HackerOne will neuen Softwarefirmen besseren Umgang mit Sicherheitslücken beibringen
Die Plattform hat sich zum Ziel gesetzt, qualifizierte Sicherheitsforscher mit Soft- und Hardwareanbietern zusammenzubringen. Außerdem werden über HackerOne zahlreiche Prämienprogramme für gefundene Schwachstellen abgewickelt. Das “Vulnerability Coordination Maturity”-Modell soll helfen, die erforderlichen Abläufe zu optimieren.
HackerOne hat mit dem “Vulnerability Coordination Maturity”-Modell ein Online-Assessment vorgelegt, mit dem sich Anbieter von Hard- und Software selbst überprüfen können. Der Test soll ihnen helfen, künftig besser, schneller und angemessen auf Meldungen von Sicherheitslücken in ihren Produkten eingehen zu können und diese dadurch auch schneller beheben zu können. Das vorgelegte Modell versteht sich als Ergänzung zu den ISO-Standards 29147 (zur Offenlegung von Sichehreitslücken) und 30111 (Umgang mit bekannten Sicherheitslücken).
Grundidee von HackerOne ist es, eine Plattform zu bieten, auf der sich Anbieterfirmen einerseits und Sicherheitsexperten geregelt und effizient austauschen können. Bedarf dafür sieht man, weil immer mehr Firmen in irgendeiner Form als Softwareanbieter auftreten, andererseits aber nicht mehr nur wenige Spezialisten in darauf ausgerichteten Unternehmen Sicherheitslücken entdecken, sondern immer mehr und immer häufiger externe Personen. Firmen wie Adobe, Airbnb, Twitter und Yahoo nutzen die Plattform, um ihre vergleichsweise ausgereiften Prämienprogramme für Sicherheitsforscher darüber abzuwickeln.
Insgesamt machen von der Möglichkeit gut 300 Unternehmen oder Organisationen Gebrauch und wurden über HackerOne bereits deutlich über 12.000 Schwachstellen gemeldet. Die Nutzung der Plattform ist zunächst kostenlos. Geld erhält sie erst, wenn ein Anbieter eine darüber bekannt gewordene Schwachstelle erfolgreich geschlossen hat und den Informanten belohnt.
Ziel ist es, die “verantwortungsvolle Offenlegung” von unaufgefordert gemeldeten Sicherheitslücken zu fördern. Damit dies nicht an Formfehlern oder organisatorischen Problemen scheitert, können Firmen ihre Voraussetzungen nun mit dem Vulnerability Coordination Maturity-Modell prüfen. Außerdem erhalten sie Empfehlungen und sehen, wie ihr Unternehmen im Vergleich zu anderen dasteht.
Erste Reaktionen von Sicherheitsexperten sind positiv. Tod Beardsley, Security Research Manager bei Rapid7, erklärt etwa, dass sein Team oft frustriert sei, “weil ein Standard fehlt, um unsere Erkenntnisse in einer geregelten Weise an Produktanbieter zu kommunizieren. Seit dem Jahr 2000 konnten wir zumindest auf die Rfpolicy 2.0 zurückgreifen, die zu dieser Zeit in Umlauf gebracht wurde.”
In sieben von zehn Fällen habe man jedoch bislang Bounce-Nachrichten beim Versuch erhalten, einen Anbieter über die in der Leitlinie vorgeschlagene Adresse security@Firmenname.com zu erreichen. “Selbst bei Open-Source-Projekten mit ausgereiftem Bug-Tracking wird in der Regel mit Überraschung und Argwohn reagiert, wenn wir uns melden, um schlechte Nachrichten zu übermitteln”, so Beardsley.
Das HackerOne-Modell hat seiner Ansicht nach allerdings das Potenzial, “genau die Menschen zu erreichen wird, die es erreichen soll, eben die Nicht-Sicherheitsspezialisten.” Für Sicherheitsexperten dürfte es Beardsley zufolge weniger interessant sein, aber umso mehr für neue Software- und Hardwareanbieter – insbesondere, wenn diese Anbieter erstmals mit dem Software-Entwicklungszyklus zu tun haben, beispielsweise Start-ups im Bereich Internet der Dinge oder Unternehmen, die erst vor kurzem mit der Integration von Internet-Technologie in ihre Produkte begonnen haben.
Beardsley weiter: “Es ist tatsächlich etwas gewöhnungsbedürftig, dass externe Forscher einige brisante Details über das eigene Produkt des betroffenen Anbieters kennen. Sich daran zu gewöhnen, ist ein wichtiger Schritt in Richtung einer Normalisierung dieses Prozesses.”