Pwn2Own 2018: Der Hacking-Wettkampf der Guten

von Trend Micro


Letzte Woche fand in Vancouver der Hacking-Wettbewerb Pwn2Own 2018 der Zero Day Initiative statt. Die Teilnehmer müssen hier ihre Hacking-Kenntnisse unter Beweis stellen und können Geldprämien und Preise gewinnen. Die Initiative konnte für das Event Microsoft als Partner und VMware als Sponsor gewinnen. Es gab sieben Hacking-Versuche von fünf Teilnehmern auf Produkte in zwei Kategorien. Weitere Hacking-Anmeldungen wurden kurzfristig zurückgezogen, unter anderem weil Anbieter kurz vor dem Wettbewerb entsprechende Patches veröffentlichten. Jeder Teilnehmer hatte drei Versuche, seinen Exploit für eine Schwachstelle innerhalb von 30 Minuten vorzuführen.

Wie in jedem Jahr waren Mitglieder des Trend Micro Research-Teams (schließt auch das Team der Zero Day Initiative mit ein) vor Ort. Die Forscher setzten sich mit jedem Teilnehmer zusammen, um gemeinsam dessen Code und Exploits zu analysieren und so den erforderlichen Schutz für Trend Micro-Kunden zu liefern.

Bereits am ersten Tag des Pwn2Own 2018 wurden Preisgelder in Höhe von 162.000 $ und 16 Punkte auf dem Weg zum „Master of Pwn“ vergeben. Zwei Versuche hatten Erfolg, davon einer eines deutschen Teilnehmers Samuel Groß (5aelo). Der zweite deutsche Teilnehmer Niklas Baumstark (_niklasb) hatte nur zum Teil Erfolge und ein weiterer „Angriff“ schlug fehl. Der zweite und letzte Tag brachte zusätzliche 105.000 $ Preisgeld und weitere 11 Punkte.

Der Titel des „Master of Pwn” ging an den Richard Zhu (fluorescence), der bereits ein paarmal teilgenommen hatte. Seine Hacking-Vorführungen brachen ihm insgesamt 120.000 $ und 12 Punkte. Außerdem konnte jeder Sieger den von ihm „geknackten“ Laptop behalten.

Insgesamt erwarb Trend Micro 5 Apple-, 2 Oracle-, 4 Microsoft- Lücken sowie einen Mozilla-Bug. Zwar war die Veranstaltung kleiner als einige der vorigen Jahre, doch die Qualität der Forschung war sehr hoch und zeigt die Schwierigkeiten bei der Erstellung voll funktionsfähiger Exploits für moderne Browser und Systeme. Gleichzeitig aber führt der Wettbewerb auch vor Augen, dass es trotz des steigenden Sicherheitsniveaus immer noch Methoden gibt, um den Schutz der Software auszuspielen.

Pwn2Own dient Jahr für Jahr als Überprüfung des Sicherheitszustands, denn die besten Sicherheitsforscher der Welt treten gegen die Produkte der besten Anbieter an. Die Anbieter haben jetzt 90 Tage Zeit, um Sicherheits-Patches für die gefundenen Schwachstellen zu erstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.