Zum Hauptinhalt springen

Diskussion

Diese Arbeit hat gezeigt, dass Sony im Laufe der Zeit sehr unterschiedlich mit Hackern umgegangen ist. Von den ersten Hackern, die Modchips für die PlayStation 1 und 2 hergestellt und vertrieben haben, denen mit einer Klage verboten wurde, die Chips zu vertreiben bis zu den Hackern, die für ihre Arbeit auf der PlayStation 4 entlohnt werden.

Die Vorteile eines Bug-Bounty-Programms

Die Unternehmen, die an einem Bug-Bounty-Programm teilnehmen, sind von der Motivation des Programms offensichtlich überzeugt. Ein solches Programm hilft dem Unternehmen, eine Sicherheitslücke zu schließen, bevor sie von der breiten Masse ausgenutzt wird. Damit wird beispielsweise bei Sonys Spielekonsolen das Abspielen von Raubkopien verhindert, da entsprechende Sicherheitslücken erst an die Öffentlichkeit dringen, nachdem sie behoben wurden und ein Großteil der Nutzerbasis ihre Konsolen bereits auf die aktuellste Version aktualisiert hat. Ein Nutzer wird die Updates im Normalfall installieren, die ein System ihm anbietet, gerade um weiterhin in den Genuss der Online-Funktionalität der Konsole zu kommen. Nur informierte Nutzer werden sich vermutlich auf einschlägigen Szene-Newsseiten oder bei den Hackern auf Twitter und anderen Social-Media- oder Code-Sharing-Plattformen informieren, um zu wissen, wann ein Update ausgesetzt werden sollte. Dabei handelt es sich vermutlich um eine geringe Zahl von Nutzern, wobei einschlägige Webseiten bei der Recherche eine Vielzahl von Angeboten zutage gefördert haben, in deren Kommentarsektionen sich viele Nutzer für die zur Verfügung gestellten Spiele bedanken.

In diesem Fall haben Bug-Bounty-Programme etwas Gutes (für das teilnehmende Unternehmen), denn sie sorgen dafür, dass die Systeme sicher bleiben und etwaige Reparaturen durch den Hersteller durch unsachgemäße Anwendung der Exploits ausbleiben. Die Hacker haben auch einen Vorteil davon: Sie dürfen das tun, was sie sonst in ihrer Freizeit sowieso getan hätten, nämlich die Sicherheitskonzepte der Konsole untersuchen und Schwachstellen aufdecken. Als Gegenleistung erhalten sie von den Unternehmen Geld für ihre Arbeit.

Die Nachteile eines Bug-Bounty-Programms

Der Chaos Computer Club (CCC) berichtete im Jahr 2021 über den Umgang der CDU mit der Meldung von Sicherheitslücken in ihrer Wahlkampf-App.1 Anstatt sich bei Lilith Wittmann, ihrerseits CCC-Aktivistin, für die Untersuchung der App "CDUconnect" und der Meldung der Sicherheitslücken zu bedanken, stellte die Partei Strafantrag gegen die Aktivistin. Solche Fälle soll es im Jahr 2021 öfter gegeben haben, berichtet das Hacker-Kollektiv Zerforschung.2

Der CCC beschreibt ein solches Vorgehen als "Shooting the Messenger":1

"'Shooting the Messenger' wird die dysfunktionale Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen."

Als Hacker geht man also das Risiko ein, von dem Unternehmen (oder in diesem Falle der Partei) verklagt zu werden, obwohl man mit einem Responsible Disclosure darauf hinweisen möchte, dass eine Sicherheitslücke vorliegt und man nicht die Absicht hat, diese auszunutzen. Der Chaos Computer Club hat daher die Konsequenz aus diesem Fall gezogen, dass sie keine Sicherheitlücken mehr an die CDU meldet, "[u]m künfitg rechtliche Auseinandersetzungen zu vermeiden".1

