Make Bug-Bounties great again!

David Jacoby vom Kaspersky Lab macht Jagd auf Programmfehler, um der Menschheit zu helfen.

Seitdem David Jacoby vor fast zwei Jahren dem Kaspersky Lab Team beigetreten ist, habe ich ihn immer als einen besonders kontaktfreudigen und heiteren Forscher in unserem Unternehmen erlebt. Zusätzlich zu seinen Sicherheits-Memes an Halloween hat er dabei mitgeholfen, dem GReAT-Team unserer Firma ein menschliches Gesicht zu verleihen und hat sogar einer Filmcrew die Türen seines Heims geöffnet (MTV-Style).

Abgesehen von den Dingen, anhand der man über ihn sagen würde „Hey, David scheint ein  super cooler Typ zu sein“, hat Jacoby dieses Jahr auf dem Security Analyst Summit (dem SAS) noch einen oben drauf gesetzt. Es begann alles mit einer Ansage zur Eröffnung seiner Sitzung am 2. Tag: „Wir haben so viel Geld in dieser Industrie…wir haben so viel Geld, aber wir tun so wenig. Wann haben Sie das letzte Mal etwas Gutes getan?“

Von hier aus ging er zu der Geschichte eines Wochenend-Projekts mit Frans Rosèn (Detectifiy) über, in der sie aus Wohltätigkeit Programmfehler jagen wollten. Das anfängliche Ziel, dass das Duo sich gesetzt hatte, waren 11.000 US-Dollar. Obwohl sie ihr Ziel nicht erreichten, fanden sie etwas viel Interessanteres heraus.

„Es war ziemlich cool, wir wollten Unternehmen kontaktieren, die niemals an einem Bug-Bounty-Programm teilnehmen würden. Sie sagten, dass sie das Budget dafür nicht hätten,“ sagte Jacoby. „Aber ich schlängelte mich bis zu den Marketing-Abteilungen der Unternehmen durch, die schon das Geld hatten und nicht abgeneigt waren, zur Wohltätigkeit etwas beizutragen.“

Ausgehend von diesen Unterhaltungen kam die Idee auf, dass Jacoby, Rosén und drei anderen Forscher kostenlose 24-Stunden-lange Penetrationstests durchführen würden. Anstelle von einer Bezahlung forderten sie eine Spende für einen von dem jeweiligen Unternehmen ausgesuchten Wohltätigkeitsverein.

„Jeder, den wir anriefen, wollte mitmachen. Es war großartig“, sagte Rosén.

Bei Bahnof, einem schwedischen ISP, fand die Idee großen Wiederhall. Jacoby bemerkte, dass sie jetzt im Austausch für Pen-Tests Geld für Wohltätigkeitsvereine auf einer monatlichen Basis spendeten.

„Es hat sich gezeigt, dass die Leute dies gerne tun,“ sagte Jacoby.

Diese Rede über ein altruistisches Bug-Bounty-Programm fand auch in unserem Team Wiederhall und wir entschieden uns dafür, etwas länger mit Jacoby darüber zu sprechen.

 Kaspersky Daily: Glaubst Du, dass ein wohltätiger Ansatz mehr White-Hats dazu veranlassen würde, etwas Gutes für die Gesellschaft zu tun?

David Jacoby: Ehrlich gesagt glaube ich nicht, dass es die Einstellung von Leuten über die Teilnahme an zum Beispiel Bug-Bounties ändern wird. Ich glaube aber, dass dadurch neue Arten von Zusammenarbeit zwischen Anbietern und Wohltätigkeitsvereinen oder Sicherheitsfirmen entstehen könnten. Das kann auf längere Sicht mehr Menschen miteinbeziehen.

Es könnte sein, dass es maßgebend in unserem Leben ist, Gutes zu tun. Wir haben nur ein Leben, warum sollten wir es nicht für alle so gut wie möglich gestalten?

Kaspersky Daily: In Deiner Rede hast du gesagt, dass es sogar ein Unternehmen gab, das das Geld dazu verwenden wollte, Kinder zu Sicherheitskonferenzen zu schicken. Glaubst Du, dass wenn man ein Programm hätte, um junge Leute in Sicherheitsfragen auszubilden, dass es mehr White-Hats und eine bessere Sicherheit z.B. im Internet der Dinge gebe?

David Jacoby: Meine Sicht bezogen auf das IoT ist extrem negativ, da die meisten IoT-Geräte von Unternehmen entworfen wurden, die nicht in der IT-Industrie tätig sind. Diese sind aus der Haushaltsgeräte- oder Unterhaltungsbranche, daher glaube ich nicht, dass es einen Unterschied machen würde.

Wenn ich über Sicherheitskonferenzen nachdenke, bekomme ich dieses beklommene Gefühl — wir zeigen Leuten, die bereits in der IT-Industrie tätig sind, Sachen, die Spaß machen und nehmen eine Menge Geld für jede Eintrittskarte. Falls wir wirklich etwas ändern wollen, sollten wir z.B. Studenten, die bald unsere Kollegen sein werden, einladen. Warum sollen wir den Leuten, die sich bereits mit IT auskennen, etwas beibringen? Das macht keinen Sinn.

Kaspersky Daily: Glaubst Du, dass wenn man einen wohltätigen Ansatz zu einem Bug-Bounty-Programm für weniger Programmfehler hinzufügt, es dabei helfen könnte, die Teilnahme von Menschen an den Programmen allgemein zu erhöhen?

David Jacoby: Ich hoffe es. Ich möchte die Welt ändern oder es zumindest versuchen. Meine Vision ist es, Wohltätigkeitsprogramme zu fast allem hinzuzufügen. Hier ein Beispiel: In Schweden gibt es Recycling-Maschinen für leere Getränkedosen, usw. Diese Maschinen haben zwei Knöpfe, auf einem steht Spende und der andere ermöglicht es, Bargeld ausgezahlt zu bekommen.

Wenn ich das Geld spenden möchte, sollte ich das tun. Das gilt für alles. Wir sollten kreativ sein und mehr Ideen dieser Art entwickeln!

Wenn man über Bug-Bounty-Programme redet, muss hinzugefügt werden, dass Kaspersky Lab vor Kurzem das Bug-Bounty-Programm des Unternehmens mit Hacker One erweitert hat, um mehr Produkte einzuschließen und einige der Bounties zu erhöhen.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.