Blamage beim Hacking-Contest (Update)

Die Sicherheitsfirma Argus forderte auf Messen schon mehrmals dazu auf, ihre speziell gesicherten Pitbull-Systeme zu hacken. Trotz beträchtlicher Preisgelder blieben die Systeme bisher unversehrt. Doch im Rahmen der diesjährigen Infosecurity in London gelang es jetzt drei polnischen Hackern, einen Pitbull-Server zu knacken. Es handelte sich dabei um einen PC mit Solaris x86, für den Argus einen Shell-Account freigeschaltet hatte. Die Hacker nutzten ein Sicherheitsloch im Kernel-Code aus, um sich höchste Privilegien auf dem System zu verschaffen. Damit konnten sie die Pitbull-Sicherheitsmechanismen, die als Betriebssystemerweiterungen zusätzliche Möglichkeiten zur Rechtevergabe installieren, komplett umgehen.

Das eigentlich peinliche an der Geschichte ist die Tatsache, dass das ausgenutzte Sicherheitsloch bereits im Januar bei einem Code-Review von NetBSD entdeckt und veröffentlicht wurde. Doch während die NetBSD- und OpenBSD-Entwickler seit geraumer Zeit entsprechende Patches bereitstellen, gibt es bei Sun erst seit dem 17.4. einen Fix (Bug-ID 4404947, "sysi86 argument validation needs work"), der aber auf dem gehackten System anscheinend nicht eingespielt wurde. Zumindest zeigt sich Argus als guter Verlierer, lobt das professionelle Vorgehen der Hacker und zahlt das ausgelobte Preisgeld von rund 100.000 Mark. (ju)