SicherheitslückenMozilla und Google locken junge Hacker

Ein Realschüler aus Baden-Württemberg bekommt zum zweiten Mal Geld für das Aufspüren von Sicherheitslücken. Für große Internetunternehmen lohnt sich das. von 

Firefox-Browser

Im Firefox-Browser hat der 17-jährige Robert Kugler zwei Sicherheitslücken gefunden.  |  © LEON NEAL/AFP/Getty Image

Als es eines Nachmittags regnete und ihm langweilig wurde, beschloss Robert Kugler, einen Geheimdienst zu hacken. "Ich habe mir auf Wikipedia eine Liste von Geheimdiensten herausgesucht und dann deren Internetseiten angesehen", sagt der 17-Jährige aus Welzheim bei Stuttgart. Er wurde schnell fündig.

Auf der Website des belgischen Militärgeheimdienstes entdeckte er eine sogenannte XSS-Schwachstelle (XSS steht für Cross-Site-Scripting), mit der es möglich wäre, anderen Besuchern der Seite einen Schadcode unterzujubeln. Geheime Dokumente waren nicht in Gefahr, aber peinlich sind solche Sicherheitslücken trotzdem, vor allem für einen Geheimdienst. Er informierte die Behörde über seinen Fund und bekam Anfang Februar einen Dankesbrief.

Anzeige

Bei rund 50 Organisationen und Unternehmen hat Kugler schon Sicherheitslücken gefunden, darunter Banken, Rundfunkanstalten und die Rüstungsfirma Rheinmetall. Manche bedankten sich mit einem kleinen Präsent, andere reagierten nicht. Mozilla bedankte sich mit Geld.

Im Firefox-Browser von Mozilla hat Kugler zweimal Schwachstellen entdeckt und gemeldet. Beim ersten Mal bekam er 1.500 Dollar, beim zweiten Mal im März 3.000 Dollar.

3.000 Dollar für eine kritische Lücke

Kugler hatte einen Weg entdeckt, den Browser in Windows dazu zu bringen, ein Schadprogramm auszuführen, ohne dass der Nutzer es merkt. Um ernsthaft Schaden anzurichten, müsste dieses Programm allerdings schon vorher auf dem Rechner des Opfers liegen. Mozilla stufte die Sicherheitslücke dennoch als kritisch ein. Sie wird in einer der kommenden Versionen des Browsers endgültig geschlossen, heute wäre sie unter bestimmten Voraussetzungen noch ausnutzbar.

Mozilla hat 2004 ein Programm namens Bug Bounty aufgelegt, um jene zu belohnen, die solche Lücken entdecken und Mozilla darauf hinweisen – und sie nicht etwa selbst ausnutzen oder an Dritte verkaufen. Die 3.000 Dollar zahlt Mozilla für jede kritische Lücke. Andere Unternehmen zahlen mehr.

Programme zur günstigen Qualitätskontrolle

Ein Teenager, der sich Pinkie Pie nennt, hat für seine Hacks sogar schon 160.000 Dollar bekommen, und zwar von Google: Im vergangenen Jahr gewann er zweimal 60.000 Dollar bei Googles Pwnium-Wettbewerben, weil er Schwachstellen im Chrome-Browser entdeckte. Und vor wenigen Wochen bekam er noch einmal 40.000 Dollar für seinen partiellen Hack des browserbasierten Betriebssystems Chrome OS. 

Ähnlich wie Mozilla lässt Google seinen Browser und das Betriebssystem ständig von externen Hackern untersuchen. Chromium Secuirity Rewards Program heißt die Initiative, die es seit 2010 gibt. Für die Unternehmen ist es, auch wenn sie hin und wieder einige Tausend Dollar an Hacker zahlen, eine günstige Qualitätskontrolle.

Zwar hat Robert Kugler nur 30 Minuten gebraucht, um die zweite Lücke im Firefox zu finden. Allerdings beschäftigt er sich schon seit zwei Jahren mit der Software; diese Arbeitszeit muss eingerechnet werden.

Leserkommentare
    • 15thMD
    • 20. April 2013 20:57 Uhr

    Am erschreckendsten hieran ist, wie unser Schulsystem versagt, wenn solch begabte und motivierte Menschen nicht auch von staatlicher Seite gefördert werden und dadurch gegebenfalls die allgemeine Hochschulreife nicht erhalten.

    Ich kann den jungen Talenten nur raten so etwas in den USA zu unterlassen. Sonst twittern sie bald nur noch aus dem Knast. ;)
    http://www.law.cornell.ed...

    5 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    jene besagte Person gar nicht sein, wenn es beim heutigen Kuschelsystem nicht den Zugang zum Gymnasium packt. Schließlich kommt heutzutage bald jeder, der seinen Namen richtig schreiben kann, dorthin. Sie glauben mir nicht? Dann können Sie sich gerne mal bei Lehreren in Großstädten erkundigen, wo die Schnitte künstliche hochgehalten werden. Das hat auch nichts mit Pauschalisierung zu tun! Und woher kennen Sie diese Person so genau?
    Aus Unterbeschäftigung (nicht wegen ihres angeblichen Talents) sitzen heute viele Teenager stundenlang vorm Rechner und üben sich darin, Hacker zu sein. Ich kannte auch genügend Leute, für die Schule nur eine lästige Pflicht war. Hauptsache nicht durchfallen! Aber Seiten hacken zu können ist ja mittlerweile gesellschaftlich anerkannter als gute Leistungen in der Schule zu erbringen. Letztere Leute sind dann nur die dummen Streber, Langweiler, Theoretiker, blablabla. Armes Deutschland,

    meint ein ehemaliger Abiturient, der inzwischen in der IT-Branche arbeitet

  1. jene besagte Person gar nicht sein, wenn es beim heutigen Kuschelsystem nicht den Zugang zum Gymnasium packt. Schließlich kommt heutzutage bald jeder, der seinen Namen richtig schreiben kann, dorthin. Sie glauben mir nicht? Dann können Sie sich gerne mal bei Lehreren in Großstädten erkundigen, wo die Schnitte künstliche hochgehalten werden. Das hat auch nichts mit Pauschalisierung zu tun! Und woher kennen Sie diese Person so genau?
    Aus Unterbeschäftigung (nicht wegen ihres angeblichen Talents) sitzen heute viele Teenager stundenlang vorm Rechner und üben sich darin, Hacker zu sein. Ich kannte auch genügend Leute, für die Schule nur eine lästige Pflicht war. Hauptsache nicht durchfallen! Aber Seiten hacken zu können ist ja mittlerweile gesellschaftlich anerkannter als gute Leistungen in der Schule zu erbringen. Letztere Leute sind dann nur die dummen Streber, Langweiler, Theoretiker, blablabla. Armes Deutschland,

    meint ein ehemaliger Abiturient, der inzwischen in der IT-Branche arbeitet

    Eine Leserempfehlung
    Antwort auf "Guter Artikel."
    Reaktionen auf diesen Kommentar anzeigen
    • wauz
    • 21. April 2013 14:27 Uhr

    Da hat einer etwas geleistet. In den USA wird das anerkannt. Und in Deutschland wird er sofort abgewertet, weil er ja "nur" auf der Realschule war. Das kann ja nichts werden!
    Tatsächlich ist unser Schulsystem ein Kuschelsystem. Nur nicht für alle. Die mit der 'richtigen' sozialen Herkunft bekommen schon ihren 'Abschluss', was das einzige ist, was zählt.
    Weder Talent noch Können werden in unserem akademischen System in irgendeiner Weise abgefragt. Außer, es kommt mal zu so einer fiesen PISA-Studie.
    Deswegen wird es auch in Deutschland mit der IT nichts. Talentfrei und ohne jede Leistung rutschen Leute wie 'K0mmentar' in gut bezahlte Positionen. Dank ihres Abis und ihres ermogelten Doktor-Titels sind sie unangreifbare Entscheider. Wenn es mal richtig eng wird, holt man einen Zeitarbeiter oder prekären Selbständigen, der dann einen Work-Around ausarbeitet.
    In meiner nun doch ganz ordentlichen Berufserfahrung habe ich noch nicht ein Datenbanksystem gesehen, das die betrieblichen Abläufe abbildet, sondern nur, dass man das System bemogeln muss, um seine Arbeit machen zu können. Deswegen heißt es überall auf Anwenderebene nicht Datenbank, sondern "Scheiß-SAP".
    Amerika ist vorne, eben weil sie da wissen, dass ein dicker Scheck der beste Dankesbrief für einen wertvollen Hinweis ist.
    Lieber Kollege Robert Kugler: Mach Deinen Abschluss, eine Elektrikerlehre und dann ab nach CDN, AU oder NZ. Dort weiß man Können und Talent zu schätzen. Und gute Posten gibt es auch.

    • wauz
    • 21. April 2013 14:27 Uhr

    Da hat einer etwas geleistet. In den USA wird das anerkannt. Und in Deutschland wird er sofort abgewertet, weil er ja "nur" auf der Realschule war. Das kann ja nichts werden!
    Tatsächlich ist unser Schulsystem ein Kuschelsystem. Nur nicht für alle. Die mit der 'richtigen' sozialen Herkunft bekommen schon ihren 'Abschluss', was das einzige ist, was zählt.
    Weder Talent noch Können werden in unserem akademischen System in irgendeiner Weise abgefragt. Außer, es kommt mal zu so einer fiesen PISA-Studie.
    Deswegen wird es auch in Deutschland mit der IT nichts. Talentfrei und ohne jede Leistung rutschen Leute wie 'K0mmentar' in gut bezahlte Positionen. Dank ihres Abis und ihres ermogelten Doktor-Titels sind sie unangreifbare Entscheider. Wenn es mal richtig eng wird, holt man einen Zeitarbeiter oder prekären Selbständigen, der dann einen Work-Around ausarbeitet.
    In meiner nun doch ganz ordentlichen Berufserfahrung habe ich noch nicht ein Datenbanksystem gesehen, das die betrieblichen Abläufe abbildet, sondern nur, dass man das System bemogeln muss, um seine Arbeit machen zu können. Deswegen heißt es überall auf Anwenderebene nicht Datenbank, sondern "Scheiß-SAP".
    Amerika ist vorne, eben weil sie da wissen, dass ein dicker Scheck der beste Dankesbrief für einen wertvollen Hinweis ist.
    Lieber Kollege Robert Kugler: Mach Deinen Abschluss, eine Elektrikerlehre und dann ab nach CDN, AU oder NZ. Dort weiß man Können und Talent zu schätzen. Und gute Posten gibt es auch.

    3 Leserempfehlungen

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Mozilla | Wikipedia | Browser | Dollar | Facebook
Service