Nachdem es während der letztjährigen CanSecWest bereits einen Wettbewerb gab, bei dem es galt, sich über Sicherheitslücken Zugang zu einem MacBook von Apple zu verschaffen, ging es auf der Sicherheitskonferenz in diesem Jahr um die Ehre. 2008 ließ man nun Mac, Linux und Windows Vista gegeneinander antreten.
Für ein Preisgeld von bis zu 10.000 US-Dollar war es die Aufgabe der anwesenden Sicherheitsexperten und Hacker, sich Zugriff auf eines der drei Systeme zu verschaffen und Code auszuführen. Wer es zuerst schaffte, in eines der Systeme einzudringen, sollte das Preisgeld bekommen. Inzwischen stehen der Sieger unter den Hackern und der Verlierer unter den Betriebssystemen fest.
Dem Sicherheitspezialisten Charlie Miller, der schon für die Entdeckung der ersten Schwachstelle bei Apples iPhone verantwortlich war, gelang es zuerst, sich Zugriff auf ein MacBook Air mit Mac OS X zu verschaffen. Damit gewinnt er das Preisgeld, welches von dem Sicherheitsdienstleister Tipping Point ausgelobt wurde, der im Rahmen eines speziellen Programms "Kopfgeld" auf neue Schwachstellen bietet.
Miller gelang der Hack des MacBook Air unter Ausnutzung einer Schwachstelle im Apple-Browser Safari. Sein Ansatz setzt allerdings den Aufruf eines speziellen Links durch den Nutzer voraus, der einen Port öffnet und so den Zugang über Telnet ermöglicht. Nachdem sich Miller so mit dem Gerät verbunden hatte, konnte er beliebigen Code ausführen.
Der Sieger darf laut den Bestimmungen des Wettbewerbs keine Details zu dem von ihm verwendeten Exploit an die Öffentlichkeit geben. Er entschied sich nach eigenen Angaben für den Apple-Rechner, weil er glaubte, diesen am einfachsten knacken zu können. Der Exploit sei von ihm zuvor auf keinem anderen System getestet worden. Als Mac-Nutzer fühlte Miller sich verpflichtet, dessen Lücken ausfindig zu machen, um die Plattform sicherer zu machen.
Die Rechner auf denen Linux und Windows Vista zum Abschuss freigegeben wurde, wurden bisher noch nicht geknackt. Der erfolgreiche Hack des MacBook geschah am zweiten Tag des Wettbewerbs, an dem die Regeln gegenüber dem Vortag etwas gelockert wurden. Am ersten Tag hatte keiner der Teilnehmer der CanSecWest einen Versuch gewagt, weil zu diesem Zeitpunkt nur Schwachstellen ausgenutzt werden durften, die das jeweilige Betriebssystem selbst, dessen Treiber oder das Netzwerk-Subsystem betreffen.
An Tag 2 durften nun auch Schwachstellen in Browsern, E-Mail-Anwendungen und anderen üblichen Programmen ausgenutzt werden. Damit halbierte sich aber auch das Preisgeld von 20.000 US-Dollar. Am dritten Tag dürfen die Wettbewerbsteilnehmer jetzt auch Lücken in Zusatz-Software angreifen, wofür es bei einem erfolgreichen Hack aber nur noch 5000 US-Dollar gibt.
Quelle: WinFuture
Sa Sep 26, 2009 2:53 pm von suffer
