Experten sollen durch Boni ermutigt werden, Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen

[datensicherheit.de, 08.11.2011] Secunia hat am 2. November 2011 ein neues Programm gestartet, in dessen Rahmen Secunia unabhängig vom Softwarehersteller die Aufdeckung von Sicherheitslücken bestätigen und mithilfe von Experten die weitere Koordination mit den Herstellern durchführen will:
Das Programm „Secunia Vulnerability Coordination Reward Programme” (SVCRP) soll Experten die Möglichkeit bieten, entdeckte
Sicherheitslücken in jeglicher Software durch Dritte zu bestätigen und den Koordinationsprozess mit dem Softwarehersteller durchführen zu lassen. Als Teil des Programms würden diejenigen Experten honoriert, die mit Secunia in Verbindung treten, um Schwachstellen zu melden und diese über Secunia mit den Herstellern koordinieren zu lassen. Diese weitreichende Initiative sei entwickelt worden, um Programme anderer Unternehmen zu ergänzen, und werde alle Schwachstellen entsprechende den Secunia-Kriterien berücksichtigen.
Einige Forscher hätten sich in der Vergangenheit mit formlosen Supportanfragen an Secunia gewandt. Der IT-Sicherheitsexperte möchte jetzt mehr Experten durch einen Bonus dazu ermutigen, die Koordinationsaufgaben für aufgedeckte Schwachstellen von dem Unternehmen durchführen zu lassen. Der größte Vorteil unabhängiger Forscher ergebe sich durch Secunias Expertise, Schwachstellen zu bewerten und zu bestätigen, wodurch den Experten somit Zeit und Aufwand erspart würden, indem Secunia die Schließung der Sicherheitslücken auf direktem Weg mit den Herstellern abstimme. Vorteile für die Hersteller lägen in der detaillierten Überprüfung der Schwachstellenreports durch Secunia, die das Kernproblem der Codes herausarbeiteten. In der Folge erhielten die Hersteller sehr präzise Informationen zu den Sicherheitslücken und würden von Secunia in der vollständigen Behebung der Schwachstellen unterstützt; es werde auch sichergestellt, dass die Erläuterung von Sicherheitslücken bereits vor Produktlaunch von neuen Patches korrekt erfolge. Daraus resultiere eine schnellere Untersuchung und gründliche Behebung von Software-Problemen. Zusätzlich profitierten sowohl die Forscher als auch die Hersteller von Secunia in der Rolle als zuverlässiger und unabhängiger Vermittler.
Die Anwender würden Vorteile erlangen, da Secunia durch den umfassenden Koordinationsprozess von Sicherheitslücken mit den Forschern auch vermehrt mit den Herstellern in Kontakt treten werde. Folglich würden zukünftig mehr Lösungen zu Software-Problemen ermittelt, die allgemeine Zuverlässigkeit von Software wird verbessert und letztendlich ein effizienteres Arbeiten erzielt.

Die meisten Anwendungen mit Sicherheitslücken sollen sich für das „SVCR-Programm“ eignen – folgende Kriterien müssten erfüllt sein:

• Die Sicherheitslücke befindet sich innerhalb einer stabilen Version der Anwendung.
• Die Sicherheitslücke befindet sich innerhalb der aktuellen Version der Anwendung.
• Die Anwendung wird vom Hersteller weiterhin unterstützt.
• Die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt.
• Secunia kann die gemeldete Sicherheitslücke bestätigen.

Alle Kunden Secunias sowie die gesamte Community sollen die Informationen gleichzeitig erhalten, sobald diese von den Gutachtern bei Secunia veröffentlicht werden.
Die Wissenschaftler würden auch weiterhin Zahlungen von Softwareherstellern für ihre Koordinationsarbeit bei Sicherheitslücken erhalten. Secunia werde die Sicherheitslücken mittels aufwändiger Tests in unabhängigen Forschungseinrichtungen prüfen und bestätigen, erhalte allerdings von den Herstellern kein Geld oder andere Gegenleistungen, weder für die Koordination noch für die Untersuchungen selbst.
Die Boni für die Aufdeckung von Schwachstellen reichten von hochwertigen Merchandise-Artikeln bis zu zwei jährlich verliehenen Preisen, wie den Besuch einer IT-Sicherheitskonferenz aus einer Auswahl der weltweit beliebtesten Veranstaltungen, inklusive Übernachtung im Hotel. Diese Preise verleihe Secunia im Januar 2012 das erste Mal überhaupt. Eine Auszeichnung bekomme der Experte, der die Abwicklung der interessantesten Sicherheitslücke koordiniert. Diese Lücke werde von Secunia in der Kategorie „Interessantester Koordinationsreport“ bewertet. Die Kriterien für die Nominierung beinhalteten Komplexität, Auswirkungen, Ebene sowie Detailgrad. Die andere Auszeichnung werde an denjenigen Wissenschaftler vergeben, der kontinuierlich richtige und klar detaillierte Schwachstellenreports koordiniert habe, die schnell und einfach von Secunia hätten bestätigt werden können. Dieser Forscher erhalte von Secunia die Auszeichnung „Wertvollster Beitrag”. Secunia werde auch weiterhin Boni an Forscher vergeben, die die Entdeckungen von Sicherheitslücken koordinieren, basierend auf der individuellen Leistung. Die Teilnahme am Programm sei kostenlos und bedürfe keiner Registrierung.

Weitere Informationen zum Thema:

Secunia
Secunia Vulnerability Coordination Reward Program (SVCRP)