Update: Thurgau und St. Gallen öffnen Bug-Jagd für alle
Abraxas hat das Bug-Bounty-Programm für das Wahlergebnis-Ermittlungssystem öffentlich gemacht. Nun können alle Interessierte das System - das künftig von den Kantonen St. Gallen und Thurgau genutzt werden soll - auf Sicherheitslücken prüfen.
Update vom 22.08.2022: Die Kantone Thurgau und St. Gallen - sowie Abraxas und Bug Bounty Switzerland - haben die Jagd nach Schwachstellen öffentlich gemacht. In der ersten Phase - als das Bug-Bouty-Programm noch privat war - nahmen über 140 IT-Expertinnen und -Experten daran teil. Seit dem 22. August kann jeder, der will, den Quellcode des Wahlergebnis-Ermittlungssystems von Abraxas auf Sicherheitslücken abklopfen.
Der Code wurde auf Github veröffentlicht. Ferner steht eine Testversion des Systems zur Verfügung, um Angriffsversuche starten zu können, wie der Kanton St. Gallen mitteilt. Jede bestätigte gemeldete Schwachstelle werde belohnt - mit bis zu 30'000 Franken. Die Höhe der Summe hängt von den Auswirkungen der Schwachstelle auf die Sicherheit des Systems ab. Die Kantone wollen das System im kommenden Jahr einsetzen. "Wie oder wann genau, ist jedoch abhängig von den Ergebnissen der Offenlegung", heisst es in der Mitteilung.
Seit der ersten Zwischenbilanz der privaten Bug-Jagd haben Sicherheitsforschende ein paar zusätzliche Schwachstellen gefunden. Darunter eine, deren Schweregrad als "high" eingestuft wurde, wie Abraxas in einem Blogeintrag schreibt. Die Sicherheitslücke betrifft die Berechtigungs- und Identitätsverwaltung. "Diese war zu dem Zeitpunkt noch nicht im Auftrag enthalten", schreibt Peter Gassmann, Head of Solution Engineering bei Abraxas. Innert weniger Wochen wurde das System und das dafür verantwortliche Team ebenfalls in das Bug-Bounty-Programm eingebunden. Das Unternehmen wolle auch in Zukunft mit dem Bug-Bounty-Programm Software transparent und damit sicher entwickeln.
Peter Gassmann, Head of Solution Engineering und Mitglied der Geschäftsleitung von Abraxas. (Source: zVg)
"Es ist uns ernst damit", schreibt Gassmann im Blogeintrag weiter. "Wir wollen sichere Software für die Schweiz entwickeln und uns gleichzeitig erneuern. Denn die Sicherheitswelt um uns herum hat sich verändert, die Lage erfordert ein Umdenken. Organisationen müssen sich auf allen Ebenen mit der Bedrohung durch die digitale Kriminalität auseinandersetzen."
Stand 19. August wurden 14 bestätigte Sicherheitslücken gemeldet und Prämien von insgesamt 14'900 Franken ausgezahlt. Mit Ausnahme der erwähnten Schwachstelle wurde der Schweregrad der übrigen Lücken jeweils als "low" oder "medium" eingestuft.
Update vom 05.08.2022:
So läuft die Jagd nach Schwachstellen bei Abraxas
Abraxas hat eine erste Zwischenbilanz der Jagd nach Sicherheitslücken veröffentlicht. Seit dem Start des Bug-Bounty-Programms im Mai ist die Anzahl ethischer Hacker, die das Wahlergebnis-Ermittlungssystem auf Schwachstellen abklopfen, stetig gewachsen.
Daniel Scherrer, Chief Software Architect & Leiter Software Engineering Services bei Abraxas.
Gemäss Abraxas nehmen aktuell über 100 Personen teil. Bis Ende Juli fanden diese 6 gültige Sicherheitslücken. Der Schweregrad reicht von "low" (2 Schwachstellen) bis "medium" (4 Schwachstellen). Keine der Bugs wurde als "high" oder "critical" eingestuft. Für die 6 gefundenen Schwachstellen zahlte Abraxas insgesamt 9400 Franken an Prämien aus, wie Daniel Scherrer, Chief Software Architect & Leiter Software Engineering Services bei Abraxas, in dem Blogeintrag schreibt.
