Neue Sicherheitslücken

Deutscher Erfolg bei Hacker-Contest

Datum:20.03.2009
Autor(en):Armin Weiler

Browser unter Beschuss

Auf der Sicherheitskonferenz CanSecWest¹ findet auch in diesem Jahr der Hacker-Wettbewerb "Pwn2Own" statt, bei dem Experten durch die Demonstration neuer Sicherheitslücken bares Geld und die geknackten Geräte gewinnen können. Schon am ersten Tag hat der Oldenburger Informatik-Student "Nils" - der seinen vollen Namen nicht nennen wollte - ein beachtliches Browser-Triple geschafft und sowohl Internet Explorer, Safari als auch Firefox geknackt, berichtet Cnet.

"Das ist durchaus außergewöhnlich, wenngleich mehrere Faktoren² existieren, von denen ein solcher Erfolg abhängen kann", meint Christian Funk, Virus Analyst bei Kaspersky Lab³. Denkbar sei etwa, dass ähnliche Lücken angegriffen wurden. Ob das stimmt, bleibt vorerst ein Geheimnis. Die Lücken werden von der "Zero Day Initiative" des Wettbewerbssponsors Tipping Point⁴ in Obhut genommen, damit die Hersteller die Schwachstellen in Ruhe beheben können.

Beim Hacker-Wettbewerb gegen Browser geht es darum, unter Zuhilfenahme eines unvorsichtigen Klicks auf einen bösartigen Link erfolgreich Programmcode auf dem Zielrechner auszuführen. Als erstes habe Nils mit einem "geschmeidigen Exploit" Microsofts neueste Schutztechnologien beim Internet Explorer 8 ausgetrickst, so Terri Forslof, TippingPoint Manager of Security Response. Damit hat der Oldenburger nicht nur den neuen Browser schon vor dem offiziellen Start heute Abend bloßgestellt, sondern auch das damit geknackte Wettbewerbs-Notebook Sony Vaio und 5.000 Dollar gewonnen.

In weiterer Folge konnte er auch die aktuellen Versionen von Safari (auf einem MacBook) und Firefox (auf dem Sony Vaio) mit bislang unbekannten Lücken knacken. Damit hat er bereits am ersten Tag des Wettbewerbs⁵ bei besonders restriktiven Regeln ein beeindruckendes Triple geschafft. Das MacBook konnte er allerdings nicht gewinnen, denn Safari war zuvor schon mit einem anderen Trick geknackt worden. Der erfolgreiche Hacker war Charlie Miller, ein besonders auf Apple-Produkte spezialisierter Sicherheitsexperte der Independent Security Evaluators⁶.

Smartphones knacken

Parallel zur Browser-Schlacht läuft in diesem Jahr auch ein Wettbewerb, Smartphones zu knacken. Dabei dürfen Teilnehmer laut Forslof auf Angriffe setzen, die mithilfe von E-Mails, SMS, Surfen im Web oder anderer allgemeiner Handlungen der User während der Verwendung des Geräts funktionieren. Als Ziele stehen BlackBerry, Android, iPhone, Symbian und Windows Mobile zur Verfügung und ein erfolgreicher Hack bringt hier mit 10.000 Dollar Preisgeld, doppelt so viel wie bei den Browsern⁷. Außerdem darf der jeweils erste erfolgreiche Angreifer das betreffende Gerät nach Ende des Wettbewerbs ebenfalls behalten. Am ersten Wettbewerbstag blieben die Smartphones dennoch unangetastet.

"Wir sehen den Wettbewerb mit einem lachenden und einem weinenden Auge: Auf der einen Seite werden hier neue Sicherheitslücken aufgedeckt und die Hersteller der betroffenen Software werden direkt darauf aufmerksam gemacht", meint Kaspersky-Experte Funk. Dadurch könnten die Lücken schneller behoben werden, ehe sie real mit böser Absicht ausgenutzt werden. Das ist erklärtes Ziel von Pwn2Own und der Zero Day Intitiative.

Die Gewinner müssen sich verpflichten, Details zu ihren Angriffen nicht publik zu machen, ehe die jeweiligen Produktanbieter Patches für die betroffenen Produkte anbieten können. Schlecht wäre es laut Funk, wenn Schwachstellen⁸ "auch auf einschlägigen Webseiten für Geld oder Ruhm veröffentlicht werden." Außerdem sei es problematisch, wenn Hacken wie ein Sport dargestellt und damit glorifiziert wird. "Natürlich besteht hier für labile Charaktere leicht die Gefahr, auf die 'dunkle Seite' zu geraten", warnt Funk abschließend. (pte/rw)

Links im Artikel: