Deutsche Streitkräfte enthüllen ermutigenden Start des Programms zur Offenlegung von Sicherheitslücken

Deutsche Streitkräfte enthüllen ermutigenden Start des Programms zur Offenlegung von Sicherheitslücken

Seit Beginn des Programms vor drei Monaten wurden über 60 gültige Berichte eingereicht

Die Bundeswehr hat einen vielversprechenden Start ihres kürzlich gestarteten Programms zur Offenlegung von Sicherheitslücken gemeldet (VDPBw).

Trotz des Mangels an bezahlten Bug-Belohnungen haben mehr als 30 Sicherheitsforscher innerhalb von 13 Wochen nach dem Start des Programms mehr als 60 gültige Sicherheitslücken gemeldet, sagte ein Sprecher der Bundeswehr. Der tägliche Schluck.

Diese haben inbegriffen Cross-Site-Scripting (XSS), SQL-Injection, Fehlkonfiguration, Datenleck und offene Umleitungsfehler.

Das im Oktober 2020 gestartete VDPBw gilt für Computersysteme und Webanwendungen, die mit dem Internet verbunden sind und den verschiedenen militärischen Zweigen und Behörden der Zivilverwaltung der deutschen Streitkräfte gehören.

Gemeinnützig

SecuNinja‘, die derzeit auf dem 17. Platz liegt Öffne die Bug Bounty Hall of Fame, hat der Bundeswehr bereits vor der Einrichtung des VDP Schwachstellenberichte vorgelegt.

Der deutsche Sicherheitsforscher sagte Der tägliche Schluck Sie waren “neugierig auf die Sicherheitsposition der Bundesbehörden” und fügten hinzu: “Ein guter Indikator ist normalerweise ihre Website. Hier habe ich also begonnen und einige Schwachstellen erfolgreich entdeckt.”

Die „freundliche und sehr professionelle Kommunikation“ der Bundeswehr ermutigte den Forscher, seine Bewerbungen trotz fehlender finanzieller Anreize weiterhin zu prüfen.

kein WortBundeswehr CISO Division General Jürgen Setzer

„Einige von uns sind nicht nur gewinnorientiert, sondern auch [do] aus Neugier hacken oder lernen.

„Ich bin in der glücklichen Lage, dass ich zum Spaß hacken und meine Zeit für die Sache opfern kann. Und natürlich macht es immer mehr Spaß, wenn Sie die Technologie finden, an der Sie interessiert sind. “”

Auch unbeirrt vom Mangel an Bug Bounties, Marcus Mengs, Entwickler des Raspberry Pi P4wnP1 USB-Angriffs-Frameworks, hat bereits gemietet die Bundeswehr soll das schnell beheben Denial-of-Service-Fehler (PDF) fand er per Web-Cache-Vergiftung.

READ  Herbst 2020 Update ("20H2"): Microsoft bereitet die nächste Version von Windows 10 vor

“Diese besondere Art von Sicherheitsanfälligkeit könnte getestet werden, ohne das zu testende System zu beschädigen (wenn dies richtig gemacht wird)”, sagte er. Der tägliche Schluck.

“Ich habe verschiedene Ziele getestet, die ein VDP ausführen oder Schwachstellenberichte akzeptieren, um die Sicherheit zu verbessern.”

Bug Bounty Review

Trotz des vielversprechenden Starts des Programms sagte Christoph Paul, Sprecher am Sitz des Bundesamtes für Cyber- und Informationsdienst (KdoCIR) der Bundeswehr, es habe von einigen Seiten Kritik an der Abwesenheit von Bug Bounties gegeben.

“Angemessene finanzielle Belohnungen hätten in einem sehr langen Prozess für uns als gegebene föderale öffentliche Organisation noch viele formelle, rechtliche und finanzielle Herausforderungen zu lösen”, sagte er. Der tägliche Schluck. “Wir wollten nicht so lange warten”.

Andererseits waren die „formalen oder rechtlichen Aspekte“ bei der Umsetzung eines VDP ohne Boni gering.

VERBUNDEN Vorbereitung auf die dritte Ausgabe des Bug Bounty-Programms der US-Armee

Übrigens in einem kürzlichen Interview mit Der tägliche SchluckDer US-amerikanische Insektenjäger Tommy DeVoss beschrieb das US-amerikanische Gegenstück der VDPBw, das US-Verteidigungsministerium VDP auf HackerOne, aufgrund der Breite der verwendeten Technologien ein idealer Übungsplatz für unerfahrene Insektenjäger.

Paul sagte, die Bundeswehr habe ihre “breiten formellen und informellen Verbindungen in der nationalen und internationalen Cybergemeinschaft” genutzt, um ihre Politik zu entwerfen.

Der CISO der Bundeswehr, Generalmajor Jürgen Setzer, reflektierte die Entwicklung des Programms auch in einem am Website der Bundeswehr Im Dezember.

EMPFOHLEN ‘Train the Basics’ – Bug Bounty Hunter ‘Xel’ schmiedet eine profitable Karriere im Bereich ethisches Hacken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.