2019-01-17 4 Minuten

Bug Bounty: moderne Kammerjäger

IT-Security Forscher haben es nicht leicht heute. Der Beipackzettel dieser Branche lässt nicht wirklich Hoffnung aufkommen. Nebenwirkungen: Resignation. Weil es politisch in eine absurde Richtung geht (looking at you, Australien), weil die alten Schmehs immer noch funktionieren, und weil die Opfer von Cybercrime oft keine Chance haben, ihr Geld jemals wieder zu sehen.

Aber nicht alles ist negativ. Bereits als die Artikel 13 und Artikel 11 der EU große Aufmerksamkeit erregten, habe ich eine EU-Politikerin der Piratenpartei (ja, die gibt es noch. Wusste ich auch nicht) gefunden, die scheinbar der Fels an technischer Kompetenz in einem Meer aus alten, Dokumente noch faxenden Politikern ist.

Eine der Initiativen von Julia Reda wird im Moment gerade in die Wege geleitet: Bug Bountys für Software, die in der EU verwendet wird.

Aber von vorne:

Was ist ein (Software-)Bug?

Programmierer sind auch nur Menschen, keine Halbgötter (lasst euch nix anderes erzählen!). Und wie es für Menschen so üblich ist, machen Programmierer – nicht einmal wenige – Fehler. Die meisten dieser Fehler werden dann hoffentlich bei rigorosem Testen ausgemerzt, aber einige schaffen es dann doch ins Endprodukt.

FUN FACT:

Der Term „Bug“ im Kontext eines Fehlers wurde erstmals von Thomas Edison 1878 verwendet. Damals noch nicht auf Software (no shit) bezogen, sondern auf kleine Konstruktionsfehler.

Auf Computer bezogen gibt es das Wort seit 1947, wo eine in einem Computer gefangene Motte tatsächlich einen Programmfehler verursachte. Armes Ding.

Aber Bug ist nicht gleich Bug. Die Ausprägungen reichen von „Das Menü lässt sich am Mobilgerät nicht öffnen“ zu „OMG UNSERE GANZE ZIVILISATION WIRD FALLEN“.

Die erste Art ist zwar auch ärgerlich, aber die zweite gilt es tunlichst zu vermeiden.

Wie findet man Bugs?

Ohne dich jetzt mit Software-Projektmanagement zu langweilen: Es gibt Mittel und Wege wie Projekte abgewickelt werden können, um eine möglichst fehlerfreie Software zu erhalten.

Diesen Mitteln und Wegen steht natürlich der Zeit- und Budgetdruck gegenüber. Wär ja ansonsten fad. Aber gut, das nehmen wir mal als gegeben hin.

Viel schlimmer ist meiner Meinung nach der Fakt, dass viele KMUs sich keine eigene QA-Abteilung leisten können. Da passiert das Testen durch die Personen, die das Produkt selbst entwickelt haben.

In der Fachsprache heißt das Betriebsblindheit.

Genau so wie ich meine Blogartikel 4 mal Korrekturlesen könnte, und mich eineR meiner treuen LeserInnen nach 2 Minuten auf einen Tippfehler hinweisen wird.

Genau so wie du deine Masterarbeit nach 4-40 Monaten Arbeit daran einfach nicht mehr sehen kannst. Die Worte verschwimmen, du hast einfach nicht die Distanz, das Ding noch unvoreingenommen zu lesen.

Was kann man da tun? Es jemand anderen machen lassen.

Das Prinzip hinter Bug Bounty

Ein Typo in einem Blogpost wird (hoffentlich) nicht arg negative Auswirkungen auf das Weltgeschehen haben. In der Software kann ein Bug jedoch sehr schnell katastrophale Ausmaße annehmen.

Vor Allem wenns ums Thema Sicherheit geht. Ein Hacker verwendet Programme, Funktionen und Technologien so, wie sie eigentlicht nicht gedacht waren. Was jegliche Art von Sicherheitstests durch den Programmierer nur bis zu einem gewissen Grad effektiv macht.

Wenn er nicht gedacht hat, dass sein Code so verwendet wird, wie soll er das dann testen?

Hier setzt ein sogenanntes Bug-Bounty Programm an.

Im Prinzip sind Bug Bountys nichts anderes als „Kopfgeld“ auf sicherheitsrelevante Bugs. Dieses Kopfgeld ist zwar weit nicht so hoch wie der Gegenwert am Schwarzmarkt – ermöglicht es moralisch gefestigten Hackern dann aber doch, auf der guten Seite der Macht zu bleiben.

Das Ganze läuft natürlich nach vorgegebenen Regeln ab (zum Beispiel reicht ein Proof of Concept, man muss nicht alle Kundendaten herunterladen).

Der Große Vorteil hierbei ist:

  • Die externe Sicht auf die Software
  • Globale Reichweite durch Bug-Bounty Plattformen – und dementsprechend kompetente Kammerjäger
  • Generell erhöhte Sicherheit, weil die eigene Software laufend unter Beobachtung steht

Die Liste an Unternehmen, die solche Programme gestartet haben, wird immer länger. Sogar das Pentagon war mit einer „Hack the Pentagon„-Initiative bereits dabei. Auch der Arbeiterkammer Salzburg hätte so ein Programm nicht schlecht getan.

Was hat das jetzt mit der EU zu tun?

Naja, die EU verwendet Software. Und zwar nicht nur Programme von bekannten Software-Riesen, sondern auch Open Source Software. Diese Software wird meist von einem kleinen Team geschrieben und gewartet, übernimmt aber durchaus sicherheitskritische Rollen in der Funktion diverser Staaten und Institutionen.

Und genau deswegen hat Frau Reda ein Bug-Bounty Programm der EU ins Leben gerufen. Beinhaltet ist da Software, die innerhalb der EU irgendwo Anwendung findet. Angesichts des Cyberwars kann das gar keine schlechte Idee sein.

Ich selbst habe leider bei noch keinem dieser Programme teilgenommen. Wär aber sicher mal lustig.

 

 

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.