Skip to content

Wie Pwn2Own die Insektenjagd zu einem echten Sport machte

Als im April 2007 Apples „I’m a Mac“-Anzeigen den Leuten mitteilten, dass Macs nicht gehackt werden können, beschloss der Sicherheitsforscher Dragos Ruiu, die Idee auf die Probe zu stellen – vor einem Raum voller Sicherheitsforscher, nicht weniger . Er kaufte zwei MacBook Pros und stellte sie bei der von ihm organisierten CanSecWest-Konferenz in Vancouver auf den Boden. Die Herausforderung hatte einen eingängigen Namen, Pwn2Own: Wenn Sie einen Computer pwnen, gehört er Ihnen.

Für Ruiu war es mehr als ein Spiel. Er wollte einen „politischen Punkt“ machen, dass die Werbespots irreführend seien und Apple die Sicherheit ernst nehmen sollte.

„Apple hatte immer wieder Beziehungen zu Forschern. Manchmal lieben sie Hacker, manchmal wollen sie so tun, als gäbe es keine Hacker“, erzählt Ruiu Dark Reading. „Dies ist eine dieser Zeiten, in denen ihre Marketingabteilung früher ihr Sicherheitsteam leitete.“

Damals behandelten die meisten Unternehmen auch Sicherheitsforscher schlecht. Wenn jemand einen Fehler fand und ihn meldete, wurde ihm oft mit Anwälten gedroht. Ein Teil des Verdienstes von Pwn2Own besteht darin, dass es dazu beigetragen hat, dies zu ändern, indem es „das Konzept des Meldens von Fehlern normalisierte“, sagt Dustin Childs, Kommunikationsmanager für das Zero Day Initiative-Programm von Trend Micro, der jetzt die Veranstaltung leitet.

Im Laufe der Jahre hat der Pwn2Own-Wettbewerb hochkarätige Forscher angezogen, darunter Dino Dai Zovi, Charlie Miller, George Hotz, Vincenzo Iozzo, Dion Blazakis, Ralf-Philipp Weinmann und Jung Hoon Lee (alias Lokihardt). Sie haben an allem herumgestochert, von Macs über Telefone bis hin zu IoT-Geräten, industriellen Steuerungssystemen und sogar Autos.

„Es ist eine Demonstration einiger der fortschrittlichsten Exploit-Techniken, die es zu einem bestimmten Zeitpunkt in der Branche gibt“, sagt Brian Gorenc, Senior Director of Vulnerability Research bei Trend Micro Gorenc. Demonstrationen wie diese verändern tatsächlich die Sichtweise der Branche auf Sicherheit.

Auch die Bemühungen der Forscher werden belohnt. Allein im letzten Jahr Geldpreise bei Pwn2Own –

einer der bestbezahlten Hacking-Wettbewerbe der Welt – überstieg bei mehreren Veranstaltungen insgesamt 2,5 Millionen US-Dollar.

Der diesjährige Wettbewerb, der heute beginnt, feiert seinen 15. Jahrestag und umfasst sechs Kategorien: Virtualisierung, Webbrowser, Unternehmensanwendungen, Server, lokale Rechteausweitung, Unternehmenskommunikation und Automobil. Wer die meisten Punkte sammelt, wird zum Master of Pwn gekrönt, was ihm „eine Killer-Trophäe und obendrein eine ziemlich schicke Jacke“ garantiert.

Frühe Pwn2Own-Gewinne
Beginnen wir jedoch mit einer Zusammenfassung des ersten Tages der CanSecWest-Konferenz 2007, als zwei MacBook Pros mit den neuesten Sicherheitsupdates im Rampenlicht standen und darauf warteten, gehackt zu werden. Ein paar Forscher versuchten ihr Glück, aber die Computer überlebten.

Dann rief der anwesende Sicherheitsexperte Shane Macaulay den ehemaligen Kollegen Dino Dai Zovi aus New York an und fragte ihn, ob er mitmachen wolle.

