Erfahrungen nach einem Jahr Bug Bounty Programm

Bei Ergon suchen wir immer neue Wege, um Airlock noch sicherer zu machen. Dazu haben wir uns der Herausforderung durch die besten Hacker gestellt. Um potentielle Angriffsvektoren schnell aufzudecken, haben wir vor einem Jahr das Airlock Bug Bounty Programm lanciert. Experten auf der ganzen Welt versuchen seither, die Sicherheitsmechanismen von Airlock zu umgehen. Als Anreiz locken Belohnungen von mehreren Tausend Dollar pro Schwachstelle.

 

Das Airlock Bug Bounty Programm soll die Effektivität von Airlock verbessern. Die Teilnehmer werden aufgefordert, den Secure Access Hub und die geschützten Applikationen anzugreifen. Die für die Hacker bereitgestellte Infrastruktur ist ähnlich aufgebaut wie bei unseren Kunden. Die Umgebung besteht einerseits aus den typischen Airlock-Komponenten sowie mehrere Backend-Applikationen. Die Teilnehmer, sogenannte ethische Hacker, werden aufgefordert, den Secure Access Hub und die geschützten Applikationen anzugreifen. Die Hacker versuchen anhand konkreter Herausforderungen (Challenges), Airlock zu umgehen. Eine Herausforderungen besteht zum Beispiel darin, die Filterregeln von Airlock zu umgehen (Allow / Deny Rules). Auch die IAM-Funktionen wie Login und Self-Service werden gezielt auf Schwachstellen geprüft. So sollte unter anderem versucht werden, ein Einmalpasswort mehrmals zu verwenden.

 

Was ist ein Bug Bounty Programm?

Ein Bug Bounty Programm ist die offizielle Erlaubnis eines Unternehmens, nach Fehlern und Schwachstellen in seinen Produkten zu suchen. Mittlerweile hat sogar das US Verteidigungsministerium dazu aufgerufen, das Pentagon zu hacken!

Die Registrierung für ein Bug Bounty Programm steht grundsätzlich jedem Sicherheitsspezialisten offen. Diese "White Hat" Tester müssen sich an die Regeln des Bounty Programms halten, um ihre gezielten Angriffe auf eine kontrollierte Umgebung starten zu können. Ein Hacker verpflichtet sich mit der Teilnahme, die gemeldeten Schwachstellen weder auszunutzen noch zu veröffentlichen. Damit hat der Anbieter die Chance, den Fehler zu beheben bevor er ausgenutzt wird. Die Teilnehmer werden deswegen auch als ethische Hacker bezeichnet. 

Sobald ein Hacker eine neue Schwachstelle findet, meldet er dies dem Hersteller über einen vertraulichen Kanal. Falls die gemeldete Schwachstelle vom Hersteller verifiziert werden kann, erhält der Finder eine Belohnung (meist in Form eines Geldbetrags). Die Höhe der Entschädigung hängt z.B. von den Konsequenzen eines allfälligen Angriffs ab. Professionelle Hacker können durchaus von diesem "Kopfgeld" leben. Nachdem die Schwachstelle behoben ist, kann die Schwachstelle publiziert und der Hacker von seiner Schweigepflicht entbunden werden.

 

Bis zu $5000 Belohnung

Wenn ein Hacker eine Lücke findet, erfasst er einen strukturierten Bug Report. Darin zeigt er im Detail auf, wie die Schwachstelle ausgenutz werden kann. Mit diesem Report kann kann das Airlock Incident Response Team den Angriff Schritt für Schritt reproduzieren und seine Belohnung freigeben. Der Schweregrad eines Bugs wird auf einer vierstufigen Skala von tief bis kritisch eingeordnet. Der Hacker erhält mindestens $100, für eine kritische Schwachstelle gibt es bis zu $5'000.

 

Als Ergänzung zu den klassischen Penetration Tests wollten wir eine kontinuierliche Überprüfung durch eine grössere Zahl von Experten.

Also haben wir uns verschiedene Bounty Plattformen angeschaut. Wir wollten eine grosse Community, um möglichst viele clevere Hacker zu finden.

Reto Ischi, Team Lead Product Development Airlock Gateway

Die Idee für das Bounty Programm entstand nach einem "erfolgreichen" Penetration Test: Trotz hohen Fixkosten hatten die Tester keine Sicherheitslücken gefunden. Viele hätten das wohl als Erfolg gesehen, doch Reto Ischi, der Entwicklungsleiter des Airlock Gateway, gab sich damit nicht zufrieden. Wo findet man die besten Experten für Applikationssicherheit? Das Team schaute sich auf Bounty Plattformen wie Hackerone oder BugCrowd um. „Wir wollten eine Plattform mit einer grossen Community, um möglichst viele clevere Hacker zu finden”. Am Ende fiel der Entscheid zu Gunsten von Hackerone. „Auch weil wir dort mehr Kontrolle über die Höhe der Bounties haben.”

Kopfgeldjäger sorgen kontinuierlich für Sicherheit

Die über 500 teilnehmenden Hacker-Profis verschen seit einem Jahr, die die Sicherheitsmechanismen des Airlock Secure Access Hubs zu umgehen und bekunden grosse Mühe damit. So wurde bis jetzt keine einzige Schwachstelle der Stufe hoch oder kritisch gefunden. Die durchschnittlich bezahlte Belohnung liegt entsprechend bei $200. Bei der Mehrheit der erfolgreichen Attacken handelte es sich um Cross-Site-Scripting (XSS) oder SQL Injections. Diese Lücken konnten meist durch eine Anpassung der Filterregeln (Deny Rules) gestopft werden. Nicht zufällig gehören sie zu den Top 10 Risiken für Web Applikationen.

Die weltweite Community von ethischen Hackern sorgt so für eine kontinuierliche Sicherheitsüberprüfung des Airlock Secure Access Hubs. Seit dem Start des Programms vor einem Jahr werden regelmässig kleinere Fehler gemeldet; kritischen Lücken wurden bisher nicht gefunden. Die Bugreports helfen, die Produktsicherheit im Interesse unserer Kunden kontinuierlich und zeitnah zu verbessern. Das Bug Bounty Programm bestätigt somit, was auch periodisch in Auftrag gegebene Sicherheitsanalysen und Penetration Tests gezeigt haben: Airlock sorgt für einen äusserst effektiven Schutz vor Angriffen auf Anwendungen und dem Diebstahl heikler Daten.

Fazit: Stillstand ist Rückschritt

Obwohl die Analyse der Bugmeldungen wertvolle Engineering-Ressourcen bindet, beurteilen wir das Kosten/Nutzen-Verhältnis insgesamt als positiv. Die Meldungen sind von hoher Qualität und die Bounties pro Finding sind relativ tief. Und der kontinuierliche Strom von Bugmeldungen passt auch gut zum agilen Entwicklungsprozess. Deshalb wurde beschlossen, das Airlock Bug Bounty Programm auch im kommenden Jahr weiterzuführen. „Ausserdem überlegen wir uns, wie wir die Standard-Filterregeln der WAF häufiger aktualisieren können, um die aufgedeckten Lücken noch schneller zu schliessen.” Es geht also weiter, denn in der IT-Sicherheit ist Stillstand gleichbedeutend mit Rückschritt!

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Keine Blogbeiträge

Die Liste enthält keine Blogbeiträge.

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern