Erfahrungen nach einem Jahr Bug Bounty Programm

Bei Ergon suchen wir immer neue Wege, um Airlock noch sicherer zu machen. Dazu haben wir uns der Herausforderung durch die besten Hacker gestellt. Um potentielle Angriffsvektoren schnell aufzudecken, haben wir vor einem Jahr das Airlock Bug Bounty Programm lanciert. Experten auf der ganzen Welt versuchen seither, die Sicherheitsmechanismen von Airlock zu umgehen. Als Anreiz locken Belohnungen von mehreren Tausend Dollar pro Schwachstelle.

 

Das Airlock Bug Bounty Programm soll die Effektivität von Airlock verbessern. Die Teilnehmer werden aufgefordert, den Secure Access Hub und die geschützten Applikationen anzugreifen. Die für die Hacker bereitgestellte Infrastruktur ist ähnlich aufgebaut wie bei unseren Kunden. Die Umgebung besteht einerseits aus den typischen Airlock-Komponenten sowie mehrere Backend-Applikationen. Die Teilnehmer, sogenannte ethische Hacker, werden aufgefordert, den Secure Access Hub und die geschützten Applikationen anzugreifen. Die Hacker versuchen anhand konkreter Herausforderungen (Challenges), Airlock zu umgehen. Eine Herausforderungen besteht zum Beispiel darin, die Filterregeln von Airlock zu umgehen (Allow / Deny Rules). Auch die IAM-Funktionen wie Login und Self-Service werden gezielt auf Schwachstellen geprüft. So sollte unter anderem versucht werden, ein Einmalpasswort mehrmals zu verwenden.

 

Was ist ein Bug Bounty Programm?

Ein Bug Bounty Programm ist die offizielle Erlaubnis eines Unternehmens, nach Fehlern und Schwachstellen in seinen Produkten zu suchen. Mittlerweile hat sogar das US Verteidigungsministerium dazu aufgerufen, das Pentagon zu hacken!

Die Registrierung für ein Bug Bounty Programm steht grundsätzlich jedem Sicherheitsspezialisten offen. Diese "White Hat" Tester müssen sich an die Regeln des Bounty Programms halten, um ihre gezielten Angriffe auf eine kontrollierte Umgebung starten zu können. Ein Hacker verpflichtet sich mit der Teilnahme, die gemeldeten Schwachstellen weder auszunutzen noch zu veröffentlichen. Damit hat der Anbieter die Chance, den Fehler zu beheben bevor er ausgenutzt wird. Die Teilnehmer werden deswegen auch als ethische Hacker bezeichnet. 

Sobald ein Hacker eine neue Schwachstelle findet, meldet er dies dem Hersteller über einen vertraulichen Kanal. Falls die gemeldete Schwachstelle vom Hersteller verifiziert werden kann, erhält der Finder eine Belohnung (meist in Form eines Geldbetrags). Die Höhe der Entschädigung hängt z.B. von den Konsequenzen eines allfälligen Angriffs ab. Professionelle Hacker können durchaus von diesem "Kopfgeld" leben. Nachdem die Schwachstelle behoben ist, kann die Schwachstelle publiziert und der Hacker von seiner Schweigepflicht entbunden werden.

 

Bis zu $5000 Belohnung

Wenn ein Hacker eine Lücke findet, erfasst er einen strukturierten Bug Report. Darin zeigt er im Detail auf, wie die Schwachstelle ausgenutz werden kann. Mit diesem Report kann kann das Airlock Incident Response Team den Angriff Schritt für Schritt reproduzieren und seine Belohnung freigeben. Der Schweregrad eines Bugs wird auf einer vierstufigen Skala von tief bis kritisch eingeordnet. Der Hacker erhält mindestens $100, für eine kritische Schwachstelle gibt es bis zu $5'000.

 

Als Ergänzung zu den klassischen Penetration Tests wollten wir eine kontinuierliche Überprüfung durch eine grössere Zahl von Experten.

Also haben wir uns verschiedene Bounty Plattformen angeschaut. Wir wollten eine grosse Community, um möglichst viele clevere Hacker zu finden.

