OVH Bug Bounty − zwei Jahre alt und schon ganz groß

Vor zwei Jahren entschied sich OVH, ein Programm zu starten, um die eigenen Sicherheitsmaßnahmen weiter zu stärken. Mit 170 bestätigten Bugs und einer stetig wachsenden und zunehmend involvierten Gemeinschaft von Bug-Jägern (Huntern) ist die Initiative ein Erfolg auf ganzer Linie.

Die bei der 14. Auflage der Nuit du Hack* angekündigte OVH Bug Bounty startete im Juni 2016. Seither meldeten über 120 Hunter 695 Bugs, 170 davon wurden bestätigt. Mithilfe der Initiative kann OVH Tag für Tag die Sicherung seiner Dienste und Produkte vorantreiben. Nassim Abbaoui, Pentester bei OVH, bestätigt: „Unser Bug-Bounty-Programm ergänzt unsere Maßnahmen und Fachkenntnisse, die wir einsetzen, um unseren Kunden die größtmögliche Sicherheit zu garantieren. Es ermöglicht uns, uns auf eine Gemeinschaft spezialisierter und leidenschaftlicher „Jäger“ zu stützen, auf Englisch Hunter genannt, die bei der Suche nach jeder noch so kleinen Sicherheitslücke mithelfen.“ Rundum-Sicherheit Der Beitrag der Hunter ist umso interessanter, da diese Bugs oft Nischen-Schwachstellen betreffen, die angesichts der Masse aller Dienste, die überwacht werden müssen, schwierig zu entdecken sind. Sobald diese Sicherheitslücken untersucht und bestätigt wurden, arbeiten die jeweiligen Teams schnellstmöglich an ihrer Behebung. Einsatzbereich von OVH Bug Bounty sind die Systeme und Produkte der Unternehmensgruppe, mit Ausnahme von Sicherheitslücken im Zusammenhang mit Denial of Service oder Social Engineering. Selbstverständlich sind auch die Infrastrukturen von OVH Kunden davon ausgenommen.

Von den bestätigten Bugs sind wenig überraschend beinahe ein Drittel vom Typ Cross-Site-Scripting (XSS), eine der häufigsten Sicherheitslücken in Verbindung mit Webanwendungen. Danach folgen XML-Injections mit 14 %. „Die Typologie unserer Bugs ist alles in allem klassisch für unsere Tätigkeit“, erklärt Nassim. „Aus technischer Sicht ist die interessanteste Erkenntnis, dass es seit zwei Jahren keine Sicherheitslücke vom Typ SQL-Injection gegeben hat, was eine gute Sensibilisierung der Entwickler gegenüber diesen Sicherheitslücken erkennen lässt.“ Prämien und Reputation Für die Hunter (oder White Hats) sind die Prämien interessant, die je nach Relevanz der bestätigten Bugs und nach Qualität der vorgeschlagenen Maßnahmen variieren. Seit Einführung des Programms vor zwei Jahren haben manche Belohnungen sogar eine Höhe von 10.000 Euro erreicht. „Die Hunter werden außerdem mit einem Punktesystem belohnt, das zu ihrer Reputation beiträgt und ihnen dadurch ermöglicht, auf bestimmte private Bug-Bounty-Programme zuzugreifen“, erläutert Nassim Abbaoui. Aus diesem Grund wird die Gemeinschaft von Tag zu Tag größer und umfasst zahlreiche Profis und erfahrene Laien, die begierig darauf sind, ihr Können zu demonstrieren und sich auf dem Gebiet der IT-Sicherheit einen Namen zu machen.

Eine entschieden europäische Positionierung Für Bug Bounty hätte OVH mit einer amerikanischen Plattform zusammenarbeiten können. Wir haben aber die Entscheidung getroffen, eine europäische Plattform zu wählen, die strenge Datenschutzrichtlinien einhält: bountyfactory.io. Für Hugo Delval, DevOps im Sicherheitsteam von OVH, „wird dadurch auch vermieden, Maßnahmen wie dem Freedom Act (ehemals Patriot Act) unterworfen zu sein, die uns unter dem Vorwand der Terrorismusbekämpfung dazu zwingen könnten, der amerikanischen Regierung Informationen über unsere Infrastrukturen zur Verfügung zu stellen.“ Darüber hinaus befindet sich die von OVH genutzte Plattform, die auch von Qwant, Orange oder BlaBlaCar genutzt wird, selbst auf einer Private-Cloud-Lösung von OVH.

Die zuerst in den 1990er Jahren von Netscape gegründeten Bug-Bounty-Programme haben sich bei den meisten großen Akteuren der IT-Welt weiterentwickelt. Selbst die unbeugsamsten Riesen wie Apple oder Microsoft sind sich des Beitrags dieser gemeinschaftlichen Lösungen bewusst geworden. „Heute zählt man eher jene, die den Sprung noch nicht gewagt haben ...“, so Hugo Delval abschließend.

* Dieses Jahr ist OVH außerdem Sponsor der Nuit de Hack, der größten Zusammenkunft zum Thema IT-Sicherheit in Frankreich, und stellt die Infrastruktur für das Wargame bereit.