Wer sich mit einem Security Champion verabredet, erwartet vielleicht das Klischee eines nerdigen Hackers, doch weit gefehlt: Der junge Mann, der nun im Sitzungsraum in der Circle-Niederlassung von Abraxas am Flughafen Zürich sein Notebook aufklappt, ist vor allem eines: sehr gründlich. «Eingeschossen auf das Problem muss man als Entwickler sein», sagt Shervin Lepinat, 22. «Verbissen fast!»
Er hat vor mehr als einem Jahr bei Abraxas die Lehre als Informatiker der Fachrichtung Applikationsentwicklung mit der besten individuellen Projektarbeit (IPA) seines Jahrgangs abgeschlossen. 5.9 – das ist nicht sein CVSS, darüber später mehr. Shervin wollte, schon seit er denken kann, mit Computern arbeiten. Er begann mit Java-Erweiterungen für ein Game, entwickelte privat einen Liveticker für eine Thaibox-Gala sowie mehrere komplexe Websites – und ist stolz auf seine Arbeit: «Mehrwerte für Kunden schaffen, das ist cool.»
Verbissen auf Sicherheit fokussiert
Seit einem Jahr ist der Fullstack-Entwickler im Webteam auch Mitglied der internen Software Security Group und des neunköpfigen «Security Champions Team», so wird das Triage-Team liebevoll intern genannt. «Software-Sicherheit schafft Vertrauen», sagt Shervin und meint damit auch das Vertrauen, das nach mehr als drei Jahren Bug-Bounty-Programmen bei Abraxas die Gilde der Bug-Bounty-Hunter – der Security-Researcher – Abraxas entgegenbringt. Der Prozess ist so gut eingespielt, dass es kaum zu unlösbaren Meinungsverschiedenheiten mit den Security-Researchern kommt, die ihre Findings einreichen und auf eine Prämie für ihre Schwachstellen-Beute hoffen.
Deren Höhe hängt nämlich vom festgelegten CVSS ab. Mit dem Score – je höher, desto kritischer – wird beurteilt, wie rasch eine Schwachstelle geschlossen werden muss. Bisher hat Shervin selbst 26 Findings entgegengenommen und den ganzen internen Prozess geführt – bis hin zum Kontakt mit den Security-Researchern und dem Vermitteln der internen Untersuchungsergebnisse. «Immer im 4-Augen-Prinzip», fügt er an. Das Ziel ist hoch gesteckt: In den meisten Fällen erhalten die Security-Researcher eine Antwort innert 24 Stunden. Ist das Finding unklar oder komplexer, kann es länger dauern. In dieser Zeit steht Shervin in Kontakt mit dem Ethical Hacker.
Professionelle Zusammenarbeit mit Security-Researchern
Am beeindruckendsten fand er bisher die Findings von Simon Reinhart, aka «simioni». «Sehr professionell», sagt er. Und erinnert sich auf der anderen Seite an einen Security-Researcher, der viele hypothetische Schwachstellen monierte und nicht verstehen konnte, warum diese nicht kritisch sein sollten. «Wir dokumentieren unseren Standpunkt klar. Darum sind in der Regel», sagt Shervin, «beide Seiten nach Ende der Verhandlungen zufrieden». Wenn nicht, wird das Finding noch einmal in der kompletten PSIRT-Runde besprochen, zu der auch schon mal der Security-Researcher eingeladen wird.
Sehr viele Researcher interessieren sich für das Abraxas-Programm. Weil die Prämien attraktiv sind, weil sie mit dem Abraxas-Team auf Augenhöhe kommunizieren können. «Viele aufmerksame Augen sind das!» Höchst kompetente Researcher suchten nach Angriffsvektoren. Dass die meisten Findings unspektakulär seien, viele auch abgewiesen werden müssten, weil sie keine ausnutzbaren Schwachstellen enthalten oder sich mit explizit ausgeschlossenen Komponenten des Systems befassen, ist für Shervin Lepinat ein gutes Zeichen. «Der Sicherheitsstandard bei Abraxas ist sehr hoch und wird schon beim Design gesetzt.» Die Software geht so bereits sehr sicher ins Programm. Die Aufgabe ist somit anspruchsvoll und aufwändig. Die Diebe des Internets scheuen solche Systeme wie der Fahrraddieb ein Panzerschloss, solange es einfachere Ziele in der Nähe gibt.
Shervin hat sich in seinem ersten Jahr als Security Champion vom Thema faszinieren lassen. Er denkt darüber nach, seine Karriere im Sicherheitsbereich fortzusetzen. «Software-Sicherheit stützt und stärkt nämlich unsere Kunden der öffentlichen Verwaltung!»
