We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Bug Bounty: “Helfen Sie uns dabei, noch sicherer zu werden!”


FrankP
30.07.16, 15:54
Seit 04.07.2016 ist Bug Bounty online, unser neues Programm zur Identifikation von Sicherheitslücken auf den OVH Infrastrukturen: bountyfactory.io. Das Ziel? Die kontinuierliche Verbesserung der Sicherheit für alle Services des europäischen Marktführers im Bereich Cloud.

Vorgestellt wurde das neue Projekt bereits am 02. Juli im Rahmen der 14. Ausgabe der „Nuit du Hack“ in der Nähe von Paris. Über Bug Bounty können alle an Informationssicherheit Interessierten mögliche Schwachstellen der API oder des Kundencenters melden. Nach einem internen Testlauf ist das Programm jetzt über die Plattform bountyfactory.io öffentlich zugänglich. Das Prinzip ist ganz einfach: Jede gemeldete Sicherheitslücke wird von unseren Sicherheitsteams überprüft, bei Bedarf wird das Problem gelöst – und eine entsprechende Belohnung ausgezahlt.

„Um einen Anreiz für die Meldung von Sicherheitslücken zu schaffen, gibt es Prämien bis 10.000 €. Für jeden Bericht, durch den ein Problem erkannt und behoben werden kann, wird eine Belohnung fällig, meist finanziell, bei geringfügigen Mängeln auch in Form von kleinen Geschenken oder Gutscheinen.“

Sicherheit liegt uns bei OVH besonders am Herzen
Schon seit der Gründung vor 17 Jahren wird Sicherheit bei der OVH Gruppe ganz besonders großgeschrieben. Die Meldung von Sicherheitslücken war auch vor Bug Bounty möglich – per E-Mail an security[at]ovh.net – und hat die Lösung so manchen Problems eingeleitet. Vincent Malguy vom SOC-Team (Security Operation Center) betont: „Der öffentliche Start von Bug Bounty ist das Ergebnis jahrelanger Überlegungen und Beratungen. Mit der Plattform bountyfactory.io konnten wir das Projekt, das Octave Klaba vorschwebte, endlich konkretisieren.“ Denn alle Bug Bounty Plattformen, die es bis dahin gab, waren amerikanisch. Für ein Unternehmen, das so großen Wert auf die Souveränität der eigenen Daten legt, war es aber unvorstellbar, die Liste der Schwachstellen außerhalb des eigenen Landes zu speichern. Die Plattform, die OVH jetzt für das Programm nutzt, wird intern auf dem Dedicated Cloud Angebot gehostet, einer Infrastruktur also, die schon seit mehreren Jahren nach ISO 27001 zertifiziert ist.
Seit Anfang Juli ist die Plattform nun also öffentlich. Jeder kann mitmachen, vom IT-Security-Spezialisten bis hin zum einfachen Tüftler. Man muss nur einen Account erstellen und schon kann man Sicherheitslücken reporten. Die Mitarbeiter des SOC-Teams werden sofort benachrichtigt und kümmern sich um ein mögliches Patch und natürlich um die Antwort. Gerade diese Schnelligkeit ist natürlich eine wichtige Grundlage für den Erfolg des Programms. Ein zweiter Vorteil ist, dass die White-Hats ebenso schnell – innerhalb von maximal einer Woche – für ihre Arbeit belohnt werden. OVH hat hier eine ganz einfache Regel definiert: Wenn eine Meldung ein Patch zur Folge hat, gibt es auch eine Belohnung. Hierdurch soll die Transparenz des Programms für die White-Hat-Community sichergestellt werden – denn ohne die White-Hats wäre ein solches Programm überhaupt nicht durchführbar. Dank der Plattform ist nicht nur der Austausch über Probleme schneller und flüssiger, OVH kann die Identifizierung und Behebung von Sicherheitslücken so in einem definierten Rahmen und für alle Beteiligten vollkommen transparent abwickeln.