„Ich sagte, OK, cool, lass mich mich hinsetzen und nachsehen, was ich finden kann“, sagte Dai Zovi in ​​einem Interview eine Woche nach der Konferenz. Er brauchte fünf Stunden, um einen Fehler zu entdecken, und weitere vier, um den Exploit zu schreiben. Um 3 Uhr morgens rief er Macaulay an und sagte ihm, dass sie vielleicht tatsächlich gewinnen würden.

Dai Zovi hat einen Fehler in einer QuickTime-Bibliothek gefunden, die über ein Java-Applet geladen werden kann. Ein Angreifer könnte es über jeden Browser auf Mac OS X ausnutzen, der Java-Applets unterstützt, wie Safari und Firefox. Er schickte seinen Exploit an Macaulay, der ihn auf eine Website stellte und seine URL per E-Mail an die Organisatoren der Herausforderung schickte. Sobald sie die bösartige Webseite geladen hatten, erhielt Macauley eine Remote-Shell, die ihm die Kontrolle über den Laptop gewährte. Das Duo verpfändete die Maschine und verdiente ihnen ein 15-Zoll-MacBook (das Macaulay behielt, seit Dai Zovi sich kürzlich einen Laptop gekauft hatte) und einen Geldpreis von 10.000 US-Dollar, mit freundlicher Genehmigung der Zero Day Initiative.

Dai Zovi sagt, dass der Sieg beim ersten Pwn2Own-Event sein Leben verändert hat. „Es war ein enormer Vorteil für meine Karriere und hat sie wirklich auf eine andere und bessere Bahn gebracht“, sagt er. „Zu dieser Zeit hatte ich fast ein Jahrzehnt lang als privates Hobby Exploits geschrieben, war aber überhaupt nicht dafür bekannt.“

Der Ruf, den er erlangte, führte ihn dazu, Projekte zur iOS-Sicherheit zu beraten und mit Charlie Miller, einem anderen Pwn2Own-Rockstar, ein Buch zu schreiben, „The Mac Hacker’s Handbook“, gefolgt von „iOS Hacker’s Handbook“.

Miller stand im folgenden Jahr im Rampenlicht, als er mit seinen Kollegen Jake Honoroff und Mark Daniel einen Exploit für Safari schrieb. „Es könnte daran liegen, dass ich voreingenommen bin in Bezug auf die Dinge, in denen ich gut bin, aber [Safari is] der einfachste Browser [to hack]“, sagte Miller in einem Interview nach dem Wettbewerb.

Jenseits von Apple
Aber bei Pwn2Own ging es nicht nur um Apple-Produkte. Während der Veranstaltung 2008 wurde ein Fujitsu U810-Laptop mit Vista auch mit einem Exploit für Adobe Flash angegriffen, der von Shane Macaulay, Alexander Sotirov und Derek Callaway geschrieben wurde.

„Am Anfang war Pwn2Own ein stark browserorientierter Wettbewerb, und im Laufe der Jahre haben wir die Angriffsflächen erweitert“, sagt Gorenc. „Wir haben die Preise erhöht, um es für die Leute attraktiver zu machen, hereinzukommen.“

Tatsächlich überstiegen die gesamten Barpreise bis 2015 500.000 $. Bei der diesmonatigen Veranstaltung, die in einem Hybridformat abgehalten wird, warten bis zu 600.000 US-Dollar auf den Hackerangriff auf das Tesla Model 3, das größte Ziel in der Geschichte von Pwn2Own.

Aber es geht nicht nur um Geld. „Pwn2Own war der erste Wettbewerb, der sich darauf konzentrierte, echte, funktionierende Zero-Day-Exploits gegen reale Software zu demonstrieren, während zuvor die meisten Sicherheitswettbewerbe Capture-the-Flag-Wettbewerbe waren, die sich auf „Scheinziele“ und Schwachstellen konzentrierten“, sagt Dai Zovi. „Es hat wirklich den Fokus darauf gelegt, was gegen die Software möglich war, die Millionen, wenn nicht Milliarden von Menschen verwenden, um deutlich zu machen, wie sehr wir die Sicherheit verbessern müssen.“

Wenn „Wow“ eine Untertreibung ist
Der Pwn2Own-Wettbewerb wurde um Software wie MS Office, Adobe Reader und Zoom erweitert. Es hat auch die Sicherheit von iPhones und BlackBerrys getestet und Angriffe auf SCADA-Systeme und IoT-Geräte vorgestellt.

