Der Club für alle, die forschen, tüfteln, checken und entdecken!
  • programmieren

News | 31.12.2018

EU fördert Fehlersuche in Open Source Projekten

So genannte "Bug Bounty" Programme sollen Sicherheitsforscher motivieren Ihre Ergebnisse zu veröffentlichen, statt diese auf dem Schwarzmarkt zu verkaufen.

Wenn man eine Sicherheitslücke in einer bekannten Anwendung findet hat man im Großen und Ganzen zwei Möglichkeiten:

  1. Man meldet die Lücke an die verantwortlichen Entwickler.
  2. Man verkauft die Lücke auf dem Schwarzmarkt.

Sicherheitslücken in bekannter Software sind für Hacker aller Art ein begehrtes "Handelsgut", insbesondere so genannte "Zero Day Exploits" werden hoch gehandelt und sorgfältig geschützt. Es handelt sich dabei um ausnutzbare Schwachstellen in Programmen, die nicht einmal dem verantwortlichen Hersteller bekannt sind. Damit jetzt nicht jeder Sicherheitsforscher automatisch zu Option Nummer 2) greift zahlen Firmen wie Microsoft, Google, Adobe, ... für gefundene Lücken teilweise beträchtliche Summen. So hat zum Beispiel Microsoft im Sommer 2012 im Rahmen des "Blue Hat Security Contest" 200.000$ an den Doktoranden Vasilis Pappas ausgezahlt.

Und weil hinter Open Source Projekten aller Regel nach keine großen Unternehmen stehen, haben es diese dann doch schwer im Falle von schwerwiegenden Lücken finanziell mitzuhalten. Natürlich sorgt der offene Quelltext für eine potenziell riesige Anzahl von wachsamen Augen, aber eine Sicherheitsgarentie ist das nicht. Und deswegen zahlen einige Firmen und Institutionen quasi stellvertretend Geld für Lücken in Open Source Programmen, welche dort im Einsatz sind. Und im kommenden Jahr beteiligt sich auch die EU an einem solchen Programm. Julia Reda von den europäischen Piraten erklärt in ihrem Blog wie das Programm genau abläuft und welche Projekte unterstützt werden:

Software Project Bug Bounty Amount (Euro) Start Date End Date Bug Bounty Platform
Filezilla 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Apache Kafka 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Notepad++ 71.000,00 € 07/01/2019 15/08/2019 HackerOne
PuTTY 90.000,00 € 07/01/2019 15/12/2019 HackerOne
VLC Media Player 58.000,00 € 07/01/2019 15/08/2019 HackerOne
FLUX TL 34.000,00 € 15/01/2019 15/10/2019 Intigriti/Deloitte
KeePass 71.000,00 € 15/01/2019 31/07/2019 Intigriti/Deloitte
7-zip 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
Digital Signature Services (DSS) 25.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Drupal 89.000,00 € 30/01/2019 15/10/2020 Intigriti/Deloitte
GNU C Library (glibc) 45.000,00 € 30/01/2019 15/12/2019 Intigriti/Deloitte
PHP Symfony 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Apache Tomcat 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
WSO2 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
midPoint 58.000,00 € 01/03/2019 15/08/2019 HackerOne

zurück

Kommentare

Oskar , geschrieben am 20.01.2019 um 16:21

Spannend