Project Zero: Google stellt Internet-Sicherheitsteam auf
Die Sicherheitsforscher suchen nach bislang unbekannten Schwachstellen. Dabei sichern sie nicht nur Googles eigene Software, sondern sollen auch “die Sicherheit rund um das Internet verbessern”. Eine öffentliche Datenbank soll zudem die Reaktionszeiten von Softwareanbietern auf Zero-Day-Lücken darstellen.
Google hat ein Sicherheitsteam unter dem Namen “Project Zero” gegründet. Es besteht aus Sicherheitsforschern, die in Vollzeit nach bisher unbekannten Zero-Day-Lücken suchen. Dabei stehen nicht nur Googles eigene Software und Dienste im Blickpunkt, sondern auch die Verbesserung der “Sicherheit rund um das Internet”.
Google-Sicherheitsexperte Chris Evans erklärt in einem Blog, dass Zero-Day-Lücken ausgenutzt werden, um Menschenrechtsaktivisten anzugreifen, Wirtschaftsspionage zu betreiben, Kommunikation zu überwachen, Kreditkartendaten von Verbrauchern zu stehlen und Zugang zu Datenbanken mit persönlichen Informationen zu bekommen. “Das muss aufhören”, schreibt er. “Wir glauben, dass mehr getan werden kann, um dieses Problem anzugehen.” Project Zero soll Googles Beitrag dazu sein, um den “Ball ins Rollen” zu bringen.
Gegenüber News.com sagte Evans, dass sich das neue Projekt von anderen wie Hewlett-Packards Zero-Day Initiative (ZDI) unterscheiden wird. Project Zero stelle “die besten Sicherheitsforscher der Welt” in Vollzeitpositionen bereit. Neben dem Aufspüren und Beseitigen von Schwachstellen gehört zu ihrem Aufgabengebiet, auch die Erforschung mit welchen defensiven oder analytischen Strategien Sicherheitsgewinne zu erzielen sind. Evans zufolge entwickelte sich Project Zero aus der Sicherheitsforschung, die Google-Angestellte in Teilzeit vornahmen. Auf diese Weise trugen sie unter anderem zur Entdeckung des schwerwiegenden Heartbleed-Bugs bei.
Zudem will Google einen öffentlich Datenbank von Zero-Day-Lücken erstellen. Als erstes werden die Softwareanbieter über die Schwachstellen informiert. Ist der Fehler behoben gibt Google die Informationen auch an die breite Öffentlichkeit weiter. Das würde nebenbei auch deutlich machen, wie lange sich die einzelnen Anbieter Zeit lassen, bevor sie eine Lücke schließen.
Zero-Day-Lücken, die Sicherheitsforscher und Hacker aufspüren, bleiben oft längere Zeit ungepatcht und geheim. Auf einem Untergrundmarkt können damit zwischen 50.000 und 100.000 Dollar erzielt werden. Trotz der von Softwarefirmen ausgelobten Prämien finden sich für solche noch unbekannten Sicherheitslücken kriminelle Interessenten, denen sie um einiges mehr wert sind. Darüber hinaus zahlen auch Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden für Schwachstellen, berichtet die MIT Technology Review. Beispielsweise erwarb der US-Auslandsgeheimdienst National Security Agency (NSA) Informationen über Zero-Day-Lücken und Software von dem französischen Sicherheitsunternehmen Vupen.
Brian Gorenc, Manager von HPs Zero-Day Initiative, begrüßte das neue Projekt. “Googles Einstieg in die Schwachstellenforschung bestätigt, wie wichtig diese Art von Forschung branchenübergreifend ist”, sagte er. “Es macht außerdem deutlich, dass die Schwachstellenforschung eine moralisch vertretbare Berufswahl für Hacker sein kann.”
“Als eines der innovativsten Online-Unternehmen weltweit ist Google sicherlich gut aufgestellt, um das Web nach Problemen zu durchsuchen”, lobte auch Roland Messmer von der Sicherheitsfirma LogRhythm die Initiative. Er hält es dennoch für falsch, sich allein darauf zu verlassen, vielmehr müsse jede Firma ihre eigenen IT-Systeme auf ungewöhnliche Aktivitäten überwachen: “Man muss die normalen Netzwerkaktivitäten kennen, um ungewöhnliche Ereignisse zu erfassen – und wer kann besser unterscheiden als das Unternehmen selbst, was Routine und was außergewöhnlich ist?”
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de