Pwn2Own

Pwn2Own ist ein Computer-Hack-Wettbewerb, der seit 2007 jährlich auf der Sicherheitsconferenz CanSecWest stattfindet.^[1] Die Teilnehmer sind herausgefordert, bei weit verbreiteter Software oder mobilen Geräten unbekannte Schwachstellen zu finden und sie auszunutzen. Die Gewinner bekommen das Gerät, das sie gehackt haben, einen Geldpreis und eine „Masters“-Jacke mit dem Jahr ihres Sieges. Der Name Pwn2Own ist Netzjargon und von dem Umstand abgeleitet, dass der Teilnehmer das Gerät hacken („pwn“) muss, um es zu (2 = two = „to“) gewinnen und damit zu besitzen („own“). „Pwn“ ist Leetspeak und selbst von own abgeleitet, die Aussprache ist etwa [pɔːn] oder [poʊn] (neben weiteren Varianten).^[2] Der Pwn2Own-Wettbewerb dient zur Demonstration der Angreifbarkeit von Geräten und Software, die weit verbreitet genutzt werden.

Herkunft

Der erste Wettbewerb wurde von Dragos Ruiu erdacht als Reaktion auf seine Frustration nach Apples mangelnder Reaktion auf den „Monat der Apple-Fehler“ und den „Monat der Kernel-Fehler“,^[3] sowie Apples Fernsehwerbung, die die Sicherheit in dem konkurrierenden Windows-Betriebssystem trivialisierte.^[4] Zu dieser Zeit gab es den weit verbreiteten Glauben, dass trotz der Veröffentlichung dieser Sicherheitslücken in den Apple-Produkten das Mac OS X wesentlich sicherer sei als seine Konkurrenten.^[5]

Am 20. März 2007, ca. 3 Wochen vor der CanSecWest, kündigte Ruiu den Pwn2Own-Wettbewerb zur Sicherheitsforschung auf der Mailingliste DailyDave an.^[1] Der Wettbewerb beinhaltete zwei MacBook Pros, welche sich auf der Konferenz befinden würden und die mit ihrem eigenen Wireless-Access-Point verbunden wären. Alle Konferenzteilnehmer konnten sich mit diesem Wireless-Access-Point verbinden und versuchen, bei einem der Geräte eine Schwachstelle auszunutzen. Wem dies gelang, durfte den Laptop mitnehmen. Es gab keine finanzielle Belohnung. Ruiu umriss, dass die Beschränkungen darüber, welche Hacks akzeptabel sind, stufenweise über die drei Konferenztage gelockert würden.

Ruiu fragte am ersten Tag der Konferenz Terri Forslof von der Zero Day Initiative (ZDI), ob er am Wettbewerb teilnehmen würde. ZDI ist weit bekannt in der Sicherheitsindustrie für ihr Programm zum Kauf von Zeroday-Schwachstellen, um diese dann an die betroffenen Hersteller zu melden und um für deren Netzwerk-Eindringling-Detektions-Systeme entsprechende Signaturen zu erstellen, um deren Effektivität zu erhöhen. Die Schwachstellen, die an ZDI verkauft werden, werden erst veröffentlicht, wenn der betroffene Hersteller einen Patch zum Beheben des Problems veröffentlicht hat.^[6] Nach einem Gespräch mit Ruiu stimmte Forslof zu, dass ZDI jede im Wettbewerb gefundene Schwachstelle zu einem festen Preis von 10000 US-Dollar kaufen wird.^[7]

Aufzählung erfolgreicher Exploits

Name	Mitgliedschaft	Jahr	Ziel
Dino Dai Zovi	selbständig	2007	Quicktime (Safari)
Shane Macauley	selbständig	2007	Quicktime (Safari)
Charlie Miller	ISE	2008	Safari (PCRE)
Jake Honoroff	ISE	2008	Safari (PCRE)
Mark Daniel	ISE	2008	Safari (PCRE)
Shane Macauley	selbständig	2008	Flash (Internet Explorer)
Alexander Sotirov	selbständig	2008	Flash (Internet Explorer)
Derek Callaway	selbständig	2008	Flash (Internet Explorer)
Charlie Miller	ISE	2009	Safari
Nils	selbständig	2009	Internet Explorer
Nils	selbständig	2009	Safari
Nils	selbständig	2009	Firefox
Charlie Miller	ISE	2010	Safari
Peter Vreugdenhil	selbständig	2010	Internet Explorer
Nils	selbständig	2010	Firefox
Ralf-Philipp Weinmann	selbständig	2010	iOS
Vincenzo Iozzo	selbständig	2010	iOS
VUPEN	VUPEN	2011	Safari
Stephen Fewer	Harmony Security	2011	Internet Explorer
Charlie Miller	ISE	2011	iOS
Dion Blazakis	ISE	2011	iOS
Willem Pinckaers	selbständig	2011	BlackberryOS
Vincenzo Iozzo	selbständig	2011	BlackberryOS
Ralf-Philipp Weinmann	selbständig	2011	BlackberryOS
VUPEN	VUPEN	2012	Unbekannt
Willem Pinckaers	selbständig	2012	Unbekannt
Vincenzo Iozzo	selbständig	2012	Unbekannt
VUPEN	VUPEN	2013	Windows 8 IE 10
VUPEN	VUPEN	2013	Windows 8 Flash
VUPEN	VUPEN	2013	Windows 8 Java
Nils	MWR Labs	2013	Windows 8 Chrome
Jon	MWR Labs	2013	Windows 8 Chrome
George Hotz	selbständig	2013	Windows 8 Adobe Reader
Joshua Drake	selbständig	2013	Windows 8 Java
James Forshaw	selbständig	2013	Windows 8 Java
Ben Murphy	selbständig	2013	Windows 8 Java
Pinkie Pie	selbständig	2013	Chrome (Mobile)
VUPEN	VUPEN	2014	Windows 8.1 IE 11
VUPEN	VUPEN	2014	Windows 8.1 Adobe Reader XI
VUPEN	VUPEN	2014	Windows 8.1 Chrome
VUPEN	VUPEN	2014	Windows 8.1 Adobe Flash
VUPEN	VUPEN	2014	Windows 8.1 Mozilla Firefox
Liang Chen, Zeguang Zhao	Keen team, team509	2014	Windows 8.1 Adobe Flash
Sebastian Apelt, Andreas Schmidt	Independent	2014	Windows 8.1 IE 11
Juri Aedla	selbständig	2014	Windows 8.1 Mozilla Firefox
Mariusz Mlynski	selbständig	2014	Windows 8.1 Mozilla Firefox
George Hotz	selbständig	2014	Windows 8.1 Mozilla Firefox
Liang Chen, Zeguang Zhao	Keen team, team509	2014	Safari (OS X Mavericks)
JungHoon Lee	selbständig	2015	IE 11, Google Chrome, Apple Safari^[8]
Peter, Jihui Lu, wushi, Zeguang Zhao	Keen team, team509	2015	Adobe Flash^[9]

Wettbewerb 2016

Programm	Sicherheitslücken^[10]
Microsoft Windows	6
Apple OS X	5
Adobe Flash	4
Apple Safari	3
Microsoft Edge	2
Google Chrome	1

Einzelnachweise

↑ ^a ^b Dragos Ruiu: PWN to OWN (was Re: How Apple orchestrated web attack on researchers). In: SecLists.Org Security Mailing List Archive. 20. März 2007, abgerufen am 2. September 2014 (englisch).
↑ pwn im englischen Wiktionary
↑ Ryan Naraine: Mac Developer mulling OS X equivalent of ZERT. In: ZDNet. CBS Interactive, 1. Februar 2007, abgerufen am 23. Oktober 2014 (englisch).
↑ Marc Orchant: Cancel or Allow? Good poke at Vista UAC. In: ZDNet. CBS Interactive, 6. Februar 2007, abgerufen am 23. Oktober 2014 (englisch).
↑ Ryan Naraine: How long can a Mac survive the hacker jungle? In: ZDNet. CBS Interactive, 26. März 2007, abgerufen am 31. Oktober 2014 (englisch).
↑ About the Zero Day Initiative. Abgerufen am 5. November 2014 (englisch).
↑ Terri Forslof: Apple issues patch for QuickTime flaw. 3. Mai 2007, abgerufen am 5. November 2014 (englisch).
↑ Steven J. Vaughan-Nichols: Pwn2Own 2015: The year every web browser went down. In: ZDNet. 23. März 2015, abgerufen am 16. Januar 2017.
↑ Pwn2Own 2015: Day One results
↑ Pwn2Own 2016: Chrome, Edge, and Safari hacked, $460,000 awarded in total. In: VentureBeat. 18. März 2016, abgerufen am 16. Januar 2017.

Weblinks

CanSecWest Applied Security Conference

[origin-1] Dragos Ruiu: PWN to OWN (was Re: How Apple orchestrated web attack on researchers). In: SecLists.Org Security Mailing List Archive. 20. März 2007, abgerufen am 2. September 2014 (englisch).

[2] pwn im englischen Wiktionary

[moab-3] Ryan Naraine: Mac Developer mulling OS X equivalent of ZERT. In: ZDNet. CBS Interactive, 1. Februar 2007, abgerufen am 23. Oktober 2014 (englisch).

[commercials-4] Marc Orchant: Cancel or Allow? Good poke at Vista UAC. In: ZDNet. CBS Interactive, 6. Februar 2007, abgerufen am 23. Oktober 2014 (englisch).

[jungle-5] Ryan Naraine: How long can a Mac survive the hacker jungle? In: ZDNet. CBS Interactive, 26. März 2007, abgerufen am 31. Oktober 2014 (englisch).

[aboutzdi-6] About the Zero Day Initiative. Abgerufen am 5. November 2014 (englisch).

[firstpwn2own-7] Terri Forslof: Apple issues patch for QuickTime flaw. 3. Mai 2007, abgerufen am 5. November 2014 (englisch).

[zdnet-8] Steven J. Vaughan-Nichols: Pwn2Own 2015: The year every web browser went down. In: ZDNet. 23. März 2015, abgerufen am 16. Januar 2017.

[9] Pwn2Own 2015: Day One results

[10] Pwn2Own 2016: Chrome, Edge, and Safari hacked, $460,000 awarded in total. In: VentureBeat. 18. März 2016, abgerufen am 16. Januar 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

Navigation