Die Rolle von Hackern bei der Verbesserung der Anwendungssicherheit
Um wie ein Hacker zu denken, muss man selbst einer sein. Wenn es also darum geht, „Hacker-sicher“ zu werden, ist es oft ratsam, sich die Expertise von Hackern zunutze zu machen.
Anwendungssicherheit ist ein ständig wichtiges Thema, dessen Bedeutung mit der Zeit nur noch zugenommen hat.
Trotz der Vielzahl an verfügbaren Schutzmechanismen und -maßnahmen (wie Firewalls, SSL, asymmetrische Kryptographie usw.) kann keine Webanwendung absolute Sicherheit vor Hackern garantieren.
Warum ist das so?
Der einfache Grund ist die Komplexität und Fehleranfälligkeit der Softwareentwicklung. Es gibt immer wieder Fehler (bekannte und unbekannte) in den Basiskomponenten, und mit jeder neuen Software oder Bibliothek kommen neue hinzu. Selbst die größten Technologieunternehmen sind vor gelegentlichen Sicherheitslücken nicht gefeit, und das aus gutem Grund.
Die Lösung: Hacker einstellen!
Angesichts der Tatsache, dass Bugs und Sicherheitslücken wohl immer Teil der Softwarelandschaft bleiben werden, stellt sich die Frage, wie Unternehmen, die auf diese Software angewiesen sind, ihre Sicherheit gewährleisten können. Wie kann beispielsweise eine neue Wallet-App sicherstellen, dass sie den Angriffen von Hackern widerstehen kann?
Die Antwort liegt, wie Sie vielleicht schon vermutet haben, darin, Hacker zu beauftragen, die neu entwickelte App auf Herz und Nieren zu prüfen! Und warum sollten diese das tun? Weil eine attraktive Belohnung winkt – das Bug-Bounty!
Die Idee ist, die erfahrensten und sachkundigsten Hacker (Sicherheitsexperten) dazu zu bringen, Ihre App auf Schwachstellen zu untersuchen. Wenn sie etwas finden, werden sie dafür belohnt. Das ist das Konzept des Bug-Bounty-Programms.
Es gibt grundsätzlich zwei Wege, dies zu realisieren: 1) das Bug-Bounty-Programm selbst zu hosten, oder 2) eine spezialisierte Bug-Bounty-Plattform zu nutzen.
Selbst gehostet vs. Plattformen für Bug-Bountys
Warum sollte man sich die Mühe machen, eine Bug-Bounty-Plattform auszuwählen und dafür zu bezahlen, wenn man das Programm auch selbst hosten könnte? Man könnte doch einfach eine Seite mit den relevanten Informationen erstellen und das Ganze in den sozialen Medien bewerben, oder? Das kann doch nicht schiefgehen, oder?
Hacker sind da skeptisch!
Das ist zwar eine nette Idee, aber betrachten Sie es aus der Sicht eines Hackers. Die Jagd nach Fehlern erfordert jahrelange Übung, umfassende Kenntnisse über alte und neue Technologien, viel Entschlossenheit und Kreativität.
Ein Hacker weiß nicht, wer Sie sind, und ist möglicherweise unsicher, ob Sie tatsächlich zahlen werden. Oder er ist vielleicht einfach nicht motiviert. Selbst gehostete Bug-Bounty-Programme funktionieren gut für Giganten wie Google, Apple oder Facebook, deren Namen die Hacker gerne in ihrem Portfolio präsentieren. „Eine kritische Anmeldeschwachstelle in der HRMS-App von XYZ Tech Systems gefunden“ klingt dagegen nicht so beeindruckend, oder? (Entschuldigung an alle Unternehmen mit ähnlichen Namen!).
Es gibt noch weitere praktische Gründe, die gegen ein selbst gehostetes Bug-Bounty-Programm sprechen.
Fehlende Infrastruktur
Die „Hacker“, von denen wir hier sprechen, sind nicht die, die im Dark Web unterwegs sind.
