Zum Wochenstart noch ein kurzer Nachrichtenüberblick zu einigen Hackerthemen, die mir aktuell unter die Augen gekommen sind. So hat Google eine Rekord-Prämie für Android-Sicherheitslücken gezahlt. In den USA sind bei einem Prozess neue Details zu einem Hack bekannt geworden und Hacker, die an Bug-Bounty-Programmen teilnehmen, segeln auf gefährlichem Terrain und könnten in den USA in den Knast gehen.
Anzeige
Google zahlt 112.500 Dollar für Android-Lücken
Von Google gibt es das Android Security Rewards-Programm, welches Entdeckern von Sicherheitslücken Prämien zahlt. Für einen erfolgreichen Sicherheitsforscher hat sich das Ganze besonders gelohnt, wie neowin.net hier berichtet. Die Prämie von 112.500 US $ ging an Guang Gong, ein chinesischer Sicherheitsforscher, der für Qihoo 360 Technology (eine chinesische Sicherheitsfirma) arbeitet. Er hat zwei Bugs im August 2017 gemeldet. Einmal CVE-2017-5116, welches Remote Code Execution über HTML in Chromes Sandbox erlaubt. Die zweite Sicherheitslücke war CVE-2017-14904, welche ein Ausbrechen aus der Chrome Sandbox ermöglicht.
Geld und Knast für Bug-Bounty-Jäger
Bevor jetzt jeder zweite Blog-Leser auf Bug-Suche geht, noch eine Meldung, die zeigt, wie krank die ganze Geschichte, speziell in den USA ist. heise.de hat gerade den Artikel US-Bug-Bountys lassen "gute" Hacker in die Falle tappen veröffentlicht, die auf ein Problem hinweist.
Hintergrund sind oft schlecht ausgestaltete Teilnahmebedingungen. Es gibt aber zwei wichtige US-Bundesgesetze. Das Computer Fraud and Abuse Act (CFAA) und das Copyright-Gesetz DMCA. Der CFAA birgt für Hacker sowohl zivilrechtlich als auch strafrechtlich Fallen. Das DMCA verbietet die Umgehung von Kopierschutz ohne Zustimmung des Rechteinhabers. In den Teilnahmebedingungen findet sich aber i.d.R. der Hinweis, dass die gesetzlichen Bedingungen einzuhalten seien.
Diesem Artikel von Golem entnehme ich, dass die meisten Hacker Bug-Bountry-Programme von Unternehmen in ihrer Freizeit nutzen. Aber 14 Prozent verdienen damit ihren primären Lebensunterhalt. Die Risiken habe ich gerade aufgezeigt.
Schüler hackte CIA-Chef
In 2015 gab es Hacks beim CIA, wobei eine berüchtigte pro-palästinensische Hacking-Gruppe dahinter stand. Bei einer Reihe peinlicher Hacks gegen US-Geheimdienstbeamte wurden die persönlichen Daten von 20.000 FBI-Agenten, 9.000 Beamten des Department of Homeland Security und einigen DoJ-Mitarbeitern im Jahr 2015 veröffentlicht.
Beim Prozess gegen Verantwortliche kam jetzt heraus, dass der Anführer dieser Hacking-Gruppe gerade mal 15 Jahre alt war, als er mit "Social Engineering" den CIA-Direktor verkörpert und unberechtigterweise auf hochsensible Informationen aus seinem Haus in Leicestershire zugriff. Dies wurde während einer Gerichtsverhandlung am vergangenen Dienstag bekannt. Der heute 18 Jahre alte britische Teenager Kane Gamble griff mit den gewonnenen Informationen dann gezielt CIA-Direktor John Brennan, Direktor des nationalen Geheimdienstes James Clapper, Minister für Heimatschutz Jeh Johnson, FBI-Vize-Direktor Mark Giuliano, sowie andere hochrangige FBI-Mitarbeiter an. Die Verteidigung plädiert aktuell auf 'autistische Veranlagung' bei dem jugendlichen Hacker. Bei Interesse lassen sich die Details hier nachlesen.
2015
