Bug-Bounty-Programm

Der Ausdruck Bug-Bounty-Programm (englisch Bug bounty program, sinngemäß „Kopfgeld-Programm für Programmfehler“) bezeichnet von Unternehmen, Interessenverbänden, Privatpersonen oder Regierungsstellen betriebene Initiativen zur Identifizierung, Behebung und Bekanntmachung von Fehlern in Software unter Auslobung von Sach- oder Geldpreisen für die Entdecker.

Beispiele für Bug-Bounty-Programme

Im In- und Ausland gibt es eine hohe, aber nicht definierbare Anzahl an Unternehmen, die diese Art von Programmen betreiben.

DJI

Der Drohnenhersteller DJI versuchte, den Sicherheitsforscher Kevin Finisterre nach Meldung einer Datenschutzlücke und Auszahlung der Prämie unter Verweis auf den Computer Fraud and Abuse Act (CFAA) dauerhaft zum Schweigen zu verpflichten. Erst aufgrund heftiger Proteste änderte man die Geschäftsbedingungen und erteilte als eines von nur drei Unternehmen eine CFAA-Freigabe.[1]

Microsoft

Microsoft organisiert Bug-Bounty-Programme angepasst für Internetdienste (Online Services Bug Bounty) getrennt von jenen für Computer-Betriebssysteme (Mitigation Bypass Bounty). Schwachstellen in den Onlinediensten Microsoft Office 365 sowie Microsoft Azure werden im Rahmen des Online Services Bug Bounty mit Prämien von 500 bis 15.000 US-Dollar dotiert.[2] Schwachstellen, die einen neuartigen Weg der Penetration eines Microsoft-Betriebssystems demonstrieren, werden im Rahmen des Mitigation Bypass Bounty und Bounty for Defense Terms mit bis zu 100.000 US-Dollar dotiert.[3] Das Programm Hyper-V Bounty, das Microsoft am 31. Mai 2017 gestartet hat, verspricht bis zu 250.000 Dollar für erfolgreiche Angriffsszenarien.[4]

Seit Mitte Juli 2018 erhalten Sicherheitsforscher eine Belohnung von 500 bis 100.000 US-Dollar, wenn sie Lücken in Anmeldeservices von Azure- und Microsoft-Konten finden.[5]

Zerodium

Das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium schrieb im September 2015 einen mit 1 Mio. US-Dollar dotierten Wettbewerb für das Auffinden eines Browser-basierten Jailbreak für das Betriebssystem Apple iOS aus.[6] Am 2. November gab man bekannt, einen Gewinner gefunden zu haben.[7]

EU-FOSSA

Das nach der als Heartbleed bekannt gewordenen OpenSSL-Sicherheitslücke im Jahre 2014 mit einer Pilotförderung von einer Million EURO von der EU gegründete Projekt Free and Open Source Software Audit (FOSSA) zur Stärkung der Sicherheit von freier und quelloffener Software, wird seit Januar 2019 unter dem Namen EU-FOSSA-2-Projekt erweitert fortgeführt. Unabhängige Forscher und Entwickler sind auf den beiden Bug-Bounty-Plattformen HackerOne und Intigriti von Deloitte dazu aufgerufen, in 15 ausgeschriebene Open-Source-Lösungen Sicherheitslücken zu identifizieren. Zu den untersuchten Applikationen gehören u. a.: Apache Kafka, Apache Tomcat, Notepad++, 7-Zip, Filezilla, Keepass, Drupal, PuTTY, Glibc und VLC media player.[8]

Hack the Pentagon

Das Bug-Bounty-Programm Hack the Pentagon des US-Verteidigungsministeriums fordert ambitionierte Hacker auf der Plattform HackerOne dazu auf, das Pentagon zu attackieren.

Full Disclosure und Responsible Disclosure

Bei einer Full Disclosure informiert der IT-Sicherheitsforscher bzw. die IT-Sicherheitsforscherin neben dem betroffenen Unternehmen auch die Öffentlichkeit und legt die entdeckte Lücke komplett offen, so dass die Lücke potentiell von Hackern ausgenutzt werden kann, bevor die Schwachstelle behoben werden konnte. Dies setzt Unternehmen unter Zeitdruck und wird im Allgemeinen als kritisch und unverantwortlich angesehen.[9]

Aus diesem Grund gilt Responsible Disclosure, also eine verantwortungsvolle Enthüllung, heute als Standard, weil das betroffene Unternehmen zuerst informiert wird und eine begrenzte Zeit erhält, das Problem zu beheben. Erst nach Ablauf dieser Frist, üblich sind zwei Monate bzw. 60 Tage, macht der IT-Sicherheitsforscher bzw. die IT-Sicherheitsforscherin die Sicherheitslücke öffentlich.[9] Dann sollte der Fehler entweder behoben oder das betroffene System offline oder deaktiviert sein, so dass Schaden von Dritten (z. B. Kundinnen und Kunden) abgewendet werden kann.

Einzelnachweise

  1. Amit Elazari, Daniel AJ Sokolov: US-Bug-Bountys lassen "gute" Hacker in die Falle tappen. 22. Januar 2018, abgerufen am 22. Januar 2018.
  2. Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.
  3. Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.
  4. Microsoft Hyper-V Bounty Program Terms. technet.microsoft.com. Abgerufen am 27. Juli 2017.
  5. Bug Bounty: Das Knacken von Azure- und Microsoft-Accounts ist bis zu 100.000 US-Dollar wert. heise.de. 19. Juli 2018. Abgerufen am 19. Juli 2018.
  6. Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.
  7. Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.
  8. Bug Bounties in Full Force; https://www.com-magazin.de/news/open-source/eu-erweitert-bug-bounty-programm-fossa-1664851.html
  9. a b Kai Biermann: Bug Bounty. Kopfgeldjagd im Internet. In: Zeit Online, 3. September 2013. Zuletzt abgerufen am 5. August 2021.