Bug-Bounty-Programm

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Ein Bug-Bounty-Programm (englisch Bug bounty program, sinngemäß „Kopfgeld-Programm für Programmfehler“) ist eine von Unternehmen, Interessenverbänden, Privatpersonen oder Regierungsstellen betriebene Initiative zur Identifizierung, Behebung und Bekanntmachung von Fehlern in Software unter Auslobung von Sach- oder Geldpreisen für die Entdecker.

Beispiele für Bug-Bounty-Programme[Bearbeiten | Quelltext bearbeiten]

Im In- und Ausland gibt es eine hohe, aber nicht definierbare Anzahl an Unternehmen, die diese Art von Programmen betreiben.

DJI[Bearbeiten | Quelltext bearbeiten]

Der Drohnenhersteller DJI versuchte, den Sicherheitsforscher Kevin Finisterre nach Meldung einer Datenschutzlücke und Auszahlung der Prämie unter Verweis auf den Computer Fraud and Abuse Act (CFAA) dauerhaft zum Schweigen zu verpflichten. Erst aufgrund heftiger Proteste änderte man die Geschäftsbedingungen und erteilte als eines von nur drei Unternehmen eine CFAA-Freigabe.[1]

Microsoft[Bearbeiten | Quelltext bearbeiten]

Microsoft organisiert Bug-Bounty-Programme angepasst für Internetdienste (Online Services Bug Bounty) getrennt von jenen für Computer-Betriebssysteme (Mitigation Bypass Bounty). Schwachstellen in den Onlinediensten Microsoft Office 365 sowie Microsoft Azure werden im Rahmen des Online Services Bug Bounty mit Prämien von 500 bis 15.000 US-Dollar dotiert.[2] Schwachstellen, die einen neuartigen Weg der Penetration eines Microsoft-Betriebssystems demonstrieren, werden im Rahmen des Mitigation Bypass Bounty und Bounty for Defense Terms mit bis zu 100.000 US-Dollar dotiert.[3] Das Programm Hyper-V Bounty, das Microsoft am 31. Mai 2017 gestartet hat, verspricht bis zu 250.000 Dollar für erfolgreiche Angriffsszenarien.[4]

Seit Mitte Juli 2018 erhalten Sicherheitsforscher eine Belohnung von 500 bis 100.000 US-Dollar, wenn sie Lücken in Anmeldeservices von Azure- und Microsoft-Konten finden.[5]

Zerodium[Bearbeiten | Quelltext bearbeiten]

Das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium schrieb im September 2015 einen mit 1 Mio. US-Dollar dotierten Wettbewerb für das Auffinden eines Browser-basierten Jailbreak für das Betriebssystem Apple iOS aus.[6] Am 2. November gab man bekannt, einen Gewinner gefunden zu haben.[7]

EU-FOSSA[Bearbeiten | Quelltext bearbeiten]

Das nach der als Heartbleed bekannt gewordenen OpenSSL-Sicherheitslücke im Jahre 2014 mit einer Pilotförderung von einer Million EURO von der EU gegründete Projekt Free and Open Source Software Audit (FOSSA) zur Stärkung der Sicherheit von freier und quelloffener Software, wird seit Januar 2019 unter dem Namen EU-FOSSA-2-Projekt erweitert fortgeführt. Unabhängige Forscher und Entwickler sind auf den beiden Bug-Bounty-Plattformen HackerOne und Intigriti von Deloitte dazu aufgerufen, in 15 ausgeschriebene Open-Source-Lösungen Sicherheitslücken zu identifizieren. Zu den untersuchten Applikationen gehören u. a.: Apache Kafka, Apache Tomcat, Notepad++, 7-Zip, Filezilla, Keepass, Drupal, Putty, Glibc und VLC Media Player.[8]

Hack the Pentagon[Bearbeiten | Quelltext bearbeiten]

Das Bug-Bounty-Programm Hack the Pentagon des US-Verteidigungsministeriums, fordert ambitionierte Hacker auf der Plattform HackerOne dazu auf, das Pentagon zu attackieren.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Amit Elazari, Daniel AJ Sokolov: US-Bug-Bountys lassen "gute" Hacker in die Falle tappen. 22. Januar 2018, abgerufen am 22. Januar 2018.
  2. Microsoft: Online Services Bug Bounty Terms. Abgerufen am 27. Oktober 2015.
  3. Microsoft: Mitigation Bypass and Bounty for Defense Terms. Abgerufen am 27. Oktober 2015.
  4. Microsoft Hyper-V Bounty Program Terms. technet.microsoft.com. Abgerufen am 27. Juli 2017.
  5. Bug Bounty: Das Knacken von Azure- und Microsoft-Accounts ist bis zu 100.000 US-Dollar wert. heise.de. 19. Juli 2018. Abgerufen am 19. Juli 2018.
  6. Zerodium: Zerodium iOS 9 Bounty. In: Zerodium. 21. September 2015, abgerufen am 3. November 2015.
  7. Dennis Schirrmacher: Hacker sollen eine Million US-Dollar für iOS-9.1-Jailbreak bekommen. In: Heise Online. 3. November 2015, abgerufen am 3. November 2015.
  8. Bug Bounties in Full Force; https://www.com-magazin.de/news/open-source/eu-erweitert-bug-bounty-programm-fossa-1664851.html