Bug Bounty – The bounty hunt for security holes!

Die Frage nach dem Finden von Sicherheitslücken treibt viele Unternehmen und Betreiber von Plattformen um – doch ein geeignetes Mittel existiert schon längst: Bug Bounty Programme & Vulnerability Assessments.

Ganz gleich ob Online Plattform oder ein anderes digitales Produkt. Eine regelmäßige Prüfung durch die Sicherheitscommunity ist ein guter Weg Schwachstellen zu finden und zu schließen. Das ganze findet stets in einem abgesteckten Rahmen und in der vorgegebene Breite, mit Hilfe von automatisierten Tools, statt.

Bug Bounty Programme lassen sich über diverse Plattformen betreiben.

Die Bug Bounty Programme von HackerOne und Bugcrowd sind seit Jahren etablierte Plattformen für das Finden von Sicherheitslücken durch die Community. Doch bevor ein Produkt durch ein Bug Bounty Programm läuft, sollte vorab allerdings ein Vulnerability Assessement stattgefunden haben.

Bei einem Vulnerability Assessment werden meist so viele Schwachstellen wie möglich aufgedeckt – ohne in letzter Konsequenz Daten zu stehlen. Die Schwachstellen werden anschließend nach dem potentiellen Risiko gewichtet. Bei uns ist ein Vulnerability Assessement immer der erste Schritt vor dem eigentlichen Penetrationstest.

Pentest und Bug Bounty – was ist der Unterschied?

Bei einem Bug Bounty Programm kannst du den Umfang des Tests definieren und deine Produkte von einer aktiven Community testen lassen. Ein Bug Bounty Hunting ist im Gegensatz zu einem Penetrationstest meist innerhalb eines sehr geringen Umfang angelegt und die Tester haben starke Restriktionen, was Sie dürfen und was nicht. Ein Pentest ist hingegen ein gezielter Angriff, um Kundendaten zu stehlen, Domainadmin zu werden oder sensitive Verkaufsdaten zu stehlen.

Ein weiterer Unterschied ist, dass Bug Bounty Hunter meistens alleine Arbeiten, während ein Penetrationstests oder gar Red-Teaming meist von einem Team durchgeführt werden. Beim Bug Bounty Hunting kommt allerdings die Schwarmintelligenz der Hacker Community zum tragen. Unterschiedliche Tester verwenden unterschiedliche, teils selbstentwickelte Werkzeuge. So werden Anwendungen aus einem anderen Blickwinkel getestet. Dadurch entsteht eine erhöhte Wahrscheinlichkeit weitere Sicherheitslücken entdecken zu können. Häufig werden automatisierte Scanner genutzt um Schwachstellen aufzudecken.

EU startet Bug Bounty Programm im Interesse der Allgemeinheit!

Die EU hat aktuell ein Pilotprojekt für 14 Open Source Projekte gestartet. Dort können Sicherheitsforscher nun Schwachstellen einreichen, welche bewertet und anschließend ausgezahlt werden. Dies soll die Verwendung von freier Software sicherer und nachhaltiger machen.

Die MitarbeiterInnen von AWARE7 sind ebenfalls in den Bug Bounty Communities aktiv und beteiligen sich engagiert an der Verbesserung der Vertrauenswürdigkeit von digitalen Produkten. Matteo ist beispielsweise am 19.01.2019 um 21:00 Uhr bei der BugCrowd LevelUp 0x03 mit einem Vortrag zum Thema Social Engineering zu sehen. Der Vortrag kann live von überall auf Twitch geschaut werden.

https://aware7.de/events/bugcrowd-levelup0x03-social-engineering-vortrag/Bugcrowd LevelUp 0x03 - Social Engineering Vortrag Bugcrowd 921 Front Street

19Jan21:0022:30Bugcrowd LevelUp 0x03 - Social Engineering VortragSocial Engineering Insights

Zeit

(Samstag) 21:00 - 22:30

Location

Bugcrowd

921 Front Street

Learn More

KalenderGoogleCal

Der Beitrag Bug Bounty – The bounty hunt for security holes! ist zuerst auf AWARE7 erschienen.