Das Resultat von gut zwei Jahren Arbeit ist nun öffentlich – meine SWP Studie zu Frage, wie Staaten mit Sicherheitslücken umgehen sollten. Sogenannte 0-Day Lücken sind dem Software-Hersteller unbekannte Schwachstellen im Code von Soft/Hardware. Sie können unbemerkt von Cyber-Angreifern ausgenutzt werden, da es keinen Sicherheitspatch dagegen gibt. Das macht 0-Days zu wertvollen Ressourcen zwischenstaatlicher Cyber-Konflikte. Das Problem ist, dass wenn Staaten anfangen 0-Day Sicherheitslücken für eigene Cyber-Operationen zu verwenden, diese nicht mehr geschlossen werden und folglich Angriffsflächen bestehen bleiben. So kann es vorkommen, dass zum Beispiel ein Geheimdienst das Wissen um eine Sicherheitslücke geheim hält, die eigene Bevölkerung aber durch Dritte darüber angegriffen wird. Es könnte also einen Schutz in Form eines Patches geben, wenn der Geheimdienst die Lücke dem Hersteller melden würde, statt sie selber zu nutzen. Staaten haben drei Optionen im Umgang mit 0-Days: Geheimhaltung, manche geheimgehalten, andere nicht und drittens, selbst gefundene Lücken dem Hersteller melden. In der Studie votiere ich für die dritte Option, da sich hier ein Gefangenendilemma abzeichnet: je mehr Staaten anfangen 0-Day Sicherheitslücken zu verwenden, desto weniger werden geschlossen. Da es aber nur ein begrenztes Kontingent dieser Lücken gibt, werden am Ende mehr gefährliche Lücken offen gehalten, je nach Schätzung tausende bis zehntausende. Auch wenn es aus staatlicher Sicht rational erscheint, für Auslandsspionage, Strafverfolgung und militärische Cyber-Operationen 0-Days zu verwenden, wird in der Summe, auf der Makroebene der Cyber-Space unsicherer für alle.
Staaten sollten daher die Lebenszeit von 0-Day Lücken verringern, so dass es sich nicht mehr lohnt diese ausnutzen. Dazu:
- Sollten Staaten sogenannte Vulnerability Disclosure Policies bei Unternehmen und staatlichen Einrichtungen forcieren. Darüber können die guten Hacker den Firmen in ihren Produkten gefundene Sicherheitslücken melden. Dies ist wichtig, da durch die Kriminalisierung von Hacking ethische Schwachstellenforscher mitunter verklagt werden können, da sie zum Testen von Schwachstellen unbefugten Zugriff zu Systemen erlangen können. Unter so einer VD-Policy verpflichten sich Unternehmen, an sie gemeldete Lücken rechtzeitig zu beheben, dass heißt eigene Entwicklerteams bereit zu stellen. Ferner müssen sie auf ihrer Website kommunizieren, wie sie mit an sie gemeldete Schwachstellen umgehen wollen. Ferner sehen sie von einer Anklage ethischer Hacker ab.
- Deutschland und die EU sollte sogenannte weiße Schwachstellenmärkte stärken. Das meint die zuvor angesprochenen Vulnerability Disclosure Prozesse, aber auch sogenannte Bug Bounties. Schwachstellenforscher bekommen Preisgelder für gefundene Sicherheitslücken, da sie damit an der Gesundheit des IT-Sicherheitssystems mitwirken. Auch das Pentagon zahlt mittlerweile Bug Bounties an Schwachstellenforscher aus. Ferner sollten Anreize geschaffen werden, dass die Marktpreise für Schwachstellen auf dem weißen Markt höher ausfallen, so dass mehr ethische Hacker dort Schwachstellen anbieten anstatt auf dem Schwarzmarkt für Cyber-Kriminalität.
- Es gibt Studien die darlegen, dass es wirtschaftlich rentabel wäre, dass die größten IT-Unternehmen auf Schwarzmärkten gehandelte 0-Days einkaufen und selbst beheben. Verglichen mit ihren Umsätzen wären das marginale Kosten, würde die Verursacher von Sicherheitslücken aber stärker in die Pflicht nehmen, diese zu beheben.
Weiterführende Literatur
- Matthias Schulze, Governance von 0-Day-Schwachstellen in der deutschen, Cyber-Sicherheitspolitik, SWP-Studie 2019/S 10, Mai 2019, 39 Seiten.
Schwachstellenmärkte
- Ablon, Lillian; Libicki, Martin C.; Golay, Andrea A.: Markets for Cybercrime Tools and Stolen Data, Santa Monica, CA: RAND Corporation, 2014, https://www.rand.org/pubs/research_reports/RR610.html
Eine der umfassendsten Studien über die Logik, Wirkungsweise und Eigenheiten von Märkten für Cyber-Kriminalität. Darin enthalten sind viele interessante Datenpunkte, Einsichten in die Motivation der Marktakteure und in Preisdynamiken, etwa bei Botnetzen und gestohlenen Kreditkartendaten. - Böhme, Rainer: »Vulnerability Markets. What Is the Economic Value of a Zero-Day Exploit?«, in: 22. Chaos Communication Congress (Berlin, 27.–30.12.2005), Proceedings, Hamburg 2006, https://pdfs.semanticscholar.org/f9d7/386957a54156e19d7a3e8aeb1b6bff3603da.pdf
Böhme analysiert das Marktversagen im Bereich von Vulnerability Disclosure. Sicherheit und Qualität kann schlecht eingepreist werden, was dazu führt, dass Unternehmen kein Interesse an Bug-Bounty-Lösungen haben. Er schlägt eine Derivate-basierte Lösung vor. - Frei, Stefan; Artes, Francisco: International Vulnerability Purchase Program. Why Buying All Vulnerabilities above Black Market Price Is Economically Sound, Austin, TX: NSS Labs, Inc., 2013 (NSS Labs Briefs), https://www.nsslabs.com/research-advisory/library/infrastructure-security/general/international-vulnerability-purchase-program/international-vulnerability-purchase-program/
Frei und Artes prüfen die Frage, ob der Aufkauf von 0-Days durch Softwarehersteller wirtschaftlich sinnvoll ist, und kommen zu einem positiven Ergebnis. - Finifter, Matthew; Akhawe, Devdatta; Wagner, David: »An Empirical Study of Vulnerability Rewards Programs«, in: Sam King (Hg.), Proceedings of the 22nd USENIX Security Symposium, Berkeley, CA: USENIX Association, 2013, S. 273–288, https://www.usenix.org/conference/usenixsecurity13/technical-sessions/presentation/finifter
In ihrem Tagungsbeitrag vergleichen die Autoren die Auszahlungsmodalitäten, das Design und die Effizienz von Bug-Bounties größerer Softwareunternehmen, darunter Google und Mozilla. Wichtige Message: Bug Bounties sind wirtschaftlich effizient und erfolgreich für Unternehmen. - Maurer, Stephen M.: »A Market-Based Approach to Cyber Defense: Buying Zero-Day Vulnerabilities«, in: Bulletin of the Atomic Scientists, 14.3.2017, https://thebulletin.org/market-based-approach-cyber-defense-buying-zero-day-vulnerabilities10621
Maurer analysiert die Marktdynamiken auf Schwachstellenmärkten und argumentiert, dass ökonomische Erwägungen in der Cyber-Sicherheitspolitik eine größere Rolle spielen müssten. Er untersucht ferner die Möglichkeit, den Schwachstellenmarkt leer zu kaufen. - Miller, Charlie: The Legitimate Vulnerability Market. Inside the Secretive World of 0-Day Exploits, Baltimore: Independent Security Evaluators, 2007, https://www.econinfosec.org/archive/weis2007/papers/29.pdf
Die Studie geht auf Dysfunktionalitäten des Schwarzmarkts für 0-Days ein, etwa das fehlende Vertrauensverhältnis von Käufer und Verkäufer, die Gefahr von Rip-offs und das Problem des Schutzes geistigen Eigentums bei illegalen Gütern. - Ozment, Andy: Bug Auctions. Vulnerability Markets Reconsidered (Presented at the Third Workshop on Economics and Information Security), Minneapolis 2004, https://www.dtc.umn.edu/weis2004/ozment.pdf
Ozment vergleicht die bis dato üblichen Modalitäten von Bug-Bounty-Wettbewerben und argumentiert, dass das englische Auktionsmodell nicht sinnvoll den Markt abbildet und durch ein niederländisches Auktionsmodell ersetzt werden wollte. Das bedeutet, dass der Schwachstellenfinder dem Auktionsanbieter bzw. der Firma ein Preisangebot macht und beide Seiten sich dann in der Mitte einigen. - Radianti, Jaziar; Rich, Eliot; Gonzales, Jose J.: »Vulnerability Black Markets: Empirical Evidence and Scenario Simulation«, in: Proceedings of the 42nd Hawaii International Conference on System Sciences, Washington, D.C.: IEEE Computer Society, 2009, https://doi.org/10.1109/HICSS.2009.504
Die Autoren des Beitrags analysieren bestimmte Eigenheiten des Schwarzmarkts, etwa Dysfunktionalitäten, die durch Sicherheitsvorkehrungen entstehen. Sie thematisieren darüber hinaus das Problem des mangelhaften Vertrauens zwischen Käufern und Verkäufern, das in dem Risiko des Rip-offs und fehlerhafter Ware zum Ausdruck kommt. - Reed, Jason; Kissel, Chris; Massimini, Toni: Analysis of the Global Vulnerability Research Market, 2016. Growth of Public Vulnerability Disclosures, the Important Intermediary between Commercial Threat Analysis and Cyber Grid Threat Reporting, Mountain View, CA: Frost & Sullivan, 2017, https://resources.trendmicro.com/rs/945-CXD-062/images/Frost-and-Sullivan_2016-Global-Public-Vulnerability-Research-Market.pdf
Power-Point-Präsentation über den gegenwärtigen Status des weißen Marktes mit vielen sinnvollen Hintergrundinformationen. - Zhao, Mingyi; Grossklags, Jens; Liu, Peng: »An Empirical Study of Web Vulnerability Discovery Ecosystems«, in: Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security, New York: ACM, 2015, S. 1105–1117, https://doi.org/10.1145/2810103.2813704
Die Autoren dieses Konferenzbeitrags begreifen Vulnerability Disclosure als spieltheoretisches Modell und zeigen die verschiedenen rationalen Interessen der Marktteilnehmer auf.
