Internet Defense Prize: Facebook belohnt Studenten mit 100.000 Dollar

Facebook hat zwei Doktoranden der US-Universität Georgia Tech ein Preisgeld von 100.000 Dollar zugestanden. Byoungyoung Lee und Chengyu Song beschäftigten sich mit einem grundsätzlichen Angiffsvektor von C++-Programmen, nämlich der Typumwandlung von Variablen.

Facebooks Internet Defense Prize können Projekte und Prototypen gewinnen, die für mehr Sicherheit im Internet sorgen. Im vergangenen Jahr hatten deutsche Forscher 50.000 Dollar Preisgeld erhalten: Von ihnen stammte ein statisches Analyseverfahren, um nachrangige Schwächen in Web-Applikationen automatisch aufzuspüren. In einem Blogbeitrag schreibt Security-Engineering-Manager Ioannis Papagiannis von Facebook nun, der letztjährige Wettbewerb sei so erfolgreich gewesen, dass man ihn 2015 erneut zusammen mit Usenix ausgeschrieben habe.

Papagiannis erklärt auch den Ansatz der diesjährigen Sieger. C++ sehe zwei Möglichkeiten vor, um Datentypen in einen anderen umzuwandeln, nämlich statisch und dynamisch. Dynamische Umwandlungen würden zur Laufzeit auf Korrektheit überprüft, was aber Leistung koste. „Die meisten Leute ziehen statische Umwandlungen vor, um diesen Aufwand zu vermeiden, aber wenn man so den falschen Typ umwandelt, könnte das Programm einen Zeiger erstellen, der über den zu einem Objekt gehörigen Speicherbereich hinausweist. So lässt sich der Speicher des Prozesses korrumpieren.“

Da dies in der Praxis zu Schwachstellen führt, schlagen die Studenten aus Atlanta ein Prüfverfahren vor, das statische und dynamische Analyse kombiniert. Unter dem Namen „Caver“ legten sie auch einen Prototypen vor. Facebook zufolge ist es hochgradig kompatibel zu bestehenden Anwendungen und hat bereits elf bisher unbekannte Schwachstellen aufgedeckt – davon neun in GNU libstdc++, also der GNU Standard C++ Library, und zwei im ebenfalls in C++ geschriebenen Mozilla-Browser Firefox. Alle sind inzwischen behoben.

Die Prämierung der Arbeit erfolgte bei der 24. Auflage des Sicherheitssymposiums Usenix. Die zugehörige Website internetdefenseprize.org wurde hingegen noch nicht aktualisiert.

Papagiannis erklärte: „Wir profitieren alle von Arbeiten dieser Art – einer der Gründe, warum Facebook heute fast 1,5 Milliarden Menschen dienen kann, ist der, dass wir immer schnell Systeme und Framworks eingeführt haben, die ganze Klassen von Schwachstellen auf einmal verhindern. Als Branche müssen wir in solche skalierbaren Lösungen investieren.“

Um Facebooks Sicherheit geht es auch in einem parallel von Boston.com gemeldeten Fall. Demnach verlor Harvard-Student Aran Khanna seine Praktikantenstelle bei Facebook, nachdem er eine Privatsphäre-Lücke aufgespürt hatte. Sie gab ihm den Aufenthaltsort von Anwendern an die Hand, die gerade Nachrichten über Facebook Messenger verschickt hatten. Statt sie aber korrekt zu melden, soll Khanna eine Chrome-Erweiterung geschrieben und verfügbar gemacht haben, die diese Aufenthaltsorte auf einer Karte visualisierte.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de