{"id":10114,"date":"2017-04-26T15:38:26","date_gmt":"2017-04-26T15:38:26","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=10114"},"modified":"2019-11-22T12:22:08","modified_gmt":"2019-11-22T10:22:08","slug":"hunting-bugs-for-humanity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hunting-bugs-for-humanity\/10114\/","title":{"rendered":"Make Bug-Bounties great again!"},"content":{"rendered":"<p>Seitdem David Jacoby vor fast zwei Jahren dem Kaspersky Lab Team beigetreten ist, habe ich ihn immer als einen besonders kontaktfreudigen und heiteren Forscher in unserem Unternehmen erlebt. Zus\u00e4tzlich zu seinen Sicherheits-Memes an Halloween hat er dabei mitgeholfen, dem GReAT-Team unserer Firma ein menschliches Gesicht zu verleihen und hat sogar einer Filmcrew die T\u00fcren seines Heims ge\u00f6ffnet (MTV-Style).<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/Emtjo3eeOD0?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Abgesehen von den Dingen, anhand der man \u00fcber ihn sagen w\u00fcrde \u201eHey, David scheint ein \u00a0super cooler Typ zu sein\u201c, hat Jacoby dieses Jahr auf dem <a href=\"https:\/\/www.kaspersky.com\/blog\/tag\/sas-2017\/\" target=\"_blank\" rel=\"noopener nofollow\">Security Analyst Summit<\/a> (dem SAS) noch einen oben drauf gesetzt. Es begann alles mit einer Ansage zur Er\u00f6ffnung seiner Sitzung am 2. Tag: \u201eWir haben so viel Geld in dieser Industrie\u2026wir haben so viel Geld, aber wir tun so wenig. Wann haben Sie das letzte Mal etwas Gutes getan?\u201c<\/p>\n<p>Von hier aus ging er zu der Geschichte eines Wochenend-Projekts mit Frans Ros\u00e8n (Detectifiy) \u00fcber, in der sie aus Wohlt\u00e4tigkeit Programmfehler jagen wollten. Das anf\u00e4ngliche Ziel, dass das Duo sich gesetzt hatte, waren 11.000 US-Dollar. Obwohl sie ihr Ziel nicht erreichten, fanden sie etwas viel Interessanteres heraus.<\/p>\n<p>\u201eEs war ziemlich cool, wir wollten Unternehmen kontaktieren, die niemals an einem Bug-Bounty-Programm teilnehmen w\u00fcrden. Sie sagten, dass sie das Budget daf\u00fcr nicht h\u00e4tten,\u201c sagte Jacoby. \u201eAber ich schl\u00e4ngelte mich bis zu den Marketing-Abteilungen der Unternehmen durch, die schon das Geld hatten und nicht abgeneigt waren, zur Wohlt\u00e4tigkeit etwas beizutragen.\u201c<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Der Kaspersky Researcher David\u00a0Jacoby\u00a0jagt Programmfehler f\u00fcr Wohlt\u00e4tigkeitsvereine.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F34xs&amp;text=Der+Kaspersky+Researcher+David%C2%A0%3Cspan+class%3D%22username+u-dir%22+dir%3D%22ltr%22%3EJacoby%C2%A0%3C%2Fspan%3Ejagt+Programmfehler+f%C3%BCr+Wohlt%C3%A4tigkeitsvereine.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Ausgehend von diesen Unterhaltungen kam die Idee auf, dass Jacoby, Ros\u00e9n und drei anderen Forscher kostenlose 24-Stunden-lange Penetrationstests durchf\u00fchren w\u00fcrden. Anstelle von einer Bezahlung forderten sie eine Spende f\u00fcr einen von dem jeweiligen Unternehmen ausgesuchten Wohlt\u00e4tigkeitsverein.<\/p>\n<p>\u201eJeder, den wir anriefen, wollte mitmachen. Es war gro\u00dfartig\u201c, sagte Ros\u00e9n.<\/p>\n<p>Bei Bahnof, einem schwedischen ISP, fand die Idee gro\u00dfen Wiederhall. Jacoby bemerkte, dass sie jetzt im Austausch f\u00fcr Pen-Tests Geld f\u00fcr Wohlt\u00e4tigkeitsvereine auf einer monatlichen Basis spendeten.<\/p>\n<p>\u201eEs hat sich gezeigt, dass die Leute dies gerne tun,\u201c sagte Jacoby.<\/p>\n<p><strong><\/strong><\/p>\n<p>Diese Rede \u00fcber ein altruistisches Bug-Bounty-Programm fand auch in unserem Team Wiederhall und wir entschieden uns daf\u00fcr, etwas l\u00e4nger mit Jacoby dar\u00fcber zu sprechen.<\/p>\n<p><strong>\u00a0Kaspersky Daily<\/strong><strong>: <\/strong>Glaubst Du, dass ein wohlt\u00e4tiger Ansatz mehr White-Hats dazu veranlassen w\u00fcrde, etwas Gutes f\u00fcr die Gesellschaft zu tun?<\/p>\n<p><strong>David Jacoby: <\/strong>Ehrlich gesagt glaube ich nicht, dass es die Einstellung von Leuten \u00fcber die Teilnahme an zum Beispiel Bug-Bounties \u00e4ndern wird. Ich glaube aber, dass dadurch neue Arten von Zusammenarbeit zwischen Anbietern und Wohlt\u00e4tigkeitsvereinen oder Sicherheitsfirmen entstehen k\u00f6nnten. Das kann auf l\u00e4ngere Sicht mehr Menschen miteinbeziehen.<\/p>\n<p>Es k\u00f6nnte sein, dass es ma\u00dfgebend in unserem Leben ist, Gutes zu tun. Wir haben nur ein Leben, warum sollten wir es nicht f\u00fcr alle so gut wie m\u00f6glich gestalten?<\/p>\n<p><strong>Kaspersky Daily: <\/strong>In Deiner Rede hast du gesagt, dass es sogar ein Unternehmen gab, das das Geld dazu verwenden wollte, Kinder zu Sicherheitskonferenzen zu schicken. Glaubst Du, dass wenn man ein Programm h\u00e4tte, um junge Leute in Sicherheitsfragen auszubilden, dass es mehr White-Hats und eine bessere Sicherheit z.B. im Internet der Dinge gebe?<\/p>\n<p><strong>David Jacoby:<\/strong> Meine Sicht bezogen auf das IoT ist extrem negativ, da die meisten IoT-Ger\u00e4te von Unternehmen entworfen wurden, die nicht in der IT-Industrie t\u00e4tig sind. Diese sind aus der Haushaltsger\u00e4te- oder Unterhaltungsbranche, daher glaube ich nicht, dass es einen Unterschied machen w\u00fcrde.<\/p>\n<p>Wenn ich \u00fcber Sicherheitskonferenzen nachdenke, bekomme ich dieses beklommene Gef\u00fchl \u2014 wir zeigen Leuten, die bereits in der IT-Industrie t\u00e4tig sind, Sachen, die Spa\u00df machen und nehmen eine Menge Geld f\u00fcr jede Eintrittskarte. Falls wir wirklich etwas \u00e4ndern wollen, sollten wir z.B. Studenten, die bald unsere Kollegen sein werden, einladen. Warum sollen wir den Leuten, die sich bereits mit IT auskennen, etwas beibringen? Das macht keinen Sinn.<\/p>\n<p><strong>Kaspersky Daily:<\/strong> Glaubst Du, dass wenn man einen wohlt\u00e4tigen Ansatz zu einem Bug-Bounty-Programm f\u00fcr weniger Programmfehler hinzuf\u00fcgt, es dabei helfen k\u00f6nnte, die Teilnahme von Menschen an den Programmen allgemein zu erh\u00f6hen?<\/p>\n<p><strong>David Jacoby:<\/strong> Ich hoffe es. Ich m\u00f6chte die Welt \u00e4ndern oder es zumindest versuchen. Meine Vision ist es, Wohlt\u00e4tigkeitsprogramme zu fast allem hinzuzuf\u00fcgen. Hier ein Beispiel: In Schweden gibt es Recycling-Maschinen f\u00fcr leere Getr\u00e4nkedosen, usw. Diese Maschinen haben zwei Kn\u00f6pfe, auf einem steht Spende und der andere erm\u00f6glicht es, Bargeld ausgezahlt zu bekommen.<\/p>\n<p>Wenn ich das Geld spenden m\u00f6chte, sollte ich das tun. Das gilt f\u00fcr alles. Wir sollten kreativ sein und mehr Ideen dieser Art entwickeln!<\/p>\n<p><strong><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/04\/06134619\/SAS-Banner-KB.png\" width=\"1460\" height=\"300\"><\/strong><\/p>\n<p>Wenn man \u00fcber Bug-Bounty-Programme redet, muss hinzugef\u00fcgt werden, dass Kaspersky Lab vor Kurzem das<a href=\"https:\/\/usa.kaspersky.com\/about\/press-releases\/2017_Kaspersky-Lab-Extends-Bug-Bounty-Program\" target=\"_blank\" rel=\"noopener\"> Bug-Bounty-Programm des Unternehmens mit Hacker On<\/a>e erweitert hat, um mehr Produkte einzuschlie\u00dfen und einige der Bounties zu erh\u00f6hen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>David Jacoby vom Kaspersky Lab macht Jagd auf Programmfehler, um der Menschheit zu helfen.<\/p>\n","protected":false},"author":636,"featured_media":10115,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,2712],"tags":[2463,2489,2283,1076,2488,1332,2462],"class_list":{"0":"post-10114","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-special-projects","9":"tag-thesas2017","10":"tag-csr","11":"tag-david-jacoby","12":"tag-great","13":"tag-programmfehler-jagd","14":"tag-sas","15":"tag-sas-2017"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hunting-bugs-for-humanity\/10114\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hunting-bugs-for-humanity\/11069\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hunting-bugs-for-humanity\/8674\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hunting-bugs-for-humanity\/9124\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hunting-bugs-for-humanity\/10456\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hunting-bugs-for-humanity\/10220\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hunting-bugs-for-humanity\/14661\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hunting-bugs-for-humanity\/14738\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hunting-bugs-for-humanity\/6955\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hunting-bugs-for-humanity\/7303\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hunting-bugs-for-humanity\/6656\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hunting-bugs-for-humanity\/15432\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hunting-bugs-for-humanity\/14738\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hunting-bugs-for-humanity\/14738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/10114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/636"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=10114"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/10114\/revisions"}],"predecessor-version":[{"id":21037,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/10114\/revisions\/21037"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/10115"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=10114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=10114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=10114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}