1897232

Rekordprämie für Hackercontest Pwn2Own

03.02.2014 | 07:42 Uhr |

Für die 2014-Runde haben die Veranstalter eine neue Kategorie eingeführt: Ein Preisgeld winkt dem, der am schnellsten einen Mehrfach-Exploit für sowohl IE 11 als auch Betriebssystem vorführen kann.

Die Zero-Day-Initiative (ZDI) von Hewlett Packard hat die Regeln für die 2014-Runde des Hackerwettbewerb Pwn2Own bekannt gegeben: Fast zwei Drittel einer Million US-Dollar werden im März als Belohnungen an die Teilnehmer ausgezahlt, die erfolgreich neue Sicherheitslücken in den beliebtesten Webbrowsern und Plug-Ins aufdecken. Mit 645.000 US-Dollar liegen die Preisgelder um zehn Prozent höher als im Vorjahr (560.000 US-Dollar) , aber die Ziele blieben die selben: Die aktuellen Versionen von Google Chrome, Apple Safari, Mozilla Firefox, Microsoft Internet Explorer (IE), Adobe Reader, Adobe Flash und Oracle Java-Plug-Ins.

Die Auszahlungen an die erfolgreichen Hacker, die neue Exploits erfolgreich vorführen, sind wie folgt gestaffelt: 100.000 US-Dollar winken demjenigen, der am schnellsten Chrome oder IE11 unter Windows 8.1 hackt. Der zweithöchste Preis von 75.000 US-Dollar Belohnung ist ausgesetzt für jeweils Adobe Reader oder Adobe Flash in IE 11 , 65.000 gibt es für den ersten neuen Exploit in Safari, 50.000 in Firefox und schließlich 30.00 US-Dollar für den ersten Nachweis einer neuen Sicherheitslücke in Java.

Neu ist in diesem Jahr eine neue Wettbewerbskomponente "Exploit Unicorn": HP setzt ein Preisgeld in Höhe von 150.000 US-Dollar für einen Mehrfach-Exploit aus, der nicht nur in IE 11 unter Windows 8.1 einsetzbar ist, sondern auch erfolgreich Kontrolle über das Betriebssystem erlangt, wenn Microsofts Anti-Hacker-Tool EMET (Enhanced Mitigation Experience Toolkit) installiert ist, mit dem seit Windows 7 der Anwender typische Exploit-Angriffe blockieren kann. Um in der Kategorie zu gewinnen muss nicht nur die Sicherheit der Sandbox-Umgebung von IE 11 ausgehebelt, sondern auch mindestens eine Lücke in der Zugriffskontrolle des Betriebssystems aufgedeckt und ausgenutzt werden.

Brian Gorenc, Manager der Sicherheits-Abteilung bei ZDI, bestätigt, dass die neue Kategorie den Hackerwettbewerb noch interessanter machen soll. Microsoft empfiehlt zunehmend den Einsatz von EMET , um Angriffe auf End-Anwender zu blockieren, sobald eine neue Sicherheitslücke veröffentlicht wird und noch kein Patch dafür existiert.

Der jährliche Wettbewerb Pwb2Own findet seit acht Jahren statt und wird in 2014 am 12 bis 13. März während der CanSecWest-Konferenz in Vancouver in Kanada ausgetragen. Google wird wieder seinen eignen Hackerwettbewerb auf dieser Konferenz rund um Chrome abhalten und 25 Prozent der gesamten Preisgelder sponsern.

In 2014 wird Pwn2Own wieder die Reihenfolge auslosen, in der einzelne Teilnehmer oder Teams 30 Minuten lang Angriffe ausprobieren und vorführen können - sehr zum Unmut mancher Teilnehmer, den wer zuerst kommt, kassiert das Preisgeld. Trotz dem Einsatz des Losverfahrens in 2013 hatte dort jeder aber wenigstens in einer Kategorie eine Chance: Pwn2Own hat jedem Teilnehmer, der erfolgreich Java hackte, eine Belohnung in Höhe von 20.000 US-Dollar ausgezahlt. Gorenc erwähnt, dass dies auch in 2014 fortgesetzt werden wird, wenn sich genug Teilnehmer für den Wettbewerb registrieren. In 2013 wurden insgesamt 480.000 der angebotenen 560.000 US-Dollar als Preise ausgezahlt.

In den letzten Jahren gewannen kaum noch individuelle Hacker, sondern große, perfekt vorbereitete Teams. Charlie Miller , der immerhin vier mal in dem Wettbewerb Preis abkassieren konnte und derzeit als Entwickler bei Twitter arbeitet, klagt, dass dies deutlich den Spaß an der Veranstaltung beeinträchtigt. In 2013 hat das französische Vupen-Team insgesamt 250.000 US-Dollar abgeräumt in gleich vier Kategorien: Firefox, IE 10, Adobe Flash und Java. Gorenc kontert, dass Pwn2Own eine Aufspaltung in Team- und Einzelwettbewerbe in Erwägung zog, aber sich letztendlich dagegen entschied. Jeder hat die Möglichkeit, ein Team zu bilden und das Preisgeld dann aufzuteilen, räsoniert Gorenc.

Trotz der Gewinnserie in 2013 beschwert sich Chaouki Bekrar , CEO des französischen Sicherheitsforschungs-Instituts Vupen, dass die neue "Exploit Unicorn"-Kategorie nicht lukrativ genug für Hacker ist. Auf Twitter meldete er, dass zum Sieg gleich drei Zero-Day-Exploits eingesetzt werden müssen: Zunächst für IE, dann die Sandbox und schließlich ein Kernel-Exploit. Gorenc antwortete, dass die Regeln keineswegs drei Exploits vorschreiben.

Die Entwickler bei Adobe und alle Browser-Hersteller beobachten den Wettbewerb so genau wie möglich. Wenn ein erfolgreicher Exploit vorgeführt wird, muss der Sieger den Exploit vorführen und den Code freigeben. Alle Hersteller senden Vertreter, die sofort vor Ort mit Fehlerbehebung starten. Gorenc lobt, dass der Wettbewerb viele Fliegen mit einer Klappe erledigt: Alle Entwickler lernen, wie Exploits funktionieren und behoben werden und die End-Anwender profitieren von der verbesserten Sicherheit, schreibt Gorenc.

0 Kommentare zu diesem Artikel
1897232