Suchen

„Vulnerability Coordination Reward Programme“ von Secunia Schwachstellen-Experte belohnt Finder von Software-Sicherheitslücken

| Redakteur: Stephan Augsten

Im Rahmen des neuen Secunia Vulnerability Coordination Reward Programme werden Security-Forscher unentgeltlich vergütet, wenn sie bislang unentdeckte Schwachstellen melden. Secunia übernimmt anschließend den Koordinations- und Abstimmungsprozess, um die Sicherheitslücke zusammen mit dem jeweiligen Software-Hersteller zu beheben.

Firmen zum Thema

Secunia prämiert die unkompliziertesten und interessantesten Reportings zu bestehenden Sicherheitslücken.
Secunia prämiert die unkompliziertesten und interessantesten Reportings zu bestehenden Sicherheitslücken.
( Archiv: Vogel Business Media )

Der dänische Schwachstellen-Spezialist Secunia ruft eine eigene Initiative zur Aufdeckung von Sicherheitslücken ins Leben. Das Secunia Vulnerability Coordination Reward Programme (SVCRP) soll dazu dienen, mögliche Gegenmaßnahmen zentral zu koordinieren und die Schwachstellen-Forscher dadurch zu entlasten.

Zu deren Hauptaufgaben zählen nun einmal die Suche nach Sicherheitslücken sowie das Entwickeln, Aufdecken und Anlysieren möglicher Proof-of-Concepts und Exploits, meint Carsten Eiram, leitender Sicherheitsexperte bei Secunia. „Nicht so schwerwiegend ist der manchmal extrem aufwändige Koordinations- und Abstimmungsprozess, um die Sicherheitslücke im Anschluss mit dem Hersteller zu beheben.“

Unabhängige Sicherheitsforscher sollen im Rahmen des SVCR-Programms demnach ihre Schwachstellen-Berichte an Secunia weitergeben. Das Unternehmen setzt sich anschließend mit den betroffenen Software-Herstellern in Verbindung. Für eine Aufnahme in SVCRP-Prozess müssen allerdings gewisse Kriterien erfüllt sein:

  • die Sicherheitslücke befindet sich innerhalb einer stabilen Version der Anwendung
  • die Sicherheitslücke befindet sich innerhalb der aktuellen Version der Anwendung
  • die Anwendung wird vom Hersteller weiterhin unterstützt
  • die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt
  • Secunia kann die gemeldete Sicherheitslücke bestätigen

Die Boni für die Aufdeckung von Schwachstellen reichen von Merchandise-Artikeln bis hin zum Besuch einer renommierten IT-Sicherheitskonferenz (Vorauswahl durch Secunia) inklusive Übernachtung im Hotel. Diese Preise verleiht Secunia im Januar 2012 das erste Mal überhaupt.

Eine Auszeichnung bekommt der Experte, der die Abwicklung der interessantesten Sicherheitslücke koordiniert. Diese Lücke wird von Secunia in der Kategorie „Interessantester Koordinationsreport“ bewertet. Die Kriterien für die Nominierung beinhalten Komplexität, Auswirkungen, Ebene, sowie der Detailgrad.

Eine weitere Auszeichnung wird an denjenigen Wissenschaftler vergeben, der kontinuierlich richtige und klar detaillierte Schwachstellenreports koordiniert hat, die schnell und einfach von Secunia bestätigt werden konnten. Der Forscher erhält von Secunia die Auszeichnung „Wertvollster Beitrag”.

Secunia wird basierend auf der individuellen Leistung aber auch weiterhin Forscher belohnen, die die Entdeckungen von Sicherheitslücken selbst koordinieren. Die Teilnahme am Programm ist kostenlos und bedarf keiner Registrierung. Weitere Informationen zum Secunia Vulnerability Coordination Reward Programme (SCVRP) auf der Secunia-Website.

(ID:2053308)