Sicherheitslücken: Das Belohnungssystem von 20.000 Hackern

Inhalt

Auf einer Seite lesen

  1. Seite 1 ? Das Belohnungssystem von 20.000 Hackern
  2. Seite 2 ? HackerOne sieht nicht, was die Hacker finden

Wohin mit dem Bug, mit der Sicherheitslücke? Diese Frage stellen sich Forscher häufig, wenn sie Schwachstellen gefunden haben. Denn noch immer haben längst nicht alle großen Softwarefirmen ein Bug-Bounty-Programm oder überhaupt einen geregelten Prozess, mit dem externe Sicherheitsforscher Lücken melden können. Viele Forscher sind außerdem frustriert, weil Unternehmen entweder gar nicht auf Meldungen reagieren und die Lücken jahrelang ungepatcht lassen oder sogar rechtliche Schritte gegen die Forscher einleiten.

Das kalifornische Start-up HackerOne möchte das ändern. “Wir wollen den Disclosure-Prozess von Sicherheitslücken revolutionieren, mit Technologie und mit Policy-Arbeit”, sagt Katie Moussouris, Chief Policy Officer von HackerOne. “Wir wollen ein sichereres Internet für alle schaffen.” Die Aussage muss natürlich um den üblichen Silicon-Valley-Marketing-Sprech bereinigt werden. Doch Kunden der Plattform sind angetan von dem, was das Unternehmen bislang anbietet.

HackerOne stellt seit 2013 eine Plattform bereit, mit der sich Sicherheitsforscher und Unternehmen vernetzen können. Die Unternehmen müssen sich aktiv zur Kooperation mit der Plattform entscheiden, sagt Katie Moussouris im Gespräch mit Golem.de. Bevor sie auf der Plattform um Sicherheitsforscher werben dürfen, sind sie verpflichtet, den allgemeinen Geschäftsbedingungen zuzustimmen. Darin verpflichten sie sich zum Beispiel, keine Sicherheitsforscher zu verklagen, die in guter Absicht (in good faith) handeln.

Rechtliche Grauzonen

Die technische Seite hat das Unternehmen vorläufig gelöst. Die HackerOne-Plattform ermöglicht es Sicherheitsforschern, Schwachstellen direkt an die dort gelisteten Unternehmen zu schicken. Auch die weitere Kommunikation kann direkt über die Plattform abgewickelt werden. Doch das ist noch nicht genug: “Viele Politiker wissen nicht genau, was Sicherheitslücken eigentlich sind”, sagt Moussouris. “Viele haben zwar schon mal den Begriff 0-Day gehört. Doch über die tatsächlichen Herausforderungen der IT-Sicherheit wissen sie nicht viel. Wir versuchen daher auch, mehr politische Aufmerksamkeit für die Herausforderungen der IT-Security zu schaffen.” Zahlreiche Gesetze behindern Sicherheitsforscher in ihrer Arbeit, zum Beispiel der Digital Millenium Copyright Act in den USA, der die Umgehung von Sicherheitsmaßnahmen verbietet, doch genau das ist oft nötig, um Bugs zu finden.

Auch in Deutschland befinden sich Sicherheitsforscher nach der Einführung des “Hacker-Tools”-Paragrafen häufig in einer rechtlichen Grauzone ? auch wenn es bislang wenige dokumentierte Fälle gibt, in denen Hacker deshalb tatsächlich rechtliche Probleme hatten.

Unternehmen haben oft Probleme im Umgang mit Hackern

Viele Unternehmen sind noch unerfahren im Umgang mit Sicherheitsforschern. Der Trend zur Vernetzung aller möglichen Geräte von Kühlschränken bis zu Spielzeug konfrontiert aber immer mehr von ihnen mit den Herausforderungen der IT-Security. Der Barbie-Hersteller Mattel hat nach Schwachstellen in der WLAN-Barbie ein eigenes Bounty-Programm angekündigt. Nicht zuletzt Firmen im Security-Bereich selbst, wie zum Beispiel FireEye, haben Probleme in ihrem Umgang mit Hackern. FireEye hat zuletzt eine einstweilige Verfügung gegen das Unternehmen ERWN erwirkt, nachdem es Sicherheitslücken in FireEye-Produkten gefunden hatte, und verbat ERWN damit, über Details der FireEye-Architektur zu sprechen.

Bislang haben sich nach Angaben von Moussouris rund 20.000 Sicherheitsforscher auf der Plattform registriert. 1.800 von ihnen würden regelmäßig erfolgreich Bugs melden. Fast 16.000 Sicherheitslücken sollen so seit dem Start von HackerOne geschlossen worden sein. Insgesamt wurden ausweislich der HackerOne-Website 5,4 Millionen US-Dollar an Bountys ausgezahlt. Das entspricht im Schnitt rund 300 US-Dollar pro gefundener Lücke.

Sicherheitsforscher können auf HackerOne zunächst unter Pseudonym agieren. Sie müssen ihre persönlichen Daten wie Name und Adresse erst angeben, wenn ein Unternehmen tatsächlich eine Belohnung bezahlt ? zu Abrechnungszwecken. HackerOne übernimmt dann auch die Abrechnung der Bezüge und behält eine Provision von 20 Prozent ein. Das ist die Haupteinnahmequelle des Unternehmens.

Zu den HackerOne-Kunden zählen Twitter, Dropbox und Yahoo

Auf der Unternehmensseite hat HackerOne derzeit nach eigenen Angaben rund 350 Kunden, die dort jeweils eigene Disclosure-Programme anbieten. Dazu zählen große Unternehmen wie Dropbox, Twitter, Yahoo, Snapchat oder Adobe, aber auch kleinere Open-Source-Projekte wie ownCloud. Nicht alle beteiligten Unternehmen zahlen für gemeldete Sicherheitslücken. Das sei aber auch nicht vorgeschrieben und auch nicht entscheidend für den Erfolg eines Programms auf HackerOne, sagt Moussouris. Unternehmen entscheiden grundsätzlich selbst, ob und wie viel Geld sie auszahlen wollen. Das war in der Anfangsphase noch anders. Da entschied ein HackerOne-Expertenteam, wie viel eine Schwachstelle wert sein soll.

Twitter zahlt für eine Remote-Code-Execution 15.000 US-Dollar oder mehr. Auf dem Schwarzmarkt können für Exploits viel genutzter Plattformen durchaus 100.000 US-Dollar und mehr erzielt werden. Der Exploit-Händler Zerodium etwa zahlte vor Kurzem für einen erfolgreichen iOS9-Jailbreak nach eigenen Angaben sogar eine Million Dollar. Der Schwarzmarkt mag Sicherheitsforscher mit höheren Gewinnen locken, birgt allerdings auch höhere Risiken.

In einem Blogpost versucht HackerOne, mithilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, was für ein gutes Bug-Bounty-Programm wichtig ist. Dazu bewerten sie die Kategorien “Thematische Breite der engagierten Forscher”, “Höhe der Bug Bountys”, “Kommunikation mit Sicherheitsforschern” und “Relevanz” und “Qualifikation der beteiligten Sicherheitsforscher”. Auch diese Daten zeigen laut HackerOne, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, sei etwas weniger breit als bei einem Programm mit hohen Belohnungen.

Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen, lautet das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.

Click here