Viele große Webseiten und Softwareunternehmen bieten sogenannte Bug Bounty Programme, bei denen Sicherheitsforscher für das Auffinden von Sicherheitslücken in Software belohnt werden. Ziel ist es, solche Schwachstellen zu entdecken und zu reparieren, bevor sie von böswilligen Hackern für kriminelle Zwecke missbraucht werden können.
Derartige Bug Bounty Programme sind ein relativ neues Phänomen, haben sich allerdings innerhalb der vergangenen Jahre als wichtige Sicherheitsmaßnahme für moderne Unternehmen etabliert – insbesondere wenn diese stark auf das Internet angewiesen sind.
Früher erhielten Sicherheitsforscher für die Entdeckung und Meldung solcher Fehler ein einfaches Dankeschön – wenn sie Glück hatten. Zum Teil sahen sie sich selbst mit dem Vorwurf konfrontiert, die Systeme böswillig infiltriert zu haben, weil viele das Konzept von „White Hat“ oder ethischen Hackern nicht kannten.
Diese Zeiten haben sich glücklicherweise geändert und heutzutage gibt es einige Programme, bei denen Researcher für ihre Funde zum Teil mit großen Geldsummen belohnt werden. In diesem Artikel wollen wir uns einmal einige der gefundenen Sicherheitslücken und die Belohnungen der letzten Jahre anschauen.
United Airlines
Im Mai dieses Jahres sorgte die amerikanische Fluggesellschaft United Airlines für Aufsehen, nachdem sie ein Bug Bounty Programm angekündigt hatte, bei dem die Researcher nicht finanziell, sondern mit Flugmeilen für ihre Bemühungen belohnt werden.
Die Belohnungen rangieren dabei zwischen 50.000 Flugmeilen für kleinere Fehler wie Cross-Site-Request-Forgery in der Software von Drittanbietern bis hin zu 250.000 Flugmeilen für mittelschwere Bugs, die beispielsweise zur Offenlegung von privaten Informationen führen oder aber für Brute-Force-Angriffe genutzt werden könnten. Sollte ein Sicherheitsexperte auf einen Bug stoßen, der Remote Code Execution (RCE) ermöglicht, könnte er sogar mit bis zu eine Million Flugmeilen belohnt werden.
Fehler, die an Bord eines Flugzeugs gefunden werden – in der Bordelektronik oder dem WLAN – sind nicht Teil des Bug Bounty Programms. Zudem ist den Researchern untersagt, die Bugs zu veröffentlichen oder aber an Dritte weiterzugeben.
Der in Florida lebende Sicherheitsforscher Jordan Wiens war einer der ersten, der sich über eine Million Flugmeilen freuen durfte, nachdem er einen RCE-Bug auf der Webseite der Fluggesellschaft gefunden hatte.
Auch der in Australien ansässige Nathaniel Wakelam erhielt immerhin eine halbe Million Flugmeilen für einen Fehler, den er am 16. Mai entdeckte. Und ein dritter Bug-Jäger namens Neal Poole erklärte, dass er vergangenen Monat 300.000 Meilen erhielt. Damit sollten die nächsten Reisen gesichert sein.
Facebooks Beziehung zu Bug Bounty Programmen ist ein wenig durchwachsen. So hatte das soziale Netzwerk einem White Hat Hacker jegliche Privilegien verwehrt, nachdem er es 2013 geschafft hatte, einen Brief auf Mark Zuckerbergs Profil zu posten, nur um dann später ein „White Card“ Debitkarten-Programm für Researcher einzuführen, das ein Jahr später wiederum verworfen wurde. Nichtsdestotrotz hat das Unternehmen im Jahr 2014 insgesamt mehr als eine Million Dollar an fündige Sicherheitsforscher gezahlt.
Im November 2013 fand der brasilianische Informatiker Reginaldo Silva eine der schlimmsten Schwachstellen in Facebooks Software und konnte dafür eine Belohnung von 33.500 Dollar einheimsen. Der Fehler stand in Bezug zu dem Code, der für das Authentifizierungssystem OpenID genutzt wird, durch das sich Nutzer mit ihren Facebook-Zugangsdaten bei anderen Online-Diensten anmelden können.
Silva fand heraus, dass sie Schwachstelle genutzt werden konnte, um von einem anderen Computer aus die Kontrolle zu übernehmen und nahezu jede Datei und beliebige offene Netzwerkverbindungen auf einem Facebook-Server auszulesen.
Microsoft
Traditionellerweise hat der Redmond-Gigant die Auszahlung allzu hoher Belohnungen vermieden, Ende 2013 verkündete das Unternehmen dann aber sein erstes Bug Bounty Programm, das speziell für Windows 8.1 und Internet Explorer 11 eingeführt wurde.
Für Schwachstellen im Internet Explorer zahlte Microsoft bis zu 11.000 Dollar, für Fehler, durch die potenzielle Angreifer in das damals neue Windows 8.1 hätten eindringen können, konnten die Researcher sogar mit einer noch höheren Belohnung rechnen.
James Forshaw, ein Sicherheitsforscher bei Context Information Security in Großbritannien, erhielt stolze 100.000 Dollar für seine Dokumentation eines Bugs, mithilfe dessen man gewisse Sicherheitsmechanismen in der Vorabversion von Windows 8.1 umgehen konnte.
Heartbleed
Der berüchtigte und weitverbreitete Programmfehler Heartbleed (CVE-2014-0160) kam im April 2014 ans Tageslicht. Hierbei handelt es sich um einen Fehler in der Open-Source-Bibliothek OpenSSL, die häufig für die Implementierung von Transport Layer Security (TLS) Protokollen genutzt wird. Die Sicherheitslücke betraf Tausende von Webservern und man geht davon aus, dass auch heute noch einige angreifbare Systeme existieren.
Glücklicherweise wurde Heartbleed von Neel Mehta entdeckt, der zu Googles Sicherheitsteam gehört. Das OpenSSL-Projekt belohnte Mehta mit 15.000 Dollar – was angesichts der Schwere des Fehlers etwas gering erscheint. Wie The Daily Dot später berichtete, spendete der Google-Researcher seine Belohnung an die „Freedom of the Press Foundation“, einer gemeinnützigen Stiftung, die unter anderem die Nutzung von Verschlüsselungs- und anderen Sicherheitstechniken unterstützt, um die Kommunikation von Journalisten zu schützen.
