Bug Bounty Programme – Sicherheitslücken als lohnende Investition

Wien (pts010/04.09.2018/08:30) – Die DeepSec In-Depth Security Konferenz bietet neben Vorträgen zum Versagen von Sicherheitsmaßnahmen dieses Jahr einen Workshop für das Finden von Schwachstellen an. Das Testen von Software im Rahmen der Qualitätssicherung reicht in der modernen, vernetzen Welt leider nicht mehr aus. Die Vorsilbe „Smart“ ändert nichts an bestehenden Schwächen. Der Kurs richtet sich daher an Fachkräfte, die bereits in der Entwicklung arbeiten, und Sicherheitsexperten, um gezielt die Entwicklung sicherer Produkte in Industrie und Unternehmen zu stärken.

Komplexe Technologien und ihre Fehleranfälligkeit

Moderne Produkte kommen nicht erst seit der Geburt des Internet der Dinge nicht ohne Software aus. Fügt man Vernetzung und eine hohe Komplexität der Einzelteile hinzu, so ist dies ein Erfolgsrezept für Fehler. Natürlich gibt es oft eine Qualitätssicherung und Prüfungen auf die wichtigsten Funktionen, jedoch ist die Folge von schwerwiegenden Fehlfunktionen durch den Umfang der Codezeilen eine Frage der Statistik. Wie können sich Hersteller und Entwickler helfen? Zieht man die mathematische Spieltheorie zu Rate, so ist die Antwort: Kopfgeld für Fehler – Bug Bounties als Belohnung.

Organisierte Jagd nach Softwarefehlern

Die Bug Bounty Programme wurden vor einigen Jahren als feste Institution ins Leben gerufen, um einerseits Sicherheitsforscherinnen die Möglichkeit zu geben, ihre Arbeit beim Finden und Suchen von Fehlern zu würdigen. Auf der anderen Seite regelt ein solches Programm automatisch den Ablauf wie kritische Fehler gemeldet, dokumentiert, reproduziert und seitens der zuständigen Entwicklerinnen behoben werden. Es gibt leider immer noch sehr viele Hersteller, die nicht auf gemeldete Fehler reagieren und keine Updates zur Verfügung stellen. Das Anbieten von Bug Bounties spricht daher für das Engagement eines Unternehmens und sichert die Qualität der eigenen Produkte. Obendrein erfährt man dann vom Versagen des eigenen Produkts nicht aus der Presse oder aus dem Internet.

Der große Vorteil ist die gute Qualität der Fehlerberichte. Fehler in Software finden ist das tägliche Brot der Softwareentwicklung, aber kritische Schwachstellen, die ein Sicherheitsproblem darstellen, erkennt man oft nicht sofort. Die Informationssicherheit ist ein interdisziplinärer Bereich der Informatik, welche Fähigkeiten in Softwareentwicklung, Mathematik, Reverse Engineering (sprich die Nachkonstruktion einer Applikation oder eines Protokolls) und viel Geduld erfordert. Dazu ist fundiertes Wissen, ausreichend Erfahrung und eine gezielte Ausbildung erforderlich, die nicht alle im Entwicklungsteam besitzen.

Die Bug Bounty Programme werden sehr gut angenommen. HackerOne, eine Plattform zur koordinierten Publikation von Schwachstellen, führt Buch über die Ausschüttungen an Entdecker von Fehlern. Derzeit wurden in Summe über 20 Millionen US Dollar an Forscherinnen von verschiedenen Firmen ausgezahlt. Das erklärte Ziel ist das Erreichen von 100 Millionen US Dollar bis 2020.

Ausbildung zum Bug Bounty Hunter

Dies diesjährige DeepSec Sicherheitskonferenz hat einen zweitägigen Kurs zum Thema Bug Hunting. Der Trainer Dawid Czagan, selbst unter den Top 10 der Bug Hunter Liste von HackerOne, hat ein Curriculum ausgearbeitet, welches Fortgeschrittenen mit Kenntnissen von Praktiken der Softwareentwicklung die Ansätze und Denkweise von Sicherheitsexperten beibringt. Teilnehmerinnen lernen wie die vielen Teile von modernen Anwendungen wechselwirken, wo man in Protokolle zur Analyse einsteigt und worauf man achten muss. Da viele Arbeiten mittlerweile über Weboberflächen stattfinden, sei es sichtbar für den Benutzer oder unsichtbar hinter den Kulissen, wird die Webtechnologie der Fokus des Kurses sein. Dabei geht es nicht nur um die Kopfgeldjagd.

Der Workshop besteht nicht nur aus trockener Theorie. Dawid Czagan hat Fallbeispiele aus produktiven Umgebungen vorbereitet, um die verschiedenen Klassen von Fehler zu illustrieren. Der komplette Kurs ist eine Mischung aus kurzem Vortrag zur Erklärung gefolgt von praktischen Übungen, um das neu erworbene Wissen zu festigen. Die vermittelten Fähigkeiten sind eine wertvolle Ergänzung für jede Qualitätssicherung und eine gefragte Weiterbildung für Entwicklerinnen. Die Veranstaltung richtet sich gezielt an Sicherheitsforscherinnen, Penetration Tester, Consultants, Projektleiterinnen/Entwickler aus der Softwareentwicklung und IT-Architekten, die grundlegende Designs entwerfen, auf dem Anwendungen und Systeme aufbauen.

Die Angreifer haben diese Mittel schon. Es wird Zeit, dass Sie aufholen. Vernetzte Systeme schlafen nie.

Programm und Buchung

Die DeepSec Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November, statt. Der Veranstaltungsort ist Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Sie finden das aktuelle Programm unter dem Link: https://deepsec.net/schedule.html

Tickets für die Konferenz und die Trainings können Sie unter dem Link https://deepsec.net/register.html bestellen.

Das Blog der Konferenz mit neuen Informationen und Hintergründen zu den Vorträgen und Workshop finden Sie unter der Adresse: https://blog.deepsec.net

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43-676-5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net