Abo
  • Services:
Anzeige
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS (Bild: Screenshot / BTC Piñata)

Bug Bounty: Hacker sollen MirageOS auf Schwachstellen prüfen

Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS (Bild: Screenshot / BTC Piñata)

Ein mit MirageOS betriebener TLS-Server bewacht einen Bitcoin-Schlüssel. Wem es gelingt, ihn dem Server mittels einer Sicherheitslücke zu entlocken, darf 10 Bitcoins behalten. MirageOS ist ein von Grund auf neu entwickeltes Betriebssystem.

Anzeige

Die Entwickler des Betriebssystems MirageOS wollen die Sicherheit ihres Systems testen - und haben sich dafür eine besondere Form des Bug Bountys ausgedacht: Die BTC Piñata. Ein mit MirageOS und dem zum System gehörenden TLS-Stack betriebener Server hat den privaten Schlüssel zu einem Bitcoin-Konto gespeichert. Der Server gibt diesen Schlüssel preis, wenn man erfolgreich eine TLS-Verbindung aufbaut. Allerdings benötigt man dafür ein Zertifikat samt privatem Schlüssel - und diesen privaten Schlüssel bekommt man nicht.

10 Bitcoins als Belohnung

Wenn alles korrekt funktioniert, sollte es in dieser Konstellation unmöglich sein, dem Server den Bitcoin-Schlüssel zu entlocken. Doch alles ist erlaubt: Wer mittels Sicherheitslücken - entweder in MirageOS selbst oder der TLS-Implementierung - den Server dazu bringt, den Schlüssel preiszugeben, kann sich über zur Zeit 10 Bitcoins freuen. Das entspricht nach aktuellem Kurs etwa 2.000 Euro.

MirageOS-Entwickler Amir Chaudhry erläutert in einem Blogbeitrag die Herausforderung. Der Code, der den entsprechenden Server betreibt, ist auf Github verfügbar, ebenso das gesamte MirageOS-System. Auch kann man nachlesen, welche Versionen von den verwendeten Bibliotheken und Programmiersprachen verwendet werden.

Kein Beweis für unhackbares System

Chaudhry schreibt selbst, dass die MirageOS-Entwickler nicht davon ausgingen, dass ein Scheitern aller Angreifer ein Beweis für die Sicherheit des Systems wäre. Er warnt auch explizit davor, dass der TLS-Stack von MirageOS im Moment nicht für sicherheitskritische Systeme eingesetzt werden sollte.

In anderen Fällen waren ähnliche Wettbewerbe in der Vergangenheit öfter kritisiert worden, weil Entwickler ihre Systeme damit als unhackbar beworben hatten. Die MirageOS-Entwickler erhoffen sich aber, im Fall eines erfolgreichen Angriffs etwas zu lernen. Das setzt natürlich voraus, dass ein erfolgreicher Angreifer möglicherweise gefundene Sicherheitsprobleme den MirageOS-Entwicklern auch mitteilt. Die bitten zwar darum, aber natürlich könnte ein Angreifer auch einfach die Bitcoins einsammeln und seine Angriffsstrategie für sich behalten.

Betriebssystem ohne C-Speicherprobleme

MirageOS ist ein in Ocaml geschriebenes Betriebssystem und basiert auf einem Unikernel. Mit zwei Strategien soll das System besonders sicher sein: Durch die Wahl einer Programmiersprache, die ein intelligentes Speichermanagement besitzt, werden typische Memory-Corruption-Bugs von vornherein verhindert. Solche Probleme in der Speicherverwaltung gehören zu den häufigsten Sicherheitslücken in C-Programmen. Durch Virtualisierung können einzelne Systembestandteile von MirageOS abgeschottet werden. Das System besitzt einen eigenen, ebenfalls in Ocaml geschriebenen TLS-Stack für verschlüsselte Netzverbindungen. Auf dem 31C3 hatten die MirageOS-Entwickler David Kaloper und Hannes Mehnert das Projekt in einem Vortrag vorgestellt.

Ihren Sicherheitswettbewerb haben die MirageOS-Entwickler BTC Piñata genannt. Die zehn Bitcoins und der Server wurden vom VPN-Anbieter IPredator gesponsert. Wer den Wettbewerb unterstützen und einen zusätzlichen Anreiz schaffen möchte, kann auf das entsprechende Bitcoin-Konto weiteres Digitalgeld überweisen.


eye home zur Startseite
KonH 12. Feb 2015

Ja, stimmt schon, dass man mit dem CAS nichts mehr lernt, der rechnet sogar wenn man "3...



Anzeige

Stellenmarkt
  1. SICK AG, Sexau
  2. über JobLeads GmbH, Berlin
  3. Unitymedia NRW GmbH, Köln
  4. Teambank AG, Nürnberg


Anzeige
Top-Angebote
  1. ab 34,95€ im PCGH-Preisvergleich
  2. ab 17,97€
  3. 359,00€ statt 570,00€

Folgen Sie uns
       


  1. Mediendienste-Richtlinie

    Youtuber sollen keine Schleichwerbung mehr machen dürfen

  2. Hannover Messe und Cebit

    Die Deutsche Bahn ärgert Messebesucher

  3. LTE

    Australien setzt auf Fixed Wireless mit 1 GBit/s

  4. Ultrastar He12

    HGST liefert seine 12-Terabyte-Festplatte aus

  5. Windows 10 Mobile

    Creators Update für Smartphones wird verteilt

  6. Europa

    700-MHz-Band soll Mobilfunk verbessern

  7. Altes Protokoll

    Debian-Projekt stellt FTP-Server ein

  8. Webserver

    Nginx 1.13 erscheint mit TLS-1.3-Support

  9. Europäischer Gerichtshof

    Streaming aus illegalen Quellen ist rechtswidrig

  10. Cryogenic Memory

    Rambus arbeitet an tiefgekühltem Quantenspeicher



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

  1. Nachvollziehbar

    Umrath | 17:31

  2. Europäische Filme?

    Techn | 17:31

  3. Re: Und während man in Villa Riva noch am...

    M.P. | 17:29

  4. Re: War überfällig

    Teebecher | 17:29

  5. Re: Dann auch wieder mit offiziellem Linux Support?

    McWiesel | 17:29


  1. 17:20

  2. 17:01

  3. 16:37

  4. 16:14

  5. 14:56

  6. 14:38

  7. 14:18

  8. 13:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel