Der diesjährige Pwn2own (im Rahmen der CanSecWest) war nicht wirklich spektakulär einige nette Geschichten finden sich dazu aber natürlich wie immer.

Was ich persönlich am interessanten fand war die Änderung der Ausgangssituation. Waren es letztes Jahr noch jeweils ein Windows-, Linux- bzw Mac OS X Recher so waren diesmal nur die Betriebssysteme aus Redmond und Cupertino am Start

Wieso den bloß ?

Ist es das fehlende Interesse der Medien, des Veranstalters, oder aber die etwaige höhe Komplexität, die fehlende Motivation der üblichen Verdächtigen im Wettbewerb das eigene Betriebssystem anzugehen ?

Ich denke die Fragen könnte man fast beliebig erweitern … so oder so ist es jedoch einfach Schade dass keine Linux-Distribution vertreten war, wenngleich der Contest-Fokus wohl eher auf den Browsern an sich lag wie auf dem “Nebenaspekt” Betriebssystem.

Browserspielchen

Bei den zum Einsatz kommenden Programmen fehlten leider auch einige Examplare … wobei man sich hier wohl einfach an der Verbreitung / dem Marktanteil orientiert hat (sagt mein Gefühl)

Vertreten waren jedenfalls folgende Kombinationen:

• Windows 7 mit IE8, Firefox und Googles Chrome
• Mac OS X mit Safari und Firefox

Nur um ein Grundgefühl zu geben: der erste Treffer dauerte knapp 2 Minuten, bei aktuell gepatchtem Mac OS X & Safari

In dem Kontext fand ich auch folgendes Zitat ganz witzig:

“Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit.”

Ziel des Wettbewerbes

Liegt wohl primär beim Selbstdarstellen einiger Security-Gurus (geiler Boost üfr die Karriere) sowie dem offensichtlichen Grund unbekannte Schwachstellen auf legalem Terrain quasi zu verkaufen. Die Rechte übergehen an den Veranstalter der diese an die entsprechende Firma weiterleitet und erst nach dem Patch darüber berichtet.

Ganz brauchbarer Ansatz eigentlich, wenngleich das ganze auf mich schon einen recht eingeschränkten Eindruck macht. Die Regeln und der Rahmen sind entscheident um aus den Ergebnissen wirklich Rückschlüsse ziehen zu können und dort haben in meinen Augen zumindest mehr Konstellationen aus OS & Browser gefehlt.

Solltet ihr Interesse an der Thematik gefunden haben finden sich bei Heise noch diverse Beiträge zum Thema CanSecWest. Und um den Kreis perfekt zu machen der bis dato noch nichtmal ersichtlich war … der Link zum Beitrag No more free bugs.

Tags: ASLR, browser, cansecwest, DEP, security