Abo
  • Services:
Anzeige
Kymberlee Price von Bugcrowd im Gespräch mit Golem.de
Kymberlee Price von Bugcrowd im Gespräch mit Golem.de (Bild: Hauke Gierow/Golem.de)

Bugcrowd: Hacker und Pentester auf Bestellung

Kymberlee Price von Bugcrowd im Gespräch mit Golem.de
Kymberlee Price von Bugcrowd im Gespräch mit Golem.de (Bild: Hauke Gierow/Golem.de)

Tesla hat eins. GM hat eins. Und jetzt sogar das Pentagon. Doch nicht für alle Unternehmen sind offene Bug-Bounty-Programme die richtige Wahl, wie Kymberlee Price von der Sicherheitsplattform Bugcrowd im Gespräch mit Golem.de sagt.
Von Hauke Gierow

"Viele Unternehmen haben nicht das Geld, ein eigenes IT-Security-Team aufzustellen. Oft brauchen sie aber auch nicht den einen Hacker in Vollzeit - sondern vielleicht fünf Prozent seiner Zeit", sagt Kymberlee Price im Gespräch mit Golem.de. Price ist Senior Director for Researcher Operations bei Bugcrowd. Das heißt: Sie ist verantwortlich dafür, 25.000 Sicherheitsforscher auf die richtigen Sicherheitsprogramme verschiedener Firmen zu verteilen.

Anzeige

"Ein Bounty-Programm ist eigentlich nichts weiter als die Verlängerung eines guten internen Umgangs mit Sicherheitslücken", sagt Price, die vor ihrer Tätigkeit für Bugcrowd für Microsoft und Blackberry gearbeitet hat. Bei Blackberry war sie für die Kommunikation mit externen Hackern und Sicherheitsforschern zuständig. Ein Bug-Bounty-Programm hatte das Unternehmen damals wie heute nicht. Das sei aber auch nicht unbedingt notwendig. "Ein Bounty-Programm ist nicht für jedes Unternehmen das Richtige." Viele potenzielle Sicherheitsbedrohungen ließen sich durch gezielte, tiefe Analysen wie Code-Audits oder Pentesting deutlich besser ausmachen.

Pentesting statt nur Bug-Bounties

Bugcrowd wurde im Jahr 2012 gegründet, das Unternehmen will mehr Firmen einen Zugang zu unabhängigen Sicherheitsforschern geben. Anders als bei Hacker One liegt der Fokus nicht auf Bug-Bounty-Programmen, sondern auf komplexeren Analysen von Hardware und Software unter bestimmten Bedingungen. Das Unternehmen hat seinen Hauptsitz in San Francisco, in einem niedrigen Backsteinhaus. Wie in einem Tech-Startup üblich, gibt es einen mit Softdrinks und Frapuchinos gut gefüllten Kühlschrank.

Wenn ein Unternehmen ein bestimmtes Programm durchführen will, stellt das Bugcrowd-Team auf Wunsch ein Team aus Hackern aus der Datenbank zusammen. Dabei wird berücksichtigt, wie aktiv die Personen in der Vergangenheit waren und ob sie erfolgreich Sicherheitslücken gefunden haben. "Forscher bekommen auf unserer Plattform Kudos-Punkte, wenn sie Berichte abliefern", erklärt Price.

Wer zu viele Duplikate liefert, wird bestraft

Wer mehr Kudos-Punkte hat, der wird auch eher in ein Programm eingeladen. Damit soll die Crowd zu einer dauerhaften und aktiven Mitarbeit bewegt werden. Diese Kudos-Punkte sind völlig unabhängig von gezahlten Bounties, auch für Duplikate können Teilnehmer diese Punkte bekommen. Wer allerdings nur Duplikate und falsche Berichte einreicht, bekommt Punkte abgezogen.

Neben den Programmen, die von Bugcrowd gemanagt werden, gibt es Unternehmen, die dies selbst tun, und nur die Plattform und den Zugang zu den rund 25.000 Hackern nutzen. Auf der Webseite gibt es zahlreiche öffentliche Programme, von großen Unternehmen wie Tesla bis hin zu dem Open-Source-Whistleblowing-Projekt Securedrop. Nicht alle Programme geben monetäre Anreize, bei vielen gibt es nur Kudos-Punkte.

Nur der erste Finder bekommt Geld

Für die Unternehmen praktisch: Nur wer eine Sicherheitslücke als erster findet, bekommt auch Geld. "Sie bezahlen nicht für den Versuch, sondern für Ergebnisse", schreibt das Unternehmen auf seiner Webseite. Die Bugs werden nach verschiedenen Kategorien eingeordnet, die dann auch die gezahlte Prämie bestimmen. Hier wurden die Kriterien vor kurzem überarbeitet, damit Teilnehmer der Programme einfacher einschätzen können, wie viel Belohnung sie erwarten können.

Sind Bug-Bounties schädlich für Pentester? 

eye home zur Startseite
yoyoyo 06. Apr 2016

Auch den Besten passieren Fehler oder es geht einem mal komplett ein Vektor ab. Es kann...

picaschaf 05. Apr 2016

:D Also ein Darknet musst du dafür nicht bemühen, du willst doch ordentliche Arbeit und...



Anzeige

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Ingolstadt
  2. Stadt Frankfurt am Main, Frankfurt am Main
  3. Bosch Service Solutions Magdeburg GmbH, Berlin
  4. Süddeutsche Krankenversicherung a.G., Fellbach bei Stuttgart


Anzeige
Spiele-Angebote
  1. (-15%) 42,49€
  2. 19,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Augmented Reality

    Apple kauft Vrvana für 30 Millionen US-Dollar

  2. Lootboxen

    "Battlefront 2 ist ein Star-Wars-Onlinecasino für Kids"

  3. Stadtnetzbetreiber

    Von 55 Tiefbauunternehmen hat keines geantwortet

  4. Steuerstreit

    Irland fordert Milliardenzahlung von Apple ein

  5. Zensur

    Skype ist in chinesischen Appstores blockiert

  6. Eizo Flexscan EV2785

    Neuer USB-C-Monitor mit 4K und mehr Watt für Notebooks

  7. Glasfaser

    Telekom beginnt wieder mit FTTH für Haushalte

  8. BMW-Konzept Vision E3 Way

    Das Zweirad hebt ab

  9. Pocket Camp

    Animal Crossing baut auf Smartphones

  10. DFKI

    Forscher proben robotische Planetenerkundung auf der Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. Astronomie Erster interstellarer Komet entdeckt
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. Mobilitätsprojekt Ioki Bahn macht Sammeltaxi zum autonomen On-Demand-Shuttle

  1. Re: "fehlenden Tiefbaukapazitäten *in Deutschland*"

    pumok | 16:11

  2. Re: Tesla rasiert alle weg

    ArcherV | 16:10

  3. Re: Tesla Model 3 ist 100x besser

    ArcherV | 16:10

  4. Re: Also ich, Entwickler, Nerd, 23, Single bin...

    Dwalinn | 16:09

  5. Re: Tja wer billig kauft..

    AndyMt | 16:08


  1. 15:51

  2. 15:29

  3. 14:59

  4. 14:11

  5. 13:10

  6. 12:40

  7. 12:36

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel