemen und verwandten Technologien erfordern würde.

Viele Unternehmen aus der Die Sicherheitsbranche, unabhängige Forscher und sogar Unternehmen wie Google sind gegen den Vorschlag des DOC, vor allem, weil ihre breite Sprache ihre Fähigkeit zur Recherche, Meldung und Abwehr von Computerbedrohungen einschränkt.

Netragard ist auch gegen die Verwendung von Wassenaar zur Regulierung von Software-Exploits.

"Es ist wichtig, dass die Vorschriften nicht speziell auf 0-Tage ausgerichtet sind, sondern auf diejenigen abzielen, die sie erwerben und verwenden", sagte Desautels. "Es ist wichtig, daran zu denken, dass Hacker keine 0-Tage erstellen, sondern dass Softwareanbieter sie während des Softwareentwicklungsprozesses erstellen. 0-Tage-Schwachstellen gibt es in allen wichtigen Software-Bereichen, und wenn die Guten sie nicht finden dürfen, dann werden die Bösen. "

Andere Forscher teilen diese Meinung.

" Die aktuellen BIS-Regeln sind so offen - dass sie einen abschreckenden Effekt auf unsere Branche haben würden ", sagte Robert Graham, der CEO der Sicherheitsfirma Errata Security, in Kommentaren, die dem DOC vorgelegt wurden. "Die Lösung besteht jedoch nicht darin, die Regeln zu klären, sondern sie zurückzurollen. Sie können den Unterschied zwischen guter und schlechter Software nicht erklären, da es keinen Unterschied zwischen offensiven und defensiven Werkzeugen gibt - nur die Leute, die sie benutzen. "

" Es gibt keine Lösung, die schlechte Regierungen daran hindert, 'Intrusion' zu kaufen oder ' Überwachungssoftware, die ihre Opfer nicht daran hindert, Software zu kaufen, um sich selbst zu schützen ", sagte Graham. "Exportkontrollen für offensive Software bedeutet Exportkontrollen für defensive Software. Exportkontrollen bedeuten, dass das sudanesische und äthiopische Volk sich nicht mehr gegen die eigene Regierung wehren kann. "