Reto Ischi, Team Lead Product Development Airlock Gateway

Die Idee für das Bounty Programm entstand nach einem "erfolgreichen" Penetration Test: Trotz hohen Fixkosten hatten die Tester keine Sicherheitslücken gefunden. Viele hätten das wohl als Erfolg gesehen, doch Reto Ischi, der Entwicklungsleiter des Airlock Gateway, gab sich damit nicht zufrieden. Wo findet man die besten Experten für Applikationssicherheit? Das Team schaute sich auf Bounty Plattformen wie Hackerone oder BugCrowd um. „Wir wollten eine Plattform mit einer grossen Community, um möglichst viele clevere Hacker zu finden”. Am Ende fiel der Entscheid zu Gunsten von Hackerone. „Auch weil wir dort mehr Kontrolle über die Höhe der Bounties haben.”

Kopfgeldjäger sorgen kontinuierlich für Sicherheit

Die über 500 teilnehmenden Hacker-Profis verschen seit einem Jahr, die die Sicherheitsmechanismen des Airlock Secure Access Hubs zu umgehen und bekunden grosse Mühe damit. So wurde bis jetzt keine einzige Schwachstelle der Stufe hoch oder kritisch gefunden. Die durchschnittlich bezahlte Belohnung liegt entsprechend bei $200. Bei der Mehrheit der erfolgreichen Attacken handelte es sich um Cross-Site-Scripting (XSS) oder SQL Injections. Diese Lücken konnten meist durch eine Anpassung der Filterregeln (Deny Rules) gestopft werden. Nicht zufällig gehören sie zu den Top 10 Risiken für Web Applikationen.

Die weltweite Community von ethischen Hackern sorgt so für eine kontinuierliche Sicherheitsüberprüfung des Airlock Secure Access Hubs. Seit dem Start des Programms vor einem Jahr werden regelmässig kleinere Fehler gemeldet; kritischen Lücken wurden bisher nicht gefunden. Die Bugreports helfen, die Produktsicherheit im Interesse unserer Kunden kontinuierlich und zeitnah zu verbessern. Das Bug Bounty Programm bestätigt somit, was auch periodisch in Auftrag gegebene Sicherheitsanalysen und Penetration Tests gezeigt haben: Airlock sorgt für einen äusserst effektiven Schutz vor Angriffen auf Anwendungen und dem Diebstahl heikler Daten.

Fazit: Stillstand ist Rückschritt

Obwohl die Analyse der Bugmeldungen wertvolle Engineering-Ressourcen bindet, beurteilen wir das Kosten/Nutzen-Verhältnis insgesamt als positiv. Die Meldungen sind von hoher Qualität und die Bounties pro Finding sind relativ tief. Und der kontinuierliche Strom von Bugmeldungen passt auch gut zum agilen Entwicklungsprozess. Deshalb wurde beschlossen, das Airlock Bug Bounty Programm auch im kommenden Jahr weiterzuführen. „Ausserdem überlegen wir uns, wie wir die Standard-Filterregeln der WAF häufiger aktualisieren können, um die aufgedeckten Lücken noch schneller zu schliessen.” Es geht also weiter, denn in der IT-Sicherheit ist Stillstand gleichbedeutend mit Rückschritt!

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

Weitere interessante Artikel

Machine Learning in Web Application Firewalls
WAF

Machine Learning in Web Application Firewalls

Cyber Security Studie
SAH

Cyber Security Studie

Wir haben die Airlock Academy umgebaut!
Academy

Wir haben die Airlock Academy umgebaut!

Wir informieren Sie

-Unsere Whitepaper-

IT-Sicherheitslösungen

Die Digitalisierung stellt Unternehmen vor neue Herausforderungen, die weit über die IT hinausgehen. Das betrifft vor allem einen Aspekt, der heute immer wichtiger wird: Die IT-Sicherheit.

In unserem Whitepaper erfahren Sie, wie IT-Security zum Beschleuniger der Digitalisierung wird.

Kostenlos anfordern

Digitalisierung beschleunigen

Wer in der digitalen Transformation bestehen will, muss vermehrt auf Hybrid-Cloud Umgebungen umstellen. Dies erfordert neue Security Ansätze sowie ein abgestimmtes Identitäts- und Berechtigungsmanagement.

Erfahren Sie mehr dazu in unserem Whitepaper in Zusammenarbeit mit Deloitte, eperi und SHE.

Kostenlos anfordern

OWASP Top 10 für API Sicherheit

OWASP hat eine neue Top10 Liste für API Security erstellt. Die gelisteten Top 10 geben einen breiten Konsens darüber wieder, was die derzeit wichtigsten API Sicherheitsthemen sind.

In unserem Whitepaper erfahren Sie, wie unsere Airlock API die OWASP Top 10 adressiert.

Kostenlos herunterladen

Weitere Whitepaper

Zu folgenden weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern