Rekord-Preisgelder machen Hackerwettbewerbe attraktiver denn je

Mit hohen Prämien haben die Hackerwettbewerbe Pwnium und Pwn2Own mehr Aufmerksamkeit als jemals zuvor auf sich gezogen. Beide finden jährlich während der Konferenz CanSecWest im kanadischen Vancouver statt, und Pwn2Own verzeichnete mehr Anmeldungen als je zuvor. Google konnte darauf verweisen, in den letzten Jahren Bug-Prämien von über 3 Millionen Dollar ausgezahlt zu haben.

Das von Hewlett-Packard gesponserte Pwn2Own lockte Sicherheitsforscher mit Preisen bis zu 1,085 Millionen Dollar. Die Gewinnchancen brachten sie dazu, wochenlang oder monatelang an Exploits zu arbeiten, um die Sicherheitsmechanismen von Microsoft Internet Explorer, Google Chrome, Mozilla Firefox und Adobe Flash sowie Reader auszuhebeln. Acht Teams holten sich an den zwei Wettbewerbstagen zusammen 850.000 Dollar, während weitere 82.500 Dollar bei Pwn4Fun für wohltätige Zwecke erhackt wurden.

Das chinesische Keen Team feiert den erfolgreichen Hack von Apples Safari
(Bild: Seth Rosenblatt / CNET)

An das Team Vupen von Vupen Security ging mit 400.000 Dollar die bisher größte Summe, die ein einzelnes Team im Wettbewerb einfahren konnte. Laut Vupen-Chef Chaouki Bekrar geht es aber nicht nur um die hohen Preisgelder. „Der entscheidende Wert von Pwn2Own besteht darin, zu zeigen, dass die sicherste Software von einem Forscherteam mit genügend Ressourcen kompromittiert werden kann“, erklärte er, nachdem sein Team Google Chrome überwand. „Da wir die Anbieter über die Schwachstellen unterrichten, beheben sie die Fehler und härten den Browser, um künftige Angriffe zu verhindern.“ Die Nutzung von Browsern werde so für alle sicherer, da die Browserhersteller auch von den Fehlern ihrer Mitbewerber lernten.

Brian Gorenc, Manager von HPs Zero-Day Initiative, schreibt den hohen Preisen eine zweifache Wirkung auf die alltägliche Sicherheit des jeweils bevorzugten Browsers zu. „Microsoft, Adobe und Google stellten sich alle gepatcht dem Wettbewerb“, sagte er. „Die Anbieter versuchen definitiv, mit ihren besten Produkten zu kommen.“ Darin spiegle sich der wachsende Trend, schneller auf berichtete Bugs zu reagieren. Noch vor zwei Jahren brauchte es für die Behebung eines Bugs durchschnittlich 180 Tage – diese Zeitspanne wurde inzwischen auf 120 Tage verringert.

Vupen-Security-Chef Chaouki Bekrar verbirgt den Exploit, der die Sicherheitsmechanismen von Google Chrome überwand
(Bild: Seth Rosenblatt / CNET)

Wachsende Preissummen zögen Forscher an wie ein Arcade-Spiel Nerds, sagte Gorenc. Mit 16 Anmeldungen waren in diesem Jahr mehr Teams beteiligt als jemals zuvor. Mit der Teilnahme an einem Wettbewerb haben Sicherheitsforscher inzwischen die Chance, genug zu verdienen, um ein ganzes Jahr leben zu können. Gleichzeitig erhöht sich aber auch der Schwierigkeitsgrad immer weiter.

Während Vupen vier bis sechs Wochen Vorbereitungszeit für sein Preisgeld aufwenden musste, benötigte das Keen Team aus China drei Monate für die Entwicklung der Exploits, mit denen es Apples Safari und Adobe Flash zu Fall brachte. Einen Teil ihres Preisgelds wollen die Teammitglieder für die Vermissten des Flugs MH370 der Malaysian Airlines spenden.

Der von Google organisierte Wettbewerb Pwnium 4 lief parallel zu Pwn2Own, forderte die Sicherheitsforscher zu Angriffen auf Chrome OS auf und stellte mögliche Belohnungen aus einem Preistopf von 2,7 Millionen Dollar in Aussicht. Ein erfolgreicher Hacker konnte sich davon 150.000 Dollar holen, indem er einen Exploit für das HP Chromebook 11 demonstrierte.

Zusammen mit seinen regulär ausgelobten Prämien für in Chrome und der Google-Suche entdeckte Schwachstellen hat das Unternehmen über die Jahre insgesamt über 3 Millionen Dollar für Bugs ausgezahlt – in dieser Summe ist die diesjährige Pwnium-Auszahlung mit enthalten. Die Auszahlungen scheinen sich zu beschleunigen, denn erst vor sieben Monaten nahm Google die Marke von 2 Millionen Dollar. „Wir kamen wirklich schnell von zwei auf drei“, sagte Chris Evans vom Chrome-Sicherheitsteam. „Je mehr Geld wir in die ‚White-Hat-Community‘ stecken, desto besser ist das für uns alle. Die Preise sind so hoch, weil wir so viel davon lernen können. Wir können ganze Klassen von Bugs schließen und gleichzeitig neue Schutzmaßnahmen ausarbeiten.“

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago