Bug-Jäger hacken um die Wette und für einen guten Zweck

Vom 14. bis zum 16. September hat der Event Gohack24 der Schweizer Security-Firma Gobugfree stattgefunden. Der Anlass in den Zürcher Räumlichkeiten der Fernfachhochschule Schweiz begann mit einem Symposium. An diesem erfuhren die Gäste, warum Cybersicherheit nur gemeinsam gelingt. Die Referenten sprachen darüber, was Angestellte, Strafverfolger, IT-Spezialisten und Versicherungen im Cyberernstfall tun beziehungsweise tun sollten. Mehr zum Gohack24 Symposium erfahren Sie hier im Eventbericht.

Am zweiten und dritten Tag des Gohack24 fanden die Educational Tracks statt und die Live Bug Bounty Challenge. An beiden Tagen lieferten diverse Speaker zu unterschiedlichen Themen Inputs aus erster Hand. Das Programm war in Business- und in Tech-Tracks unterteilt und richtete sich an Anfänger und auch an Fortgeschrittene. Am 15. November gab es zudem einen KMU-Track. Neben Präsentationen und Workshops hatte es auch einen interaktiven Escape Room, um die Awareness zu steigern. 

Im Rahmen der Gohack24 fanden zahlreiche Präsentationen und Workshops statt. (Source: Netzmedien)

"Unsere Mission ist es, Cybersicherheit und Bug Bounty Programme einfach zugänglich zu machen", sagte Christina Kistler, Co-CEO von Gobugfree im Gespräch. "Nicht nur für unsere Community von ethischen Hackern, sondern auch für die Personen, die Cyberrisiken in Firmen verantworten." Es gehe darum, Menschen zusammenzubringen und gemeinsam etwas zu lernen. "Indem wir die Zusammenarbeit zwischen diesen Gruppen fördern, können wir die Cyberresilienz steigern und das Thema Cybersicherheit in der Schweiz weiterbringen."

49 gefundene Schwachstellen

Die Veranstaltung kulminierte in der Preisverleihung für die diesjährige Live Bug Bounty Challenge. So eine Live Bug Bounty Challenge sei "eigentlich das Gegenteil eines Hackathons", sagte Kistler. Bei einem Hackathon sei die Herausforderung, innerhalb einer vorgegebenen Zeit etwas bestimmtes zu entwickeln. Bei einer Bug Bounty Challenge werden bereits entwickelte Systeme getestet, um Sicherheitslücken zu finden. Es handelt sich dabei um produktive Systeme - nicht um eigens für die Challenge entwickelte Versuchsumgebungen mit vorgefertigten Schwachstellen. Entsprechend dient der Event dazu, reale Sicherheitslücken zu identifizieren, sodass sie behoben werden können. Und die erfolgreichen Bug-Jäger erhalten für ihre Funde auch echte Bountys. 

13 Programmpartner - mit einem Bounty-Pool von insgesamt 65'000 Franken - beteiligten sich an der Challenge und stellten ihre produktiven Systeme zur Verfügung, wie Kistler sagte. Unter den Programmpartnern befinden sich Grossunternehmen und auch KMUs aus unterschiedlichen Branchen. In diesem Jahr waren unter anderem BDO, Wingo, Threema, Swisslos, Victorinox und Züger Frischkäse mit dabei. 

Die Teilnehmenden reichten insgesamt 105 Meldungen zu möglichen Sicherheitslücken ein, wie Michael Schläpfer, CSO bei Gobugfree, während der Preisverleihung sagte. 49 davon wurden validiert - aufgrund der Natur des Wettbewerbs gab es natürlich viele Mehrfachnennungen derselben Schwachstellen. Insgesamt fanden die ethischen Hacker 5 kritische Schwachstellen sowie 18 mit einem hohen Schweregrad, 13 mit einem mittleren und weitere 13 mit einem niedrigen. Je höher der Schweregrad, desto höher ist die Bounty dafür.

Raphaël Arrouas bzw. Xel (Mitte), gewann die Live Bug Bounty Challenge. Simon Reinhart (links), der auch am Symposium sprach, kam auf den zweiten Platz. Das Podest rundete Collfuse ab. (Source: Netzmedien)

Abgesehen von den Bountys verteilten Gobugfree und die Eventsponsoren auch Preise für die erfolgreichsten ethischen Hacker. Den ersten Platz belegte Raphaël Arrouas (auch bekannt als Xel). Dies war nicht seine erste Live Bug Bounty Challenge, wie er während des Events im Gespräch sagte. "In einem ersten Schritt fokussierte ich mich auf meine Stärken, um dann in einem zweiten Schritt bewusst dort nach Schwachstellen zu suchen, wo niemand sonst gesucht hat", erkläre er. Viele der Teilnehmenden hätten sich auf dieselben Applikationen konzentriert. 

"Es ist grossartig, dass es solche Wettbewerbe gibt", sagte Arrouas. "Denn wir finden sehr reale Schwachstellen und können so dazu beitragen, diese Lösungen sicherer zu machen."

Hacken für einen guten Zweck

Im Rahmen der Veranstaltung hackten die Teilnehmenden auch für einen guten Zweck. Gemeinsam mit den Spendenplattformen Raisenow und Koalect veranstaltete Gobugfree in diesem Jahr zwei "Hack for Good"-Programme. "Die Hälfte der Bountys, die über diese Programme gefunden werden, wird jeweils für einen guten Zweck gespendet", sagte Kistler. "Dieses Jahr kommen die Spenden Save the Children zugute."

Der Event fand in den Zürcher Räumlichkeiten der FFHS statt. (Source: Netzmedien)

"Wir haben vergangenes Jahr 'Hack for Good' als Testballon gestartet und waren überwältigt davon, wie positiv es in der Community ankam und wie viele daran teilnahmen. Das ist nicht selbstverständlich, schliesslich müssen die Bug-Jäger auch bereit sein, die Hälfte ihrer Belohnung abzugeben", erklärte Kistler weiter. 2023 gingen die Spenden an Caritas. "Die 'Hack for Good'-Programme sind übrigens hybrid, das heisst, alle aus unserer weltweiten Community von ethischen Hackern können sich daran beteiligen und die Teilnehmenden müssen nicht zwingend vor Ort am Event sein." 

Der Gohack-Anlass fand 2024 zwar erst zum zweiten Mal statt, aber bereits in diesem Jahr war der Anlass laut dem Organisator ausverkauft. "Wir mussten leider auch ein paar interessierte Personen abweisen", sagte Kistler. "Aber ich hoffe, sie sind dafür nächstes Jahr dabei!"

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.