Abo
  • Services:
Anzeige
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS (Bild: Screenshot / BTC Piñata)

Bug Bounty: Hacker sollen MirageOS auf Schwachstellen prüfen

Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS (Bild: Screenshot / BTC Piñata)

Ein mit MirageOS betriebener TLS-Server bewacht einen Bitcoin-Schlüssel. Wem es gelingt, ihn dem Server mittels einer Sicherheitslücke zu entlocken, darf 10 Bitcoins behalten. MirageOS ist ein von Grund auf neu entwickeltes Betriebssystem.

Anzeige

Die Entwickler des Betriebssystems MirageOS wollen die Sicherheit ihres Systems testen - und haben sich dafür eine besondere Form des Bug Bountys ausgedacht: Die BTC Piñata. Ein mit MirageOS und dem zum System gehörenden TLS-Stack betriebener Server hat den privaten Schlüssel zu einem Bitcoin-Konto gespeichert. Der Server gibt diesen Schlüssel preis, wenn man erfolgreich eine TLS-Verbindung aufbaut. Allerdings benötigt man dafür ein Zertifikat samt privatem Schlüssel - und diesen privaten Schlüssel bekommt man nicht.

10 Bitcoins als Belohnung

Wenn alles korrekt funktioniert, sollte es in dieser Konstellation unmöglich sein, dem Server den Bitcoin-Schlüssel zu entlocken. Doch alles ist erlaubt: Wer mittels Sicherheitslücken - entweder in MirageOS selbst oder der TLS-Implementierung - den Server dazu bringt, den Schlüssel preiszugeben, kann sich über zur Zeit 10 Bitcoins freuen. Das entspricht nach aktuellem Kurs etwa 2.000 Euro.

MirageOS-Entwickler Amir Chaudhry erläutert in einem Blogbeitrag die Herausforderung. Der Code, der den entsprechenden Server betreibt, ist auf Github verfügbar, ebenso das gesamte MirageOS-System. Auch kann man nachlesen, welche Versionen von den verwendeten Bibliotheken und Programmiersprachen verwendet werden.

Kein Beweis für unhackbares System

Chaudhry schreibt selbst, dass die MirageOS-Entwickler nicht davon ausgingen, dass ein Scheitern aller Angreifer ein Beweis für die Sicherheit des Systems wäre. Er warnt auch explizit davor, dass der TLS-Stack von MirageOS im Moment nicht für sicherheitskritische Systeme eingesetzt werden sollte.

In anderen Fällen waren ähnliche Wettbewerbe in der Vergangenheit öfter kritisiert worden, weil Entwickler ihre Systeme damit als unhackbar beworben hatten. Die MirageOS-Entwickler erhoffen sich aber, im Fall eines erfolgreichen Angriffs etwas zu lernen. Das setzt natürlich voraus, dass ein erfolgreicher Angreifer möglicherweise gefundene Sicherheitsprobleme den MirageOS-Entwicklern auch mitteilt. Die bitten zwar darum, aber natürlich könnte ein Angreifer auch einfach die Bitcoins einsammeln und seine Angriffsstrategie für sich behalten.

Betriebssystem ohne C-Speicherprobleme

MirageOS ist ein in Ocaml geschriebenes Betriebssystem und basiert auf einem Unikernel. Mit zwei Strategien soll das System besonders sicher sein: Durch die Wahl einer Programmiersprache, die ein intelligentes Speichermanagement besitzt, werden typische Memory-Corruption-Bugs von vornherein verhindert. Solche Probleme in der Speicherverwaltung gehören zu den häufigsten Sicherheitslücken in C-Programmen. Durch Virtualisierung können einzelne Systembestandteile von MirageOS abgeschottet werden. Das System besitzt einen eigenen, ebenfalls in Ocaml geschriebenen TLS-Stack für verschlüsselte Netzverbindungen. Auf dem 31C3 hatten die MirageOS-Entwickler David Kaloper und Hannes Mehnert das Projekt in einem Vortrag vorgestellt.

Ihren Sicherheitswettbewerb haben die MirageOS-Entwickler BTC Piñata genannt. Die zehn Bitcoins und der Server wurden vom VPN-Anbieter IPredator gesponsert. Wer den Wettbewerb unterstützen und einen zusätzlichen Anreiz schaffen möchte, kann auf das entsprechende Bitcoin-Konto weiteres Digitalgeld überweisen.


eye home zur Startseite
KonH 12. Feb 2015

Ja, stimmt schon, dass man mit dem CAS nichts mehr lernt, der rechnet sogar wenn man "3...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Reutlingen
  2. Universität Hamburg, Hamburg
  3. Salzgitter Flachstahl GmbH, Salzgitter
  4. T-Systems International GmbH, Berlin, Bonn


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Unfassbaren, Ghostbusters I & II, Jurassic World, Fast & Furious 7 Extended Version)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Agent 47

    Der Hitman unterstützt bald HDR

  2. Mietwochen

    Media Markt vermietet Elektrogeräte ab einem Monat Laufzeit

  3. Nintendo

    Vorerst keine Videostreaming-Apps auf Switch

  4. Illegales Streaming

    Kinox.to nutzt gleichen Google-Trick wie Porno-Hoster

  5. DACBerry One

    Soundkarte für Raspberry Pi liefert Töne digital und analog

  6. Samsungs Bixby

    Galaxy S8 kann sehen und erkennen

  7. Schweizer Polizei

    Drohnenabwehr beim Weltwirtschaftsforum in Davos

  8. Crashuntersuchung

    Teslas Autopilot reduziert Unfallquote um 40 Prozent

  9. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  10. Rückzieher

    Assange will nun doch nicht in die USA



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Arms angespielt Besser boxen ohne echte Arme
  2. Nintendo Switch Eltern bekommen totale Kontrolle per App
  3. Nintendo Switch erscheint am 3. März

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Schade. Wäre cool gewesen!

    xover | 10:57

  2. Re: Die grenzen der Physik kann auch ein...

    geniestreiche | 10:57

  3. Re: From hero to zero

    KrasnodarLevita... | 10:57

  4. Re: " Aussehen her eines der innovativsten...

    ThaKilla | 10:56

  5. Re: 40% - in den USA!

    redrat | 10:56


  1. 10:41

  2. 10:26

  3. 09:57

  4. 09:29

  5. 08:50

  6. 08:33

  7. 07:34

  8. 07:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel