Microsoft glänzt im Hacker-Wettbewerb Pwn2own

Zur jährlich stattfindenden Security-Messe CanSecWest, die kürzlich in Vancouver stattfand, gehört traditionell auch der Pwn2own-Wettbewerb. Dort können Hacker zeigen, ob es ihnen gelingt vorbereitete Rechner mit Software auf aktuellstem Patchlevel erfolgreich anzugreifen und in Besitz zu nehmen (zu „ownen“). Gelingt es ihnen, so dürfen sie den Rechner behalten und erhalten ein 4-5stelliges Preisgeld.

Umgekehrt erhält der Veranstalter die dazu verwendeten, i.d.R. noch nicht bekannten Sicherheitslücken und kann sie an die Hersteller der betroffenen Softwareprodukte weitergeben. Diese sponsern daher den Pwn2own-Wettbewerb, auch um so ein legales Gegengewicht zum Schwarzmarkt für Exploits zu schaffen.

Wer hier mitmachen will, sollte sich zur Elite der Hacker und Security-Experten zählen. Denn ohne sehr tiefgehendes Wissen um Systeme und Programmiersprachen sowie die Fähigkeit selber noch unbekannte Sicherheitslücken zu finden und programmtechnisch in Exploits umzusetzen, braucht man bei Pwn2own erst gar nicht antreten.

Diesmal ging es um die Browser Firefox, Internet Explorer 8 und Safari, die bereits am ersten Tag den Hackern zum Opfer fielen. Nur Google Chrome kam ungeschoren davon. Ebenso gelang es den Hackern nicht, die angebotenen Smartphones zu hacken.

Einem deutschen Teilnehmer gelang es im Handstreich alle drei Browser zu kapern und ihnen eigenen Code unterzujubeln. Der 25-jährige Student aus Oldenburg finanziert sich sein Studium zum Teil durch das Auffinden und Verkaufen von Sicherheitslücken.

Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei „sehr, sehr schwierig“ gewesen, den Fehler verlässlich auszunutzen und Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig: „Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit.“

Für die Entwickler bei Microsoft dürfte das eine der höchsten Auszeichnungen und Belobigungen sein, die überhaupt möglich sind. Lange Zeit galten Microsoft-Produkte, allen voran das Betriebssystem Windows, als unsicher und schlampig programmiert. Die zunehmende Kritik an der Qualität von Microsofts Produkten führte dazu, dass das Unternehmen bereits seit Jahren beträchtliche Summen in die Berücksichtigung sicherheitstechnischer und qualitativer Aspekte bei der Entwicklung investierte.

Beispiel hierfür ist der Microsoft Security Development Lifecycle (SDL), ein Vorgehensmodell zur systematischen Integration sicherheitsrelevanter Überlegungen in die Produktentwicklung. Es erweitert die Phasen der Softwareentwicklung bei Microsoft um mehrere auf Sicherheit abzielende Aktivitäten und Projektergebnisse. Dazu zählen die Entwicklung von Bedrohungsmodellen beim Softwareentwurf, die Verwendung von Tools zur statischen Codeanalyse bei der Implementierung sowie das Durchführen von Codeüberprüfungen und Sicherheitstests bei einer gezielten Suche nach Sicherheitsmängeln.

Demnach hat Microsoft inzwischen große Fortschritte in der Entwicklung robuster und sicherer Software gemacht. Fortschritte, die in der Fachwelt gesehen und gewürdigt werden. Nichtsdestotrotz gelingt es kreativen Experten der IT-Sicherheit immer wieder auch in qualitativ guten Softwareprodukten ihr Schlupfloch für den Einstieg zu finden.

Heise.de: Pwn2own-Wettbewerb: Safari, IE8 und Firefox gehackt

Heise.de: Pwn2own-Fazit: “Mac hacken macht Spaß, Windows ist harte Arbeit”

The Microsoft Security Development Lifecycle (SDL)

The Microsoft Security Development Lifecycle (SDL): Process Guidance

Microsofts Entwicklungszyklus für sichere Software