1861694

Experten loben Bug-Prämien-Initiative von Microsoft und Facebook

11.11.2013 | 11:26 Uhr |

Facebook und Microsoft rufen mit HackerOne gemeinsam zur Jagd auf Bugs in häufig genutzten Programmen auf. Sicherheitsexperten loben die Initiative als Schritt in die richtige Richtung.

Facebook und Microsoft haben mit Hackerone Ende letzter Woche ein gemeinsames Prämienprogramm für Bug-Jäger gestartet . Sicherheitsexperten loben die Initiative, vor allem deshalb, weil zum ersten Mal mehrere Unternehmen gemeinsam zur Jagd auf Sicherheitslücken blasen und die Entdecker finanziell entlohnen wollen.

Das Programm ist nicht beschränkt auf neu entdeckte Sicherheitslücken in Programmen und Technologien der beiden Unternehmen. Es werden auch Prämien für neu entdeckte Lücken in PHP, Perl, Python, Ruby on Rails, Apache, Django, Nginx Web und in den Sandbox-Mechanismen vom Internet Explorer 10, Google Chrome und Adobe Reader in Aussicht gestellt.

Die Entdecker können die Sicherheitslücken auf der Website von Hackerone melden, wo sie dann im "Internet Bug Bounty Panel" von Sicherheitsexperten von Facebook, Microsoft, Google und einiger anderer Unternehmen analysiert werden. Google selbst ist an der Initiative also auch beteiligt, aber nur mit technischem Know-How. Für die Finanzierung der Prämien sind zum Start nur Facebook und Microsoft verantwortlich. Ein Grund dafür dürfte sein, dass Google erst im Oktober ein eigenes, ähnliches Prämienprogramm vorgestellt hatte .

Laut einem Sprecher von Hackerone wird es zwei Arten von Prämien geben. Jeweils eine Prämie für das Finden und das Stopfen einer Sicherheitslücke. Somit kann also ein Entdecker seine Prämie verdoppeln, indem er auch gleich einen Fix für die Lücke liefert. Alternativ können sich die Sicherheitsexperten aber auch nur auf die gefundenen Lücken stürzen und für deren Behebung Prämien kassieren.

Neu gefundene Lücken in einer Sandbox oder im Internet werden beispielsweise mit mindestens 5000 US-Dollar entlohnt. Für Lücken in OpenSSL gibt es mindestens 2500 US-Dollar. Jeweils mindestens 1500 US-Dollar sind neue Schwachstellen in Python, Ruby, Perl oder Rails wert.

Sicherheitsexperten loben Microsoft und Facebook für die neue Initiative. Dam Kaminsky, Gründer und Chef-Sicherheitsforscher von WhiteOps, bezeichnet das Programm als "bahnbrechend". Die Initiative werde es den Sicherheitsexperten einfacher machen, die gefundenen Lücken, die mehrere Produkte und Technologien betreffen können, zu melden. Auch Reeny Sondhi von EMC Corp begrüßt die Initiative. Unterschiedliche Hersteller hätten bereits unterschiedliche, eigene Prämienprogramme ins Leben gerufen. Es sei nun das erste Mal, dass es ein kollektives Vorhaben zu diesem Zwecke gäbe.

0 Kommentare zu diesem Artikel
1861694