Secunia launcht unabhängiges "Vulnerability Reward Programme"

Forscher werden für den Koordinationsprozess von Software-Sicherheitslücken honoriert

(PresseBox) ( Copenhagen, )
Secunia, ein führender Anbieter von IT-Sicherheitslösungen, hat heute den Launch eines neuen Programms bekannt gegeben. Secunia wird innerhalb dieses Programms, unabhängig vom Softwarehersteller, die Aufdeckung von Sicherheitslücken bestätigen und mithilfe von Experten die weitere Koordination mit den Herstellern durchführen.

Das Programm "Secunia Vulnerability Coordination Reward Programme" (SVCRP) bietet Experten die Möglichkeit, entdeckte Sicherheitslücken in jeglicher Software durch Dritte zu bestätigen und den Koordinationsprozess mit dem Softwarehersteller durchführen zu lassen. Als Teil des Programms werden diejenigen Experten honoriert, die mit Secunia in Verbindung treten, um Schwachstellen zu melden und diese über Secunia mit den Herstellern koordinieren zu lassen. Diese umfangreiche Initiative wurde entwickelt, um Programme anderer Unternehmen zu ergänzen und wird alle Schwachstellen berücksichtigen, die den Kriterien von Secunia entsprechen.

Carsten Eiram, leitender Sicherheitsexperte bei Secunia erklärt: "Das Besondere bei der Suche nach Schwachstellen ist die eigentliche Aufdeckung, genauso, wie der "proof of concepts" und die Exploits. Nicht so schwerwiegend ist der manchmal extrem aufwändige Koordinations- und Abstimmungsprozess, um die Sicherheitslücke im Anschluss mit dem Hersteller zu beheben. Bei diesem neuen Programm werden wir die Entdeckungen von Sicherheitslücken bestätigen, sowie den Koordinationsprozess durchführen, damit sich die Experten auf spannendere Aspekte der Schwachstellenforschung konzentrieren können."

Eiram ergänzt: "Es gibt andere große Angebote zur Schwachstellenkoordination, aber die meisten sind in ein Geschäftsmodell eingebunden. SVCRP wurde als Ergänzung zu den bereits bestehenden Angeboten entwickelt. Bei vielen anderen Modellen werden Forscher für ihre Entdeckungen bezahlt. Während diese Bezahlung äußerst attraktiv für sie ist, sind die Firmen natürlich sehr wählerisch bei der Auswahl der Schwachstellen, die sie erwerben und koordinieren möchten. Somit können die Wissenschaftler ihre Schwachstellen entweder nicht verkaufen oder ihrer Forschung nicht weiter nachgehen, da sie nicht den Anforderungen bestehender Initiativen entsprechen. Sie würden ihre Entdeckungen trotzdem von unabhängigen Dritten überprüfen und koordinieren lassen."

Einige Forscher haben sich in der Vergangenheit mit formlosen Supportanfragen an Secunia gewandt. Der IT-Sicherheitsexperte möchte jetzt mehr Experten durch einen Bonus dazu ermutigen, die Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen.

Der größte Vorteil unabhängiger Forscher ergibt sich durch Secunias Expertise, Schwachstellen zu bewerten und zu bestätigen und den Experten somit Zeit und Aufwand zu ersparen, indem Secunia die Schließung der Sicherheitslücken auf direktem Weg mit den Herstellern abstimmt. So erhalten Forschungsergebnisse einen zusätzlichen Mehrwert und den Experten ist es erlaubt sich anderen Prioritäten zu widmen.

Vorteile für die Hersteller liegen in der detaillierten Überprüfung der Schwachstellenreports durch Secunia, die das Kernproblem der Codes herausarbeiten. In der Folge erhalten die Hersteller sehr präzise Informationen zu den Sicherheitslücken und werden von Secunia in der vollständigen Behebung der Schwachstellen unterstützt und es wird sichergestellt, dass die Erläuterung von Sicherheitslücken bereits vor Produktlaunch von neuen Patches korrekt erfolgt. Daraus resultiert eine schnellere Untersuchung und gründliche Behebung von Software Problemen. Zusätzlich profitieren sowohl die Forscher als auch die Hersteller von Secunia in der Rolle als zuverlässiger und unabhängiger Vermittler.

Die Anwender werden Vorteile erlangen, da Secunia durch den umfassenden Koordinationsprozess von Sicherheitslücken mit den Forschern, auch vermehrt mit den Herstellern in Kontakt treten wird. Folglich werden zukünftig mehr Lösungen zu Software-Problemen ermittelt, die allgemeine Zuverlässigkeit von Software wird verbessert und letztendlich ein effizienteres Arbeiten erzielt.

Die meisten Anwendungen mit Sicherheitslücken eignen sich für das SVCR-Programm, solange folgende Kriterien erfüllt sind:
- die Sicherheitslücke befindet sich innerhalb einer stabilen Version der Anwendung
- die Sicherheitslücke befindet sich innerhalb der aktuellen Version der Anwendung
- die Anwendung wird vom Hersteller weiterhin unterstützt
- die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt
- Secunia kann die gemeldete Sicherheitslücke bestätigen

Secunias Kunden erhalten vorab keine Meldung über koordinierte Sicherheitslücken von Secunia, seien es interne Entdeckungen oder Lücken, die im Rahmen des SVCRP verwaltet werden. Alle Kunden, sowie die gesamte Community erhalten gleichzeitig die Informationen sobald diese von den Gutachtern bei Secunia veröffentlicht werden. Die Wissenschaftler werden auch weiterhin Zahlungen von Softwareherstellern für ihre Koordinationsarbeit bei Sicherheitslücken erhalten. Secunia wird die Sicherheitslücken mittels aufwändiger Tests in unabhängigen Forschungseinrichtungen prüfen und bestätigen, erhält allerdings von den Herstellern kein Geld oder andere Gegenleistungen, weder für die Koordination noch für die Untersuchungen selbst.

Die Boni für die Aufdeckung von Schwachstellen reichen von hochwertigen Merchandise-Artikeln bis zu zwei jährlich verliehenen Preisen, wie den Besuch einer IT-Sicherheitskonferenz aus einer Auswahl der weltweit beliebtesten Veranstaltungen, inklusive Übernachtung im Hotel. Diese Preise verleiht Secunia im Januar 2012 das erste Mal überhaupt. Eine Auszeichnung bekommt der Experte, der die Abwicklung der interessantesten Sicherheitslücke koordiniert. Diese Lücke wird von Secunia in der Kategorie "Interessantester Koordinationsreport" bewertet. Die Kriterien für die Nominierung beinhalten Komplexität, Auswirkungen, Ebene, sowie der Detailgrad. Die andere Auszeichnung wird an denjenigen Wissenschaftler vergeben, der kontinuierlich richtige und klar detaillierte Schwachstellenreports koordiniert hat, die schnell und einfach von Secunia bestätigt werden konnten. Der Forscher erhält von Secunia die Auszeichnung "Wertvollster Beitrag". Secunia wird auch weiterhin Boni an Forscher vergeben, die die Entdeckungen von Sicherheitslücken koordinieren, basierend auf der individuellen Leistung. Die Teilnahme am Programm ist kostenlos und bedarf keiner Registrierung. Das Programm selbst ist Teil verschiedener Initiativen von Secunia, die der Community zugutekommen.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.