Schwachstellen – Hintergrunddaten und Statistiken
- Ablon, Lilian; Bogart, Andy: Zero Days, Thousands of Nights. The Life and Times of Zero-Day Vulnerabilities and Their Exploits, Santa Monica, CA: RAND Corporation, 2017, https://www.rand.org/content/dam/rand/pubs/research_reports/RR1700/RR1751/RAND_RR1751.pdf
Die sehr detaillierte Studie beleuchtet verschiedene Aspekte von 0-Days, unter anderem ihre Häufigkeit und die Frage der unabhängigen Entdeckung von 0-Days durch zwei oder mehr Akteure. Dazu wird ein Datensatz von 200 0-Days aus dem Bestand eines US-Contractors untersucht. - Bilge, Leyla; Dumitraş, Tudor: »Before We Knew It: An Empirical Study of Zero-Day Attacks in the Real World«, in: Ying Tu (Hg.), Proceedings of the 2012 ACM Conference on Computer and Communications Security, New York: ACM, 2012, S. 833–844, https://doi.org/10.1145/2382196.2382284
Bilge und Dumitraş versuchen, 0-Day Angriffe zu quantifizieren, sprich zu ermitteln, wie häufig 0-Day Angriffe sind, wann diese stattfinden und wie prävalent das Problem ist. Wichtige Erkenntnis: Sobald eine Schwachstelle an die Öffentlichkeit geht, steigen binnen von Minuten die Anzahl der Schadsoftwarevarianten, die nun diese Lücke ausnutzen. Deswegen muss die Meldung der Schwachstelle verantwortungsvoll geschehen. - FireEye: Zero-Day Danger. A Survey of Zero-Day Attacks and What They Say about the Traditional Security Model, Milpitas, CA: FireEye Whitepaper, 2015, https://www.fireeye.com/current-threats/recent-zero-day-attacks/wp-zero-day-danger.html
Studie über einige bekanntere 0-Days mit diversen relevanten Kennzahlen (z.B. Häufigkeit, Entdeckungsrate). - Frei, Stefan: The Known Unknowns. Empirical Analysis of Publicly Unknown Security Vulnerabilities, Austin, TX: NSS Labs, Inc., 2013 (NSS Labs Briefs), https://www.techzoom.net/Papers/The_Known_Unknowns_(2013).pdf
Der Autor taxiert die 0-Day-Bestände von Schwachstellen-Brokern und Schadsoftwaredienstleistern sowie die Bestände auf dem weißen Markt. Bis dato die umfangreichste Schätzung über die 0-Day-Bestände und Handelspraktiken auf dem grauen Markt. - HackerOne: The Hacker-Powered Security Report 2018, San Francisco 2018, https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf
Umfassende Befragung von White-Hat-Hackern über ihre Ziele, Motive, Ambitionen und zu ihrer Tendenz, lieber auf weißen oder schwarzen Märkten aktiv zu sein. Wichtige Erkenntnis: Die meisten Hacker haben positive Ziele und würden lieber Schwachstellen auf weißen Märkten melden, wenn nur mehr Softwarehersteller Bug-Bounty-Programme initiieren würden. Das Angebot unterschreitet faktisch die Nachfrage. - Herr, Trey; Schneier, Bruce; Morris, Christopher: Taking Stock: Estimating Vulnerability Rediscovery, Cambridge, MA: Harvard Kennedy School, Belfer Center for Science and International Affairs, 7.3.2017 (Belfer Cyber Security Project White Paper Series), https://doi.org/10.2139/ssrn.2928758
Herr und Schneier untersuchen, ähnlich wie Ablon, Libicki und Golay, das Problem der unabhängigen Doppelentdeckung von 0-Days. Sie verwenden eine leicht andere Methodologie und konzentrieren sich auf öffentliche Software und Datenbanken. - Herr, Trey: Countering the Proliferation of Malware. Targeting the Vulnerability Lifecycle, Cambridge, MA: Harvard Kennedy School, Belfer Center for Science and International Affairs, Juni 2017, https://www.belfercenter.org/sites/default/files/files/publication/CounteringProliferationofMalware.pdf
Herr analysiert den Schwachstellenlebenszyklus und leitet daraus Handlungsempfehlungen für die Politik ab, die unter anderem darauf abzielen, Schwachstellen schneller zu entdecken und Patches schneller zu entwickeln und zu verteilen.
Die politische Regulierung von Schwachstellen: Vulnerabilities Equities Process, Coordinated Vulnberability Disclosure
- Aitel, Dave; Tait, Matt: »Everything You Know about the Vulnerability Equities Process Is Wrong«, Lawfare (online), 18.8.2016, https://www.lawfareblog.com/everything-you-know-about-vulnerability-equities-process-wrong
Aitel und Tait bewerten die Kritik am VEP und diverse Reformbemühungen aus der Perspektive ehemaliger NSA Mitarbeiter. Sie betonen insbesondere den Wert von 0-Days für Spionage. - Arora, Ashish; Krishnan, Ramayya; Telang, Rahul; Yang, Yubao: »An Empirical Analysis of Software Vendors’ Patching Behavior: Impact of Vulnerability Disclosure«, in: Journal of Information Systems Research, 21 (2010) 1, S. 115–132.
In ihrer Studie kommen Arora et al. zu dem Schluss, dass Disclosure-Programme die Patch-Geschwindigkeit von Firmen drastisch erhöhen, also wirksam sind. Die Wahrscheinlichkeit, dass ein Hersteller einen Patch herstellt, steigt nach einer Meldung um 137 Prozent und die Patch-Auslieferung verkürzt sich auf 29 Tage. - Caulfield, Tristan; Ioannidis, Christos; Pym, David: »The U.S. Vulnerabilities Equities Process. An Economic Perspective«, in: Stefan Rass/Bo An/Christopher Kiekintveld/Fei Fang/Stefan Schauer (Hg.), Decision and Game Theory for Security. 8th International Conference, GameSec 2017, Vienna, Austria, October 23–25, 2017, Proceedings, Wiesbaden: Springer, 2017, S. 131–150.
Das Papier analysiert den VEP aus spieltheoretischer Sicht. - Fidler, Maylin: Anarchy or Regulation. Controlling the Global Trade in Zero-Day Vulnerabilities, Stanford, CA, 2014, https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by%20Fidler.pdf
In ihrer Doktorarbeit analysiert Maylin Fidler jene internationalen Regulierungsstrukturen, die geeignet sind oder dazu genutzt werden könnten, den globalen Handel von 0-Days einzudämmen, darunter bilaterale Übereinkommen, das Wassenaar-Abkommen, das Völkerrecht und weitere Mechanismen. Die wohl umfangreichste und detaillierteste Arbeit zum Thema. Sehr zu empfehlen. - Healey, Jason: »The U.S. Government and Zero-Day Vulnerablities. From Pre-Heartbleed to Shadow Brokers«, in: Journal of International Affairs, 1.11.2016, S. 1–20, https://jia.sipa.columbia.edu/online-articles/healey_vulnerability_equities_process
Healey beschreibt die Entstehungsgeschichte und Funktionsweise des VEP und versucht zu errechnen, wie viele Sicherheitslücken von der NSA zurückgehalten werden. Der Text ist sehr gut nachvollziehbar und Grafiken veranschaulichen das Thema. - Herpig, Sven: Governmental Vulnerability Assessment and Management Weighing Temporary Retention versus Immediate Disclosure of 0-Day Vulnerabilities, Berlin: Stiftung Neue Verantwortung, August 2018, https://www.stiftung-nv.de/sites/default/files/vulnerability_management.pdf
Der Autor konzipiert einen VEP für Deutschland sowie Good-Governance-Prinzipien, an denen sich ein solcher Prozess orientieren sollte. - Herr, Trey; Fidler, Mailyn: »PATCH: Debating Codification of the VEP«, Lawfare (online), 17.5.2017, https://www.lawfareblog.com/patch-debating-codification-vep
Herr und Fidler debattieren darüber, inwiefern der VEP in ein Gesetz umgewandelt werden kann und sollte. - International Organization for Standardization, ISO/IEC 29147:2018 – Information Technology – Security Techniques – Vulnerability Disclosure, Oktober 2018, https://www.iso.org/standard/45170.html
ISO-Standard für Vulnerability Disclosure. - Joyce, Rob: »Improving and Making the Vulnerability Equities Process Transparent Is the Right Thing to Do«, The White House (online), 15.11.2017, https://www.whitehouse.gov/articles/improving-making-vulnerability-equities-process-transparent-right-thing/
Rob Joyce ist ehemaliger Chef einer Elite-Hacker-Einheit der National Security Agency. Er entwirft hier Reformideen für den VEP. - Ledgett, Rick: »No, the U.S. Government Should Not Disclose All Vulnerabilities in Its Possession«, Lawfare (online), 7.8.2017, https://lawfareblog.com/no-us-government-should-not-disclose-all-vulnerabilities-its-possession
