Hackerone: Raus mit den Bugs
Wohin mit dem Bug? Diese Frage stellen sich Sicherheitsforscher häufig, wenn sie Lücken gefunden haben. Denn noch immer haben nicht alle großen Softwarefirmen ein Bug-Bounty-Programm oder überhaupt einen geregelten Prozess, mit dem externe Sicherheitsforscher Lücken melden können. Viele Forscher sind außerdem frustriert, weil Unternehmen entweder gar nicht auf Meldungen reagieren und die Lücken jahrelang ungepatcht lassen oder sogar rechtliche Schritte gegen die Forscher einleiten.
Das kalifornische Startup Hackerone möchte das ändern. "Wir wollen den Disclosure-Prozess von Sicherheitslücken revolutionieren - mit Technologie und mit Policy-Arbeit" , sagt Katie Moussouris, Chief Policy Officer von Hackerone. "Wir wollen ein sichereres Internet für alle schaffen." Die Aussage muss natürlich um den üblichen Silicon-Valley-Marketing-Sprech bereinigt werden - doch Kunden der Plattform sind sehr angetan von dem, was das Unternehmen bislang anbietet.
Hackerone stellt seit 2013 eine Plattform bereit, mit der sich Sicherheitsforscher und Unternehmen vernetzen können. Die Unternehmen müssten sich aktiv zur Kooperation mit der Plattform entscheiden, sagt Katie Moussouris im Gespräch mit Golem.de. Bevor sie auf der Plattform um Sicherheitsforscher werben dürfen, sind sie verpflichtet, den allgemeinen Geschäftsbedingungen zuzustimmen. Darin verpflichten sie sich zum Beispiel, keine Sicherheitsforscher zu verklagen, die in guter Absicht ( "in good faith" ) handeln.
Die technischen Probleme sind weitgehend gelöst
Die technische Seite hat das Unternehmen vorläufig gelöst - die Hackerone-Plattform ermöglicht es Sicherheitsforschern, Schwachstellen direkt an die dort gelisteten Unternehmen zu schicken. Auch die weitere Kommunikation kann direkt über die Plattform abgewickelt werden. Doch das ist noch nicht genug: "Viele Politiker wissen nicht genau, was Sicherheitslücken eigentlich sind" , sagt Moussouris. "Viele haben zwar schon mal den Begriff 0-Day gehört. Doch über die tatsächlichen Herausforderungen der IT-Sicherheit wissen sie nicht viel. Wir versuchen daher auch, eine bessere politische Aufmerksamkeit für die Herausforderungen der IT-Security zu schaffen." . Zahlreiche Gesetze behindern Sicherheitsforscher in ihrer Arbeit - zum Beispiel der Digital Millenium Copyright Act in den USA, der die Umgehung von Sicherheitsmaßnahmen verbietet - doch genau das ist oft nötig, um Bugs zu finden.
Auch in Deutschland befinden sich Sicherheitsforscher nach der Einführung des "Hacker-Tools"-Paragrafen häufig in einer rechtlichen Grauzone - auch wenn es bislang wenige dokumentierte Fälle gibt, in denen Hacker deshalb tatsächlich rechtliche Probleme hatten.
Auch viele Unternehmen haben Probleme im Umgang mit Sicherheitsforschern
Auch viele Unternehmen sind noch unerfahren im Umgang mit Sicherheitsforschern. Der Trend zur Vernetzung aller möglichen Geräte - von Kühlschränken bis zu Spielzeug - konfrontiert aber immer mehr Unternehmen mit IT-Security-Herausforderungen, die diese in einer oft langen Firmengeschichte noch nicht kannten. Der Barbie-Hersteller Mattel hat nach Schwachstellen in der WLAN-Barbie ein eigenes Bounty-Programm angekündigt, der gehackte Spielzeughersteller Vtech hat bislang noch nicht auf das Datenleck im Unternehmen reagiert. Nicht zuletzt Firmen im Security-Bereich selbst wie Fireeye haben Probleme in ihrem Umgang mit Sicherheitsforschern. Sie haben etwa eine einstweilige Verfügung gegen das Unternehmen ERWN erwirkt, nachdem es Sicherheitslücken in Fireeye-Produkten gefunden hatte - und verbat ihnen damit, über Details der Fireeye-Architektur zu sprechen.
20.000 Sicherheitsforscher auf der Seite
Bislang haben sich nach Angaben von Moussouris rund 20.000 Sicherheitsforscher auf der Plattform registriert. 1.800 von ihnen würden regelmäßig erfolgreich Bugs melden. Fast 16.000 Sicherheitslücken sollen so seit dem Start von Hackerone geschlossen worden sein. Insgesamt wurden ausweislich der Hackerone-Webseite 5,4 Millionen US-Dollar an Bounties ausgezahlt. Das entspricht im Schnitt rund 300 US-Dollar pro gefundener Lücke.
Sicherheitsforscher können auf Hackerone zunächst unter Pseudonym agieren - sie müssen ihre persönlichen Daten wie Name und Adresse erst angeben, wenn ein Unternehmen tatsächlich einen Bug Bounty bezahlt - zu Abrechnungszwecken. Hackerone übernimmt dann auch die Abrechnung der Bezüge und behält eine Provision von 20 Prozent ein - die Haupteinnahmequelle des Unternehmens.
Große Kunden und kleinere Projekte
Auf der Unternehmensseite hat Hackerone derzeit nach eigenen Angaben rund 350 Kunden, die dort jeweils eigene Disclosure-Programme anbieten. Dazu zählen große Unternehmen wie Dropbox, Twitter, Yahoo, Snapchat oder Adobe, aber auch kleinere Open-Source-Projekte wie Owncloud. Nicht alle beteiligten Unternehmen zahlen für gemeldete Sicherheitslücken einen Bug Bounty aus. Das sei aber auch nicht vorgeschrieben und auch nicht entscheidend für den Erfolg eines Programms auf Hackerone, sagt Moussouris. Unternehmen entscheiden grundsätzlich selbst, ob und wie viel Bounties sie auszahlen wollen. Das war in der Anfangsphase noch anders - da entschied ein Hackerone-Expertenteam, wie viel Geld eine Schwachstelle wert sein soll.
Twitter zahlt für eine Remote-Code-Execution auf der Plattform 15.000 US-Dollar oder mehr - auf dem Schwarzmarkt können für Exploits viel genutzter Plattformen durchaus 100.000 US-Dollar und mehr erzielt werden. Der Exploit-Händler Zerodium zahlte vor kurzem für einen erfolgreichen Jailbreak für iOS 9 sogar 1 Million US-Dollar . Zu bedenken ist, dass der Schwarzmarkt für Sicherheitsforscher mit mehr Risiken verbunden ist - aber eben auch mit höheren Gewinnen.
Doch wie sehen die Kunden eigentlich die Plattform? Wir haben mit Lukas Reschke von Owncloud gesprochen - das Open-Source-Projekt betreibt seit Herbst ein Bounty-Programm über Hackerone. "Hackerone war für uns einfach der nächste logische Schritt, um die Sicherheit noch weiter zu verbessern. Weiterhin vermittelt es nach draußen die Nachricht: 'Wir nehmen Sicherheit ernst'" , sagt er. Doch für viele Unternehmen und Projekte ist die Masse der eingehenden Security-Reports eine große Herausforderung. Insbesondere kleinere Projekte können damit schnell überfordert sein. Außerdem werden immer wieder Fehler gemeldet, die im Design eines Projekts angelegt sind oder außerhalb des Programms liegen.
Das Trigger-Feature filtert Bugberichte vor
Um auf diese Herausforderung zu reagieren, hat Hackerone das sogenannte Trigger-Feature(öffnet im neuen Fenster) eingeführt. Damit können Bugreports nach bestimmten Stichworten durchsucht werden - wenn darin zum Beispiel die Beschreibung von Schwachstellen enthalten ist, die außerhalb des Programms liegen, erscheint eine Warnung. Nutzer können den Bericht dann trotzdem manuell abschicken, doch das Feature dürfte Unternehmen und Projekten die Sortierung und Sichtung von Bugreports deutlich erleichtern. "Wir können Trigger setzen auf bestimmte Begriffe und damit Aktionen verbinden wie 'Wenn jemand das Wort SPF erwähnt, dann zeige erstmal eine Infobox mit einer Standardantwort.' Der Reporter kann dann entscheiden, ob er den Report wirklich einreichen will" , sagte Lukas Reschke von Owncloud im Gespräch mit Golem.de.
Ein erfolgreiches Programm muss nicht unbedingt Bounties auszahlen
In einem Blogpost(öffnet im neuen Fenster) versucht das Unternehmen, mit Hilfe der in den vergangenen Monaten erhobenen Daten eine Antwort auf die Frage zu finden, welche Komponenten für ein solches Programm wichtig sind. Dazu bewerten sie die Kategorien "Breite der engagierten Forscher", "Höhe der Bug Bounties", "Kommunikation mit Sicherheitsforschern" und "Relevanz" und "Qualifikation der beteiligten Sicherheitsforscher". Auch diese Daten zeigen laut Hackerone, dass ein Programm ohne Bug Bounty nicht unbedingt schlechter angenommen würde als eines mit. Nur das Spektrum der Sicherheitsforscher, die sich engagieren, ist etwas weniger breit als bei einem Programm mit hohen Belohnungen.
Viel wichtiger für den Erfolg des Programms sei hingegen, wie die Unternehmen mit den Sicherheitsforschern kommunizieren. Mit einer guten Kommunikation und dem demonstrierten Willen, Sicherheitslücken auch zu schließen, könne man gute Sicherheitsforscher anziehen - so das Fazit des Blogposts. Finanzielle Anreize können natürlich helfen, mehr und bessere Forscher zu motivieren.
Die gemeldeten Sicherheitslücken sieht Hackerone nach eigenen Angaben nicht, sie werden direkt an die Unternehmen weitergeleitet. Nachdem die Sicherheitslücke gemeldet wurde, nehmen die Unternehmen Kontakt mit den Forschern auf - wird die Lücke bestätigt und ist relevant, wird die sogenannte Triage gestartet. In dieser Phase tauschen sich Forscher und Unternehmen aus, um die Lücke zu schließen.
Signal und Noise
Unternehmen können bei Hackerone nicht nur auf Beiträge von Sicherheitsforschern warten, sondern auch aktiv um Feedback werben - zum Beispiel bei neuen Produkten. Dazu können sie entweder Sicherheitsforscher anschreiben, mit denen sie schon einmal erfolgreich zusammengearbeitet haben. Oder Hackerone kann selbst auch Vorschläge für zuverlässige Forscher machen. Das Unternehmen schaue dann, wie gut die Berichte der Sicherheitsforscher in der Vergangenheit waren, ob sie vollständig oder noch viele Nachfragen vonseiten der Unternehmen notwendig waren, sagt Moussouris. "Aus diesen Faktoren ermitteln wir die zehn Prozent besten Sicherheitsforscher, die wir dann auch den Unternehmenskunden empfehlen können."
Reschke bewertet die Zusammenarbeit mit Hackerone als "grundsätzlich sehr positiv" . Das Hackerone-Support-Team reagiere schnell bei Anfragen jeglicher Art. "Wir arbeiten eng mit Hackerone zusammen." Für das Projekt ist vor allem die Vereinfachung der Abrechnung von Vorteil, weil diese über Hackerone läuft. Außerdem habe das Unternehmen innerhalb kurzer Zeit eine große Gruppe an Sicherheitsforschern angesprochen. "Wie Github ist mittlerweile Hackerone einfach DIE Plattform, wenn es um Bug-Bounty-Programme geht. Das gibt uns einen riesigen Netzwerkeffekt, da all die Sicherheitsforscher mit existierenden Accounts auf dieser Plattform mit uns supereinfach kommunizieren können" , sagt er. Jetzt überlegen sie, den maximalen Bug Bounty anzuheben, um noch mehr Forscher anzusprechen.
"Hackerone Managed"
Auf Wunsch können Unternehmen auch ein größeres Dienstleistungspaket bei Hackerone buchen. Dann übernimmt das Unternehmen die erste Bewertung eingehender Berichte und kann diese auf Plausibilität und Relevanz prüfen und gegebenenfalls Rückfragen an die Forscher stellen. Auch Falschberichte, Duplikate und die Dringlichkeit einzelner gemeldeter Bugs werden von Hackerone bewertet, bevor die Unternehmen selbst am Zug sind - denn schließen müssen sie die Sicherheitslücke am Ende immer noch selbst.
Hackerone wurde im Jahr 2013 gegründet. In diesem Jahr hat das Startup weitere 25 Millionen US-Dollar an Risikokapital eingesammelt - unter anderem von Salesforce-CEO Marc Benioff, dem Dropbox-Gründer Drew Houston und dem ehemaligen Karstadt-Inhaber Nicolas Berggruen. Seitdem lässt sich auf der Webseite verfolgen, wie rasant die Firma wächst.
Auch Hackerone selbst hat ein Bounty-Programm
Hackerone hat übrigens auch ein eigenes Bug-Bounty-Programm. Wer eine Sicherheitslücke in dem System findet, mit der er sich unautorisierten Zugriff auf geheime Bug-Beschreibungen verschaffen kann, bekommt mindestens 5.000 Euro. Andere "interessante" Lücken werden mit mindestens 500 Euro belohnt - insgesamt hat das Unternehmen für Sicherheitslücken auf der eigenen Plattform demnach 49.000 Euro an 113 Sicherheitsforscher gezahlt.
Das Angebot von Hackerone dürfte dazu beitragen, die Schwelle für Sicherheitsforscher zu senken, sich an Unternehmen zu wenden. Erfahrene Forscher wissen im Zweifelsfall bereits, wie verschiedene Unternehmen auf gemeldete Sicherheitslücken reagieren. Aber auch die können von Hackerone profitieren - denn letztlich bietet die Webseite ein Verzeichnis von Security-Kontakten in den beteiligten Unternehmen. Außerdem könnte Hackerone mit seinen Lobbybemühungen zu einem besseren Verständnis des Disclosure-Prozesses in der Politik und bei Unternehmen beitragen. Denn viele Unternehmen, die heute sicherheitsrelevante, vernetze Produkte herstellen, haben bislang wenig Ahnung von IT-Sicherheit - wie die Beispiele der WLAN-Barbie und Vtech zeigen. Auch die Debatte um die richtigen Disclosure-Praktiken kann ein Unternehmen nicht alleine lösen - aber das ist auch nicht seine Aufgabe.