Pen­tests und Bugs

Kopfgeld für Soft­ware­fehler — Bug Bounties

Wie finden Firmen heraus, welche Fehler sich in ihrer Software ver­steckt, wo beim Web­auf­tritt anfällige Frame­works ein­ge­setzt werden oder welcher unbe­nutzte Ser­ver­dienst unge­wollt auf Ver­bin­dungs­ver­suche aus dem Internet lauscht?

Wenn die Firma Pech hat, dann findet sie das heraus, nachdem Kri­mi­nelle diese Lücken gefunden haben und nun Ran­somware auf den Unter­neh­mens­netz­werken sein Unwesen treibt, Daten kopiert, ver­fälscht oder gelöscht wurden. Mit hoher Wahr­schein­lichkeit ist dies die teu­erste Methode, um ver­steckte Lücken zu finden.

Auf legalem Weg ver­sucht man übli­cher­weise, durch Pene­tration Tests (oder auch kurz Pen­tests) von Profis abklopfen zu lassen, ob diese Lücken finden können. Wie das aller­dings so ist, wenn man Dienst­leis­tungen von Partnern ein­kauft, unter­liegen manuelle Pen­tests durch Dritte nahezu immer bestimmten Rah­men­be­din­gungen in Bezug auf den Scope und auf die Zeit, welche die Pen­tester zur Ver­fügung haben.

Auto­ma­tische Pen­tests auf ver­schie­denen Ebenen, von Servern und offenen Ports bis hin zu Web­auf­tritten oder Soft­ware­tests, ergänzen das ganze Bild. Hier ist man meist nicht beschränkt, wie viele Tests man durch­führen kann; bzw. kommt das dann natürlich auf die ein­ge­kaufte Lizenz an. Aller­dings haben die auto­ma­ti­schen Tests alle das­selbe grund­le­gende Problem: kreativ wie ein mensch­licher Angreifer sind sie nicht. Ihre Daseins­be­rech­tigung haben sie selbst­ver­ständlich trotzdem, weil man damit checken kann, ob alle grund­le­genden Mecha­nismen zur Sicherung gegen Angriffe imple­men­tiert sind. Also zum Bei­spiel ein offener Port für Login von außen, im schlech­testen Fall mit wohl­be­kannten User/Passwortkombinationen wie “admin/admin”.​

Bug Bounties gehen das Thema nochmal von einer anderen Warte an. Hier zahlen Firmen nicht für die Zeit, welche der Tester auf­wendet, sondern zahlen nur für Funde; und das auch nur, wenn diese bestätigt werden können und nach­voll­ziehbar demons­triert werden können. Ver­schiedene Bug Bounty — Platt­formen ver­suchen, die Lücke zwi­schen den betei­ligten Hackern und Firmen zu schließen, was das gegen­seitige Ver­trauen betrifft.

Span­nen­der­weise geht es hier auch nicht nur darum, dass Firmen man­gelndes Ver­trauen in Sicher­heits­for­scher haben — andersrum ist es genauso. In der Ver­gan­genheit gab es genügend Firmen, die über kri­tische Schwach­stellen diskret infor­miert wurden, wor­aufhin die Firmen ihre Lücke geschlossen haben und den Hin­weis­geber als Dan­ke­schön ver­klagt haben.

Auch hier gibt es natürlich Rah­men­be­din­gungen, die genau abge­steckt werden; Firmen können sich ent­scheiden, ob sie in öffent­lichen Pro­grammen teil­nehmen, oder lieber in ein pri­vates Pro­gramm gehen, bei denen sie sich auch die Per­sonen her­aus­suchen können, welchen sozu­sagen die Erlaubnis erteilt wird, Schwach­stellen im Auf­tritt der jewei­ligen Firma zu finden.

Gerade letz­teres ist inzwi­schen für viele Firmen eine gute Methode, die Lücke der Beschrän­kungen von Pen­tests etwas zu füllen.

Gemeinsam ist allen Pro­grammen, dass je nach Schwere der gefun­denen Fehler kleine bis hohe Geld­summen an die Sicher­heits­for­scher fließen.

Bei einem großen Schweizer Unter­nehmen hat man sich trotz einer Vielzahl manu­eller Pen­tests pro Jahr dafür ent­schieden, einen Proof of Concept über acht Ser­vices mit rund 40 Sicher­heits­for­schern über ein Bug Bounty Pro­gramm durch­zu­führen. In kür­zester Zeit war das zuge­wiesene Budget für die Ent­lohnung der Bug Hunter auf­ge­braucht, und es wurden 50 kri­tische Schwach­stellen geschlossen.

Die Initi­al­re­aktion war, das Pro­gramm sofort zu beenden, weil es zu viel​ Geld kostet, falls in dem Maße weitere Lücken auf­ge­deckt werden; aller­dings fand relativ schnell ein Umdenken statt, weil die Ergeb­nisse den Invest ja recht­fer­tigten: alle durch das Bug Bounty Pro­gramm gefun­denen Lücken waren den Pen­testern aus ver­schie­denen Gründen ent­gangen. Das Unter­nehmen sieht inzwi­schen in der bestän­digen manu­ellen Prüfung durch Bug Bounty Hunter viele Vor­teile: sie nutzen die Intel­ligenz der glo­balen Com­munity, gegenüber Kunden und Partnern schafft das Pro­gramm Ver­trauen und Trans­parenz, und es ermög­licht es besser, Sicherheit als Prozess abzubilden.

Man kann übrigens auch Bug Bounty Vari­anten finden, bei denen man nie­manden wirklich auf dem eigenen Web­auf­tritt testen lässt; hier teilt man die Frame­works und Tech­no­logien mit, welche in Benutzung sind, und bekommt dadurch schneller Infor­mation über Schwach­stellen in der Ver­wendung dieser Software.

​Kri­mi­nelle werden aller­dings wei­terhin in Pro­duktion testen und keine Rück­sicht auf die Rah­men­be­din­gungen nehmen, wie man mit legalen Partnern aus­ge­handelt hat.