Abo
  • Services:

Hackerone: Bug-Prämien fürs Internet

Eine Gruppe von Sicherheitsexperten von Microsoft, Facebook und Google startet unter dem Namen Hackerone ein Bug-Bounty-Programm für das gesamte Internet, bietet also Prämien für das Melden von Sicherheitslücken in Software an. Das Geld kommt von Microsoft und Facebook.

Artikel veröffentlicht am ,
Prämien für Sicherheitslücken
Prämien für Sicherheitslücken (Bild: Hackerone)

Immer mehr Unternehmen loben Prämien für Sicherheitslücken in ihrer Software aus. Das von Sicherheitsexperten gegründete Projekt Hackerone will diese Idee nun für das gesamte Internet umsetzen und bietet dafür eine Plattform an, die Sicherheitsforscher und Entwickler zusammenbringen soll. An die Entdecker der Sicherheitslücken werden Prämien ausgeschüttet.

Stellenmarkt
  1. Habermaass GmbH, Bad Rodach bei Coburg
  2. Hannover Rück SE, Hannover

Zum Start des Projekts "Internet Bug Bounty" sind zehn Open-Source-Projekte dabei: OpenSSL, Python, Ruby, PHP, Django, Rails, Perl, Phabricator, Nginx und der Apache Web Server.

Weitere Projekte können sich bei Hackerone registrieren. Sie müssen dabei die Sicherheitsverantwortlichen in ihren Teams benennen und sich an einige Spielregeln halten, was umgekehrt auch für Sicherheitsforscher gilt. So haben die Sicherheitsteams sieben Tage Zeit, um eine gemeldete Sicherheitslücke zu bestätigen und anschließend 30 Tage Zeit, um diese zu beseitigen, bevor sie veröffentlicht wird. In Ausnahmefällen kann bei sehr komplexen Sicherheitslücken die Veröffentlichung bis zu 180 Tage hinausgezögert werden. Allerdings regen die Macher von Hackerone Forscher und Sicherheitsverantwortliche an, direkt miteinander abzusprechen, was wann wie kommuniziert wird. Die Projekte sollen zudem die Sicherheitsforscher öffentlich nennen, wenn diese das wünschen.

Werden Sicherheitslücken in Projekten gemeldet, zu denen Hackerone noch keine direkte Beziehung aufgebaut hat, will sich das Team darum bemühen, die richtigen Ansprechpartner zu identifizieren. Einreichungen über Dritte werden nicht akzeptiert, allerdings hat Hackerone nichts dagegen, dass Sicherheitslücken direkt an die entsprechenden Response-Teams der Projekte gemeldet werden.

Wer wie viel Geld erhält, entscheidet ein Panel von unabhängigen Sicherheitsexperten, in dem derzeit Alex Rice (Facebook), Chris Evans (Google Chrome), Katie Moussouris (Microsoft), Zane Lackey (Etsy), Jesse Burns (iSEC Partners), Collin Greene (Facebook), Matt Miller (Microsoft), Roman Porter (Microsoft), Neal Poole (Facebook) und Arthur Wongtschowski (Microsoft) sitzen. Die Mindestprämien liegen, je nach Projekt, zwischen 300 und 2.500 US-Dollar.

Eine Sonderprämie von mindestens 5.000 US-Dollar gibt es für Sicherheitslücken, mit denen es möglich ist, aus den Sandbox-Implementierungen von Chrome, dem Internet Explorer, dem Adobe Reader, Adobe Flash, Windows, Linux und Mac OS X auszubrechen.

Gleiches gilt für Sicherheitslücken, die große Teile des Internets betreffen, also sich nicht auf einen Hersteller beschränken, eine große Zahl an Nutzern betreffen, extrem negative Konsequenzen für die Allgemeinheit haben und neu sind. Als Beispiele werden Angriffe auf SSL, DNS oder MD5-Kollisionen genannt.

Finanziert werden die Prämien von Facebook und Microsoft, wobei das Geld zu 100 Prozent an die Sicherheitsforscher geht. Weder Hackerone noch die im Panel vertretenen Sicherheitsexperten erhalten einen Anteil. Weitere Sponsoren sind willkommen.



Anzeige
Top-Angebote
  1. (u. a. Far Cry 5, Skyrim Special Edition, Tekken 7, The Witcher 3, Ghost Recon Wildlands...
  2. (u. a. Conjuring 2, Hacksaw Ridge, Snowden, The Accountant)
  3. (u. a. Steelseries Arctis 5 Headset 79,90€, VU+Solo 2 SAT-Receiver 164,90€, Intenso 960-GB-SSD...
  4. (heute u. a. UHD-Fernseher von Samsung, Kameraobjektive, Büro- und Gamingstühle, Produkte von TP...

Hu5eL 08. Nov 2013

geht mir genauso.

vol1 07. Nov 2013

Kwt.

boiii 07. Nov 2013

.


Folgen Sie uns
       


Infiltrator Demo mit DLSS und TAA

Wir haben die Infiltrator Demo auf einer Nvidia Geforce RTX 2080 Ti mit DLSS und TAA ablaufen lassen.

Infiltrator Demo mit DLSS und TAA Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

    •  /