Pwn2own-Wettbewerb: Safari, IE8 und Firefox gehackt
Wenn außer Ruhm und Ehre auch ein Notebook und 5000 Dollar locken, halten keine Sicherheitsvorkehrungen stand: Safari, Internet Explorer 8 und Firefox mussten gleich am ersten Tag der Konferenz CanSecWest dran glauben.
Bei ausreichendem Anreiz lässt sich jeder Browser knacken. Das bewies die Security-Szene eindrucksvoll im diesjährigen Pwn2own-Wettbewerb auf der Konferenz CanSecWest: Safari, IE8 und Firefox wurden bereits am ersten Tag gekapert; Hacks für iPhone, Blackberry & Co lassen jedoch auf sich warten.
Außer Ruhm und Ehre gibt es bei Pwn2Own auch Handfestes zu gewinnen: Wer als Erster über eine Browser-Sicherheitslücke in ein System einbrechen konnte, durfte das Notebook, auf dem Browser lief, behalten; für jede Browser-Lücke gab es außerdem 5000 US-Dollar. Konkret riefen die Tester vom Angreifer vorgegebene URLs auf. Gewonnen hat der Hacker, wenn es ihm gelang, dabei eigenen Code einzuschleusen und im Context des Browsers auszuführen. Das ist quasi die Grundvoraussetzung für eine Übernahme des Systems – im Hacker-Slang wurde es damit ge-pwned.
Charlie Miller brauchte nicht einmal 2 Minuten, um Safari auf einem voll gepatchten Macbook zu kapern. Miller ist kein Unbekannter; der Sicherheitsexperte hatte bereits im vergangenen Jahr einen Preis davongetragen. Safari wurde von "Nils" dann auch noch ein zweites Mal übernommen.
Dieser Nils, der seinen richtigen Namen nicht nennen wollte, sorgte auch für ein weiteres Highlight, indem er Microsofts neues Rennomierstück, Internet Explorer 8 auf Windows 7, knackte – trotz Data Execution Prevention, Adress Space Layout Randomisation und so weiter. Und um den Reigen komplett zu machen, präsentierte Nils auch noch einen Zero-Day-Exploit für Firefox.
Etwas enttäuscht zeigt sich der Konferenzveranstalter darüber, dass es bislang keine erfolgreichen Exploits gegen mobile Geräte zu sehen gab. Immerhin hatte Tipping Point das Preisgeld für einen Einbruch in Blackberry, Android, iPhone, Nokia/Symbian oder Windows Mobile sogar auf 10.000 US-Dollar verdoppelt. Doch noch können die Hersteller nicht aufatmen. Der Wettbewerb läuft heute mit etwas gelockerten Bedingungen weiter und es wird bereits spekuliert, ob Nils heute auch noch einen Exploit für Googles Chrome aus dem Hut zaubert.
Außerdem darf man gespannt sein, wie das Rennen um die ersten Patches ausgeht. Denn konkrete Informationen über die Sicherheitslücken will der Veranstalter Tipping Point im Rahmen seiner Zero Day Initiative an die Hersteller weitergeben und erst veröffentlichen, wenn diese einen Patch bereitstellen. (ju)
