Sonstiges

Microsoft BlueHat Prize: Die nächste Sicherheitstechnik gegen 200.000 Dollar Cash

Es gibt Dinge, die muss man offenbar mindestens einmal falsch gemacht haben, um zu wissen, wie es richtig geht. Zum Beispiel eine eigentlich simple Käsesauce/Sauce Hollandaise. Wer sie während der Zubereitung „nur nochmal kurz erhitzen“ möchte, wünscht sich danach, einer der Gäste hätte diese verdammt blöde Idee im Keim erstickt, ein lautes „Halt!“ vom Esstisch herübergebrüllt, den Koch zu Boden gestürzt, den Schneebesen rechtzeitig an sich gerissen. Ähnliches scheint für Sicherheitslücken in den Diensten und Programmen großer Unternehmen zu gelten. Auch Nicht-Informatiker und -Sicherheitsexperten fragen sich, warum es Hackern möglich war, beispielsweise bei Sony, Amazon und Facebook an sensible Nutzerdaten zu gelangen.

Wahrscheinlich ist es leichter, eine Sicherheitslücke aufzudecken oder auszunutzen als sie von Anfang an auszuschließen – ich weiß es nicht. Egal wie groß und geschult die Sicherheitsabteilung ist, irgendwo gibt es bestimmt noch einen Experten, der noch qualifizierter ist. Um das Potential der weltweit verteilten Manpower anzuzapfen, locken nicht nur Google und Facebook mit Belohnungen für das Auffinden von Bugs. Microsoft hat jetzt einen Sicherheitswettbewerb ins Leben gerufen, der etwas anders geartet ist.

Der BlueHat Prize Contest zückt 200.000 US-Dollar Cash für den Sieger, 50.000 Dollar für den Zweitplatzierten und 10.000 Dollar in Form eines MSDN-Abonnements für die Nummer 3. Eine solche Summe haben die Redmonder eigenen Angaben zufolge bislang noch nicht in einen Wettbewerb dieser Kategorie gepumpt. Was zu tun ist: Die „nächste“ Sicherheitstechnik entwickeln. Unter „BlueHat“ veranstaltet Microsoft seit mehreren Jahren eine abgeschirmte (Hacker-)Konferenz, die Professionals und Externe zusammenführt, daher der Name.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
Senior Online Marketing Manager (w/m/d) – Schwerpunkt Social Media
Oldenburgische Landesbank AG in Oldenburg, Frankfurt am Main
(Senior) Paid Social Media Manager (m/w/d)
Content Fleet GmbH in bundesweit

Alle Stellenanzeigen


Wie das Belohnungssystem von Google, das externe Entwickler für aufgedeckte Sicherheitslücken im Browser Chrome – je nach Relevanz mit 500 bis 3133,70 Dollar – entlohnt, oder auch Mozilla und Facebook, packt auch Microsofts Programm das Problem nicht an der Wurzel, nähert sich aber von einer anderen Seite. Wie die schwarz-blaue Website, die mich irgendwie an die immer einen Tick zu dunklen Räume der CTU aus 24 erinnert, erläutert, sollen Sicherheitsexperten Möglichkeiten finden, vorhandene Speicherschwachstellen in Programmen vor Angreifern abzusichern. Die effektivste Methode gewinnt. Microsoft verspricht sich davon natürlich auch mehr Sicherheit für Windows selbst.

Anmeldungen werden bis zum 1. April 2012 entgegengenommen, die Sieger verkündet der Software-Riese auf der Black Hat Konferenz 2012. Die Entscheidung fällen interne Ingenieure unter Berücksichtigung der Kriterien Funktionalität, Robustheit und Wirkung.

(Saskia Brintrup)

Über den Autor

Saskia Brintrup

Saskia Brintrup hat von 2010 bis 2013 insgesamt 66 Artikel zu BASIC thinking beigesteuert.

26 Kommentare

  • Das Programm von Google gilt nicht nur für Chrome, bitte dazu einmal selber den offiziellen Blog von Google durchforsten. 🙂

    Im letzten Absatz steht Black Hat, die Konferenz heißt BlueHat.

    Gruß Maik

  • Ich habe das ungute Gefühl das Software nie wirklich sicher sein wird.
    Die Unternehmen und vor allem die Kunden müssen darunter leiden. Erstaunlich welche parallelen die reale udn die digitale Welten haben.

    In beiden gibt es VirenBefall, sie gehören einfach dazu und sind nicht wegzudenken.

  • „[…] Auch Nicht-Informatiker und -Sicherheitsexperten fragen sich […]“
    Fragen sich informatiker das? Also ich frage mich das nicht!
    Programme können nie sicher sein. Und es geht auch weniger darum, wer besser oder schlechter ist. Ein Hacker hat x Mal mehr Zeit eine Lücke zu finden als ein Programmierer hat um sie auszuschließen, wenn er unter enormem Zeitdruck Code schreiben muss.
    Dazu kommt noch, dass Lücken durch Softwarefirmen in kauf genommen werden, weil sie das Produkt rechtzeitig auf den Markt bringen müssen und weil Programmierer sehr viel Geld kosten. Fast immer ist es da günstiger Patches zu veröffentlichen wenn Lücken bekannt werden oder lächerlich geringe Summen auszuzahlen an Kiddies die nichts zu tun haben.

    @Maik http://en.wikipedia.org/wiki/Black_Hat_Briefings 😉

  • Das Problem ist ganz einfach, sowohl Microsoft, Linux, Apple, Facebook, google setzten auf programiersprachen die es seit mehr als 30 Jahren gibt.
    Damals hat kein Erfinder der jeweiligen Programmiersprache an solche Probleme gedacht, deswegen gibt es da auch eklantante sicherheit probleme.

    Man schaue sich das neue Projekt von Microsoft von 2002 „Singularity“.
    Ein neues Betriebssystem, mit einer neuen Programmiersprache (Sing#). Seit 9 Jahren komplett absaturzsicher und komplett Viren sicher, durch den Aufbau der Programiersprache.

    Möglich ist es, nur nicht mit unseren Mitteln

    Bestes!

  • @3 Paul schrieb

    …Ich habe das ungute Gefühl das Software nie wirklich sicher sein wird.
    Die Unternehmen und vor allem die Kunden müssen darunter leiden. Erstaunlich welche parallelen die reale und die digitale Welten haben….

    Genau Richtig Erkannt.

    Das schlimme ist nur das dem Anwender immer wieder angebliche käufliche „Sicherheit“ Vorgegaukelt wird , mittels 3 Virenscanner und Firewall.
    Welche aber nur Viren oder Trojaner Erkennen die Bekannt sind und dies sind nach eigenen bekunden max. 75 % , Tendenz eher weniger.
    Also es für 25% der Schadsoftware gar keine Abwehrmöglichkeit gibt oder erst später nachdem sie ihr Werk verrichtet.

    Man sollte daher endlich zugeben und Begreifen das Computersysteme niemals „Sicher“ sein werden und uns daher nicht ständig „Abhängiger“ von dieser Technik machen. Nicht jedes Gerät muss an das Internet angeschlossen werden.
    Auch verschlimmern bisherige „Monokulturen“ an Hardware Architektur und Betriebssystemen die Lage nur.

  • @Franz
    Hast du für die Behauptungen in deinem ersten Beitrag irgendwelche Belege oder auch nur Hinweise??

  • @Franz
    Hahaha das ist echt schwach.. Denn wie es der Zufall will habe ich mich mit dem Thema im Rahmen eines Masterprojektes im Informatikstudium auseinandergesetzt. In „Singularity“ kommen durchaus auf einer low-level Ebene ASM, C und C++ zum Einsatz. 😉
    Und es ist auch einfach ein System zu entwerfen das sicher ist und dann aber nichts kann.
    Und wenn ich google benutze (danke für den Hinweis btw! ;)) dann finde ich das auch bestätigt.
    Dazu kommt noch, dass auch bei Facebook und Google der Code sicher nicht in 30 Jahre alten Sprachen geschrieben wird, nur auf einer sehr niedrigen Ebene eben, da die Sprachen sehr Hardwarenah sind. (Was man, wenn man google benutzt leicht herausfinden kann..).

    ;-)))

  • Ach ein Studii :).
    Daher die Ausdrucksweise. wenn du 20 Jahre als Consultant bei einem it unternehmen gearbeitet hast und dein halbes leben damit verbracht hast, solche Probleme zu lösen, dann kannst du solche Behauptungen wie Schwachsinn bringen.

    Und aus berichten etwas rauszukopieren was du nicht verstehst und zu behaupten du hast dich in rahmen eines Masters damit beschäftigt ist doch einfach lächerlich.

  • @Franz: Was sicherlich eher für die Sicherheit dieses Betriebssystems spricht als seine vermeintlich moderne Architektur ist doch wohl eher das nicht vorhanden sein eines potentiellen Marktes. Die Leute die Angriffe durchführen weil nichts im Fernsehen kommt und es draussen regnet dürfte wohl so gering ausfallen, dass es unerheblich ist. Viel eher stecken doch wirtschaftliche Interessen dahinter. Warum also den Aufwand investieren um dann hinterher durch die fast nicht vorhandene Verbreitung kein Gewinn zu erzielen.
    Im Übrigen zeugt es von schlechtem Stil, keine Quellen aufzeigen zu können. Ob ich meine Arbeiten während des Studiums auch mit Quellenangaben ala google.de bestanden hätte wage ich zu bezweifeln.

  • Nope, kein Studi, ich habe (hatte(Zeitform!)) mich damit nur im Rahmen meines Masters beschäftigt. 😉
    Was machst du denn schönes, das dich dazu qualifiziert sone Aussagen zu tätigen? Offenbar nicht Informatik studieren. 🙂

  • @marcel:
    na dann ist ja gut, dass das hier ein Blog ist und kein Studium, sonst hätte ich womöglich mit dieser aussage mein Dr. wieder zurück geben müssen.

    Also wenn wir uns über Linux//Apple unterhalten würden, dann hätte cih dir rechtgegeben. Der vorteil von singularity ist aber folgender:
    alle Viren basieren heute auf einem und demselben prinzip, sie sorgen durch ein stück code dafür das der ausführende Rechner nichts mit dem Code anfangen kann (=Sicherheitslücke). Das führ dann meist zum hängen bleiben oder zum Absturz. (Jetzt weißt du auch was passiert ist, wenn dein Pc nicht mehr will..meist Treiber->Vorteil Apple->kommen von Haus aus)
    In diesem Moment, verschafft sich der Virus dann unbemerkt zugriff zu dem PC.
    Normalerweise würde man erwarten, dass ein Pc der mit einer Aussage nichts anfangen kann, diese einfach weglässt. Bei den heutigen Programmiersprachen ist genau dieser Tatbestand nicht vorgesehen (Logik früher:“ Wer würde schon fehlerhaften Code programmieren wollen und dafür sorgen, dass sein Prog. nicht mehr läuft“).
    Genau das ist bei Sing# und Singularity beseitigt worden, in so einem Fall würde Sing# einfach den Befehl links liegen lassen.
    Deswegen gibts auch keine Abstürze und keine Möglichkeit ins System einzudringen, er wäre dadurch nur langsamer.
    Der zweite Punkt ist das der Kernel bei singularity (hier: Architektur) so aufgebaut ist, dass es nur bestimmte Befehle gibt die Zugriff auf den Kernel erlauben, sobald ein Befehl zugriff haben will und nicht in das Muster passt, bekommt er kein Zugriff.
    Dies ist auch durch die Programmiersprache ausgeschloßen.

    @David_Berlin:
    Kauf dir eine tüte Milch und sei glücklich in deiner Phatasiewelt 😉

  • @ Franz
    „alle Viren basieren heute auf einem und demselben prinzip, sie sorgen durch ein stück code dafür das der ausführende Rechner nichts mit dem Code anfangen kann (=Sicherheitslücke). Das führ dann meist zum hängen bleiben oder zum Absturz.“
    Ach sooo funtioniert also ein „Virus“. Super! Mein sechsjähriger Cousin hätte das sicher ähnlich erklärt.

    „(Jetzt weißt du auch was passiert ist, wenn dein Pc nicht mehr will..meist Treiber->Vorteil Apple->kommen von Haus aus)“
    Achso, Die Softwareabteilung von Apple schreibt jetzt also die Treiber für die Komponenten selber? 😀

    „Genau das ist bei Sing# und Singularity beseitigt worden, in so einem Fall würde Sing# einfach den Befehl links liegen lassen.“
    Achso, weil Die Programmiersprache in der Teile des Systems geschrieben wurden zur Laufzeit eben jenes Systems dafür verantwortlich ist, welcher „Code ausgeführt wird“? 🙂

    „Der zweite Punkt ist das der Kernel bei singularity (hier: Architektur) so aufgebaut ist, dass es nur bestimmte Befehle gibt die Zugriff auf den Kernel erlauben, sobald ein Befehl zugriff haben will und nicht in das Muster passt, bekommt er kein Zugriff.“
    Oh, bei Singularity gibts es Befehle(!) mit Kernel-Zugriff? Interessant!
    Zum Glück kann bei Windows und Linux alles und jeder Kernelkomponenten verändern. Ist ja auch viel einfacher so.

