Categories: Sicherheit

EFF startet Bug-Prämienprogramm zu Let’s Encrypt

Kurz nach Start der Public-Beta-Phase von Let’s Encrypt hat die Electronic Frontier Foundation (EFF) ein Prämienprogramm für Finder von Sicherheitslücken aufgelegt. Die US-Organisation gehört zusammen mit Cisco, Mozilla, Akamai, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan zu den Förderern der Lösung, die eine Umstellung von Websites auf sicheres HTTP erleichtern soll.

Das Programm deckt konkret aber eine ganze Reihe Programme ab, an denen die EFF mitarbeitet, nämlich HTTPS Everywhere, Privacy Badger für Chrome und Firefox, Phantom of the Capitol, Action Center, Let’s Encrypt Agent und Boulder. Zudem können Forscher mit Prämien rechnen, die Fehler in Webservices und anderer öffentlich zugänglicher Software der Organisation finden, etwa im Rahmen der Sites eff.org, savecrypto.org und democracy.io.

Gemeldete Fehler müssen in der jeweils jüngsten Version der Programme auftreten. Die EFF bittet darum, sich auf Cross-Site Request Forgery (CSRF/XSRF), Cross-Site Scripting (XSS), Umgehung von Authentifikationsverfahren, Remote-Codeausführung, SQL Injection und Erhöhung von Rechten zu konzentrieren. Bei anderen Fehlern will sie fallweise entscheiden, ob eine Prämierung möglich ist.

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Jetzt Webinar-Aufzeichnung ansehen

Meldungen sollten an die E-Mail-Adresse vulnerabilities@eff.org gehen und einen bereitgestellten GPG-Schlüssel nutzen. Die Organisation bittet sich 90 Tage Zeit vor Veröffentlichung aus, um die Schwachstelle zu beseitigen.

Reich werden können Teilnehmer an dem Programm derzeit noch nicht. Vielmehr erhalten sie Punkte in einer „EFF Security Hall of Fame“ und Sachpreise wie kostenlose EFF-Mitgliedschaft oder Werbeartikel. „Bugs zu melden hilft nicht nur der EFF und demonstriert Ihre Coolness“, schreibt die Organisation. „Koordinierte Offenlegung hilft uns, die NSA am Ausnutzen von Zero-Day-Lücken wie Heartbleed zu hindern. Als für die Nutzung und Entwicklung freier Software engagierte Organisation können wir zudem direkt mit Software-Entwicklern zusammenarbeiten, um betroffene User mit Fixes zu versorgen.“

Abschließend heißt es noch, das jetzt in den Test gestartete Let’s Encrypt sei besonders wichtig. Die EFF denke daher darüber nach, speziell dafür besonders attraktive Prämien auszuloben.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.