EFF startet Bug-Prämienprogramm zu Let’s Encrypt

Kurz nach Start der Public-Beta-Phase von Let’s Encrypt hat die Electronic Frontier Foundation (EFF) ein Prämienprogramm für Finder von Sicherheitslücken aufgelegt. Die US-Organisation gehört zusammen mit Cisco, Mozilla, Akamai, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan zu den Förderern der Lösung, die eine Umstellung von Websites auf sicheres HTTP erleichtern soll.

Das Programm deckt konkret aber eine ganze Reihe Programme ab, an denen die EFF mitarbeitet, nämlich HTTPS Everywhere, Privacy Badger für Chrome und Firefox, Phantom of the Capitol, Action Center, Let’s Encrypt Agent und Boulder. Zudem können Forscher mit Prämien rechnen, die Fehler in Webservices und anderer öffentlich zugänglicher Software der Organisation finden, etwa im Rahmen der Sites eff.org, savecrypto.org und democracy.io.

Gemeldete Fehler müssen in der jeweils jüngsten Version der Programme auftreten. Die EFF bittet darum, sich auf Cross-Site Request Forgery (CSRF/XSRF), Cross-Site Scripting (XSS), Umgehung von Authentifikationsverfahren, Remote-Codeausführung, SQL Injection und Erhöhung von Rechten zu konzentrieren. Bei anderen Fehlern will sie fallweise entscheiden, ob eine Prämierung möglich ist.

Meldungen sollten an die E-Mail-Adresse vulnerabilities@eff.org gehen und einen bereitgestellten GPG-Schlüssel nutzen. Die Organisation bittet sich 90 Tage Zeit vor Veröffentlichung aus, um die Schwachstelle zu beseitigen.

Reich werden können Teilnehmer an dem Programm derzeit noch nicht. Vielmehr erhalten sie Punkte in einer „EFF Security Hall of Fame“ und Sachpreise wie kostenlose EFF-Mitgliedschaft oder Werbeartikel. „Bugs zu melden hilft nicht nur der EFF und demonstriert Ihre Coolness“, schreibt die Organisation. „Koordinierte Offenlegung hilft uns, die NSA am Ausnutzen von Zero-Day-Lücken wie Heartbleed zu hindern. Als für die Nutzung und Entwicklung freier Software engagierte Organisation können wir zudem direkt mit Software-Entwicklern zusammenarbeiten, um betroffene User mit Fixes zu versorgen.“

Abschließend heißt es noch, das jetzt in den Test gestartete Let’s Encrypt sei besonders wichtig. Die EFF denke daher darüber nach, speziell dafür besonders attraktive Prämien auszuloben.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.