Hackerone: Raus mit den Bugs

Eine private Armee von 20.000 Sicherheitsforschern - das verspricht Hackerone seinen Kunden, die ihr Bug-Bounty-Programm über die Plattform laufen lassen. Wir haben mit dem Startup und seinem Kunden Owncloud über technische und politische Herausforderungen des Disclosure-Prozesses gesprochen.

Artikel von veröffentlicht am
Die Webseite von Hackerone
Die Webseite von Hackerone (Bild: Screenshot Golem.de)

Wohin mit dem Bug? Diese Frage stellen sich Sicherheitsforscher häufig, wenn sie Lücken gefunden haben. Denn noch immer haben nicht alle großen Softwarefirmen ein Bug-Bounty-Programm oder überhaupt einen geregelten Prozess, mit dem externe Sicherheitsforscher Lücken melden können. Viele Forscher sind außerdem frustriert, weil Unternehmen entweder gar nicht auf Meldungen reagieren und die Lücken jahrelang ungepatcht lassen oder sogar rechtliche Schritte gegen die Forscher einleiten.

Das kalifornische Startup Hackerone möchte das ändern. "Wir wollen den Disclosure-Prozess von Sicherheitslücken revolutionieren - mit Technologie und mit Policy-Arbeit", sagt Katie Moussouris, Chief Policy Officer von Hackerone. "Wir wollen ein sichereres Internet für alle schaffen." Die Aussage muss natürlich um den üblichen Silicon-Valley-Marketing-Sprech bereinigt werden - doch Kunden der Plattform sind sehr angetan von dem, was das Unternehmen bislang anbietet.

Hackerone stellt seit 2013 eine Plattform bereit, mit der sich Sicherheitsforscher und Unternehmen vernetzen können. Die Unternehmen müssten sich aktiv zur Kooperation mit der Plattform entscheiden, sagt Katie Moussouris im Gespräch mit Golem.de. Bevor sie auf der Plattform um Sicherheitsforscher werben dürfen, sind sie verpflichtet, den allgemeinen Geschäftsbedingungen zuzustimmen. Darin verpflichten sie sich zum Beispiel, keine Sicherheitsforscher zu verklagen, die in guter Absicht ("in good faith") handeln.

Die technischen Probleme sind weitgehend gelöst

Die technische Seite hat das Unternehmen vorläufig gelöst - die Hackerone-Plattform ermöglicht es Sicherheitsforschern, Schwachstellen direkt an die dort gelisteten Unternehmen zu schicken. Auch die weitere Kommunikation kann direkt über die Plattform abgewickelt werden. Doch das ist noch nicht genug: "Viele Politiker wissen nicht genau, was Sicherheitslücken eigentlich sind", sagt Moussouris. "Viele haben zwar schon mal den Begriff 0-Day gehört. Doch über die tatsächlichen Herausforderungen der IT-Sicherheit wissen sie nicht viel. Wir versuchen daher auch, eine bessere politische Aufmerksamkeit für die Herausforderungen der IT-Security zu schaffen.". Zahlreiche Gesetze behindern Sicherheitsforscher in ihrer Arbeit - zum Beispiel der Digital Millenium Copyright Act in den USA, der die Umgehung von Sicherheitsmaßnahmen verbietet - doch genau das ist oft nötig, um Bugs zu finden.

Stellenmarkt
  1. (Senior) Expert Development (m/w/d) Backend SAP-Commerce / Hybris
    Fressnapf Holding SE, Düsseldorf
  2. Senior Fullstack Developer (m/w/d)
    CodeCamp:N GmbH, Nürnberg
Detailsuche

Auch in Deutschland befinden sich Sicherheitsforscher nach der Einführung des "Hacker-Tools"-Paragrafen häufig in einer rechtlichen Grauzone - auch wenn es bislang wenige dokumentierte Fälle gibt, in denen Hacker deshalb tatsächlich rechtliche Probleme hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern 
  1. 1
  2. 2
  3. 3
  4.  


Moe479 20. Dez 2015

sollte man zumindest so machen ... sonst wird man im fall der fälle einfach wie al capone...

Schattenwerk 19. Dez 2015

Verstehe ich gut und gerade daher finde ich so ein Projekt ja super. Dort müssen sich...

Bassa 19. Dez 2015

Naja. So ganz ernst war das eh nicht. Und man kann das auch ohne sexuelle Komponente...

Bouncy 18. Dez 2015

Interessantes Thema, aber ein seeehr bemüht geschriebener Artikel, der sagenhafte 39mal...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /