So wird man Millionär

 

Das PwnFest in Seoul ist ein Festival im Dienste der IT-Sicherheit, das von den großen Herstellern Microsoft, Google, Apple, Adobe und VMWare gesponsert wird.  Es werden üppige Prämien ausgelobt wenn es gelingt, eine Komponente des Softwareherstellers zu hacken und dadurch die Kontrolle über ein IT-System zu übernehmen.Bild der Website des PwnFest 2015
Auch in diesem Jahr wurde damit wieder viel Geld verdient.

Beispiele:

USD $120.000 für den Angriff auf das Smartphone Google-Pixel  

Ein Team des IT-Unternehmens Qihoo360 brauchte weniger als 60 Sekunden, um das Flaggschiff von Google zu übernehmen: das Pixel. Google hat diese Sicherheitslücke inzwischen geschlossen.

USD $120.000 für die erfolgreiche Ausnutzung einer Sicherheitslücke in Adobe Flash Player unter Windows

Wieder das Team von Qihoo360. Dieser Hack dauerte nur 4 Sekunden. Das Team erhielt privilegierten Zugriff auf das Windows System.

USD $150.000 für den Hack von VMWare Workstation 12 unter Windows 10

Das Marvel Team konnte eine Sicherheitslücke ausnutzen, und dadurch Zugriff  von dem VMWare Gastsystem auf den Host erhalten.

USD $120.000 für den Angriff auf Microsoft Edge unter Windows 10

Ein Entwickler Namens Lokihardt war erfolgreich mit dem Browser Edge und erhielt privilegierten Zugriff auf das Windows 10 System.

USD $80.000 für das Ausnutzen einer Sicherheitslücke im Apple Safari Browser

Das Pangu Team führte diesen Angriff vor. Es benötigte weniger als 20 Sekunden, um root-Privilegien zu erhalten.


Frage: Wie kann einem Angreifer sowas überhaupt gelingen?

Die Antwort ist genauso einfach wie beunruhigend. Er nutzt einen Fehler in der Software der Komponente aus, und zwar einen Fehler, den der Hersteller selbst noch nicht kennt und für den es deshalb auch noch keine Korrektur gibt.
Solche Fehler nennt man zero-day-exploit. Zero-day-exploits sind in den Kreisen der Hacker wertvoll. Sie sind erst einem kleinen Kreis von Eingeweihten bekannt. Sie werden im Darknet mit hohen Geldbeträgen gehandelt.

Auf dem PwnFest in Seoul konnte aber mit den ausgelobten Preisgeldern doch noch etwas mehr verdient werden. Aus Sicht der Sponsoren ist das eine überaus sinnvolle Investition.

 

Zurück