Es war kein Aprilscherz, was gestern bei Ebay Kanada ablief. Bei rund 203 kanadischen Dollar stand das Höchstgebot bereits, als das Internetportal die Auktion wegen des Verstoßes gegen die Allgemeinen Geschäftsbedingungen aus dem Angebot nahm - der Startpreis hatte bei einem Cent gelegen. Verkäufer Shane Macaulay ließ in seiner Artikelbeschreibung offen, ob der von ihm verwendete Zero-Day-Exploit noch auf dem System vorhanden war und gab Ebay damit den Anlass, die Auktion wegen "Anbieten von schädigender Technologie" abzubrechen. Wie Macaulay am Rande des Interviews mit dem IDG News Service verriet, habe er eine Sicherheitslücke im Flash Player von Adobe Systems ausgenutzt, um in das Vista-System einzubrechen. Da Adobe die Schwachstelle nach Macaulays Angaben am 8. April - dem Enddatum der Auktion - beheben wolle, habe er nicht gegen die Regeln des "Pwn 2 Own"-Hackerwettstreits im Rahmen der Sicherheitskonferenz CanSecWest verstoßen, die eine Offenlegung ungepatchter Lecks verbieten. Auch einen Verstoß gegen die Richtlinien von Ebay kann Macaulay nicht erkennen. Warum, verriet er mit Interview mit dem IDG News Service:
Warum wollten Sie das Notebook bei Ebay verkaufen?
Macaulay: Ich wollte wissen, wie viel ein Zero-Day-Exploit wert ist. Niemand weiß das so genau. Leider verstößt ein solches Vorhaben gegen die Geschäftsbedingungen von Ebay. Daher habe ich in meiner Beschreibung nur sehr vage Angaben machen können.
Warum haben Sie sich so ausführlich mit den Geschäftsbedingungen beschäftigt?
Macaulay: Ich habe schon häufiger versucht, Exploit-Codes und ähnliches zu verkaufen. Die Leute, die Zero-Day-Exploits kaufen, möchten aber erst selbst den Beweis für die Funktionstüchtigkeit erbringen, bevor Sie bezahlen. Als Verkäufer hat man deshalb keine Kontrolle über den Preis, der wird erst hinterher vom Kunden bestimmt. Hackern wie mir geht somit immer wieder viel Geld verloren.
Waren Sie überrascht, dass Ebay die Auktion abgebrochen hat?
Macaulay: Nein. Ich war zu vorschnell - ich hatte vergessen, Ebay darüber aufzuklären, dass die Auktion erst an dem Tag endete, an dem die von mir ausgenutzte Lücke bereits geschlossen sein würde.
Was soll das heißen?
Macaulay: Der Patch wird bis dahin veröffentlicht und wahrscheinlich sogar automatisch an die betroffenen Anwender ausgerollt. Heute kann Vista mit meinem Exploit noch gehackt werden, aber zum Ende der Auktion hin wäre die Plattform bereits sicher.
Das Angebot sollte am 8. April enden. Wann soll der Patch kommen?
Macaulay: Am 8. April.
Sie haben nach dem Wettbewerb gesagt, dass Ihr Exploit auf 90 Prozent aller Betriebssysteme funktionieren würde. Warum haben Sie sich dann ausgerechnet Vista ausgesucht?
Macaulay: Ich habe bisher schon viel mit Windows gearbeitet. Ich bin zwar ein begeisterter Linux-Nutzer, habe seit 2001 aber keine Hacks für Linux mehr programmiert. Ich konzentriere mich derzeit voll auf Windows.
Die Nutzer der verschiedenen Plattformen (Windows, Linux, MacOS) haben viel über den Wettbewerb geredet. Was nehmen Sie selber von der Veranstaltung mit?
Macaulay: Alle Anwender glauben, dass das System, das sie selbst nutzen, das sicherste von allen ist. Mir geht es genauso.
Werden Sie im kommenden Jahr wieder teilnehmen?
Macaulay: Ja, ich habe auch schon Ideen.
Welches Betriebssystem wollen Sie sich dann vornehmen?
Macaulay: Vielleicht Linux. Nur so aus Spaß. (sh)
