Exploit-Informationen zu verkaufen

Bug Hunting – auf der Jagd nach Software-Fehlern, Ruhm und Geld

26.04.2011 | Autor / Redakteur: Ralph Dombach / Stephan Augsten

Bug Hunter suchen nicht mehr nur aus moralischen Gründen nach Schwachstellen.
Bug Hunter suchen nicht mehr nur aus moralischen Gründen nach Schwachstellen.

Je komplexer eine Software ist, umso wahrscheinlicher sind Programmierfehler. Unter besonderen Umständen kann ein Bug auch zum Sicherheitsrisiko werden. Beispielsweise dann, wenn eine Texteingabe zu einem Stapelüberlauf führt und das Programm erweiterte Privilegien erhält. An diesem Punkt werden Bug-Hunter aktiv.

Bei Bug-Huntern handelt es sich um Experten, die in Programmen nach Fehlern suchen. Bevorzugt werden dabei Security-Bugs, die eine erweiterte Nutzung einer Software ermöglicht – wobei die „erweiterte Nutzung“ eines Programms viele Ausprägungen haben kann. Diese erstrecken sich vom unberechtigten Zugriff auf Daten bis hin zur Ausführung von Programmcode – mitunter sogar auf Administrator-Ebene.

Bug-Hunter sind in den seltensten Fällen an der Ausnutzung der gefundenen Programmierfehler interessiert. Für sie zählt mehr der sportliche Wettbewerb – aber auch die Möglichkeit, mit ihrer Arbeit Geld zu verdienen. Wobei man damit schon bei der aktuellen Problematik angelangt ist. Soll man eine gefundene Sicherheitslücke dem Produkt-Hersteller (gratis) melden oder darf man sie vermarkten? Diese Frage ist immer wieder aktuell.

Aus Anwendersicht ist diese Diskussion überflüssig – denn wichtig ist, dass die Programme fehlerfrei funktionieren und keine Sicherheitslücken öffnen. Bug-Hunter sehen dies sicherlich auch so, allerdings haben Sie noch den Wunsch, dass sie für Ihre Arbeit entlohnt werden. Dieses Ansinnen ist durchaus nachvollziehbar, denn mitunter forscht ein Bug-Jäger mehrere Wochen an einer Sicherheitslücke, bis er sie nachweisbar darlegen kann.

Leider existiert kein einheitlicher oder gar verbindlicher Verhaltenskodex, wie Bug Hunter entlohnt werden. Google bezahlte für entdeckte Schwachstellen im Chrome-Browser an Bug-Hunter mehrere tausend US-Dollar für deren Arbeit. Andere Hersteller hingegen agieren zurückhaltender und bezahlen keine Prämie an die Bug-Jäger.

Vermarktungsmöglichkeiten

Findige Köpfe haben in diesem Umfeld eine neue Geschäftsidee etabliert. Die Rede ist von Bug-Händlern. Hierbei handelt es sich um seriöse Unternehmen, die Bug-Jägern die gefundenen Schwachstellen abkaufen.

Der Markt der Vulnerability/Exploit-Scanner lebt davon, Schwachstellen zu erkennen und deren mögliche Ausnutzung zu verhindern. Ein eingekaufter Bug kann daher wesentlich „billiger“ sein, als wenn das eigene Security-Team danach forscht. Ein guter Scanner, der eine Vielzahl von möglichen Bugs findet/verhindert lässt sich im Security-Umfeld besser verkaufen, als Konkurrenzprodukte die gegen weniger Sicherheitslücken schützen.

Auch über Wettbewerbe kommen Bug-Jäger zu Ruhm und Geld. Dominierend ist hier vor allem Pwn2Own von der Zero-Day-Initiative. Als zu attackierende Objekte wurden im letzten Wettbewerb die Browser mehrerer Hersteller sowie verschiedene Handys bzw. Smartphones vorgegeben. Wer hier erfolgreich angreifen konnte bzw. eine (selbst gefundene) Sicherheitslücke ausnutzte, dem winken Preise und auch die Anerkennung der Szene.

Sofern Bug-Jäger größeren Wert auf Reputation legen, können sie ihre Arbeitsergebnisse an andere Stelle publizieren. Stellvertretend seien hier die bekannte Exploit Database (EDB) und Social Network Security genannt. Letztgenannte Seite informiert über Sicherheitslücken im Umfeld von Sozialen Netzwerken wie Facebook oder Xing.

Seite 2: Alternative Geschäftsmodelle

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2051067 / Sicherheitslücken)