Immerhin 8000 US-Dollar setzt der Sicherheitsdienstleister iDefense als Prämie für Schwachstellen in Windows Vista oder Internet Explorer 7 aus, die sich übers Netz ausnutzen lassen. Bis zu 4000 Dollar zusätzlich gibt es für funktionierenden Demo-Code. Das liegt zwar deutlich unter dem Tarif für derartige Exploits, der derzeit in Untergrundauktionen aufgerufen wird; Trend Micro berichtete kürzlich, dass Vista-Exploits dort für bis zu 50.000 US-Dollar über den Tisch gingen.
Aber dafür bleibt das Gewissen rein und man erspart sich eventuellen Ärger mit Strafverfolgungsbehörden. Denn iDefense meldet Schwachstellen immer erst dem jeweiligen Hersteller und veröffentlicht sie erst, nachdem dieser einen Patch bereit stellt. Die Zeit dazwischen kommen nur die eigenen Kunden in den Genuss vorbeugenden Schutzes. Allerdings müssen sich die geschäftstüchtigen Whitehats vorwerfen lassen, mit ihren Kopfgeldern das Verschachern von Informationen zu Sicherheitslücken salonfähig gemacht zu haben. Früher war es ein Unding, für derartige Informationen Geld zu verlangen. Doch iDefense hat dieses Tabu kurzerhand über Bord geworfen und zahlt seit über vier Jahren Prämien für Exklusivinformationen über Sicherheitslücken. Seit 2005 belebt die Konkurrenz der Zero Day Initiative (ZDI) von 3Com/Tipping Point den Markt, was auch prompt zu einem Anstieg der Preise führte.
Quelle :
www.heise.de
