Security Cup der Post zur E-Post: Sonderpreis für "technische Exzellenz"
Der E-Postbrief wurde zwar nicht geknackt, einige der teilnehmenden Teams heimsten aber trotzdem Sonderpreise ein. Eine der Einreichungen war technisch so exzellent, dass sie mit "Leet" belohnt wurde.
Der Security-Cup der deutschen Post zur Sicherung des E-Postbriefs ist entschieden. Elf Teams versuchten von Ende April bis Ende Juni, Schwachstellen in den E-Post-Produkten ausfindig zu machen. Gewonnen hat das Team LSE Leading Security Experts GmbH aus Hessen. Neben dem Preisgeld von 8.000 Euro, das sich aus Einzelpreisen für mehrere Einreichungen ergab, gewann das Team auch noch einen Sonderpreis für "technische Exzellenz."
Das Team hatte versucht, eine der während des Wettbewerbs gemeldeten Denial-of-Service-Attacken (DoS) gegen die Druckaufbereitungskomponente mittels Integer-Overflow weiter auszubauen - Ziel war eine Code-Execution. Ihre Arbeit konnten die Hacker im Wettbewerbszeitraum zwar nicht abschließen, dennoch war die "herausragende analytische" Leistung der Jury zusätzliche 3.133,70 Euro wert. Darüber hinaus deckte das Team weitere Lücken auf. So hat Team LSE eine Session-basierte DoS-Attacke eingereicht, eine DoS-Attacke gegen eine Malware-Erkennungskomponente und einen DoS-Angriff gegen eine Komponente einer Web-Application-Firewall aufgezeigt. Wie ein Sprecher der Post angab, war "eine WAF-Regel derart konfiguriert, dass sie eine exponentielle Laufzeit aufwies." Bei dem Angriff auf die Malware-Erkennungskomponente wurde ein speziell manipuliertes PDF eingesetzt, das zu einer Endlosschleife in der Antiviren-Software führte. Insgesamt wurden sechs unterschiedliche Denial-of-Service-Attacken im Wettbewerb gezählt.
Das Siegerteam des letzten Security-Cups im Jahr 2010, das Team Secugain mit Studenten der Ruhr-Universität Bochum, landete dieses Mal auf dem zweiten Platz und erhielt hierfür insgesamt 8.000 Euro. Secugain konnte das Preisgeld für die beste Schwachstellen-Einreichung in Höhe von 5.000 Euro einstreichen. Es hatte eine Cross-Site-Scripting-Lücke identifiziert und konnte die Web-Application-Firewall umgehen. Für drei Cross-Site-Request-Forgerys erhielt das Team je 1.000 Euro. Den dritten Platz belegte ein Team der Context Information Security Ltd. aus Düsseldorf. Das Team legte die Web-Application-Firewall mit einer Denial-of-Service Attacke lahm. Sie erhielten insgesamt 2.000 Euro.
Nach Aussagen der Post haben die teilnehmende Teams insgesamt ungefähr 1000 Stunden Arbeit geleistet, um die Systeme der Post zu prüfen. Für die Teilnahme hatte sich in diesem Jahr insgesamt 20 Teams beworben. Wer tatsächlich am Wettbewerb teilnehmen durfte, wurde von der Jury entschieden – elf Teams hatten den Zuschlag erhalten und einen Teilnehmervertrag unterschreiben müssen, da innerhalb des Wettbewerbs sensible Informationen bereitgestellt werden, die nicht an die Öffentlichkeit gelangen sollen.
Unter den elf Teams wurden für die 105 erbrachten Einreichungen Preisgelder in Höhe von insgesamt 22.000 Euro ausgezahlt. Je nach Einreichung wurden zwischen 1.000 und 5.000 Euro ausgeschüttet, wobei das Preisgeld von 5.000 Euro nur einmal an das Team Secugain ausgelobt wurde.
Der Geschäftsführer der E-Post, Ralph Wiegand, freute sich über den Ausgang des Wettbewerbs, da der E-Postbrief nicht geknackt werden konnte. Die Teilnehmer hätten Vorteile gegenüber echten Angreifern außerhalb des Wettbewerbs gehabt, "da beispielsweise Angriffe nicht blockiert wurden". Trotzdem hätten sich die Teams "die Zähne am E-Post System ausgebissen."
Die Post hat angekündigt, die Untersuchungsergebnisse der Teams bald auf dem E-Post-Blog zu veröffentlichen. (kbe)