Diese Leute haben weder die Zeit noch die Geduld für die „zivilisierte“ Welt. Wir sprechen hier vielmehr von Informatikern, die an Universitäten arbeiten oder schon seit längerem als Bug-Bounty-Jäger aktiv sind. Diese Personen erwarten eine professionelle Abwicklung und das Einhalten bestimmter Formate für die Übermittlung der Informationen.
Selbst Ihre besten Entwickler werden Schwierigkeiten haben, mitzuhalten, und die Opportunitätskosten könnten sich als zu hoch erweisen.
Die Beurteilung von Einreichungen
Letztlich geht es auch um die Frage der Beweisführung. Software mag auf deterministischen Regeln aufgebaut sein, aber wann genau eine bestimmte Anforderung erfüllt ist, kann durchaus diskussionswürdig sein. Ein Beispiel zur Veranschaulichung:
Nehmen wir an, Sie haben ein Bug-Bounty-Programm für Authentifizierungs- und Autorisierungsfehler erstellt. Sie behaupten also, dass Ihr System frei von Identitätsfälschungsrisiken ist, die von Hackern ausgenutzt werden könnten.
Nun findet ein Hacker eine Schwachstelle, die auf der Funktionsweise eines bestimmten Browsers basiert und ihm ermöglicht, das Sitzungstoken eines Benutzers zu stehlen und sich als dieser auszugeben.
Ist das ein gültiger Befund?
Aus Sicht des Hackers ist ein Bruch ein Bruch. Aus Ihrer Sicht vielleicht nicht, weil Sie entweder der Meinung sind, dass dies in den Verantwortungsbereich des Benutzers fällt oder dass Browser für Ihren Zielmarkt keine Rolle spielen.
Wenn ein solches Szenario auf einer Bug-Bounty-Plattform auftritt, gibt es qualifizierte Schiedsrichter, die die Auswirkungen der Entdeckung beurteilen und das Problem lösen können.
Vor diesem Hintergrund wollen wir uns einige der beliebtesten Bug-Bounty-Plattformen ansehen.
YesWeHack
YesWeHack ist eine globale Bug-Bounty-Plattform, die Schwachstellenoffenlegung und Crowdsourcing-Sicherheit in Ländern wie Frankreich, Deutschland, der Schweiz und Singapur anbietet. Sie bietet eine innovative Lösung für Bug-Bountys, um mit den zunehmenden Sicherheitsbedrohungen bei der Entwicklung agiler Geschäftsprozesse Schritt zu halten, wenn herkömmliche Tools nicht mehr ausreichen.
Mit YesWeHack erhalten Sie Zugriff auf eine Vielzahl ethischer Hacker und können Ihre Testmöglichkeiten maximieren. Wählen Sie die gewünschten Experten aus und stellen Sie die zu testenden Bereiche zur Verfügung oder teilen Sie diese mit der YesWeHack-Community. Das Unternehmen folgt strikten Richtlinien und Standards, um die Interessen der Jäger und Ihre eigenen zu schützen.
Steigern Sie die Sicherheit Ihrer App, indem Sie die schnelle Reaktionsfähigkeit der Hunter nutzen und die Zeit bis zur Behebung und Erkennung von Sicherheitslücken minimieren. Sie werden die positiven Auswirkungen schnell bemerken, sobald Sie das Programm starten.
Open Bug Bounty
Zahlen Sie zu viel für Bug-Bounty-Programme?
Testen Sie Open Bug Bounty für Crowd-Sicherheitstests.
Dies ist eine Community-gesteuerte, offene, kostenlose und nicht vermittelnde Bug-Bounty-Plattform. Zudem bietet sie eine verantwortungsvolle und koordinierte Offenlegung von Sicherheitslücken, die der ISO 29147 entspricht. Bisher wurden damit über 641.000 Schwachstellen behoben.
