Pwn2Own ist ein Computer-Hack-Wettbewerb, der seit 2007 jährlich auf der Sicherheitsconferenz CanSecWest stattfindet.[1] Die Teilnehmer sind herausgefordert, bei weit verbreiteter Software oder mobilen Geräten unbekannte Schwachstellen zu finden und sie auszunutzen. Die Gewinner bekommen das Gerät, das sie gehackt haben, einen Geldpreis und eine „Masters“-Jacke mit dem Jahr ihres Sieges. Der Name Pwn2Own ist Netzjargon und von dem Umstand abgeleitet, dass der Teilnehmer das Gerät hacken („pwn“) muss, um es zu (2 = two = „to“) gewinnen und damit zu besitzen („own“). „Pwn“ ist Leetspeak und selbst von own abgeleitet, die Aussprache ist etwa [pɔːn] oder [poʊn] (neben weiteren Varianten).[2] Der Pwn2Own-Wettbewerb dient zur Demonstration der Angreifbarkeit von Geräten und Software, die weit verbreitet genutzt werden.

Herkunft

Bearbeiten

Der erste Wettbewerb wurde von Dragos Ruiu erdacht als Reaktion auf seine Frustration nach Apples mangelnder Reaktion auf den „Monat der Apple-Fehler“ und den „Monat der Kernel-Fehler“,[3] sowie Apples Fernsehwerbung, die die Sicherheit in dem konkurrierenden Windows-Betriebssystem trivialisierte.[4] Zu dieser Zeit gab es den weit verbreiteten Glauben, dass trotz der Veröffentlichung dieser Sicherheitslücken in den Apple-Produkten das Mac OS X wesentlich sicherer sei als seine Konkurrenten.[5]

Am 20. März 2007, ca. 3 Wochen vor der CanSecWest, kündigte Ruiu den Pwn2Own-Wettbewerb zur Sicherheitsforschung auf der Mailingliste DailyDave an.[1] Der Wettbewerb beinhaltete zwei MacBook Pros, welche sich auf der Konferenz befinden würden und die mit ihrem eigenen Wireless-Access-Point verbunden wären. Alle Konferenzteilnehmer konnten sich mit diesem Wireless-Access-Point verbinden und versuchen, bei einem der Geräte eine Schwachstelle auszunutzen. Wem dies gelang, durfte den Laptop mitnehmen. Es gab keine finanzielle Belohnung. Ruiu umriss, dass die Beschränkungen darüber, welche Hacks akzeptabel sind, stufenweise über die drei Konferenztage gelockert würden.

Ruiu fragte am ersten Tag der Konferenz Terri Forslof von der Zero Day Initiative (ZDI), ob er am Wettbewerb teilnehmen würde. ZDI ist weit bekannt in der Sicherheitsindustrie für ihr Programm zum Kauf von Zeroday-Schwachstellen, um diese dann an die betroffenen Hersteller zu melden und um für deren Netzwerk-Eindringling-Detektions-Systeme entsprechende Signaturen zu erstellen, um deren Effektivität zu erhöhen. Die Schwachstellen, die an ZDI verkauft werden, werden erst veröffentlicht, wenn der betroffene Hersteller einen Patch zum Beheben des Problems veröffentlicht hat.[6] Nach einem Gespräch mit Ruiu stimmte Forslof zu, dass ZDI jede im Wettbewerb gefundene Schwachstelle zu einem festen Preis von 10000 US-Dollar kaufen wird.[7]

Aufzählung erfolgreicher Exploits

Bearbeiten
Name Mitgliedschaft Jahr Ziel
Dino Dai Zovi selbständig 2007 Quicktime (Safari)
Shane Macauley selbständig 2007 Quicktime (Safari)
Charlie Miller ISE 2008 Safari (PCRE)
Jake Honoroff ISE 2008 Safari (PCRE)
Mark Daniel ISE 2008 Safari (PCRE)
Shane Macauley selbständig 2008 Flash (Internet Explorer)
Alexander Sotirov selbständig 2008 Flash (Internet Explorer)
Derek Callaway selbständig 2008 Flash (Internet Explorer)
Charlie Miller ISE 2009 Safari
Nils selbständig 2009 Internet Explorer
Nils selbständig 2009 Safari
Nils selbständig 2009 Firefox
Charlie Miller ISE 2010 Safari
Peter Vreugdenhil selbständig 2010 Internet Explorer
Nils selbständig 2010 Firefox
Ralf-Philipp Weinmann selbständig 2010 iOS
Vincenzo Iozzo selbständig 2010 iOS
VUPEN VUPEN 2011 Safari
Stephen Fewer Harmony Security 2011 Internet Explorer
Charlie Miller ISE 2011 iOS
Dion Blazakis ISE 2011 iOS
Willem Pinckaers selbständig 2011 BlackberryOS
Vincenzo Iozzo selbständig 2011 BlackberryOS
Ralf-Philipp Weinmann selbständig 2011 BlackberryOS
VUPEN VUPEN 2012 Unbekannt
Willem Pinckaers selbständig 2012 Unbekannt
Vincenzo Iozzo selbständig 2012 Unbekannt
VUPEN VUPEN 2013 Windows 8 IE 10
VUPEN VUPEN 2013 Windows 8 Flash
VUPEN VUPEN 2013 Windows 8 Java
Nils MWR Labs 2013 Windows 8 Chrome
Jon MWR Labs 2013 Windows 8 Chrome
George Hotz selbständig 2013 Windows 8 Adobe Reader
Joshua Drake selbständig 2013 Windows 8 Java
James Forshaw selbständig 2013 Windows 8 Java
Ben Murphy selbständig 2013 Windows 8 Java
Pinkie Pie selbständig 2013 Chrome (Mobile)
VUPEN VUPEN 2014 Windows 8.1 IE 11
VUPEN VUPEN 2014 Windows 8.1 Adobe Reader XI
VUPEN VUPEN 2014 Windows 8.1 Chrome
VUPEN VUPEN 2014 Windows 8.1 Adobe Flash
VUPEN VUPEN 2014 Windows 8.1 Mozilla Firefox
Liang Chen, Zeguang Zhao Keen team, team509 2014 Windows 8.1 Adobe Flash
Sebastian Apelt, Andreas Schmidt Independent 2014 Windows 8.1 IE 11
Juri Aedla selbständig 2014 Windows 8.1 Mozilla Firefox
Mariusz Mlynski selbständig 2014 Windows 8.1 Mozilla Firefox
George Hotz selbständig 2014 Windows 8.1 Mozilla Firefox
Liang Chen, Zeguang Zhao Keen team, team509 2014 Safari (OS X Mavericks)
JungHoon Lee selbständig 2015 IE 11, Google Chrome, Apple Safari[8]
Peter, Jihui Lu, wushi, Zeguang Zhao Keen team, team509 2015 Adobe Flash[9]

Wettbewerb 2016

Bearbeiten
Programm Sicherheitslücken[10]
Microsoft Windows 6
Apple OS X 5
Adobe Flash 4
Apple Safari 3
Microsoft Edge 2
Google Chrome 1

Einzelnachweise

Bearbeiten
  1. a b Dragos Ruiu: PWN to OWN (was Re: How Apple orchestrated web attack on researchers). In: SecLists.Org Security Mailing List Archive. 20. März 2007, abgerufen am 2. September 2014 (englisch).
  2. pwn im englischen Wiktionary
  3. Ryan Naraine: Mac Developer mulling OS X equivalent of ZERT. In: ZDNet. CBS Interactive, 1. Februar 2007, abgerufen am 23. Oktober 2014 (englisch).
  4. Marc Orchant: Cancel or Allow? Good poke at Vista UAC. In: ZDNet. CBS Interactive, 6. Februar 2007, abgerufen am 23. Oktober 2014 (englisch).
  5. Ryan Naraine: How long can a Mac survive the hacker jungle? In: ZDNet. CBS Interactive, 26. März 2007, abgerufen am 31. Oktober 2014 (englisch).
  6. About the Zero Day Initiative. Abgerufen am 5. November 2014 (englisch).
  7. Terri Forslof: Apple issues patch for QuickTime flaw. 3. Mai 2007, abgerufen am 5. November 2014 (englisch).
  8. Steven J. Vaughan-Nichols: Pwn2Own 2015: The year every web browser went down. In: ZDNet. 23. März 2015, abgerufen am 16. Januar 2017.
  9. Pwn2Own 2015: Day One results
  10. Pwn2Own 2016: Chrome, Edge, and Safari hacked, $460,000 awarded in total. In: VentureBeat. 18. März 2016, abgerufen am 16. Januar 2017.
Bearbeiten