Bug Bounty: Hacker sollen MirageOS auf Schwachstellen prüfen

Ein mit MirageOS betriebener TLS-Server bewacht einen Bitcoin-Schlüssel. Wem es gelingt, ihn dem Server mittels einer Sicherheitslücke zu entlocken, darf 10 Bitcoins behalten. MirageOS ist ein von Grund auf neu entwickeltes Betriebssystem.

Artikel veröffentlicht am , Hanno Böck
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS (Bild: Screenshot / BTC Piñata)

Die Entwickler des Betriebssystems MirageOS wollen die Sicherheit ihres Systems testen - und haben sich dafür eine besondere Form des Bug Bountys ausgedacht: Die BTC Piñata. Ein mit MirageOS und dem zum System gehörenden TLS-Stack betriebener Server hat den privaten Schlüssel zu einem Bitcoin-Konto gespeichert. Der Server gibt diesen Schlüssel preis, wenn man erfolgreich eine TLS-Verbindung aufbaut. Allerdings benötigt man dafür ein Zertifikat samt privatem Schlüssel - und diesen privaten Schlüssel bekommt man nicht.

10 Bitcoins als Belohnung

Stellenmarkt
  1. Sales Consultant (m/w/d)
    M-net Telekommunikations GmbH, München, Augsburg
  2. IT Service Delivery Manager (m/w/d) im Bereich Unix
    Volkswagen Financial Services AG, Braunschweig
Detailsuche

Wenn alles korrekt funktioniert, sollte es in dieser Konstellation unmöglich sein, dem Server den Bitcoin-Schlüssel zu entlocken. Doch alles ist erlaubt: Wer mittels Sicherheitslücken - entweder in MirageOS selbst oder der TLS-Implementierung - den Server dazu bringt, den Schlüssel preiszugeben, kann sich über zur Zeit 10 Bitcoins freuen. Das entspricht nach aktuellem Kurs etwa 2.000 Euro.

MirageOS-Entwickler Amir Chaudhry erläutert in einem Blogbeitrag die Herausforderung. Der Code, der den entsprechenden Server betreibt, ist auf Github verfügbar, ebenso das gesamte MirageOS-System. Auch kann man nachlesen, welche Versionen von den verwendeten Bibliotheken und Programmiersprachen verwendet werden.

Kein Beweis für unhackbares System

Chaudhry schreibt selbst, dass die MirageOS-Entwickler nicht davon ausgingen, dass ein Scheitern aller Angreifer ein Beweis für die Sicherheit des Systems wäre. Er warnt auch explizit davor, dass der TLS-Stack von MirageOS im Moment nicht für sicherheitskritische Systeme eingesetzt werden sollte.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

In anderen Fällen waren ähnliche Wettbewerbe in der Vergangenheit öfter kritisiert worden, weil Entwickler ihre Systeme damit als unhackbar beworben hatten. Die MirageOS-Entwickler erhoffen sich aber, im Fall eines erfolgreichen Angriffs etwas zu lernen. Das setzt natürlich voraus, dass ein erfolgreicher Angreifer möglicherweise gefundene Sicherheitsprobleme den MirageOS-Entwicklern auch mitteilt. Die bitten zwar darum, aber natürlich könnte ein Angreifer auch einfach die Bitcoins einsammeln und seine Angriffsstrategie für sich behalten.

Betriebssystem ohne C-Speicherprobleme

MirageOS ist ein in Ocaml geschriebenes Betriebssystem und basiert auf einem Unikernel. Mit zwei Strategien soll das System besonders sicher sein: Durch die Wahl einer Programmiersprache, die ein intelligentes Speichermanagement besitzt, werden typische Memory-Corruption-Bugs von vornherein verhindert. Solche Probleme in der Speicherverwaltung gehören zu den häufigsten Sicherheitslücken in C-Programmen. Durch Virtualisierung können einzelne Systembestandteile von MirageOS abgeschottet werden. Das System besitzt einen eigenen, ebenfalls in Ocaml geschriebenen TLS-Stack für verschlüsselte Netzverbindungen. Auf dem 31C3 hatten die MirageOS-Entwickler David Kaloper und Hannes Mehnert das Projekt in einem Vortrag vorgestellt.

Ihren Sicherheitswettbewerb haben die MirageOS-Entwickler BTC Piñata genannt. Die zehn Bitcoins und der Server wurden vom VPN-Anbieter IPredator gesponsert. Wer den Wettbewerb unterstützen und einen zusätzlichen Anreiz schaffen möchte, kann auf das entsprechende Bitcoin-Konto weiteres Digitalgeld überweisen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

KonH 12. Feb 2015

Ja, stimmt schon, dass man mit dem CAS nichts mehr lernt, der rechnet sogar wenn man "3...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /