Abo
  • Services:

Bug Bounty: Hacker sollen MirageOS auf Schwachstellen prüfen

Ein mit MirageOS betriebener TLS-Server bewacht einen Bitcoin-Schlüssel. Wem es gelingt, ihn dem Server mittels einer Sicherheitslücke zu entlocken, darf 10 Bitcoins behalten. MirageOS ist ein von Grund auf neu entwickeltes Betriebssystem.

Artikel veröffentlicht am , Hanno Böck
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS
Bitcoins als Belohnung für einen erfolgreichen Angriff auf MirageOS (Bild: Screenshot / BTC Piñata)

Die Entwickler des Betriebssystems MirageOS wollen die Sicherheit ihres Systems testen - und haben sich dafür eine besondere Form des Bug Bountys ausgedacht: Die BTC Piñata. Ein mit MirageOS und dem zum System gehörenden TLS-Stack betriebener Server hat den privaten Schlüssel zu einem Bitcoin-Konto gespeichert. Der Server gibt diesen Schlüssel preis, wenn man erfolgreich eine TLS-Verbindung aufbaut. Allerdings benötigt man dafür ein Zertifikat samt privatem Schlüssel - und diesen privaten Schlüssel bekommt man nicht.

10 Bitcoins als Belohnung

Stellenmarkt
  1. D. Kremer Consulting, Meerbusch
  2. Controlware GmbH, München

Wenn alles korrekt funktioniert, sollte es in dieser Konstellation unmöglich sein, dem Server den Bitcoin-Schlüssel zu entlocken. Doch alles ist erlaubt: Wer mittels Sicherheitslücken - entweder in MirageOS selbst oder der TLS-Implementierung - den Server dazu bringt, den Schlüssel preiszugeben, kann sich über zur Zeit 10 Bitcoins freuen. Das entspricht nach aktuellem Kurs etwa 2.000 Euro.

MirageOS-Entwickler Amir Chaudhry erläutert in einem Blogbeitrag die Herausforderung. Der Code, der den entsprechenden Server betreibt, ist auf Github verfügbar, ebenso das gesamte MirageOS-System. Auch kann man nachlesen, welche Versionen von den verwendeten Bibliotheken und Programmiersprachen verwendet werden.

Kein Beweis für unhackbares System

Chaudhry schreibt selbst, dass die MirageOS-Entwickler nicht davon ausgingen, dass ein Scheitern aller Angreifer ein Beweis für die Sicherheit des Systems wäre. Er warnt auch explizit davor, dass der TLS-Stack von MirageOS im Moment nicht für sicherheitskritische Systeme eingesetzt werden sollte.

In anderen Fällen waren ähnliche Wettbewerbe in der Vergangenheit öfter kritisiert worden, weil Entwickler ihre Systeme damit als unhackbar beworben hatten. Die MirageOS-Entwickler erhoffen sich aber, im Fall eines erfolgreichen Angriffs etwas zu lernen. Das setzt natürlich voraus, dass ein erfolgreicher Angreifer möglicherweise gefundene Sicherheitsprobleme den MirageOS-Entwicklern auch mitteilt. Die bitten zwar darum, aber natürlich könnte ein Angreifer auch einfach die Bitcoins einsammeln und seine Angriffsstrategie für sich behalten.

Betriebssystem ohne C-Speicherprobleme

MirageOS ist ein in Ocaml geschriebenes Betriebssystem und basiert auf einem Unikernel. Mit zwei Strategien soll das System besonders sicher sein: Durch die Wahl einer Programmiersprache, die ein intelligentes Speichermanagement besitzt, werden typische Memory-Corruption-Bugs von vornherein verhindert. Solche Probleme in der Speicherverwaltung gehören zu den häufigsten Sicherheitslücken in C-Programmen. Durch Virtualisierung können einzelne Systembestandteile von MirageOS abgeschottet werden. Das System besitzt einen eigenen, ebenfalls in Ocaml geschriebenen TLS-Stack für verschlüsselte Netzverbindungen. Auf dem 31C3 hatten die MirageOS-Entwickler David Kaloper und Hannes Mehnert das Projekt in einem Vortrag vorgestellt.

Ihren Sicherheitswettbewerb haben die MirageOS-Entwickler BTC Piñata genannt. Die zehn Bitcoins und der Server wurden vom VPN-Anbieter IPredator gesponsert. Wer den Wettbewerb unterstützen und einen zusätzlichen Anreiz schaffen möchte, kann auf das entsprechende Bitcoin-Konto weiteres Digitalgeld überweisen.



Anzeige
Top-Angebote
  1. 125,99€
  2. (u. a. Ni No Kuni 2 29,99€, Dark Souls 3 25,49€)
  3. 199,00€
  4. Code 100SGS3

KonH 12. Feb 2015

Ja, stimmt schon, dass man mit dem CAS nichts mehr lernt, der rechnet sogar wenn man "3...


Folgen Sie uns
       


Honor View 20 - Test

Das View 20 von Honor ist ein interessantes Smartphone: Für unter 600 Euro bekommen Käufer hochwertige Hardware im Oberklassebereich und eine der besten Kameras am Markt.

Honor View 20 - Test Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
Microsoft
Die ganz normale, lautlose Cloud-Apokalypse

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

  1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
  2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
  3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

    •  /