Auf der IT-Sicherheitskonferenz Cansecwest 2008 in Vancouver versuchten sich Hacker an drei Betriebssystemen: Windows, Mac OS und Linux. Das Ergebnis: Nur Linux erwies sich als standhaft.

Bei dem Wettbewerb »Pwn to Own« auf der Cansecwest traten beim Hackerwettbewerb drei Rechner beziehungsweise Betriebssysteme gegeneinander an.

Die Wahl fiel auf Notebooks mit der typischen Ausstattung für mobile Mitarbeiter. Auf einem Sony Vaio VGN-TZ37 CN lief die Linux-Distribution Ubuntu 7.10. Ein Fujitsu U810 trat mit Windows Vista Ultimate Service-Pack 1 an, und für Apple stieg ein MacBook Air mit der aktuellen MacOS-Version 10.5.2 »Leopard« in den Ring.

Die Aufgabe: Den Inhalt eines speziellen Files auf dem Rechner auslesen, und zwar mithilfe einer Zero-Day-Sicherheitslücke. Alle Betriebssysteme waren auf dem neuesten Stand, das heißt, es wurden zuvor die aktuellen Patches aufgespielt.

Gesponsert wurde das Event vom IT-Sicherheitsspezialisten Tipping Point. Er lobte Geldpreise in Höhe von bis zu 20.000 Dollar aus.

Die Ergebnisse der Angriffe

Am ersten Tag des Wettbewerbs war den Teilnehmern über ein Netzwerk nur der Angriff auf das Betriebssystem selbst gestattet. Dabei gelang es keinem Hacker, sich Zugang zu den Rechnern zu verschaffen.

Anders am zweiten Tag. Hier war es möglich, vom Betriebssystem-Anbieter installierte Anwendungen als »Eingangstor« zu nutzen, etwa E-Mail-Software und Browser. Am dritten Tag durften die Angreifer auch Applikationen von Drittanbietern nutzen, etwa Multimedia-Programme oder PDF-Lesesoftware.

Der Browser »Safari« wurde MacOS am zweiten Tag zum Verhängnis. Ein Team von Independent Security Evaluators (ISE) konnte durch eine Lücke in Apples Browser das Notebook »knacken, und damit den Rechner selbst sowie 10.000 Dollar Preisgeld einstreichen. Die Mitglieder des Teams gaben an, sie hätten sich deshalb für das Betriebssystem »Leopard« von Apple entschieden, weil es nach ihrer Einschätzung das leichteste Angriffsziel gewesen sei.

Am dritten Tag nutzten Fachleute des Sicherheitsberatungs- und Softwareentwicklungsunternehmen Security Objectives eine Lücke in Adobe Flash für einen erfolgreichen Angriff auf Windows Vista. Neben dem Fujitsu-Laptop brachte das der Mannschaft 5.000 Dollar. Nur das Sony-Notebook mit Ubuntu-Linux an Bord widerstand allen Attacken.

Details darüber, welche Angriffsformen verwendet wurden und wie die Attacken abliefen, wurden nicht veröffentlicht. Dies soll verhindern, dass »Trittbrettfahrer« sich diese Kenntnisse zunutze machen. Tipping Point leitet die Resultate an Apple und Adobe weiter.