Einige der Hacks waren einfach überwältigend und „Zeiten, in denen ‚Wow‘ einfach nicht ausreicht“, so ein Blogbeitrag von HP Security Research, der während der Veranstaltung 2015 veröffentlicht wurde. Das war, als Jung Hoon Lee aus Südkorea drei Browser hackte: Internet Explorer 11 (er fand eine Time-of-Check-to-Time-of-Use-Schwachstelle), sowohl die stabile als auch die Beta-Version von Chrome (er nutzte eine Pufferüberlauf-Rennbedingung aus im Browser) und Safari (ich habe einen nicht initialisierten Stapelzeiger im Browser ausgenutzt).

Ein weiterer spannender Hack ereignete sich 2017, als ein Forscherteam des chinesischen Internetsicherheitsunternehmens Qihoo 360 in die Sandbox der virtuellen Maschine von VMWare einbrach.

„Sie haben einen virtuellen Client gestartet, eine vollständig gepatchte Windows-Box. Sie zogen einen vollständig gepatchten Browser und navigierten zu einer Webseite. Sie nahmen ihre Hände von der Tastatur und ließen alles laufen“, sagt Childs von Trend Micro. „Sie haben genug Fehler kombiniert, um daraus auszubrechen [sandbox] und führen Sie Code auf dem zugrunde liegenden Hypervisor auf dem darunter liegenden VMware-Server aus. Und es war erstaunlich.“

Hacks wie diese sorgten dafür, dass Anbieter sich vor der Konkurrenz nervös fühlten, und manchmal veröffentlichten sie sogar Updates vor einer Veranstaltung.

„Ein Jahr lang kamen wir nach Vancouver, nur um herauszufinden, dass die in Kanada bereitgestellte Version des BlackBerry tatsächlich unseren Fehler gepatcht hat, sodass wir zwei Nächte lang nicht schlafen mussten, um den Exploit zu beheben“, sagt Sicherheitsexperte Iozzo.

Aber, fügt er hinzu, solche Dinge gehörten zum Gütesiegel von Pwn2Own. Viele Hacker, die an diesen Veranstaltungen teilgenommen haben, sagen, dass sie sowohl intensiv als auch lustig waren. Im März 2019 fand das Fluoroacetate-Team, das seinen Namen von einer hochgiftigen Substanz erhielt, die Insekten töten kann, einen schwerwiegenden Speicher-Randomisierungsfehler im Infotainmentsystem von Teslas Model 3. Die Teammitglieder Richard Zhu und Amat Cama wurden zu Masters of Pwn gekrönt und verdienten 375.000 US-Dollar und das Auto.

Humor und Witze ergänzen den mit dem Hacken verbundenen Stress.

„Letztes Jahr ließen wir auch jemanden einen Drucker hacken und AC/DC über die Lautsprecher spielen, was ziemlich erfinderisch war“, sagt Childs. „Wir haben es mit einem ernsten Thema zu tun; Die Auswirkungen dieser Fehler können enorm sein. Aber gleichzeitig versuchen wir, den Konkurrenten gegenüber locker zu bleiben, damit wir uns selbst nicht zu ernst nehmen.“

Beiträge von Pwn2Own zur Fehlersuche
Als die erste Ausgabe des Pwn2Own-Wettbewerbs stattfand, war das Konzept der Insektenjagd ziemlich exotisch. Die meisten Unternehmen zögerten, mit Sicherheitsforschern zu sprechen, die Probleme meldeten, und selbst Anbieter, die an Pwn2Own-Veranstaltungen teilnahmen, hatten gemischte Gefühle.

Aber als der Wettbewerb an Aufmerksamkeit gewann und allen gute Publicity einbrachte, begannen sich die Unternehmen zu öffnen. Rückblickend sagt Sicherheitsforscher Ruiu, dass Pwn2Own teilweise die Rolle des Verhandlungsführers übernahm und Hackern half, eine angemessene Bezahlung für ihre Arbeit zu erhalten.

„Die Hersteller würden am liebsten einfach sagen: Habt hier ein T-Shirt“, sagt Ruiu. „Aber wir wurden zu Fürsprechern der Sicherheitsentwickler.“

Als sich Sicherheitsexperten und Anbieter im Disclosure Room trafen, um über Hacks zu sprechen, wurde die Stimmung weniger kontrovers und kooperativer. Das Ergebnis: Fehler wurden umgehend behoben, bevor sie von einer böswilligen Entität ausgenutzt wurden.

Pwn2Own zeigte, „dass es für verantwortungsbewusste Organisationen in Ordnung war, einzelne Forscher für die Arbeitsstunden zu entschädigen, die sie in ihre Ergebnisse investierten“, und veranlasste viele große Softwareunternehmen, Bug-Bounty-Programme zu unterstützen, sagt Terri Forslof, Bedrohungsanalyst bei Microsoft.

Ruiu stimmt dem zu und sagt, dass Pwn2Own dazu beigetragen hat, den Weg für Bug-Bounty-Plattformen wie HackerOne und Bugcrowd zu ebnen, die als Vermittler zwischen Forschern und Technologieunternehmen fungieren. Im Jahr 2021 zahlte HackerOne fast 37 Millionen US-Dollar für mehr als 66.500 gültige Fehler; Der Medianwert für einen kritischen Fehler betrug etwa 3.000 US-Dollar. Ebenfalls im vergangenen Jahr bot Google Bug-Jägern 8,7 Millionen Dollar, während Zoom 1,8 Millionen Dollar auszahlte.

Auch Ruius ursprüngliches Ziel, Apple dazu zu bringen, Sicherheit ernst zu nehmen, wurde zumindest teilweise erreicht. Der Riese aus Cupertino, Kalifornien, bietet derzeit Sicherheitsexperten bis zu 1 Million US-Dollar für einen Exploit, der zu einer Zero-Click-Kernel-Code-Ausführung mit Persistenz und Kernel-PAC-Umgehung führt.

Aber obwohl die Rolle von Bug Bountys unbestreitbar ist, bleiben verwandte Probleme bestehen. Sie müssten noch formalisiert werden, sagt Childs und fügt hinzu, dass solche Projekte nicht jedermanns Sache seien. „Sie sind keine Einheitsgröße“, sagt er.

Viele Unternehmen starten Bug-Bounty-Programme, ohne über einen ausgereiften Reaktionsprozess zu verfügen, um die erhaltenen Berichte bearbeiten zu können. Wie Childs es ausdrückt: „Sie bekommen all diese Fehler und wissen nicht, was sie damit anfangen sollen.“ Unternehmen sollten über einen effizienten Triage- und spezifischen Verfahrensprozess verfügen, um Updates an Kunden weiterzugeben, betont er.

„Bis Sie diesen grundlegenden, grundlegenden Prozess zur Verfügung haben, wird das Anbieten eines Bug-Bounty-Programms tatsächlich mehr schaden als nützen, weil Sie Bugs bekommen werden, und Sie werden davon überwältigt sein“, sagt Childs . „Und dann fangen Sie an, eine feindselige Beziehung zu den Personen aufzubauen, die die Anzeige erstatten, obwohl Sie sie bitten, sich zu melden.“

Auch Hacker beschweren sich. Einige sagen, dass sie für die Fehler, die sie entdecken, unterbezahlt werden, während andere argumentieren, dass ihre Bemühungen nicht immer voll anerkannt werden.

Während des Pwn2Own in dieser Woche hoffen sowohl Ruiu als auch ZDI, einen weiteren kleinen Schritt in die richtige Richtung zu machen. „Es ändert sich immer noch; es entwickelt sich ständig weiter“, sagt Ruiu. „Eines unserer Ziele ist es, die Beziehung zwischen Anbietern und unabhängigen Forschern zu verbessern.“

Leave a Reply

Your email address will not be published.