6. Oktober 2024

Bug Bounty: Prämien für Lückensucher rechnen sich

Wissenschaftler haben die Bug-Bounty-Programme bei Google und Mozilla auf ihre Effizienz untersucht. Sie haben dabei heraus gefunden, dass es in der Tat kostengünstiger ist, Prämien an externe Sicherheitsforscher zu zahlen als selbst nach Schwachstellen zu suchen. [...]

Immer mehr Software-Hersteller folgen dem Beispiel Googles und führen ein Prämiensystem ein, das unabhängige Sicherheitsforscher für das Melden neuer Sicherheitslücken in ihren Programmen belohnt. Erst kürzlich hat auch Microsoft ein solches so genanntes Bug-Bounty-Programm angekündigt. Wissenschaftler der Universität Kalifornien in Berkeley haben nun untersucht, ob sich solche Belohnungssysteme rechnen.

Matthew Finifter, Devdatta Akhawe und David Wagner haben sich die schon länger bestehenden Prämienprogramme der Browser-Hersteller Google und Mozilla vorgenommen, die als Testfälle dienen. Google hat in drei Jahren etwa 500 Prämien mit einer Gesamtsumme um 580.000 Dollar für gemeldete Schwachstellen in Chrome ausgeschüttet. Mozilla hat 570.000 Dollar für Firefox-Lücken ausgegeben, verteilt auf 190 Einzelprämien.

Verglichen mit den Kosten, die eine Festanstellung mehrerer Sicherheitsfachleute für die Fehlersuche verursacht, ist dies sehr gut angelegtes Geld. Ein angestellter Fachmann kostet ein Unternehmen zumindest 100.000 Dollar Gehalt und weitere 50.000 Dollar für Nebenkosten pro Jahr. Das heißt, für die in drei Jahren ausgezahlten Prämien hätten Google oder Mozilla lediglich ein bis zwei Entwickler bezahlen können, um nach Sicherheitslücken im Browser zu suchen. Tatsächlich sind im Rahmen der Bug-Bounty-Programme mehr Lücken gemeldet worden, als der jeweils beste der bei Google oder Mozilla angestellten Entwickler gefunden hat.

Während Mozilla feste Beträge für gemeldete Firefox-Lücken zahlt, ist Googles Prämienprogramm flexibler. Die weitaus meisten Prämien (84 Prozent), die Google ausgezahlt hat, betrugen lediglich 500 bis 1.000 Dollar. Doch die Chance, eine erheblich höhere Summe zu erhalten, macht das Suchen nach Chrome-Lücken offenbar attraktiver als die Schwachstellensuche in Firefox. Das führt dazu, dass sich mehr Personen an der Fehlersuche in Chrome beteiligen als bei Firefox. Die Berkeley-Forscher empfehlen Mozilla deshalb auf das Google-Modell zu wechseln.

Trotz der zum Teil hohen Summen, die Google und Mozilla für eine gemeldete Schwachstelle zahlen, kann ein freier Sicherheitsexperte davon kaum leben. Die meisten Lückenfinder haben lediglich einmal eine Prämie erhalten, nur wenige mehrmals. Lediglich drei der 82 Teilnehmer an Googles Prämienprogramm haben insgesamt mehr als 80.000 Dollar erhalten, weitere fünf mehr als 20.000 Dollar. Bei Mozilla hat nur ein Teilnehmer über 80.000 Dollar eingesammelt sowie ebenfalls weitere fünf mehr als 20.000 Dollar.

Ein weiterer Vorteil solcher Prämienprogramme ist, dass gefundene Sicherheitslücken mit geringerer Wahrscheinlichkeit auf dem Schwarzmarkt an Online-Kriminelle verkauft werden. Software-Hersteller können Termine für Sicherheits-Updates planen und müssen seltener ad hoc auf Angriffe mit 0-Day-Exploits reagieren.

* Frank Ziemann ist Redakteur der deutschen PC-Welt.

CFOs wollen mit KI die Unternehmensstrategie mitgestalten

4. Oktober 2024

Fast 9 von 10 CFOs, die KI in ihre Aufgaben integriert haben, sehen einen signifikanten Einfluss auf ihr Unternehmen. Das ist eine der Erkenntnisse des neuen CFO Research Reports „Der Schlüssel zum Erfolg im Finanzwesen“ von Sage. […]

DDoS-Attacken und Hacker-Aktivitäten bedrohen globale Infrastrukturen

4. Oktober 2024

Laut NETSCOUT DDoS Threat Intelligence Report 1H2024 ist EMEA-Region durch vermehrte DDoS-Angriffe und Hacker-Aktivitäten bedroht. Der Report stellt eine Zunahme an multivektorialen Angriffen fest, bei dem mehrere Angriffsmethoden gleichzeitig eingesetzt werden, um das Zielsystem zu überlasten. […]

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

Peter Hacker, Gründer und geschäftsführender Direktor von Distinction.global (c) Distinction.global

it-sa Programm: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

4. Oktober 2024 pi/wf

it-sa Programm: Die it-sa Expo&Congress präsentiert am 24. Oktober die Special Keynote von Peter Hacker. Der Experte für Cybersicherheit bietet in einem Interview mit NürnbergMesse erste Einblicke in die wachsenden Risiken und geopolitischen Herausforderungen im digitalen Zeitalter. […]

Sockel für den Großschrank VX: Der komplette Sockelraum unterhalb des Schaltschranks kann genutzt werden, um Kabel flexibel unterzubringen. (c) Rittal

Rittal: Mehr Spielraum bei Kabeleinführung im Sockel

3. Oktober 2024 pi/cb

Wird ein Schaltschrank aufgebaut, muss es schnell und einfach gehen. Schon bei der Sockelmontage zählt jede Minute. Dafür sorgt Rittal mit seinen neuen Sockel-Systemen für den Großschrank VX und den Kompakt-Schaltschrank AX. […]

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

3. Oktober 2024

2024 war und ist ein Jahr der Wahlen – mit Wahlveranstaltungen in mehr als 60 Ländern und geschätzt rund 2 Milliarden potenziellen Wählern. Ein gefundenes Fressen für politische motivierte Kampagnen, die im großen Stil Fehlinformationen verbreiten wollen und in der digital vernetzten Welt immer raffinierter aufgesetzt sind. […]

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

Lehrgang „Zertifizierte:r KI-Manager:in“: Change Management trifft künstliche Intelligenz

3. Oktober 2024

Ein neuer Lehrgang von APA-Campus vermittelt Skills und Knowhow zu künstlicher Intelligenz: von generativer KI, über ethische und rechtliche Grundlagen bis hin zu Use Cases, KI-Projekt- und Change Management. […]

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Bug Bounty: Prämien für Lückensucher rechnen sich

Wissenschaftler haben die Bug-Bounty-Programme bei Google und Mozilla auf ihre Effizienz untersucht. Sie haben dabei heraus gefunden, dass es in der Tat kostengünstiger ist, Prämien an externe Sicherheitsforscher zu zahlen als selbst nach Schwachstellen zu suchen. [...]

Mehr Artikel

CFOs wollen mit KI die Unternehmensstrategie mitgestalten

DDoS-Attacken und Hacker-Aktivitäten bedrohen globale Infrastrukturen

KI in der Softwareentwicklung

it-sa Programm: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

Rittal: Mehr Spielraum bei Kabeleinführung im Sockel

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

F5-Studie enthüllt Lücken im Schutz von APIs

Lehrgang „Zertifizierte:r KI-Manager:in“: Change Management trifft künstliche Intelligenz

VINCI Energies übernimmt Strong-IT

Be the first to comment

Leave a Reply Antworten abbrechen