Crowdsourced-Security durch Bug Bounty Hunting Programme
Wie sich Schwarmintelligenz nutzen lässt, um Systeme und Applikationen sicherer zu machen.
Inhaltsverzeichnis
Sichere und datenschutzkonforme IT-Systeme sind ein Grundbaustein für jedes Unternehmen. Data-Leaks und andere Datenschutzverstöße können laut DSGVO zu massiven Geldstrafen und Vertrauensverlust von Kundinnen und Kunden führen. Neben klassischen Sicherheitsteams erfreuen sich auch Bug Bounty Hunting Plattformen als Ergänzung großer Beliebtheit.
Im XPACE-internen Format „Live, Bunt, und Explodiert “ haben wir uns mit diesem Thema näher beschäftigt und teilen im Folgenden unsere Erkenntnisse.
Die klassischen Sicherheits-Teams: Blue vs. Red
In der IT-Sicherheit werden die verschiedenen Rollen üblicherweise in sogenannte Blue und Red Teams kategorisiert:
Das Blue Team besteht aus Sicherheitsexpert:innen, die sich um die operationale Sicherung und Verteidigung der Systeme kümmert. Dazu gehören unter anderem Aufgaben wie die digitale Forensik und das Incidence Response Management.
Red Teams sind bei vielen Unternehmen noch eher weniger bekannt, aber nicht weniger wichtig. Nach dem Motto „Defense by Offense“ besteht hier das Team aus Sicherheitsexpert:innen (z.B. Penetration Tester), die aktiv die Systeme angreifen und auf Sicherheitslücken testen. Angriffe und Tests werden hier oft standardisiert und in großen Zeitabständen durchgeführt. Entwicklungszyklen hingegen sind besonders dynamisch und die Code-Basis und dahinterstehende Infrastruktur ändert sich nicht selten täglich mehrfach. Zudem werden regelmäßig neue Schwachstellen und Sicherheitslücken entdeckt.
Die Überlegung liegt also nahe, die eigenen Systeme kontinuierlich überwachen zu lassen – genau hier setzen Bug Bounty Programme an.
Wie funktionieren Bug Bounty Programme?
Die Idee hinter Bug Bounty Programmen ist tatsächlich nichts Neues. Große Unternehmen wie Facebook und Google betreiben diese schon seit längerer Zeit. Sie ermöglichen es Sicherheitsexpert:innen, jederzeit, unabhängig und in einem ethisch legalen Rahmen deren Applikationen auf Schwachstellen zu prüfen. Wurde eine Schwachstelle (Bug) gefunden, können Sicherheitsexpert:innen diese dem Unternehmen melden. Die Meldung wird vom Unternehmen geprüft und der Finder bekommt für den Fund eine Entlohnung (Bounty), sofern die Schwachstelle nicht schon bekannt war. Aber nicht nur Unternehmen nutzen diese Art zur Sicherung ihrer Systeme. Im Jahr 2022 gab die Schweizerische Bundesverwaltung bekannt, dass sie ebenfalls ein Bug-Bounty-Programm beschaffen wird, um die Nationale Cybersicherheit zu stärken. Somit machen sich Unternehmen und Staaten das Wissen der Masse zu Nutze – ein Konzept, das auch unter dem Namen Crowdsourced-Security bekannt ist.
“Die geballte Macht einer ethischen Hacker-Community für sich nutzen, um die eigenen Systeme zu sichern? Genau das bieten Bug Bounty Hunting Programme.”
Welche Vorteile bieten Bug Bounty Plattformen?
Bug Bounty Plattformen ermöglichen es sowohl kleinen und mittelständischen Unternehmen als auch großen Unternehmen wie Tesla und Open AI Programme aufzusetzen, um ihre Systeme und Applikationen Sicherheitsexpert:innen zur Verfügung zu stellen. Zu den größten Plattformen gehören amerikanische Namen wie HackerOne, BugCrowd, Synack und das europäische Gegenstück Intigriti.
Der Aufbau eines Programms auf den Plattformen ist immer ähnlich:
Privat vs. offen: Unternehmen entscheiden, ob sie das Programm für alle öffentlich zugänglich oder nur auf Einladung anbieten wollen.
Policy: Die Policy stellt Informationen für die Bug Bounty Hunter bereit. Dazu gehören sowohl Regeln wie Meldungen von Sicherheitslücken abgegeben werden sollen und Informationen zum Bearbeitungsprozess mit den internen Sicherheitsteams. Außerdem kann angegeben werden, welche Angriffsarten und -szenarien erlaubt oder nicht erlaubt sind. Oft werden Schwachstellen nach Schweregrad eingeteilt, also wie kritisch eine gefundene Sicherheitslücke ist, woran sich auch die Vergütung (Bounty) orientiert.
Scope: Der Scope beschreibt alle für Sicherheitstests erlaubten Assets (meist Domains und Sub-Domains im Web-Kontext). Hier können auch explizit Assets ausgeschlossen werden.
Folgende bekannte Unternehmen haben bereits Programme auf den genannten Plattformen gelauncht:
Was machen Bug Bounty Hunter?
Bug Bounty Hunter sind keine klassischen Penetration Tester, denn alle haben ihre eigene Methodik, Vorgehensweise und Spezialisierung. Da die Systeme schon durch interne und auch externe Penetration Tests gegangen sind, müssen die Bounty Hunter besonders kreativ in ihrem Vorgehen sein. Da sie nicht Teil des Sicherheitsteams sind, stellen sie ein realistisches Szenario eines Angreifenden ohne jegliches Insiderwissen dar.
Hierbei kommt eine Bandbreite an Tricks zum Einsatz: In der Reconnaisance werden Methoden der Open Source Intelligence (OSINT), Google Dorking und Tools wie Sublist3r, Amass, Dirsearch und BurpSuite kombiniert, um potenzielle Endpoints und Schwachstellen zu finden. Diese können im nächsten Schritt mit individuellen kreativen Payloads getestet werden. Im Detail hängt dies von der Angriffsart ab. Dazu gehören insbesondere Payloads zu Schwachstellen aus der Liste der OWASP Top 10, wie zum Beispiel Injections (z.B. XSS), fehlende oder fehlerhafte Zugriffskontrollen auf Endpoints (z.B. IDORs) oder Server-Side Request Forgery (SSRF) Angriffe.
Die Bug Bounty Community
Die Bug Bounty Hunter Community ist auf den verschiedensten Kanälen aktiv. So gibt es insbesondere Blogs, Twitter-Nutzer:innen und Youtube-Kanäle von Bug Bounty Hunter, die ihr Wissen teilen. Auch die Bug Bounty Plattformen selbst organisieren Hackathons und Events, die die Möglichkeit bieten, sich mit Unternehmen und anderen Bounty Huntern auszutauschen.
Unser Fazit
Bug Bounty Hunting Programme bringen diverse Vorteile mit sich, was auch die Anzahl namhafter Unternehmen auf den Plattformen bestätigt. Besonders die permanente und kreative Überwachung durch verschiedenste Sicherheitsexpert:innen mit spezialisiertem Wissen ist hier hervorzuheben.
Es gilt jedoch: „Organization is key“. Prozesse müssen etabliert werden, um die Masse an Meldungen priorisieren und bearbeiten zu können. Zudem fallen Kosten für eine faire Vergütung der gefundenen Schwachstelle und bei der Plattform selbst an. Sind diese Voraussetzungen erfüllt, kann Bug Bounty Hunting ein wichtiger und ergänzender Bestandteil der eigenen IT-Sicherheitsstrategie werden. Es ersetzt also nicht die schon vorhandenen klassischen Sicherheitsstrukturen im Unternehmen, sondern fungiert eher als „die letzten 2%“ oder die „Cherry on top“. Im Idealfall begleiten interne Sicherheitsexpert:innen des Blue und Red Teams das Entwicklungsteam – präventiv und kontinuierlich über den gesamten Entwicklungszyklus hinweg. Denn je früher Sicherheitslücken geschlossen werden, desto kostengünstiger der Aufwand.