Expertenmeinung: Bug Bounties

White-, Grey- und Black-Hat-Hacker unterscheiden

Unter einem Hacker versteht man allgemein jemanden, der mit böser Absicht in Computersysteme eindringt. Aber ist das immer so, oder unterscheiden sich manche Hacker auch von anderen? Gibt es vielleicht sogar so etwas wie einen Hacker-Kodex? Speziell beim Umgang mit Disclosures, also der Offenlegung von Schwachstellen, gibt es große Unterschiede

Offenlegung von Schwachstellen

Nach Bekanntwerden einer Sicherheitslücke hat der Entdecker verschiedene Möglichkeiten damit umzugehen: Die Offenlegung (Disclosure) kann auf verschiedenste Art und Weise geschehen. So wählen ethische Hacker vor allem in Coordinated-Disclosures, bei dem das Ziel eine verantwortliche Offenlegung der Sicherheitslücke ist.

Der Entdecker informiert den Hersteller über seinen Fund und gibt zunächst keine oder nur wenige Informationen an die Öffentlichkeit. Meistens wird nur auf die Existenz und gegebenenfalls auf die Art einer Sicherheitslücke in einem Produkt hingewiesen. Ethische Hacker nutzen immer diese Art der Veröffentlichung.

Neben dem Coordinated-Disclosures gibt es noch die Möglichkeit eines Non-Disclosures, bei dem die Schwachstelle nicht veröffentlicht wird. Diese Offenlegungen finden zum Beispiel bei Geheimdiensten Anwendung. Ein Beispiel dieses Disclosures ist die Sicherheitslücke „Eternalblue“, die lange Zeit von der NSA genutzt wurde, ohne der Öffentlichkeit bekannt zu sein. Später wurde sie in Form eines Full-Disclosures von einer Hackergruppe, welche die NSA zuvor hackte, mit allen Details und Proof of Concept veröffentlicht und unter dem Namen WannaCry bekannt.

Sollen wir Dich Testen?

Schwachstellenanalyse auch für Dein Unternehmen!

Jetzt Anfragen

Beantragung einer CVE-Nummer

Egal auf welche Art der öffentlichen Bekanntgabe der Entdecker der Schwachstelle setzt, ein unerlässlicher Schritt ist die Beantragung einer CVE-Nummer. Schwachstellen werden mit einem CVSS derzeit in Version 3 berechnet. Je nach Höhe des Scores wird die Schwachstelle in High (10,0 bis 7,5), Middle (7,4 – 5,0) und Low (4,9-1) eingestuft. Bewertet werden vor allem die Exploitability und der Impact. Stellt der betroffene Hersteller nach Ablauf einer Zeitspanne keinen Patch zur Verfügung, muss ethisch abgewogen werden, wie mit der Sicherheitslücke weiter umgegangen wird.

Wird vom Hersteller nach mehrmaligen Kontaktversuchen nicht reagiert, stellt der ethische Hacker alle Erkenntnisse der Öffentlichkeit zur Verfügung. Er warnt damit die Öffentlichkeit vor der Verwundbarkeit der Software oder des Produkts.

Bei der eventuellen Offenlegung (für die Öffentlichkeit) der Sicherheitslücke werden ethische Hacker versuchen, den Schaden gering zu halten. Daher versuchen sie mithilfe des Herstellers schnellstmöglich einen Patch oder eine Lösung zur Verfügung zu stellen. Ethische Hacker bewegen sich damit im stetigen Wechsel zwischen Grey-Hat und White-Hat Leitlinien.

Weitere Konsequenzen

Dies kann zudem weitere Konsequenzen nach sich ziehen, da für das Unternehmen oder die Institution im SOC nicht erkennbar ist, ob es sich um einen „böswilligen“ Angriff oder eine „gutgemeinte“ Untersuchung handelt. Diese Unterscheidungsfrage sollte sich auch nicht stellen, da jeder Angriff im Grunde eine Straftat darstellen kann. Die Konsequenzen bei einem in IT-Sicherheit gut aufgestellten Unternehmen könnte demnach sogar eine Anzeige nach sich ziehen, da wie o. g. keine wirkliche Unterscheidung gemacht werden kann, weshalb Angriffe, die nicht durch Penetration Test kommuniziert und beauftragt waren, oft zur Anzeige gebracht werden.

Weitere Schwierigkeiten bereitet es vor allem, das Budget des Programms festzulegen. Werden mehrere Schwachstellen gefunden, so kann es das Budget sicherlich überschreiten. Hierüber besteht in aktuell gängigen Bug-Bounty Programmen oft keine Regelung.

Während vor allem große Unternehmen bzw. Konzerne Bug-Bounties aussetzen, ist es für einen mittelständischen Betrieb sicherlich nicht einfach finanzierbar, da die Kosten meist schwer kalkulierbar sind. Trotz alledem sind Bug-Bounty-Programme sicherlich ein guter Ansatz, um diejenigen zu unterstützen, die Schwachstellen ausfindig machen und diese mit öffentlicher Anerkennung für ihre Beiträge zu honorieren. Für Researcher ergibt sich hierdurch eine Alternative zum Schwarzmarkt. Zero-Day-Exploits werden so tendenziell weniger auf dem Schwarzmarkt gehandelt, da es die Möglichkeit einer materiellen Entlohnung durch den Hersteller gibt.

Ethisches Verhalten beim Penetration Test

Beim Penetration Testing (dem beauftragten Hacking), das vom Berufsfeld der Penetration Tester ausgeübt wird, passiert es oftmals, dass Daten erbeutet werden, die ethisch verwerflich oder rechtlich unter Umständen strafbar sind oder Ordnungswidrigkeiten darstellen. Dadurch sollte jeder Penetration Tester im Zweifelsfall mit einem Juristen abwägen, ob etwas gemeldet werden sollte. Ebenfalls ist zu überlegen, wann Straftaten und Ordnungswidrigkeiten an den Auftraggeber gemeldet oder zur Anzeige gebracht werden. Bei sensiblen und privaten Themen muss sich jeder Penetration Tester überlegen, ob der emotionale Schaden einer betroffenen Person höher ist, als die Wichtigkeit des Findings.

Beispiel:

„Bei einem Penetration Test wurde nur ein Finding gefunden: Die Log-in-Daten des E-Mail-Accounts eines Geschäftsführers. Für einen Penetration Tester liegt es nahe, im Postfach nach weiteren Log-in-Daten zu suchen. Hierbei findet der Pentester dann Informationen zu einem Rechtsstreit mit der Ex-Frau und Sorgerechtsthemen – also ein sensibles Thema. In der Präsentation erzählt der betroffene Geschäftsführer munter, “das sei ja überhaupt kein Problem, in seinem E-Mail-Postfach wäre ja nichts Sensibles, das läge in einem anderen Account.” Die Frage, die sich jeder Penetration Tester stellen sollte ist, wie und ob er dieses Thema anspricht.