Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Pwn2Own 2013: Zahlreiche erfolgreiche Angriffe

Beim "Pwn2Own"-Contest erhalten Sicherheitsexperten jährlich die Gelegenheit, für öffentliche Anerkennung sowie üppige Preisgelder ihre Fähigkeiten beim Hacken bestimmter Programme unter Beweis zu stellen. In diesem Jahr standen die Browser Microsoft Internet Explorer, Google Chrome, Mozilla Firefox und Apple Safari sowie die Software-Produkte Adobe Reader, Flash und Oracle Java auf der Liste.

Insgesamt gab es bei dem zweitägigen, vom zu HP gehörenden Unternehmen Tipping Point veranstalteten Contest ein Preisgeld von über 160.000 US-Dollar (etwa 123.000 Euro) zu gewinnen. Die Teilnehmer dürften also durchaus zufrieden sein. Für die IT-Sicherheits-Branche als Ganzes gilt das wohl nicht uneingeschränkt, zeigten die Ergebnisse des Wettbewerbs doch wieder einmal massive Sicherheitslücken in populärer Software auf.

Bereits am Tag eins des Wettbewerbs, dem vergangenen Mittwoch, mussten von den "Großen Vier" der Webbrowser drei kapitulieren. Internet Explorer, Chrome und Firefox, alle zum Testen auf Windows-Systemen installiert, wurden bereits zu diesem Zeitpunkt erfolgreich angegriffen. Lediglich bei Safari gelang dies nicht schon am ersten Tag. Als erfolgreicher Angriff gilt laut Wettbewerbs-Regeln, lediglich durch Ansurfen einer manipulierten Website beliebigen Quellcode auf dem Zielrechner zum Laufen zu bringen. Dies würde im Ernstfall die Infektion des Rechners mit Schadsoftware ohne Interaktion des Benutzers ermöglichen.

Die Gründe dafür, dass Safari - als einziger Browser auf einem Mac-OS-System installiert - am ersten Tag nicht geknackt wurde, sind unbekannt. "Keiner der Pwn2Own-Teilnehmer hat sich vorgenommen, es mit Safari (der einzigen Nicht-Windows-Software im Wettbewerb) aufzunehmen, und es ist unwahrscheinlich, dass wir jemals wissen werden, warum. War die Kombination von Safari und OS X zu widerstandsfähig? War das Preisgeld zu niedrig? Sehen die Browser-Knacker OS-X-Malware als sekundäre Einnahmequelle an, die nicht glamourös genug für das Rampenlicht des wettbewerbsmäßigen Hackens ist? Sind die Browser-Knacker einfach noch nicht gut genug beim Hacken von Safari und OS X?," spekuliert IT-Sicherheitsexperte Paul Ducklin vom Unternehmen Sophos über mögliche Ursachen.

Auch Java musste sich bereits am ersten Tag geschlagen geben - und das gleich drei Mal. Den Experten James Forshaw und Joshua Drake sowie dem Team von VUPEN Security - das auch gegen Internet Explorer und Firefox erfolgreich war - gelangen jeweils erfolgreiche Angriffe.

Am Donnerstag wurde Java sogar noch ein viertes Mal gefällt. Daneben gab es auch einen erfolgreichen Angriffe gegen den Adobe Reader. Dabei erwies sich auch die 2010 dem Reader hinzugefügte und seitdem mehrfach verbesserte Sandbox nicht als ausreichend großes Hindernis für die Angreifer. Für den erfolgreichen Angriff des Readers erhielt Hacker George Hotz - früher unter dem Pseudonym "geohot" als Entwickler von Playstation-Jailbreaks bekannt - 70.000 US-Dollar (knapp 54.000 Euro) Preisgeld.

Auch Adobe Flash wurde am Donnerstag erfolgreich angegriffen. Erneut war hier das französische Unternehmen VUPEN, am Mittwoch bereits dreimal vertreten, siegreich und gewann ebenfalls 70.000 Dollar. VUPEN ist aufgrund seiner Geschäftsstrategie, Exploits und Angriffs-Software an Nationalstaaten zu verkaufen - allerdings nur an demokratische, wie man betont - in der Branche äußerst umstritten. Es verfügt aber offensichtlich über kompetente Experten, wie die Erfolge beim Pwn2Own 2013 zeigen. Man kann nur raten, ob diese beeindruckende Leistung weitere potentielle Kunden auf VUPEN aufmerksam machte. Trotz des Erfolgs bescheinigte VUPEN-CEO Chaouki Bekrar Adobe eine "großartige Arbeit dabei, es [Flash] sicherer zu machen". Immer wieder schließe das Unternehmen mit Updates Sicherheitslücken und füge zusätzliche Schutzmaßnahmen hinzu. Daher sei es schwieriger und teurer, Flash erfolgreich anzugreifen als Java.

Die beim Wettbewerb demonstrierten Lücken in den Browsern Chrome und Firefox wurden von den Entwicklern innerhalb von 24 Stunden geschlossen.

Parallel zum Pwn2Own-Wettbewerb fand auf der selben Fachkonferenz, der "CanSec West", auch ein weiterer Hacker-Wettbewerb statt. Bei diesem kleineren Contest mit dem Namen "Pwnium" ging es darum, Googles Cloud-basiertes Betriebssystem Chrome OS anzugreifen. Ein damit betriebener Laptop, ein sogenanntes "Chromebook", wartete auf Angreifer. Mit 150.000 US-Dollar (115.000 Euro) für eine Kompromittierung, die auch nach einem Reboot erhalten bleibt, und 110.000 Dollar (84.600 Euro) für begrenztere Angriffe waren die ausgelobten Preisgelder durchaus beachtlich. Dennoch fand sich niemand, der das Preisgeld mitnahm - Chrome OS überstand den Wettbewerb ohne Kompromittierung. Google teilte nach dem Ende von Pwnium aber über seinen offiziellen Account auf dem Sozialen Netzwerk Google+ mit, man prüfe derzeit "einige Beiträge, die als teilweise Exploits gelten könnten".

Quelle: gulli
 
Zurück
Oben