Was ist ein Bug Bounty Programm?

Was ist ein Bug Bounty Programm?. Mit mehr als 1,5 Milliarden Dollar Kryptowährung, die 2018 gestohlen wurde, hat sich die Industrie als ein Paradies für Hacker erwiesen. Die ganze Rede davon, dass Blockchain-Technologie sicher ist, macht es nicht kugelsicher. Und was sekundäre Software wie Wallet Provider und Börsen betrifft, sind viele immer noch schwer verwundbar. Hier kommen vorbeugende Initiativen wie ein Bugbounty-Programm ins Spiel.
Was genau ist ein Bug Bounty Programm?
In Wirklichkeit ist „Bug Bounty“ zum Schlagwort de jour geworden. Andere Namen für diese Art von Cybersicherheitsaktivitäten sind ethisches Hacking, White Hat Hacking, Vulnerability Rewards Program (VRP) und so weiter.
Der Hauptunterschied zwischen einem Bug Bounty Programm und White Hat Hacking besteht jedoch darin, dass das Programm vom Unternehmen selbst initiiert wird. Sie laden Hacker aktiv ein, nach Fehlern in ihrem System zu suchen und sie zu kompensieren, wenn sie dies tun.
Viele Websites und Softwareanbieter zahlen eine gesunde Entschädigung für ethische Hacker, die Fehler finden und diese melden. Die Fehlerberichte müssen genügend Informationen enthalten, damit das Unternehmen die Schwachstelle selbst reproduzieren kann.
Die Kompensation richtet sich nach Größe und Umfang der Sicherheitsanfälligkeit und den Auswirkungen, die sie haben könnte. Laut Quellen zahlte Mozilla normalerweise eine Pauschalgebühr von $3.000 pro Kopfgeld aus, während Facebook bis zu $20.000 bezahlt hat. Apple hat sogar bis zu 200.000 Dollar für einen Fehler in seinen iOS-Sicherheitsstart-Firmware-Komponenten ausgeschossen.
Hacker stoppen, bevor der Schaden angerichtet wird
Hacker einen Schritt voraus zu sein ist unerlässlich. Deshalb sollten Blockchain-Unternehmen immer eine Art Bug Bounty-Programm oder eine kontinuierliche Crowdsource Security Assessment (OCSA) haben. Laut Forschung an den Top 100 Kryptowährungsbörsen tun es jedoch nur 13% von ihnen.
Bug Bounty-Programme sind in der Regel sehr effektiv, aber sie können umstritten sein. Schließlich ermutigen Sie im Wesentlichen illegale Aktivitäten - oder schlimmer noch, Hacker, die bereits Geld stehlen, zu einem zusätzlichen Lebensunterhalt zu machen.
Allerdings kann ein Bug Bounty-Programm auch zu Beschäftigung und dauerhaften Beziehungen führen, wie dies bei den Cybersicherheits-Spezialisten Red4Sec und NEO der Fall ist.
Ein Beispiel für ethisches Hacking als Service
Laut den Mitbegründern von Red4Sec, Fernando Díaz Toledano und Jaime Kindelan sind Bug Bounty Programme in Blockchain noch relevanter als herkömmliche Internetanwendungen. Warum? Wegen der Unveränderlichkeit von Blockchain.
Jaime erklärt: „Der Hauptunterschied besteht darin, dass, wenn Sie einen Fehler mit Blockchain begehen, es unveränderlich ist. Wenn Sie also ein Problem finden, ist es viel schwieriger zu beheben. Die Blockchain ist so konzipiert, dass sie nicht geändert werden kann. Daher ist es viel wichtiger, sich der potenziellen Probleme in der Anfangsphase bewusst zu sein.
Fernando erinnert an seine Worte: „Wenn Sie einen Fehler in der Blockchain finden, ist es nicht so einfach, sie zu ändern. Es ist bereits in der Blockchain geschrieben, es ist nicht wie das Web. Wie bei den Hacks, wenn die Mittel weg sind, sind sie weg. Daher ist es viel wichtiger, sich in der Anfangsphase auf Sicherheit und Prävention zu konzentrieren.
Hier kommt ethisches Hacking (oder Bug Bounties) ins Spiel. Das Red4Sec Team bietet seit vielen Jahren traditionelle Cybersicherheitsdienste an. Aber leidenschaftlich von neuer Technologie und immer auf der Suche nach mehr zu erfahren, begannen sie 2017 Blockchains zu analysieren und beschlossen, sich auf NEO zu konzentrieren.
Jaime erinnert sich: „Durch unsere Analyse fanden wir einige wichtige Schwachstellen und meldeten sie NEO. Sie mochten, wie wir es gemacht haben, sie gaben uns eine Entschädigung und eine dreimonatige Studie, die ihre Blockchain überwacht. Seitdem arbeiten wir mit ihnen und den Entwicklern der Stadt Zion zusammen.“
Fernando unterbricht: „Wir haben jetzt eine sehr gute Beziehung zu ihnen, wir sind eigentlich Mitglieder der Stadt Zion und wir sind auch Mitglieder des NEO Kernentwicklungsteams. Wir sind sehr nah dran.“
Sich in die Schuhe eines Hackers setzen
Ich frage, was sie als erstes tun, wenn sie nach Möglichkeiten suchen, eine Blockchain zu hacken. Und für Leser, die es nicht wussten, ist es ein Mythos, dass Blockchains nicht gehackt werden können. Es ist nur, dass der Aufwand gegen Belohnung Kompromisse bei einigen Blockchains höher sind als bei anderen.
Das Hacken der Bitcoin-Blockchain zum Beispiel ist technisch möglich, aber es würde die Ressourcen eines kleinen Landes erfordern und die Auszahlung wäre geringer als die Kosten. Kleinere Blockchains und sicherlich private Blockchains sind viel einfachere Ziele.
Jaime fährt fort: „Wir analysieren den Code der Anwendung, den Smart Contract oder die Blockchain selbst und stellen sicher, dass es keine Sicherheitslücken gibt.
„Dann machen wir eine auditive Phase.... Wir stecken uns in die Schuhe des Hackers und versuchen, darüber nachzudenken, wie ein Hacker angreifen würde und wie er das Geld stehlen würde. Sobald wir den Weg gefunden haben, korrigieren wir ihn, damit das Fenster der Gelegenheit verschwunden ist.“
Abschließende Gedanken
Bug Bounties, ethisches Hacking und jede Art von Programm, das Fehler vor Hackern findet, ist entscheidend für die kontinuierliche Sicherheit und Entwicklung der Blockchain-Technologie.
Unternehmen wie Red4Sec haben sicherlich viel Arbeit angesichts der schiere Menge von Verstößen und Hacks in Börsen, Blockchains und Smart Contracts. Doch selbst wenn man eine immer größere Angriffsfläche betrachtet, ist dieses Team nicht abgeschreckt. Sie glauben immer noch, dass Blockchain die Zukunft ist und dass alle Anwendungen schließlich darauf migrieren werden.
Und obwohl es viele Verstöße gibt, endet Fernando mit einer positiven Note: „Als wir mit der Blockchain-Sicherheit begonnen haben, haben wir definitiv viele Projekte gesehen, die mit ihrer Sicherheit lax waren und nicht genug nachgesehen haben. Wir haben in letzter Zeit viel mehr Sicherheitsbewusstsein gesehen, und es verbessert sich definitiv.“