In diesem Artikel wird das Thema Pwn2Own aus verschiedenen Perspektiven und Ansätzen behandelt, um eine umfassende und detaillierte Sicht auf dieses heute so relevante Thema zu bieten. Es werden historische, kulturelle, soziale und wirtschaftliche Aspekte im Zusammenhang mit Pwn2Own analysiert, wobei der Schwerpunkt auf seinen Auswirkungen auf das tägliche Leben der Menschen liegt. Durch umfassende Recherche und das Sammeln relevanter Informationen soll dem Leser ein tiefes und aktuelles Verständnis von Pwn2Own vermittelt werden, mit dem Ziel, sein Wissen zu erweitern und Überlegungen zu diesem Thema anzuregen.
Pwn2Own ist ein Computer-Hack-Wettbewerb, der seit 2007 jährlich auf der Sicherheitsconferenz CanSecWest stattfindet. Die Teilnehmer sind herausgefordert, bei weit verbreiteter Software oder mobilen Geräten unbekannte Schwachstellen zu finden und sie auszunutzen. Die Gewinner bekommen das Gerät, das sie gehackt haben, einen Geldpreis und eine „Masters“-Jacke mit dem Jahr ihres Sieges. Der Name Pwn2Own ist Netzjargon und von dem Umstand abgeleitet, dass der Teilnehmer das Gerät hacken („pwn“) muss, um es zu (2 = two = „to“) gewinnen und damit zu besitzen („own“). „Pwn“ ist Leetspeak und selbst von own abgeleitet, die Aussprache ist etwa oder (neben weiteren Varianten). Der Pwn2Own-Wettbewerb dient zur Demonstration der Angreifbarkeit von Geräten und Software, die weit verbreitet genutzt werden.
Der erste Wettbewerb wurde von Dragos Ruiu erdacht als Reaktion auf seine Frustration nach Apples mangelnder Reaktion auf den „Monat der Apple-Fehler“ und den „Monat der Kernel-Fehler“, sowie Apples Fernsehwerbung, die die Sicherheit in dem konkurrierenden Windows-Betriebssystem trivialisierte. Zu dieser Zeit gab es den weit verbreiteten Glauben, dass trotz der Veröffentlichung dieser Sicherheitslücken in den Apple-Produkten das Mac OS X wesentlich sicherer sei als seine Konkurrenten.
Am 20. März 2007, ca. 3 Wochen vor der CanSecWest, kündigte Ruiu den Pwn2Own-Wettbewerb zur Sicherheitsforschung auf der Mailingliste DailyDave an. Der Wettbewerb beinhaltete zwei MacBook Pros, welche sich auf der Konferenz befinden würden und die mit ihrem eigenen Wireless-Access-Point verbunden wären. Alle Konferenzteilnehmer konnten sich mit diesem Wireless-Access-Point verbinden und versuchen, bei einem der Geräte eine Schwachstelle auszunutzen. Wem dies gelang, durfte den Laptop mitnehmen. Es gab keine finanzielle Belohnung. Ruiu umriss, dass die Beschränkungen darüber, welche Hacks akzeptabel sind, stufenweise über die drei Konferenztage gelockert würden.
Ruiu fragte am ersten Tag der Konferenz Terri Forslof von der Zero Day Initiative (ZDI), ob er am Wettbewerb teilnehmen würde. ZDI ist weit bekannt in der Sicherheitsindustrie für ihr Programm zum Kauf von Zeroday-Schwachstellen, um diese dann an die betroffenen Hersteller zu melden und um für deren Netzwerk-Eindringling-Detektions-Systeme entsprechende Signaturen zu erstellen, um deren Effektivität zu erhöhen. Die Schwachstellen, die an ZDI verkauft werden, werden erst veröffentlicht, wenn der betroffene Hersteller einen Patch zum Beheben des Problems veröffentlicht hat. Nach einem Gespräch mit Ruiu stimmte Forslof zu, dass ZDI jede im Wettbewerb gefundene Schwachstelle zu einem festen Preis von 10000 US-Dollar kaufen wird.
Programm | Sicherheitslücken |
---|---|
Microsoft Windows | 6 |
Apple OS X | 5 |
Adobe Flash | 4 |
Apple Safari | 3 |
Microsoft Edge | 2 |
Google Chrome | 1 |