Mit hohen Prämien haben die Hackerwettbewerbe Pwnium und Pwn2Own mehr Aufmerksamkeit als jemals zuvor auf sich gezogen. Beide finden jährlich während der Konferenz CanSecWest im kanadischen Vancouver statt, und Pwn2Own verzeichnete mehr Anmeldungen als je zuvor. Google konnte darauf verweisen, in den letzten Jahren Bug-Prämien von über 3 Millionen Dollar ausgezahlt zu haben.
Das von Hewlett-Packard gesponserte Pwn2Own lockte Sicherheitsforscher mit Preisen bis zu 1,085 Millionen Dollar. Die Gewinnchancen brachten sie dazu, wochenlang oder monatelang an Exploits zu arbeiten, um die Sicherheitsmechanismen von Microsoft Internet Explorer, Google Chrome , Mozilla Firefox und Adobe Flash sowie Reader auszuhebeln. Acht Teams holten sich an den zwei Wettbewerbstagen zusammen 850.000 Dollar, während weitere 82.500 Dollar bei Pwn4Fun für wohltätige Zwecke erhackt wurden.
Das chinesische Keen Team feiert den erfolgreichen Hack von Apples Safari (Bild: Seth Rosenblatt / CNET)
An das Team Vupen von Vupen Security ging mit 400.000 Dollar die bisher größte Summe, die ein einzelnes Team im Wettbewerb einfahren konnte. Laut Vupen-Chef Chaouki Bekrar geht es aber nicht nur um die hohen Preisgelder. „Der entscheidende Wert von Pwn2Own besteht darin, zu zeigen, dass die sicherste Software von einem Forscherteam mit genügend Ressourcen kompromittiert werden kann“, erklärte er, nachdem sein Team Google Chrome überwand. „Da wir die Anbieter über die Schwachstellen unterrichten, beheben sie die Fehler und härten den Browser, um künftige Angriffe zu verhindern.“ Die Nutzung von Browsern werde so für alle sicherer, da die Browserhersteller auch von den Fehlern ihrer Mitbewerber lernten.
Brian Gorenc, Manager von HPs Zero-Day Initiative, schreibt den hohen Preisen eine zweifache Wirkung auf die alltägliche Sicherheit des jeweils bevorzugten Browsers zu. „Microsoft, Adobe und Google stellten sich alle gepatcht dem Wettbewerb“, sagte er. „Die Anbieter versuchen definitiv, mit ihren besten Produkten zu kommen.“ Darin spiegle sich der wachsende Trend, schneller auf berichtete Bugs zu reagieren. Noch vor zwei Jahren brauchte es für die Behebung eines Bugs durchschnittlich 180 Tage – diese Zeitspanne wurde inzwischen auf 120 Tage verringert.
Vupen-Security-Chef Chaouki Bekrar verbirgt den Exploit, der die Sicherheitsmechanismen von Google Chrome überwand (Bild: Seth Rosenblatt / CNET)
Wachsende Preissummen zögen Forscher an wie ein Arcade-Spiel Nerds, sagte Gorenc. Mit 16 Anmeldungen waren in diesem Jahr mehr Teams beteiligt als jemals zuvor. Mit der Teilnahme an einem Wettbewerb haben Sicherheitsforscher inzwischen die Chance, genug zu verdienen, um ein ganzes Jahr leben zu können. Gleichzeitig erhöht sich aber auch der Schwierigkeitsgrad immer weiter.
Während Vupen vier bis sechs Wochen Vorbereitungszeit für sein Preisgeld aufwenden musste, benötigte das Keen Team aus China drei Monate für die Entwicklung der Exploits, mit denen es Apples Safari und Adobe Flash zu Fall brachte. Einen Teil ihres Preisgelds wollen die Teammitglieder für die Vermissten des Flugs MH370 der Malaysian Airlines spenden.
Der von Google organisierte Wettbewerb Pwnium 4 lief parallel zu Pwn2Own, forderte die Sicherheitsforscher zu Angriffen auf Chrome OS auf und stellte mögliche Belohnungen aus einem Preistopf von 2,7 Millionen Dollar in Aussicht. Ein erfolgreicher Hacker konnte sich davon 150.000 Dollar holen , indem er einen Exploit für das HP Chromebook 11 demonstrierte.
Zusammen mit seinen regulär ausgelobten Prämien für in Chrome und der Google-Suche entdeckte Schwachstellen hat das Unternehmen über die Jahre insgesamt über 3 Millionen Dollar für Bugs ausgezahlt – in dieser Summe ist die diesjährige Pwnium-Auszahlung mit enthalten. Die Auszahlungen scheinen sich zu beschleunigen, denn erst vor sieben Monaten nahm Google die Marke von 2 Millionen Dollar. „Wir kamen wirklich schnell von zwei auf drei“, sagte Chris Evans vom Chrome-Sicherheitsteam. „Je mehr Geld wir in die ‚White-Hat-Community‘ stecken, desto besser ist das für uns alle. Die Preise sind so hoch, weil wir so viel davon lernen können. Wir können ganze Klassen von Bugs schließen und gleichzeitig neue Schutzmaßnahmen ausarbeiten.“
[mit Material von Seth Rosenblatt, News.com ]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de