Sicherheitsexperten und Fachleute von führenden Websites wie WikiHow, Twitter, Verizon, IKEA, MIT, Berkeley University, Philips, Yamaha und anderen haben die Open Bug Bounty-Plattform verwendet, um Sicherheitsprobleme wie XSS-Schwachstellen, SQL-Injections usw. zu lösen. Sie können hochqualifizierte und reaktionsschnelle Fachleute finden, um Ihre Sicherheitsaufgaben schnell zu erledigen.
Hackerone
Unter den Bug-Bounty-Programmen ist Hackerone führend, wenn es um den Zugang zu Hackern, die Erstellung von Prämienprogrammen, die Verbreitung von Informationen und die Bewertung von Beiträgen geht.
Sie können Hackerone auf zwei Arten nutzen: Entweder Sie verwenden die Plattform, um Schwachstellenberichte zu sammeln und diese selbst zu analysieren, oder Sie lassen die Experten von Hackerone die Arbeit erledigen (Triage). Die Triage umfasst die Erstellung von Berichten über Schwachstellen, die Überprüfung und die Kommunikation mit Hackern.
Hackerone wird von großen Namen wie Google Play, PayPal, GitHub, Starbucks und ähnlichen verwendet. Die Plattform ist daher besonders für Unternehmen mit schwerwiegenden Fehlern und einem entsprechenden Budget geeignet.
Bugcrowd
Bugcrowd bietet verschiedene Lösungen für Sicherheitsbewertungen an, darunter auch Bug-Bounty-Programme. Das Unternehmen bietet eine SaaS-Lösung, die sich einfach in Ihren bestehenden Softwareentwicklungszyklus integrieren lässt und die Umsetzung eines erfolgreichen Bug-Bounty-Programms erleichtert.
Sie können wählen, ob Sie ein privates Bug-Bounty-Programm mit einer kleinen Gruppe von Hackern oder ein öffentliches Programm mit tausenden von Teilnehmern starten möchten.
SafeHats
Wenn Sie ein Unternehmen sind, das sein Bug-Bounty-Programm nicht öffentlich machen möchte – aber gleichzeitig eine höhere Aufmerksamkeit benötigt, als eine typische Bug-Bounty-Plattform bieten kann, ist SafeHats die beste Wahl (zugegeben, ein etwas gewagtes Wortspiel).
Engagierter Sicherheitsberater, detaillierte Hackerprofile, Teilnahme nur auf Einladung – all das wird an Ihre Bedürfnisse und den Reifegrad Ihres Sicherheitsmodells angepasst.
Intigriti
Intigriti ist eine umfassende Bug-Bounty-Plattform, die Sie mit White-Hat-Hackern verbindet, unabhängig davon, ob Sie ein privates oder ein öffentliches Programm betreiben möchten.
Für Hacker gibt es eine Vielzahl von Prämien. Je nach Unternehmensgröße und Branche werden Bug-Bountys zwischen 1.000 und 20.000 Euro angeboten.
Synack
Synack scheint eine dieser Ausnahmen auf dem Markt zu sein, die mit Konventionen bricht und etwas Großes leistet. Ihr Sicherheitsprogramm Hack the Pentagon war ein besonderes Highlight, das zur Aufdeckung mehrerer kritischer Sicherheitslücken führte.
Wenn Sie nicht nur nach der Erkennung von Fehlern, sondern auch nach Sicherheitsberatung und Schulungen auf höchstem Niveau suchen, ist Synack die richtige Wahl.
Fazit
Genauso wie Sie sich von vermeintlichen Wundermittelverkäufern fernhalten sollten, gilt es auch, Vorsicht bei Websites oder Diensten walten zu lassen, die absolute Sicherheit versprechen. Wir können uns dem Ideal nur annähern. Daher sollten Bug-Bounty-Programme nicht als Garant für fehlerfreie Anwendungen, sondern als wichtige Strategie zur Identifizierung der schwerwiegendsten Probleme angesehen werden.
Schauen Sie sich den Bug-Bounty-Jagdkurs an, um zu lernen und Anerkennung zu erlangen.
Erfahren Sie mehr über die größten Bug-Bounty-Programme der Welt.
Ich hoffe, Sie werden viele Bugs finden! 🙂