Die Bug-Bounty-Plattformen HackerOne, Bugcrowd und Synack dienen als Vermittler zwischen weißen Hackern und Unternehmen, die die Sicherheit ihrer Produkte verbessern möchten. Bei korrekter Verwendung ist die Logik einfach:- Ein Hacker meldet eine Sicherheitsanfälligkeit.
- Die Entwicklungsfirma korrigiert den Fehler und erinnert den Hacker an eine Belohnung dafür, dass er das Richtige getan hat.
In Wirklichkeit funktioniert alles anders. Wie die CSO-Untersuchung ergab , haben Unternehmen und Bug-Bounty-Plattformen die Offenlegung von Sicherheitslücken so auf den Kopf gestellt, dass viele Experten, darunter auch die frühere politische Direktorin von HackerOne, Katie Mussouri, dies als „Perversion“ bezeichnen.Kurz gesagt, anstatt Fehler zu beheben, priorisieren Unternehmen die Bestechung von Hackern und zwingen sie, die NDA als Voraussetzung für die Zahlung der Vergütung zu unterzeichnen. Dies ändert grundlegend die Logik des Geschehens.Offenlegungsverfahren für Sicherheitslücken
Das Vulnerability Disclosure Program (VDP) ist für viele Unternehmen eine fast obligatorische Anforderung. Beispielsweise empfiehlt die US-amerikanische Federal Trade Commission Unternehmen, solche Verfahren und Geldbußen für schlechte Sicherheitspraktiken einzuführen. Das Ministerium für Heimatschutz im vergangenen Jahr bestellt alle Bundes-Zivilbehörden Verwundbarkeit Offenlegungsverfahren einzuführen.Für jede Agentur oder Firma ist VDP jedoch ein großes Problem. Das Verfahren ist wie folgt: Sicherheitsforscher melden einen Fehler und geben Ihnen maximal 90 Tage Zeit, um ihn zu beheben. Wenn die Zeit abläuft, rufen sie einige ihrer Lieblingsjournalisten an, veröffentlichen vollständige Informationen über die Sicherheitsanfälligkeit auf Twitter und sprechen auch auf der Black Hat-Konferenz oder der DEF CON, wenn dies wirklich ein saftiger Fehler ist.Einerseits bietet das Verfahren zur Offenlegung von Sicherheitslücken ein gewisses Gleichgewicht zwischen den Interessen des Unternehmens, der Gesellschaft und den Sicherheitsforschern selbst, die für ihre Arbeit anerkannt werden. Es gibt jedoch eine Reihe von Unternehmen, die möglicherweise über den Preis ihrer Aktien und / oder den Ruf besorgt sind, sodass sie lieber Geld zahlen, um die Notwendigkeit einer Berichterstattung an die Öffentlichkeit zu beseitigen.Bug Bounty-Plattformen bieten Unternehmen eine verlockende Alternative. Forscher melden Schwachstellen in Geheimhaltungsvereinbarungen (NDAs). Sie werden buchstäblich für die Stille bezahlt. Dann macht das Unternehmen, was es will. Beheben Sie möglicherweise die von Ihnen gemeldeten Fehler, wenn Sie möchten. Es kann es nicht beheben, aber es ist Ihnen verboten, darüber zu sprechen.Stille ist eine Ware
Stille ist eine Ware. Und es scheint, dass dieses Produkt auf dem Markt gefragt ist. Nachfrage schafft Angebot. Daher haben Bug-Bounty-Plattformen ihre Aktivitäten so erweitert, dass sie den Kunden das bieten, wofür sie bereit sind zu zahlen.Die frühere HackerOne Policy Director Katie Mussouri glaubt, dass die Wurzel des Problems in der Kommerzialisierung von Bug-Bounty-Plattformen liegt, die nach exponentiellem Wachstum suchen. Das HackerOne-Management hat sich beispielsweise zum Ziel gesetzt, 1.000.000 Hacker auf der Plattform zu sammeln. Es ist wichtig, dass sie unter allen Bedingungen und unter Vergütung möglichst viele Unternehmen jeder Größe für sich gewinnen.
