Abo
  • Services:

Sind Bug-Bounties schädlich für Pentester?

Viele Pentester seien mit dem Aufkommen von Bug-Bounty-Programmen besorgt gewesen, ob ihr Job damit nicht überflüssig werde, sagt Price. Die Sorgen hält sie jedoch für unbegründet. "Es geht nicht um ein Entweder-oder." Ein Bounty-Programm sei geeignet für viele Anwendungen wie Webseiten, Apps oder andere Software. Doch für eine tiefere Analyse der Netzwerkinfrastruktur oder noch unveröffentlichter Produkte seien gezielte Penetration-Tests deutlich sinnvoller. Außerdem könnten Pentestings in einem geschlossenen Rahmen und unter deutlich klareren Bedingungen stattfinden als bei einem öffentlichen Programm.

Stellenmarkt
  1. über duerenhoff GmbH, München
  2. dSPACE GmbH, Paderborn

Ein gutes Bounty-Programm könne das Leben für IT-Consultants sogar vereinfachen, sagt Price. "Sie können sich dann auf die großen Schwachstellen konzentrieren, die wirklich ihrer Aufmerksamkeit bedürfen. Kleinere Probleme lassen sich durch das Bounty-Programm lösen."

Sehr beliebt bei den Sicherheitsforschern auf der Plattform seien derzeit Programme aus dem Bereich Internet der Dinge. Dabei würde eine ausgewählte Gruppe von Hackern Geräte per Post bekommen, um diese dann intensiv zu testen. "Viele fragen: 'Wann darf ich endlich anfangen'", sagt Price. Zum beliebtesten Programm wählten die Hacker vor einigen Wochen allerdings das des Elektroautoherstellers Tesla.

Nicht mehr nur Tech-Unternehmen

Die meisten Kunden von Bugcrowd sind klassische Tech-Unternehmen. In letzter Zeit seien aber auch viele Unternehmen aus anderen Bereichen dazugestoßen - vor allem aus der Medizintechnik, sagt Price. Auch der Autohersteller GM hat sich mittlerweile entschieden, ein eigenes Bounty-Programm aufzusetzen - beim Bugcrowd-Konkurrenten Hacker One. Auch das US-Verteidigungsministerium hat vor kurzem ein Bounty-Programm gestartet. Wer daran mitwirken will, muss allerdings über eine US-Sicherheitsfreigabe verfügen.

Die höchste bisher ausgezahlte Prämie betrug laut Price 15.000 US-Dollar. Insgesamt habe das Unternehmen rund 1,7 Millionen US-Dollar ausgeschüttet. Mit der insgesamt ausgezahlten Summe von Bug-Bounties liegt Bugcrowd recht deutlich hinter Hacker One - dort wurden nach Angaben des Unternehmens bereits mehr als 6 Millionen US-Dollar ausgeschüttet. Bugcrowd finanziert sich nicht, wie andere Unternehmen in dem Bereich, über einen von den Unternehmen bezahlten prozentualen Anteil an den Bounties, sondern erhebt Gebühren für den Betrieb der Plattform und, wenn gewünscht, das Managen der Programme.

Der Disclosure-Prozess ist oft für beide Seiten nicht ganz einfach. Hacker fühlen sich missachtet, wenn bestimmte Sicherheitslücken lange nicht geschlossen werden oder Unternehmen nicht schnell reagieren. Unternehmen hingegen sehen sich manchmal mit Forderungen oder Bug-Reports konfrontiert, die mit ihrem eigentlichen Geschäftsmodell nur wenig zu tun haben oder nicht im Threat-Model vorkommen. In solchen Fällen will Bugcrowd vermitteln: "Wenn ein Hacker sich in einem Programm danebenbenimmt, können wir ihn für alle Programme sperren", sagt Price. Das komme aber nur sehr selten vor, meist gebe es nur kleinere Missverständnisse. Es habe aber auch schon Beschwerden über Kunden gegeben, die dann durch das Bugcrowd-Team mit dem Unternehmen geklärt wurden, sagt sie.

Bugcrowd investiert viele Ressourcen in den Aufbau und die Pflege der Community. "Die Hacker sind unser größtes Kapital", sagt Price. Auch deshalb zeichnete das Unternehmen die besten Hacker vor einigen Wochen aus - um sie so an sich zu binden. "Viele Hacker haben ein Profil bei mehreren Plattformen, einige sind aber nur bei uns."

Mit den derzeit registrierten 25.000 Hackern soll aber nicht Schluss sein. Das Problem: Geeignete Kandidaten sind rar und heiß begehrt. Aus diesem Grund versucht Bugcrowd, gezielt Nachwuchs auszubilden und die Fähigkeiten der Hacker auf der Plattform zu verbessern. Dazu reisen Mitarbeiter auf Konferenzen und halten Vorträge, außerdem gibt es regelmäßig Blogposts mit Tipps für bessere Bugreports.

Das spiegelt das Ziel verschiedener Bug-Plattformen wider: möglichst genaue Berichte. Das Verhältnis zwischen Signal und Rauschen sei für die Unternehmen oft sehr hoch, sagt Price. Deshalb soll die eingesetzte Software Duplikate, bestimmte Fehlermeldungen oder bloße Feature-Anfragen von vornherein ausfiltern.

 Bugcrowd: Hacker und Pentester auf Bestellung
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 105,85€ + Versand
  2. täglich neue Deals bei Alternate.de
  3. und 50€-Steam-Guthaben erhalten
  4. 59,90€

yoyoyo 06. Apr 2016

Auch den Besten passieren Fehler oder es geht einem mal komplett ein Vektor ab. Es kann...

picaschaf 05. Apr 2016

:D Also ein Darknet musst du dafür nicht bemühen, du willst doch ordentliche Arbeit und...


Folgen Sie uns
       


Golem.de ist Kratos - God of War (Live, keine Spoiler)

Die Handlung verraten wir nicht, trotzdem wollen wir das andersartige neue God of War besprechen. Zu diesem Zweck haben wir eine stellvertretende Mission herausgesucht, in der es nicht um die primäre Handlung geht. Ziel ist es, den Open-World-Ansatz zu zeigen, das Kampfsystem zu erklären und die Spielmechaniken zu verdeutlichen.

Golem.de ist Kratos - God of War (Live, keine Spoiler) Video aufrufen
Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann


    Ryzen 5 2600X im Test: AMDs Desktop-Allrounder
    Ryzen 5 2600X im Test
    AMDs Desktop-Allrounder

    Der Ryzen 5 2600X ist eine der besten sechskernigen CPUs am Markt. Für gut 200 Euro liefert er die gleiche Leistung wie der Core i5-8600K. Der AMD-Chip hat klare Vorteile bei Anwendungen, das Intel-Modell in Spielen.
    Ein Test von Marc Sauter

    1. Golem.de-Livestream Wie gut ist AMDs Ryzen 2000?
    2. RAM-Overclocking getestet Auch Ryzen 2000 profitiert von schnellem Speicher
    3. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs

    Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
    Oneplus 6 im Test
    Neues Design, gleich starkes Preis-Leistungs-Verhältnis

    Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
    Ein Test von Tobias Költzsch

    1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
    2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin

      •  /