Das Bug-Bounty-Programm befindet sich aktuell noch in einem privaten Modus. In "wenigen Wochen" soll es in ein Public-Bug-Bounty-Programm überführt werden. Dann kann sich jeder dafür anmelden. Wer am privaten Programm teilnehmen will, kann sich hier registrieren.
Ethische Hacker fanden bislang 6 Schwachstellen im Wahlergebnis-Ermittlungssystem von Abraxas. (Source: Abraxas)
Update vom 24.06.2022:
Abraxas öffnet Bug-Bounty-Programm für ethische Hacker
Seit Mai prüft Abraxas die Widerstandsfähigkeit seines System zur Ermittlung von Wahlergebnissen. Dafür spannte der Entwickler mit Bug Bounty Switzerland zusammen. Das Unternehmen bietet sogenannte Bug-Bounty-Programme an, welche die Jagd nach IT-Schwachstellen durch externe ethische Hacker organisieren.
Wer beim private Bug-Bounty-Programm für das Wahlergebnis-Ermittlungssystem mitmachen will, kann sich nun dafür registrieren, wie Sandro Nafzger, CEO von Bug Bounty Switzerland der Redaktion mitteilt. Zum Umfang des Tests gehören das gesamte System und die Infrastruktur, der Source Code sowie die Möglichkeit, verschiedene Rollen mit verschiedenen Accounts auszuprobieren.
Sandro Nafzger, CEO von Bug Bounty Switzerland. (Source: zVg)
Das Ermittlungssystem wurde für Wahlen und Abstimmungen der Kantone St. Gallen und Thurgau entwickelt. Normalerweise seien solche Systeme der digitalen Demokratie nicht öffentlich zugänglich, schreibt Bug Bounty Switzerland auf Linkedin. Abraxas sowie die Kantone St. Gallen und Thurgau würden auf "Sicherheit durch Transparenz" setzen.
Originalmeldung vom 16.05.2022:
Abraxas und Bug Bounty Switzerland lancieren Public-Trust-Programm
Abraxas spannt mit Bug Bounty Switzerland zusammen und führt ein Bug-Bounty-Programm für seine Softwarelösungen für die öffentliche Hand durch. Wie Bug Bounty Switzerland in einer Mitteilung schreibt, wird das System erstmals bei einem neuen Ergebnisermittlungssystem für Wahlen und Abstimmungen der Kantone St. Gallen und Thurgau angewendet.
Das Programm beginnt am 23. Mai 2022 mit einer privaten Phase, in der ausgewählte ethische Hacker und Hackerinnen und IT-Security-Forschende aus der Community von Bug Bounty Switzerland eingeladen werden. Danach wird die Teilnehmerzahl laufend erhöht, bis das Programm öffentlich wird und jeder daran teilnehmen kann. Parallel dazu veröffentlicht Abraxas den Quellcode des Systems veröffentlicht. Gefundene und dokumentierte Schwachstellen werden fortlaufend transparent publiziert. Damit soll ein höchstmögliches Sicherheitslevel erreicht und und das Vertrauen der Öffentlichkeit aufgebaut werden.
Nicht zum ersten Mal findet ein Bug-Bounty-Programm für die öffentliche Hand statt. Auf Bundesebene arbeitet bereits das Nationale Zentrum für Cybersicherheit NCSC mit Bug Bounty Switzerland zusammen und liess diverse IT-Services überprüfen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
AOC lanciert Monitorserie für Kreative
Update: Softwareone-Aktionäre wechseln fast alle Verwaltungsräte aus
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
Securepoint geht auf Roadshow und macht Halt in Pfäffikon
Swisscom ärgert Stammkundschaft mit automatischem Abo-Wechsel
Competec sucht CIO
Projektionswände, LEDs und Cloud: Das war der Secomp Partner Day
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Wenn der Zufall Betrügern in die Hände spielt
