Pwn2own-Wettbewerb auf der Sicherheits-Konferenz CanSecWest
Live-Hacking: Experten knacken Internet Explorer 8
So schnell kann's gehen: Auf der Sicherheits-Konferenz CanSecWest im kanadischen Vancouver ist es Hackern gelungen, über eine Schwachstelle in die Webbrowser Internet Explorer 8, Safari und Firefox einzudringen. Das Live-Hacking fand im Rahmen des Pwn2own-Wettbewerb auf der Messe statt. Für die Sicherheitsexperten gibt es dabei Bares zu gewinnen: Neben dem Notebook, auf dem der Browserangriff erfolgt, erhalten die Teilnehmer für jede aufgedeckte Sicherheitslücke außerdem 5.000 US-Dollar, umgerechnet rund 3.700 Euro.
Der Name des Wettbewerbs entstammt der Hacker-Sprache: Der Ausdruck "pwn" wird verwendet, wenn es gelingt, eigenen Code in Computersysteme, Hardware oder Software zu schleusen und diese damit unter Kontrolle zu nehmen. Beim Pwn2own-Wettbewerb erhält demzufolge derjenige Hacker ein Preisgeld, der es als erster schafft, eigenen Exploit-Code in den Webbrowsern auszuführen.
Apple-Browser in knapp zwei Minuten geknackt
Höhepunkte waren in diesem Jahr bisher das Live-Hacking von "Nils" und des Sicherheitsexperten Charlie Miller. "Nils", der seinen vollständigen Namen nicht preisgeben wollte, gelang es, den Internet Explorer 8 auf Microsofts kommendem Betriebssystem Windows 7 zu knacken. Zudem zeigte der Hacker einen Zero Day-Exploit für den Internet Explorer 8 und Mozillas Firefox. Zero Day-Exploits bezeichnen eine Schwachstelle, die entdeckt wird, bevor sie allgemein bekannt wird.
Der Sicherheitsexperte Charlie Miller schaffte es, Apples Safari-Browser in rund zwei Minuten auf einem Macbook zu knacken. Auch "Nils" demonstrierte später eine Übernahme von Apples Surf-Flagschiff. Miller ist bereits im letzten Jahr bei dem Wettbewerb aufgefallen, als ihm die Übernahme des MacBook Air über eine Sicherheitslücke gelang. 2008 knackten Hacker zudem Apples Mac OS X 10.5.2. Das Betriebssystem war dabei mit sämtlichen Sicherheits-Patches vollgestopft.
Auch Handy-Betriebssysteme im Visier der Hacker
In diesem Jahr hatte der Sicherheitswettbewerb auch Preisgeld für das Aufzeigen von Sicherheitslücken der Mobiltelefon-Betriebssysteme BlackBerry, Android, iPhone, Symbian und Windows Mobile ausgeschrieben. Doch bisher konnte sich noch kein Hacker die 10 000 US-Dollar für das Kapern der Systeme sichern. Am heutigen Freitag soll der Wettbewerb allerdings mit etwas gelockerten Regeln weiterlaufen.
Spannend dürfte die Reaktion der Hersteller auf die entdeckten Sicherheitslücken sein. Der Veranstalter der Konferenz Tipping Point will die Informationen über die Hacks erst im Rahmen seiner Zero Day-Initiative weitergeben. Eine Veröffentlichung macht Tipping Point von entwickelten Patches der Hersteller abhängig.
Sagen Sie Ihre Meinung!