Thought Leadership
HackerOne hat sein „Vulnerability Coordination Maturity“-Modell vorgestellt, in dem Bemühen, die Kommunikation zwischen Forschern und Herstellern rund um die Offenlegung von Sicherheitslücken zu verbessern. Ein Kommentar von Tod Beardsley, Security Research Manager bei Rapid7.
Mit dem „Vulnerability Coordination Maturity“-Modell engagiert sich HackerOne für die Formulierung von angemessenen Mindeststandards, wie Unternehmen mit unaufgefordert eingehenden Schwachstellenberichten umgehen sollen. In der physischen Welt werden wir oft beschworen, „etwas zu sehen und etwas zu sagen“. Dies ist oftmals leider nicht der Fall, wenn es um zufällige oder absichtliche Entdeckung von Software-Schwachstellen geht, auch wenn diese Sicherheitslücken am Ende vielleicht Millionen von Endbenutzern betreffen.
Als Quelle für aktuelle Berichte zu neuesten Schwachstellen sind wir oft frustriert, weil ein Standard fehlt, um unsere Erkenntnisse in einer geregelten Weise an Produktanbieter zu kommunizieren. Seit dem Jahr 2000 konnten wir zumindest auf die Rfpolicy 2.0 zurückgreifen, die zu dieser Zeit in Umlauf gebracht wurde. In sieben von zehn Versuchen kamen bislang jedoch Bounce-Nachrichten zurück beim Versuch, einen Anbieter über [email protected] zu erreichen. Selbst bei Open-Source-Projekten mit ausgereiftem Bug-Tracking wird in der Regel mit Überraschung und Argwohn reagiert, wenn wir uns melden, um schlechte Nachrichten zu übermitteln.
Ich bin zuversichtlich, dass das HackerOne-Modell genau die Menschen erreichen wird, die es erreichen soll, eben die Nicht-Sicherheitsspezialisten. Das Material dürfte für Sicherheitsexperten weniger interessant sein, aber umso mehr für neue Software- und Hardwareanbieter. Dies gilt vor allem, wenn diese Anbieter erstmals mit dem Software-Entwicklungszyklus zu tun haben. Dies wären beispielsweise Startups im Bereich IoT (Internet der Dinge) oder Unternehmen, die erst vor kurzem mit der Integration von Internet-Technologie in ihre Produkte begonnen haben. Es ist tatsächlich etwas gewöhnungsbedürftig, dass externe Forscher einige brisante Details über das eigene Produkt des betroffenen Anbieters kennen. Sich daran zu gewöhnen, ist ein wichtiger Schritt in Richtung einer Normalisierung dieses Prozesses.
Die Arbeit, die HackerOne in dieses Dokument gesteckt hat, ist deutlich sichtbar. Es sollte nicht die Angst schüren, die normalerweise die aus heiterem Himmel eintreffende Offenlegung einer Sicherheitsanfälligkeit auslöst. Wir sind zuversichtlich, dass dieses Verfahren sowohl für Anbieter als auch Forscher, die an ihren Produkten interessiert sind, hilfreich ist. Dies wird zu einem gemeinsamen Verständnis beitragen, wie ein normales und nützliches Verfahren aussehen kann, wenn es zur Offenlegung einer Sicherheitslücke kommt.
Tod Beardsley, Security Research Manager bei Rapid7