    Also an Fachvokabular mangelt es Ihnen sicher nicht, Herr Doktor. 😉

  • @David_Backer:
    naja wenn du mit Leuten sprichst die als kommentar schwachsinn schreiben, dann muss man halt auf das selbe tiefe niveau gehen.
    Mal eine Frage? Glaubst du ich defeniere mich dadurch das ich Fachwörter verwende, die kein Mensch versteht, nur um diesen zu zeigen ich bin besser als du? Denken heute Studenten so? Quasi wie bei den Linken, die ganz viel in den Mund nehmen und keine Ahnung haben?
    Und zu deinen Kommentaren (siehe oben) genau so sieht die Welt aus, das zeigt im Grunde das du kein Plan von der Welt der Lebenden hast!
    Schon einbischen Traurig wer heut schon alles angeblich ein MAster bekommt^^

  • @Franz:
    „alle Viren basieren heute auf einem und demselben prinzip[…]“

    nein

    „[…]sie sorgen durch ein stück code dafür das der ausführende Rechner nichts mit dem Code anfangen kann (=Sicherheitslücke)“

    nee

    „Das führ dann meist zum hängen bleiben oder zum Absturz“

    nööö (da fehlt btw ein t)

    „(Jetzt weißt du auch was passiert ist, wenn dein Pc –

    Was tue ich hier eigentlich?
    Ist ok, stimmt alles. Hast recht =)

  • @Franz: Aussagen ohne Quellen, Beleidigungen, .. was glaubst du eigentlich wer du bist? „Uhuhuh ich bin seit 20 Jahren Consultant und löse gerade diese Probleme“

    1) Wenn du so der Obermacker auf dem Gebiet bist kannst du ja sicher deinen vollständigen Namen rausrücken damit wir mal schauen können wer uns hier mit seinen Kommentaren ehrt.

    2) Du löst solche Probleme? Weshalb sind sie dann noch nicht gelöst?

    3) Leute, die meinen, nur weil sie ein paar Jahre mehr Berufserfahrung haben, sie können Behauptungen aufstellen und jeder hat sie gefälligst zu glauben, andere Kommentatoren herablassend anzuschreiben, gehen mir persönlich so was von am Sack. Ich bin der Selben Meinung wie David was das „So ein Schwachsinn“ angeht.

    4) Wenn du schon über Studienabschlüsse schwatzt, was hast du denn für nen Abschluss von welcher Elite-Uni, dass du derart über den Masterabschluss herziehst als ob dieser nichts wert ist?

    5) So wie du hier in der Diskussion rüberkommst, schätz ich dein geistiges Alter nicht dermaßen hoch ein, als dass du schon 20 Jahre Consultant bist.

    schönen Tag noch

  • Irgenwie wirkt das für mich eher wie Trolling.
    Spätestens an dem Punkt, an dem jener „IT-Consultant mit 20 jähriger Berufserfahrung“ auf gidf.de und somit auf Google als Quelle seiner Aussagen verweist, sollte das klar sein, dass hier nicht mit einer seriösen Person diskutiert wird.

    @Topic:
    Naja, was sollen die Unternehmen auch sonst machen?
    Erstens ist die Time-To-Market bei Soft- und Hardware ein gewaltiger Gegenspieler des „sicheren Entwurfs“.
    Zweitens ist das Problem, dass ein sicheres System meist wenig Funktionalität und Erweiterbarkeit hat. Man muss also ein Zwischending finden, denn die meiste Software überlebt ihr „geschätztes“ Lebensalter weit. Wenn ich mir anschaue, dass in einigen (sogar IT-)Betrieben hier noch Win2000 genutzt wird, dessen Lebensabend laut Microsoft eig. schon überschritten sein sollte.
    Drittens – wie bei der Gesetzgebung hat man auch bei sicheren Systemen ein gewaltiges Problem: Die Entwicklung übernehmen wenige, die dies auch nach besten Gewissen und Wissen tun. Nun aber Schlupflöcher suchen, das tun viel mehr, und es muss meist ja auch nur ein einziges Schlupfloch gefunden werden. Der daraufhin erscheinende Patch eröffnet meist noch weitere.