Wer knackt zuerst Vista, Linux oder Mac OS?
In Kanada hat ein Hacker-Wettbewerb begonnen, der in der Szene als eine Art Super-Bowl gilt. Zwar gibt es dabei auch einen Geldpreis, an erster Stelle steht jedoch die Ehre, als erster eine Zero-Day-Lücke zu finden. Die Opfer: Drei Laptops, wahlweise mit Linux, Mac OS oder Vista ausgestattet. Die Creme de la Creme der Hacker-Szene hat sich in dieser Woche in Vancouver versammelt, um den Besten aus ihren Reihen zu ermitteln. Auf der Sicherheitskonferenz CanSecWest gilt es, bereitgestellte Notebooks unter Ausnutzung bislang unbekannter Sicherheitslücken zu knacken. Die Teilnehmer haben dabei die Wahl, ob sie sich lieber einen Linux-, Mac-OS- oder Vista-Rechner zur Brust nehmen. Im Detail handelt es sich um einen Vaio VGN-TZ37CN mit Ubuntu 7.10, einen Fujitsu U810 mit Vista Ultimate SP1 und ein MacBook Air mit OSX 10.5.2.
Die Teilnehmer müssen sich für ein Notebook entscheiden und haben dann 30 Minuten Zeit, ihre Angriffsmethode anzuwenden. Die jeweiligen Zeitslots (Reihenfolge der Teilnehmer) bestimmt eine Jury nach Art der Angriffsmethode. Ein physischer Zugriff auf die Notebooks ist nicht gestattet. Das Preisgeld für einen erfolgreichen Hack beträgt 20.000 Dollar, zudem dürfen die Gewinner das übernommene Notebook behalten. Zwar klingen 20.000 Dollar nach recht viel Geld, Konferenzteilnehmer relativierten diese Summe aber und erklärten, dass man für einen Top-Code in etwa dieselbe Summer erhalten könne. Beispielsweise von Sicherheits-Unternehmen wie Idefense oder Tipping Point, die regelmäßig derartigen Angriffscode kaufen, oder aber von US-Behörden wie FBI oder CIA, die ebenfalls auf diesem Markt aktiv sein sollen. Einer der Teilnehmer ist Charlie Miller, der als erstes erfolgreich das Apple iPhone knacken konnte. Er erklärte, dass es ihm nicht ums Geld gehe, sondern um den Nervenkitzel: "Für mich ist dies der Super Bowl der Sicherheits-Forscher." Der Wettbewerb begann am Mittwoch, bislang hat allerdings noch niemand versucht die Notebooks zu knacken. Der Grund: Am ersten Tag waren nur netzwerkbasierte Attacken erlaubt, die keine Aktion seitens des (imaginären) Anwenders erforderten. Miller will erst am Donnerstag einsteigen, sobald die Regeln ein wenig gelockert werden und auch Angriffe erlaubt sind, die Aktionen seitens des Nutzers erfordern (Besucher einer verseuchten Website, Mail-Anhang, etc.). Sein Ziel: das MacBook Air. Allerdings haben die Macher der Konferenz eine Motivationsspritze in den Wettbewerb eingebaut. So halbiert sich jeden Tag die maximale Preissumme, am Donnerstag gibt es dementsprechend nur noch 10.000 Dollar zu gewinnen. Sollte auch an diesem Tag kein Hack erfolgreich sein, gibt es am letzten Tag, an dem auch die Installation nicht-standardisierter Software erlaubt ist, nurmehr 5000 Dollar zu gewinnen.
Quelle: PC Welt