Katie Mussouri, ehemalige HackerOne Policy Director, Gründerin von Luta Security"Diese kommerziellen Suchplattformen für Schwachstellen ... verfälschen das gesamte Ökosystem, und ich möchte, dass es aufhört, auch wenn ich selbst dafür bezahle", sagt Mussouri. Als eine der Marktführerinnen von HackerOne erhielt sie eine Aktienoption und kann sich bei einem erfolgreichen öffentlichen Angebot von HackerOne-Aktien auf eine großzügige Belohnung verlassen. "Ich appelliere an Sie trotz meines persönlichen finanziellen Gewinns."Andere unabhängige Experten sind sich einig, dass Geheimhaltung die Informationssicherheit beeinträchtigt: „Belohnungen werden am besten transparent und offen gemacht. Je mehr Sie versuchen, sie zu klassifizieren und die NDA zu akzeptieren, desto weniger effektiv werden sie, desto mehr geht es um Marketing und nicht um Sicherheit “, sagt Robert Graham von Errata Security.Jonathan Leitschuh stimmt ihm zu, der im vergangenen Jahr eine katastrophale Sicherheitslücke im Zoom-Videokonferenzprogramm aufgedeckt hat (Installation eines Webservers auf einem lokalen Host ohne das Wissen eines Benutzers mit Remotebefehlsausführung).Ein einfacher Exploit, wenn sich Zoom auf einem lokalen Host befindet:<img src="http://localhost:19421/launch?action=join&confno=492468757"/>
Webcam-Aktivierung ohne Benutzerberechtigung:<iframe src="https://zoom.us/j/492468757"/>
Jonathan Leitschuh hat das Unternehmen am 26. März 2019 benachrichtigt, die Sicherheitsanfälligkeit jedoch nicht behoben. Genau 90 Tage später veröffentlichte der Hacker einen Artikel mit einer öffentlich zugänglichen Beschreibung. Die Informationen verbreiteten sich weit und machten ein Geräusch. Danach veröffentlichte das Unternehmen sofort einen Patch.Aber der Hacker erhielt keine Belohnung. „Dies ist eines der Probleme mit den Bug-Bounty-Plattformen, wie sie derzeit existieren. Sie ermöglichen es Unternehmen, eine 90-tägige Offenlegungsfrist zu vermeiden “, sagt er. - Viele dieser Programme bauen ihr Geschäft auf dieser Idee der Geheimhaltung auf. Am Ende scheinen sie zu versuchen, das Schweigen des Forschers zu kaufen . “Private Bug Bounty
Plattform-Geheimhaltungsvereinbarungen wie HackerOne verbieten es sogar, die Existenz privater Bug-Bounty-Programme zu erwähnen . Ein Tweet wie "Unternehmen X hat ein privates Programm in Bugcrowd" reicht aus, um den Hacker von der Plattform zu werfen.Hacker werden von einer Peitsche und einer Karotte zum Schweigen gebracht. Wo die Karotte verständlich ist, ist das Geld. Aber es gibt eine Peitsche: Bei Verstößen gegen das NDA-Abkommen können Forscher zur Rechenschaft gezogen werden, einschließlich strafrechtlicher Verfolgung. Die gleiche Verantwortung droht theoretisch Hackern, die auf eigene Gefahr und Gefahr Informationen über Schwachstellen veröffentlichen, ohne Vereinbarungen mit dem Unternehmen zu treffen, sondern sich lediglich an allgemein anerkannten Grundsätzen der Hacker-Ethik und einer Verjährungsfrist von 90 Tagen ab dem Datum der Benachrichtigung des Unternehmens orientieren.Im Jahr 2017 veröffentlichte das US-JustizministeriumRichtlinien zum Schutz von Sicherheitsforschern. Nach der Logik des Dokuments sollten schwere Strafen für illegales Hacken nicht gegen Bürger verhängt werden, die sich Sorgen um die öffentliche Sicherheit machen und im öffentlichen Interesse hacken und versuchen, das Richtige zu tun. Diese Frage bleibt jedoch vor Gericht. Wenn der Hacker einen garantierten rechtlichen Schutz vor Strafverfolgung wünscht, muss er die NDA unterzeichnen, andernfalls droht ihm eine Freiheitsstrafe von zehn Jahren oder mehr gemäß dem Computer Fraud and Abuse Act (CFAA). So sollten private Bug Bounties verstanden werden.Nehmen Sie zum Beispiel PayPal. Auf der offiziellen Website angegebenJeder Forscher muss ein HackerOne-Konto erstellen und den Bedingungen seines privaten Bug-Bounty-Programms, einschließlich der NDA, zustimmen. Wenn Sie einen Fehler auf andere Weise melden, lehnt PayPal die Gewährleistung Ihrer Sicherheit ab und schließt die Einreichung eines Anspruchs nicht aus.Das heißt, Sie können eine Sicherheitsanfälligkeit nur melden, indem Sie eine NDA unterzeichnen, und sonst nichts. "Durch das Einreichen eines Antrags oder die Zustimmung zu den Programmbedingungen erklären Sie sich damit einverstanden, dass Sie Ihre Ergebnisse oder den Inhalt Ihres Antrags ohne vorherige schriftliche Zustimmung von PayPal in keiner Weise öffentlich an Dritte weitergeben können" , heißt es in dem Dokument .