Der Artikel behandelt, aus Perspektive der NSA, die Frage, ob die NSA alle Schwachstellen in den VEP einspeisen sollte. - Schaake, Marietje; Pupillo, Lorenzo; Ferreira, Afonso; Varisco, Gianluca: Software Vulnerability Disclosure in Europe. Technology, Policies and Legal Challenges, Brüssel: Centre for European Policy Studies, Juni 2018, https://www.ceps.eu/publications/software-vulnerability-disclosure-europe-technology-policies-and-legal-challenges
Die CEPS-Task-Force untersucht den Status quo von Vulnerability-Disclosure-Prozessen in Europa und beleuchtet, wie weit verschiedene EU-Mitgliedsländer diesbezüglich sind. Schaake und ihre Mitautoren stellen zudem das erfolgreiche Vulnerability-Disclosure-Modell der Niederlande vor und empfehlen, dass andere Länder dies übernehmen sollten. - Schwartz, Ari; Knake, Rob: Government’s Role in Vulnerability Disclosure. Creating a Permanent and Accountable Vulnerability Equities Process, Cambridge, MA: Harvard Kennedy School, Belfer Center for Science and International Affairs, Juni 2016, http://www.belfercenter.org/publication/governments-role-vulnerability-disclosure-creating-permanent-and-accountable
Die Verfasser beleuchten den US VEP, seine Geschichte, seine Funktionsweise und machen Vorschläge zur Verbesserung der Transparenz, der Verantwortlichkeiten und der parlamentarischen Kontrolle. - The White House, Vulnerabilities Equities Policy and Process for the United States Government, 15.11.2017, https://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF
Eine Darstellung des aktuellen VEP-Prozesses.
0-Days und staatliche Cyber-Operationen
- Buchanan, Ben: The Cybersecurity Dilemma. Hacking, Trust and Fear between Nations, Oxford: Oxford University Press, 2017.
Zentrale Lektüre für das Thema Sicherheitsdilemmata und Rüstungsdynamiken im Cyberspace. Das Buch erklärt, warum Staaten aufgrund spezifischer struktureller Bedingungen, die den Cyberspace kennzeichnen, in der digitalen Sphäre zu offensiven Handlungen und somit zur Eskalation neigen. - Conditt, Jessica: »Zero-Day Exploits Aren’t as Important to the NSA as You Think«, Engadget (online), 29.1.2016, https://www.engadget.com/2016/01/29/zero-day-exploits-arent-as-important-to-the-nsa-as-you-think/
Relativierung der These, dass 0-Days eine zentrale Ressource der NSA seien. Die NSA fährt bestens mit N-Day-Schwachstellen und „social engineering“. - Schulze, Matthias; Reinhold, Thomas: »Wannacry about the Tragedy of the Commons? Game-Theory and the Failure of Global Vulnerability Disclosure«, in: Audun Jøsang (Hg.), Proceedings of the 17th European Conference on Cyberwarfare and Security, Reading (UK), ACPIL, 2018.
Die Verfasser analysieren die Gründe, warum Vulnerability-Disclosure-Prozesse auf globaler Ebene bisher gescheitert sind. Sie greifen dabei auf die Spiel- und Regimetheorie zurück und argumentieren, dass ein Framing des Problems als Rüstungskontrolle problematisch ist, da Schwachstellen eher mit Klimaemissionen vergleichbar sind. - Zetter, Kim: Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon, New York: Broadway Books, 2014.
Das wohl detaillierteste Buch über den Stuxnet-Vorfall und die ihm zugrundeliegenden 0-Day-Sicherheitslücken.
