Erfahrungen nach einem Jahr Bug Bounty Programm
Bei Ergon suchen wir immer neue Wege, um Airlock noch sicherer zu machen. Dazu haben wir uns der Herausforderung durch die besten Hacker gestellt. Um potentielle Angriffsvektoren schnell aufzudecken, haben wir vor einem Jahr das Airlock Bug Bounty Programm lanciert. Experten auf der ganzen Welt versuchen seither, die Sicherheitsmechanismen von Airlock zu umgehen. Als Anreiz locken Belohnungen von mehreren Tausend Dollar pro Schwachstelle.
Das Airlock Bug Bounty Programm soll die Effektivität von Airlock verbessern. Die Teilnehmer werden aufgefordert, den Secure Access Hub und die geschützten Applikationen anzugreifen. Die für die Hacker bereitgestellte Infrastruktur ist ähnlich aufgebaut wie bei unseren Kunden. Die Umgebung besteht einerseits aus den typischen Airlock-Komponenten sowie mehrere Backend-Applikationen. Die Teilnehmer, sogenannte ethische Hacker, werden aufgefordert, den Secure Access Hub und die geschützten Applikationen anzugreifen. Die Hacker versuchen anhand konkreter Herausforderungen (Challenges), Airlock zu umgehen. Eine Herausforderungen besteht zum Beispiel darin, die Filterregeln von Airlock zu umgehen (Allow / Deny Rules). Auch die IAM-Funktionen wie Login und Self-Service werden gezielt auf Schwachstellen geprüft. So sollte unter anderem versucht werden, ein Einmalpasswort mehrmals zu verwenden.
Was ist ein Bug Bounty Programm? Ein Bug Bounty Programm ist die offizielle Erlaubnis eines Unternehmens, nach Fehlern und Schwachstellen in seinen Produkten zu suchen. Mittlerweile hat sogar das US Verteidigungsministerium dazu aufgerufen, das Pentagon zu hacken! Die Registrierung für ein Bug Bounty Programm steht grundsätzlich jedem Sicherheitsspezialisten offen. Diese "White Hat" Tester müssen sich an die Regeln des Bounty Programms halten, um ihre gezielten Angriffe auf eine kontrollierte Umgebung starten zu können. Ein Hacker verpflichtet sich mit der Teilnahme, die gemeldeten Schwachstellen weder auszunutzen noch zu veröffentlichen. Damit hat der Anbieter die Chance, den Fehler zu beheben bevor er ausgenutzt wird. Die Teilnehmer werden deswegen auch als ethische Hacker bezeichnet. Sobald ein Hacker eine neue Schwachstelle findet, meldet er dies dem Hersteller über einen vertraulichen Kanal. Falls die gemeldete Schwachstelle vom Hersteller verifiziert werden kann, erhält der Finder eine Belohnung (meist in Form eines Geldbetrags). Die Höhe der Entschädigung hängt z.B. von den Konsequenzen eines allfälligen Angriffs ab. Professionelle Hacker können durchaus von diesem "Kopfgeld" leben. Nachdem die Schwachstelle behoben ist, kann die Schwachstelle publiziert und der Hacker von seiner Schweigepflicht entbunden werden. |
Bis zu $5000 Belohnung
Wenn ein Hacker eine Lücke findet, erfasst er einen strukturierten Bug Report. Darin zeigt er im Detail auf, wie die Schwachstelle ausgenutz werden kann. Mit diesem Report kann kann das Airlock Incident Response Team den Angriff Schritt für Schritt reproduzieren und seine Belohnung freigeben. Der Schweregrad eines Bugs wird auf einer vierstufigen Skala von tief bis kritisch eingeordnet. Der Hacker erhält mindestens $100, für eine kritische Schwachstelle gibt es bis zu $5'000.
Als Ergänzung zu den klassischen Penetration Tests wollten wir eine kontinuierliche Überprüfung durch eine grössere Zahl von Experten.
Also haben wir uns verschiedene Bounty Plattformen angeschaut. Wir wollten eine grosse Community, um möglichst viele clevere Hacker zu finden.
Reto Ischi, Team Lead Product Development Airlock Gateway
Die Idee für das Bounty Programm entstand nach einem "erfolgreichen" Penetration Test: Trotz hohen Fixkosten hatten die Tester keine Sicherheitslücken gefunden. Viele hätten das wohl als Erfolg gesehen, doch Reto Ischi, der Entwicklungsleiter des Airlock Gateway, gab sich damit nicht zufrieden. Wo findet man die besten Experten für Applikationssicherheit? Das Team schaute sich auf Bounty Plattformen wie Hackerone oder BugCrowd um. „Wir wollten eine Plattform mit einer grossen Community, um möglichst viele clevere Hacker zu finden”. Am Ende fiel der Entscheid zu Gunsten von Hackerone. „Auch weil wir dort mehr Kontrolle über die Höhe der Bounties haben.”
Kopfgeldjäger sorgen kontinuierlich für Sicherheit
Die über 500 teilnehmenden Hacker-Profis verschen seit einem Jahr, die die Sicherheitsmechanismen des Airlock Secure Access Hubs zu umgehen und bekunden grosse Mühe damit. So wurde bis jetzt keine einzige Schwachstelle der Stufe hoch oder kritisch gefunden. Die durchschnittlich bezahlte Belohnung liegt entsprechend bei $200. Bei der Mehrheit der erfolgreichen Attacken handelte es sich um Cross-Site-Scripting (XSS) oder SQL Injections. Diese Lücken konnten meist durch eine Anpassung der Filterregeln (Deny Rules) gestopft werden. Nicht zufällig gehören sie zu den Top 10 Risiken für Web Applikationen.
Die weltweite Community von ethischen Hackern sorgt so für eine kontinuierliche Sicherheitsüberprüfung des Airlock Secure Access Hubs. Seit dem Start des Programms vor einem Jahr werden regelmässig kleinere Fehler gemeldet; kritischen Lücken wurden bisher nicht gefunden. Die Bugreports helfen, die Produktsicherheit im Interesse unserer Kunden kontinuierlich und zeitnah zu verbessern. Das Bug Bounty Programm bestätigt somit, was auch periodisch in Auftrag gegebene Sicherheitsanalysen und Penetration Tests gezeigt haben: Airlock sorgt für einen äusserst effektiven Schutz vor Angriffen auf Anwendungen und dem Diebstahl heikler Daten.
Fazit: Stillstand ist Rückschritt
Obwohl die Analyse der Bugmeldungen wertvolle Engineering-Ressourcen bindet, beurteilen wir das Kosten/Nutzen-Verhältnis insgesamt als positiv. Die Meldungen sind von hoher Qualität und die Bounties pro Finding sind relativ tief. Und der kontinuierliche Strom von Bugmeldungen passt auch gut zum agilen Entwicklungsprozess. Deshalb wurde beschlossen, das Airlock Bug Bounty Programm auch im kommenden Jahr weiterzuführen. „Ausserdem überlegen wir uns, wie wir die Standard-Filterregeln der WAF häufiger aktualisieren können, um die aufgedeckten Lücken noch schneller zu schliessen.” Es geht also weiter, denn in der IT-Sicherheit ist Stillstand gleichbedeutend mit Rückschritt!
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.