Kopfgeld für Softwarefehler — Bug Bounties

Von: Stefan Hager

Wie finden Firmen heraus, welche Fehler sich in ihrer Software versteckt, wo beim Webauftritt anfällige Frameworks eingesetzt werden oder welcher unbenutzte Serverdienst ungewollt auf Verbindungsversuche aus dem Internet lauscht?

Wenn die Firma Pech hat, dann findet sie das heraus, nachdem Kriminelle diese Lücken gefunden haben und nun Ransomware auf den Unternehmensnetzwerken sein Unwesen treibt, Daten kopiert, verfälscht oder gelöscht wurden. Mit hoher Wahrscheinlichkeit ist dies die teuerste Methode, um versteckte Lücken zu finden.

Auf legalem Weg versucht man üblicherweise, durch Penetration Tests (oder auch kurz Pentests) von Profis abklopfen zu lassen, ob diese Lücken finden können. Wie das allerdings so ist, wenn man Dienstleistungen von Partnern einkauft, unterliegen manuelle Pentests durch Dritte nahezu immer bestimmten Rahmenbedingungen in Bezug auf den Scope und auf die Zeit, welche die Pentester zur Verfügung haben.

Automatische Pentests auf verschiedenen Ebenen, von Servern und offenen Ports bis hin zu Webauftritten oder Softwaretests, ergänzen das ganze Bild. Hier ist man meist nicht beschränkt, wie viele Tests man durchführen kann; bzw. kommt das dann natürlich auf die eingekaufte Lizenz an. Allerdings haben die automatischen Tests alle dasselbe grundlegende Problem: kreativ wie ein menschlicher Angreifer sind sie nicht. Ihre Daseinsberechtigung haben sie selbstverständlich trotzdem, weil man damit checken kann, ob alle grundlegenden Mechanismen zur Sicherung gegen Angriffe implementiert sind. Also zum Beispiel ein offener Port für Login von außen, im schlechtesten Fall mit wohlbekannten User/Passwortkombinationen wie “admin/admin”.​

Bug Bounties gehen das Thema nochmal von einer anderen Warte an. Hier zahlen Firmen nicht für die Zeit, welche der Tester aufwendet, sondern zahlen nur für Funde; und das auch nur, wenn diese bestätigt werden können und nachvollziehbar demonstriert werden können. Verschiedene Bug Bounty — Plattformen versuchen, die Lücke zwischen den beteiligten Hackern und Firmen zu schließen, was das gegenseitige Vertrauen betrifft.

Spannenderweise geht es hier auch nicht nur darum, dass Firmen mangelndes Vertrauen in Sicherheitsforscher haben — andersrum ist es genauso. In der Vergangenheit gab es genügend Firmen, die über kritische Schwachstellen diskret informiert wurden, woraufhin die Firmen ihre Lücke geschlossen haben und den Hinweisgeber als Dankeschön verklagt haben.

Auch hier gibt es natürlich Rahmenbedingungen, die genau abgesteckt werden; Firmen können sich entscheiden, ob sie in öffentlichen Programmen teilnehmen, oder lieber in ein privates Programm gehen, bei denen sie sich auch die Personen heraussuchen können, welchen sozusagen die Erlaubnis erteilt wird, Schwachstellen im Auftritt der jeweiligen Firma zu finden.

Gerade letzteres ist inzwischen für viele Firmen eine gute Methode, die Lücke der Beschränkungen von Pentests etwas zu füllen.

Gemeinsam ist allen Programmen, dass je nach Schwere der gefundenen Fehler kleine bis hohe Geldsummen an die Sicherheitsforscher fließen.

Bei einem großen Schweizer Unternehmen hat man sich trotz einer Vielzahl manueller Pentests pro Jahr dafür entschieden, einen Proof of Concept über acht Services mit rund 40 Sicherheitsforschern über ein Bug Bounty Programm durchzuführen. In kürzester Zeit war das zugewiesene Budget für die Entlohnung der Bug Hunter aufgebraucht, und es wurden 50 kritische Schwachstellen geschlossen.

Die Initialreaktion war, das Programm sofort zu beenden, weil es zu viel​ Geld kostet, falls in dem Maße weitere Lücken aufgedeckt werden; allerdings fand relativ schnell ein Umdenken statt, weil die Ergebnisse den Invest ja rechtfertigten: alle durch das Bug Bounty Programm gefundenen Lücken waren den Pentestern aus verschiedenen Gründen entgangen. Das Unternehmen sieht inzwischen in der beständigen manuellen Prüfung durch Bug Bounty Hunter viele Vorteile: sie nutzen die Intelligenz der globalen Community, gegenüber Kunden und Partnern schafft das Programm Vertrauen und Transparenz, und es ermöglicht es besser, Sicherheit als Prozess abzubilden.

Man kann übrigens auch Bug Bounty Varianten finden, bei denen man niemanden wirklich auf dem eigenen Webauftritt testen lässt; hier teilt man die Frameworks und Technologien mit, welche in Benutzung sind, und bekommt dadurch schneller Information über Schwachstellen in der Verwendung dieser Software.

​Kriminelle werden allerdings weiterhin in Produktion testen und keine Rücksicht auf die Rahmenbedingungen nehmen, wie man mit legalen Partnern ausgehandelt hat.

Photo by Kutan Ural on Unsplash