„Bug Bounty ist die optimale Ergänzung unserer Sicherheitsmaßnahmen“

Dennoch ist das öffentliche Programm zur Problemdetektion natürlich nur eine Ergänzung zu den umfassenden Maßnahmen, die bei OVH intern die Sicherheit der Infrastrukturen und der Kundendaten garantieren. So werden beispielsweise jedes Jahr zahlreiche interne und externe Penetrationstests durchgeführt, um sicherzustellen, dass die kritischsten Systeme auch den höchsten Ansprüchen an Datensicherheit genügen. Um das gesamte OVH Spektrum abzudecken und die Zahl der Sicherheitslücken auf ein Minimum zu reduzieren, wurde dann entschieden, das Prozedere für die Meldung einer Schwachstelle zu standardisieren: „Mit Bug Bounty wird unsere gesamte Infrastruktur praktisch ununterbrochen von Personen mit unterschiedlichen Profilen und Kompetenzen getestet. Mit klassischen Audits könnten wir niemals so vielfältige und umfassende Tests über einen so langen Zeitraum ablaufen lassen“, fasst Vincent Malguy die Vorteile zusammen.
Zu den weiteren Maßnahmen zur Verbesserung der Sicherheit gehört auch eine ganze Reihe von Zertifizierungen, darunter ISO 27001 und ISO 27017 sowie auch die PCI-DSS-Norm für das Hosting von Finanzdaten. An einer weiteren Zertifizierung, um auch das Hosting von Gesundheitsdaten übernehmen zu können, wir derzeit gearbeitet. Dank all dieser Tools und Zertifikate können sich die Kunden von OVH jederzeit sicher sein, dass ihre Daten und Applikationen in den Rechenzentren des europäischen Marktführers im Bereich Cloud bestens aufgehoben sind.

WANTED: API-Experten
Aktuell geht es bei Bug Bounty nur um Sicherheitslücken in den Bereichen API und OVH Kundencenter. Bald sollen aber alle OVH Produkte erfasst werden. Für das SOC-Team ist es besonders wichtig, dass die Teilnehmer an Bug Bounty die wichtigsten Grundlagen der API kennen – denn nur so können sie mögliche Bugs überhaupt finden: „Die von uns benutzte Programmiersprache ist üblicherweise Perl, wobei auf einige Mikro-APIs zugegriffen wird, die wiederum in Python implementiert sind“, erklärt Vincent Malguy und verrät anschließend, dass alle Daten in PostgreSQL- und MySQL-Datenbanken gespeichert sind. Alle Operationen für die Konfiguration angeforderter Ressourcen laufen über Robots ab. Konkret heißt das, dass asynchrone Prozesse die Tasks ausführen. Je nach Produkt können die Kommunikationsprotokolle und die Aktionen sehr unterschiedlich ausfallen, von der Ausführung eines Bash-Skripts bis hin zu PowerShell-Aufrufen. Als Betriebssystem verwendet OVH intern meist Debian, und die meisten Teams nutzen die grsecurity Kernel-Funktionen.

„Wenn Sie uns beweisen, dass Sie es geschafft haben, Ihren eigenen Code auf einem unserer Server auszuführen, bringt Ihnen das 10.000 € ein. Da müssten Sie schon 200 Mini-Fehler aufspüren, um auf dieselbe Prämie zu kommen…“

„Auch wenn Geheimniskrämerei nicht zu unseren Sicherheitsmaßnahmen gehört, ist es doch schwierig, noch mehr zu diesem Thema zu sagen, ohne damit alle Details unserer Infrastrukturen preiszugeben“, erklärt Vincent Malguy. „Was ich noch verraten kann, ist, dass wir ein wirklich umfassendes Arsenal an Tools zur Detektion von Schwachstellen einsetzen. Unsere Infrastrukturen werden regelmäßig komplett überprüft. Wenn die Teilnehmer also mit solchen Tools einen Bug aufspüren, haben wir ihn im Zweifelsfall schon längst selbst gefunden und ausgewertet. Für eine entsprechende Meldung braucht man also nicht mit einer hohen Belohnung zu rechnen. Um einmal ganz deutlich zu werden: Gehen Sie neue Wege und konzentrieren Sie sich auf die Qualität des Fehlers! Wenn Sie uns beweisen, dass Sie es geschafft haben, Ihren eigenen Code auf einem unserer Server auszuführen, bringt Ihnen das 10.000 € ein. Da müssten Sie schon 200 Mini-Fehler aufspüren, um auf dieselbe Prämie zu kommen…“

Bug Bounty kennenlernen