Pwn2own-Fazit: "Mac hacken macht Spaß, Windows ist harte Arbeit"
Beim Pwn2own-Wettbewerb auf der Sicherheitskonferenz CanSecWest gab es nach dem Fiasko für die Browser-Hersteller keine weiteren Überraschungen - außer man bewertet das Ausbleiben von Smartphone-Hacks als solche.
Beim Pwn2own-Wettbewerb auf der Sicherheitskonferenz CanSecWest gab es nach dem Fiasko für die Browser-Hersteller keine weiteren Überraschungen – außer man bewertet das Ausbleiben von Smartphone-Hacks als solche.
Bereits am ersten Tag wurden mit Internet Explorer, Firefox und Safari alle drei großen Browser gekapert; einzig Googles Chrome kam ungeschoren davon. Charlie Miller war das Losglück hold; er durfte als Erster ran und gewann mit einem Zeroday-Exploit für Safari das Macbook, auf dem der Browser lief.
Der eigentliche Held der Veranstaltung war jedoch der bis dahin völlig unbekannte Nils Ich-nenne-meinen-Nachnamen-nicht, der im Handstreich alle drei großen Browser übernahm. Der 25-jährige Student aus Oldenburg finanziert sich sein Studium zum Teil durch das Auffinden und Verkaufen von Sicherheitslücken. Er betrachtet den Auftritt bei der CanSecWest zum Teil auch als Bewerbungspräsentation für die Zeit nach der Abgabe seiner Abschlussarbeit im September. Sein Hauptinteresse sei jedoch, dass Lücken geschlossen würden, erklärte er in einem Interview mit dem US-Newsdienst ZDNet.
Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei "sehr, sehr schwierig" gewesen, den Fehler verlässlich auszunutzen und Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig: "Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit."
Trotz des verdoppelten Preisgeldes von 10 000 US-Dollar gab es während des gesamten Zeitraums keinen einzigen erfolgreichen Angriff auf Smartphones. Sergio Alvarez versuchte sich zwar an einem Blackberry, scheiterte jedoch, weil sein vorbereiteter Exploit auf dem verwendeten Modell nicht funktionierte. Der Angriff eines Unbekannten auf das Symbian-Handy schlug ebenfalls fehl. Der Veranstalter Tipping Point bestätigte allerdings, dass eine der Safari-Lücken durchaus auch auf dem iPhone funktionieren könnte, dass sie aber nicht erneut verwendet werden durfte.
Die Sicherheitsexperten dürfen keine Details zu den verwendeten Sicherheitslücken veröffentlichen. Die Rechte daran haben sie beim Unterschreiben der Teilnahmebedingungen an Tipping Points Zero Day Initiative (ZDI) übertragen. Diese leitet sie dann an die Hersteller weiter und veröffentlicht sie frühestens nachdem dieser einen Patch bereitgestellt hat.
Firmen wie Tipping Point und iDefense zahlen bereits seit einiger Zeit Prämien für Sicherheitslücken, die sie dann an die Hersteller der betroffenen Produkte weiterleiten. Parallel zum Schwarzmarkt der kriminellen Banden und Spione haben sie damit einen legalen Markt geschaffen. Einige Sicherheitsexperten propagieren jetzt auch mit "No more free bugs" folgerichtig das Ende der kostenlosen Dienstleistungen für kommerzielle Firmen. (ju)
