PWN 2 OWN

Hacker-Contest nach zwei Minuten entschieden

28.03.2008
Von Markus Pilzweger
Beim Hacker-Wettbewerb PWN 2 OWN galt es, einen von drei Laptops zu kompromittieren. Während sich die Teilnehmer am ersten Tag noch ausruhten, ging es gestern zur Sache - allerdings nur kurz. Denn gleich der erste Hacker war erfolgreich. Er benötigte gerade mal zwei Minuten.

10.000 Dollar Preisgeld und ein nagelneues Notebook - für gerade mal zwei Minuten Arbeit. Dieses Kunststück gelang Charlie Miller auf dem Hacker-Contest PWN 2 OWN, der am Mittwoch begann (im Bild links zu sehen). Die Teilnehmer hatten dabei die Wahl, ob sie ein Notebook mit Vista, Mac OS oder Linux knacken wollen, einzige Voraussetzung war, dass es sich bei dem Angriff um eine Zero-Day-Lücke handeln muss. Am ersten Tag des Wettbewerbs galten noch strenge Regeln, etwa dass ein Angriff über das Netzwerk ohne Zutun des Anwenders erfolgreich verlaufen muss. Daher versuchte sich am Mittwoch niemand. Am zweiten Tag wurden die Regeln gelockert, aber auch das Preisgeld halbiert. Angriffe galten auch dann als erfolgreich, wenn der Anwender aktiv werden musste, beispielsweise indem er eine bestimmte Website aufrufen muss.

Charlie Miller war der erste Teilnehmer im Feld, der sein Glück versuchen durfte. Er entschied sich für das MacBook Air. Miller, der im vergangenen Jahr als erstes das iPhone geknackt hat, benötigte zwei Minuten für seinen erfolgreichen Übernahmeversuch. Er lotste den Anwender vor dem MacBook auf eine speziell präparierte Seite, die Schadcode enthielt. Daraufhin erlangte er vollständige Kontrolle über den Rechner.

Sofort danach erhielt Miller eine Nichtveröffentlichungs-Vereinbarung zur Unterschrift, die ihm untersagt, Einzelheiten zu der Lücke zu diskutieren oder zu veröffentlichen, bis der Sponsor des Events, Tipping Point, Apple über das Problem informiert hat.

Nach den Regeln des zweiten Wettbewerbstages durfte Miller nur Software für seinen Hack zu Hilfe nehmen, die auf den angegriffenen Systemen vorinstalliert war. Damit könnte die Lücke entweder im Browser Safari stecken oder über diesen ausgenutzt werden.