In den letzten Jahren hatten sich die beim Pwn2own-Wettbewerb angetretenen Sicherheitsforscher regelmäßig auf Safari, Firefox und Internet Explorer konzentriert, an Chrome hatte sich keiner versucht. In diesem Jahr ist vieles anders. Es gibt neue Regeln und mehr Geld – und Chrome fällt als erster Browser, schon fünf Minuten nach dem Startschuss.
Das Team des französischen Sicherheitsunternehmens VUPEN hat Exploits für zwei Sicherheitslücken in Chrome mitgebracht, mit denen sie die Kontrolle über einen Rechner mit Windows 7 übernommen haben. Eine Chrome-Standardinstallation auf Windows 7 (64-Bit, SP1) sowie der Besuch einer präparierten Web-Seite ohne weitere Benutzeraktion haben genügt, um das Taschenrechnerprogramm (calc.exe) zu starten. Damit haben die Forscher um Chaouki Bekrar den Ausbruch aus der Chrome-Sandbox demonstriert, die genau solche Angriffe neutralisieren sollte.
Pwn2own 2012 findet wie immer im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. In diesem Jahr gibt es neue Regeln. Jeder Teilnehmer darf sich an allen Zielobjekten (Chrome, Firefox, Internet Explorer, Safari) versuchen. Bislang war ein Browser aus dem Rennen, sobald der durch Los ermittelte erste Teilnehmer erfolgreich war. Es gibt für jeden Hack Punkte, so bekommt das VUPEN-Team für den Chrome-Hack deren 32. Weitere Punkte sind mit Aufgaben zu erhalten, die während des Wettbewerbs ausgeschrieben werden. Die Punktbesten erhalten am Ende Geldprämien, insgesamt 105.000 US-Dollar. Auch die bereit gestellten Rechner, auf denen die Schwachstellen demonstriert werden, werden an die Teilnehmer vergeben.
Google hat wenige Tage vor Beginn verkündet, es werde als Pwn2own-Sponsor aussteigen und mit „Pwnium” einen eigenen Wettbewerb am gleichen Ort veranstalten. Für erfolgreiche Chrome-Hacks lobt Google Preisgelder bis zu einer Gesamtsumme von einer Million Dollar aus. Erfolgreiche Hacker können, gestaffelt nach Qualität der ausgenutzten Schwachstelle, 20.000, 40.000, oder 60.000 Dollar Prämie sowie je ein Chromebook erhalten. Sergej Glazunov, der schon mehrere 10.000 Dollar mit an Google gemeldeten Chrome-Lücken verdient hat, bekommt die erste Pwnium-Prämie mit 60.000 Dollar für einen kompletten Chrome-Hack mit zwei bis dahin unbekannten Sicherheitslücken.
Im Gegensatz zum Pwn2own-Veranstalter, der HP-Tochter TippingPoint, verlangt Google bei Pwnium nicht nur, dass der Forscher die ausgenutzte Schwachstelle offen legt sondern auch den Exploit-Code. Daraus wollen die Google-Entwickler lernen, wie die Sicherheit ihres Web-Browsers verbessern können. TippingPoint vertritt die Ansicht, 60.000 Dollar seien zu wenig, um einen Ausbruch aus der Sandbox preiszugeben. Dafür bekäme man im Untergrund sehr viel mehr Geld. Damit so viele Lücken wie möglich auf den Tisch kommen, müssen so genannte Sandbox-Escapes bei Pwn2own nicht offen gelegt werden. Über diese Kontroverse ist Google als Sponsor bei Pwn2own ausgestiegen und hat mit Pwnium eine eigene Veranstaltung ins Leben gerufen, die das Unternehmen parallel in Vancouver abhält. Beide Wettbewerbe werden heute fortgesetzt.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.