Ein weiterer Aspekt eines Bug-Bounty-Programms ist, dass man sich den Regeln der Plattform, sofern eine Plattform verwendet wird, sowie den Bestimmungen des Unternehmens innerhalb des Bug-Bounty-Programms hingibt. Wenn in den Bestimmungen beispielsweise festgehalten wird, dass man über gefundene Sicherheitslücken nicht sprechen darf, dann ist man daran gebunden. Sony gestattet eine Veröffentlichung der Sicherheitslücke nachdem sie die Lücke geschlossen haben. Von den 312 Berichten, die PlayStation im Bug-Bounty-Programm bisher (Stand 29.8.2022) erhalten hat, wurden lediglich 13 "disclosed", also der Öffentlichkeit zur Verfügung gestellt. Ein solches öffentliches Disclosure muss von dem Hacker angefragt werden und Sony muss diesem Disclosure auch zustimmen. Für Sicherheitslücken, die die integrale Sicherheit des Systems gefährden, werden wohl keine Disclosures gestattet und einige Hacker haben vermutlich auch kein Interesse daran, die gefundenen Lücken zu veröffentlichen.

Damit entsteht direkt ein weiterer Kritikpunkt: Wie Felix von Leitner in seinem Blog "Fefes Blog" schreibt, verknüpfen "Hersteller […] ihre Bug-Bounty-Programme mit Vertragsklauseln, die zum Schweigen verpflichten. In krassen Fällen wie hier bei Crowdstrike führt das dazu, dass es kein einziges CVE gegen die gibt."3 "CVE" steht für "Common Vulnerability and Exposures", also bekannte Schwachstellen und Anfälligkeiten. Schwachstellen werden, sobald sie bekannt werden, von der MITRE Corporation5 in einer globalen Liste6 geführt und sind für alle einsehbar. Durch die Bug-Bounty-Programme werden viele Sicherheitslücken allerdings niemals öffentlich gemacht. Die Hersteller bezahlen die Hacker somit, um ihre Software sicherer zu machen und nutzen das erlangte Wissen, um bestimmte Sicherheitsvorkehrungen in der eigenen Version der Software zu reparieren, lassen aber die Öffentlichkeit völlig im Dunklen darüber, welche Sicherheitslücken sich in ihren sonstigen Produkten befinden.

Von Leitner führt auf seinem Blog in einem Artikel weitere Kritikpunkte aus:4

Ich habe von Anfang an vor Bug-Bounty-Programmen gewarnt und auch nie an welchen teilgenommen. Das hat mehrere Gründe:

  1. Das schiebt das Risiko auf mich, den Forscher. Wenn ich nichts finde, werde ich für meinen Aufwand nicht bezahlt. Sehe ich nicht ein. Go fuck yourselves.
  2. Das schafft einen Markt für 0-days. Das führt dazu, das 0-days zurückgehalten werden, was uns allen schadet. Es ist schlimm genug, dass die Geheimdienste für 0-days zahlen, und da hätte der Gesetzgeber dringend etwas gegen unternehmen müssen. Es ist noch schlimmer, wenn die Hersteller mitmachen.
  3. Es führt zu Szenarien […], die für mich als Außenstehenden wie Erpressung aussehen. […]
  4. Es führt dazu, dass es für Unternehmen billiger ist, ihre Bugs per Bug Bounty zu crowdsourcen, als sich mal um eine funktionierende Qualitätssicherung zu bemühen.

Die sogenannten "0-days" sind dabei Sicherheitslücken, die an dem Tag veröffentlicht werden, an dem sie gefunden wurden. Damit haben Hersteller null Tage Zeit, die Lücke zu beheben und Hacker die Zeit, die Lücke auszunutzen. In dem Beispiel, auf das Von Leitner sich bezieht, geht es um eine Sicherheitslücke im Apple-Betriebssystem macOS. Da Apple zum damaligen Zeitpunkt kein Bug-Bounty-Programm für macOS anbot, weigerte der Hacker sich, die Lücke zu melden. Von Leitner skizzierte ein mögliches weiteres Vorgehen seitens Apple durch "ein paar anwaltlichen Briefe[n] und [dem Zukommenlassen] eine[r] Bewährungsstrafe".

  1. CCC meldet keine Sicherheitslücken mehr an CDU
  2. Deine Software, die Sicherheitslücken und ich
  3. Fefes Blog, 22. August 2022
  4. Solving Problems for a Safer World | MITRE
  5. CVE - CVE
  6. Fefes Blog, 8. Februar 2019