11-02-32 
Verantwortungsvoll geht mit Sicherheitslücken nur um, wer sie sauber dokumentiert, auf dem Silberteller dem Hersteller übergibt, "Danke" sagt und dann die Klappe hält. So hätten das die großen Softwareanbieter gerne.

Uli Ries gibt in der jüngsten einen ersten Einblick in den offenen Markt, der um Exploits entstanden ist (1). Den Schwarzmarkt deutet er nur an. Dort werden fünfstellige und im Einzelfall auch 100.000 $ für einen Exploit gezahlt (1a). Ohne ihn gäbe es aber keinen legalen Markt, auf dem immerhin 3.100 $ und mehr, die Rede ist von bis zu 40.000 $, für die Dokumentation einzelner Schwachstellen bezahlt wird. Beim jährlichen Pwn2Own-Wettbewerb der Zero Day Initiative (ZDI) lobt der Veranstalter sogar Preisgelder von insgesamt 100.000 Euro aus.

ZDIs Mutterunternehmen ist HP Tipping Point. Mit dem Einkauf fremder Exploit-Beschreibungen von "White-Hat-Hackern" erspart es sich die eigene Suche und das Reverse Engineering (Rekonstruktion der Wiederholbarkeit eines Fehlers), um damit seine Intrusion-Prevention-Systeme aufzurüsten (Prozessüberwachung in einem Netzwerk). Das andere genannte Unternehmen ist iDefense, eine Tochter von Verisign.

Das französische Unternehmen Vupen behauptet von sich, es sei der "Weltmarktführer bei der Schwachstellenforschung". Es kauft keine Exploits, sondern sucht sie selber und vermarktet sie mit seinem Threat Protection Program - TPP. Seine Marktstrategie ist lustig: Potenziellen Kunden wird eine Sicherheitsanalyse erstellt. Wenn der Kunde aber nicht zahlt, dann erhält er keine weiteren Informationen über ihre genaue Gestalt oder ihre Abwehr. In der Branche wird ein bisschen von Erpressung gemunkelt.

Die führenden Software-Anbieter, namentlich Microsoft und Adobe, weisen es weit von sich, für Exploits zu zahlen. Es bleibt der Eindruck, dass solche Geschäfte über Dritte oder durch Tauschhandel mit anderen wertvollen Informationen abgewickelt werden.

Solche Leckerbissen findet man selten, aber eben doch bevorzugt in der . Mir war zwar klar, dass die Software- und die Hersteller von Sicherheitssoftware nach Exploits jagen, nicht aber, dass sie auf dem grauen Markt sensible Informationen kaufen, um Exklusivrechte zu erlangen. Auch Vupen als grauer Jäger war mir völlig unbekannt. So wie Ries das Geschäftsmodell dieses Unternehmen beschreibt, bimmelt ein bisschen Mafia im Hinterkopf: "Luigi, ich habe eine Information für Dich, die Du nicht ablehnen kannst. Aber Du weist ja: Das kostet Dich etwas".
 

11-02-33 
Mikroskopisch kleine Roboter verschweißen Wunden, räumen aus Adern Verkalkungen weg, regulieren den Insulinhaushalt, bekämpfen Krebs und gefährliche Eindringlinge. Die Rede ist von Nanobots, die das in unserem Körper in Ordnung bringen, was wir selber von Haus aus nicht leisten können. Das klingt nach Science Fiktion.

Marsiske belehrt uns in der aktuellen eines besseren (2). Die Forschung ist im vollem Gange und in 10 Jahren könnte sie praktische Früchte tragen.

Die eine Methode ist die Verkleinerung von Maschinen, die in der Makro-Welt bekannt sind. Nur: Tatsächlich aber dominieren in molekularen Dimensionen ganz andere Kräfte als in der makroskopischen Welt. Schwerkraft und Massenträgheit können vernachlässigt werden, während Viskosität, elektrostatische Kräfte und quantenmechanische Effekte größere Bedeutung haben. In einer solchen Umgebung sind Schiffsschrauben als Antrieb nicht die erste Wahl.

Damit spricht Marsiske auf den Film "Die phantastische Reise" von 1966 an, in dem ein U-Boot so weit verkleinert wird, dass seine Besatzung einen Totkranken mit gezielten Laserstrahlen retten kann. Sie retten sich ihrerseits, indem sie sich mit den Tränen ihres Patienten nach außen bringen lassen.

Der andere Forschungsansatz ist der, dass Nanostrukturen selber instrumentalisiert werden. So wurden schon eine Zange realisiert, die Moleküle abknapsen kann, und ein Laufapparat, der tatsächlich schon mit 50 Schritten 100 Nanometer überwunden hat. Das gedankliche Modell dahinter ist der Lego-Baukasten: Aus der Biochemie bekannte Automaten wurden kombiniert und optimiert. Für die Zange müssen kurze DNS-Stränge herhalten.

Die Visionen, die diese Forschung eröffnet, sind phantastisch. Krankheiten, Fehlbildungen und böswillige, mikroskopische Angreifer würden sich abwehren und heilen lassen. Marsiske spricht davon, dass Zuckerkranke bei alarmierenden Messwerten gewarnt werden könnten (der Nanobot greift zum Handy und teilt mit: "Ey Luigi, Du musst 'mal etwas Traubenzucker nachwerfen!"). Nanobots könnten Bauspeicheldrüsen und Zähne nachwachsen lassen.

Das klingt gut.

Sie sind hingegen auch die perfekten Killer, könnten innere Blutungen verursachen, gezielte Infektionen und Fehlfunktionen.

Wahrscheinlich sehe ich einmal mehr viel zu schwarz.
 

(1) Uli Ries, Das Geschäft mit den Bugs. Sicherheitslücken als Handelsware, c't 5/2011, S. 82

(1a) Teilweise werden astronomische Zahlen genannt, sechsstellige $-Beträge dürften jedoch im Raum stehen: Uli Ries, Spekulationen über Schwarzmarktpreise für Exploits, Heise online 16.02.2011.

(2) Hans-Arthur Marsiske, Vielseitige Winzlinge. Nanomaschinen: Roboter in molekularem Maßstab, c't 5/2011, S. 78