Ähnliche private Programme mit der NDA gelten auch für andere Unternehmen, die eine Vergütung über HackerOne zahlen.Dies ist aus Sicht der Electronic Frontier Foundation nicht akzeptabel: „Der EFF ist der festen Überzeugung, dass Sicherheitsforscher gemäß der ersten Änderung [der US-Verfassung] das Recht haben, über ihre Forschung zu berichten, und dass die Offenlegung von Schwachstellen sehr nützlich ist“, sagt Andrew Crocker, der leitende Anwalt der Stiftung elektronische Grenzen. Ihm zufolge weigern sich viele führende Sicherheitsforscher, an Bug-Bounty-Plattformen zu arbeiten, weil sie die NDA unterzeichnen müssen.Zum Beispiel hat Tavis Ormandy, ein seriöser Hacker aus dem Google Project Zero-Projekt, diese Position eingenommen. Tavis weigert sich, die NDA zu unterschreiben und bevorzugt E-Mails: „Sie können meine Berichte möglicherweise nicht lesen, wenn sie nicht wollen “, sagt er . Der Timer für 90 Tage tickt immer noch.
Tavis Ormandy ist nicht der einzige Sicherheitsforscher, der sich weigert zu schnäuzen, schreibt CSO.Kevin Finisterre (@ d0tslash) lehnte 30.000 US-Dollar ab, weil DJI eine NDA unterzeichnen musste, um eine Gebühr zu zahlen, und bereut seine Entscheidung nicht. Denn dank der Offenlegung von Informationen hat Kevin in der Community für Informationssicherheit Ruhm und Respekt erlangt, und zu Beginn seiner Karriere ist es viel wert.Schließlich entspricht die Existenz der NDA nicht den Standards ISO 29147 und ISO 30111, in denen bewährte Verfahren für den Empfang von Schwachstellenberichten, die Korrektur dieser Fehler und die Veröffentlichung von Empfehlungen definiert sind. Katie Mussouri ist Mitautorin dieser Standards und versichert, dass private Bug Bounties per Definition nicht diesen Standards entsprechen können, die die Regeln für den Empfang und die Verarbeitung von Informationen für ein Unternehmen beschreiben: „Wenn die Nichtoffenlegung eine Voraussetzung oder Bedingung für die Meldung von Fehlern über die Bug Bounty-Plattform ist, ist dies der Fall Laut Moussouri verstößt er grundlegend gegen den in der Norm ISO 29147 beschriebenen Prozess zur Offenlegung von Sicherheitslücken. "Der Zweck des Standards besteht darin, die Meldung von Schwachstellen zu ermöglichen und die Abgabe von Empfehlungen für die betroffenen Parteien hervorzuheben."Die Theorie der Offenlegung von Sicherheitslücken argumentiert, dass das kurzfristige Risiko einer Offenlegung durch die längerfristigen Vorteile der Behebung von Sicherheitslücken, der besseren Information der Benutzer und der Verbesserung der systemischen Sicherheit aufgewogen wird.Leider folgen Plattformen wie HackerOne diesen Prinzipien nicht. In seinem Blogbeitrag " Die fünf kritischen Komponenten einer Richtlinie zur Offenlegung von Sicherheitslücken" erklärt HackerOne Kunden, wie Sicherheitsforscher den Mund halten können. Insbesondere wird empfohlen, nicht den Zeitraum anzugeben, nach dem Forscher öffentlich über ihre Arbeit berichten dürfen:
Laut Mussouri können und sollten reife Organisationen ihre eigenen Programme zur Offenlegung von Sicherheitslücken einführen. Wenn sie für eine Lawine zweifelhafter Fehlermeldungen bereit sind, können sie optional eine Bug-Bounty-Belohnung festlegen, aber die von HackerOne vertretenen Vermittler sind wenig hilfreich: „Ich habe ihnen vor der Abreise gesagt“, sagt Mussouri, „wenn ihr die Kommunikation zwischen ihnen vereinfachen könnt Forscher und Verkäufer, das ist gut. Aber wenn Sie versuchen, Kontrolle zu verkaufen, dann tun Sie das Falsche. “
