Seit Beginn des Programms vor drei Monaten wurden mehr als 60 gültige Berichte eingereicht
Die Bundeswehr hat einen vielversprechenden Start in das kürzlich gestartete Programm zur Freigabe von Sicherheitslücken gemeldet (VDPBw).
Trotz des Mangels an bezahlten Prämien für Bug Bounty haben mehr als 30 Sicherheitsforscher innerhalb von 13 Wochen nach dem Start des Programms mehr als 60 gültige Sicherheitslücken gemeldet, sagte ein Sprecher der Bundeswehr. Der tägliche Schluck.
Diese haben einschließlich Cross-Site-Scripting (XSS), SQL-Injection, Fehlkonfiguration, Datenlecks und Open-Redirect-Fehler.
Das im Oktober 2020 gestartete VDPBw gilt für internetorientierte IT-Systeme und Webanwendungen der verschiedenen Militärabteilungen und Zivilbehörden der Bundeswehr.
Nicht gewinnorientiert
‚SecuNinja‚, derzeit 17. am Öffnen Sie die Bug Bounty Hall of Fame, reichte bei der Bundeswehr Schwachstellenberichte ein, bevor der VDP überhaupt in Kraft trat.
Der deutsche Sicherheitsforscher hat es mir erzählt Der tägliche Schluck Sie waren „neugierig auf die Sicherheitsposition der Bundesbehörden“ und fügten hinzu: „Ein guter Indikator ist normalerweise ihre Website. Dort habe ich angefangen und einige Vulns erfolgreich entdeckt.“
Die „freundliche und hochprofessionelle Kommunikation“ der Bundeswehr hat den Forscher ermutigt, seine Anträge trotz fehlender finanzieller Anreize weiter zu untersuchen.
Bundeswehr CISO Generalmajor Jürgen Setzer
„Einige von uns sind nicht nur gewinnorientiert, sondern auch profitabel [do] aus Neugier hacken oder lernen.
„Ich bin in der glücklichen Situation, dass ich zum Spaß hacken und meine Zeit für einen guten Zweck opfern kann. Und natürlich macht es immer mehr Spaß, wenn Sie Technologien finden, an denen Sie interessiert sind. „“
Auch nicht durch das Fehlen von Bug Bounties abgeschreckt, Marcus Mengs, Hersteller des Raspberry Pi USB Attack Framework P4wnP1, früher gelobt die Bundeswehr für die schnelle Reparatur der Denial-of-Service-Fehler (PDF) fand er per Web-Cache-Vergiftung.
„Diese spezielle Art von Sicherheitsanfälligkeit kann getestet werden, ohne das zu testende System zu beschädigen (wenn dies richtig gemacht wird)“, sagte er. Der tägliche Schluck.
„Ich habe mehrere Ziele getestet, auf denen entweder ein VDP ausgeführt wird oder Schwachstellenberichte akzeptiert werden, um die Sicherheit zu verbessern.“
Bounty Bug Kritik
Trotz des günstigen Starts des Programms sagte Christoph Paul, Sprecher des Bundeszentrums für Cyber- und Informationsdomänendienste (KdoCIR) der Bundeswehr, dass von einigen Seiten Kritik wegen des Fehlens von Bug Bounties laut geworden sei.
„Angemessene finanzielle Belohnungen würden uns in einem sehr langen Prozess innerhalb des vorgegebenen Rahmens als öffentliche Bundesorganisation noch viele formelle, rechtliche und finanzielle Herausforderungen bringen“, sagte er Der tägliche Schluck. „Wir wollten nicht so lange warten“.
Im Gegensatz dazu waren die „formalen oder rechtlichen Aspekte“ der Einrichtung eines beitragsunabhängigen VDP untergeordnet.
VERBUNDEN Dritte Ausgabe des Bug Bounty-Programms der US-Armee für die Implementierung vorbereitet
Übrigens in einem kürzlich geführten Interview mit Der tägliche SchluckDer US-Insektenjäger Tommy DeVoss hat das ähnlich Premium-freie US-Gegenstück zum VDPBw, dem US-Außenministerium von VDP auf HackerOne, als idealer Übungsplatz für unerfahrene Insektenjäger aufgrund der Vielzahl der verwendeten Technologien.
Paul sagte, die Bundeswehr habe ihre „breiten formellen und informellen Verbindungen zur nationalen und internationalen Cybergemeinschaft“ bei der Gestaltung ihrer Politik genutzt.
Der CISO-Generalmajor der Bundeswehr, Jürgen Setzer, hat die Entwicklung des Programms auch in einem am Website der Bundeswehr Im Dezember.
EMPFOHLEN ‚Train the Basics‘ – Bug Bounty Hunter ‚Xel‘ über eine lukrative Karriere im Bereich ethisches Hacken
