Ausnutzung von Schwachstellen
Pwn2Own Automotive: Hacking für die Sicherheit
Der renommierte Hacker-Wettbewerb Pwn2Own, mittlerweile 15 Jahre alt, deckt erfolgreich viele Bereiche ab. Nun kündigte der Veranstalter ZDI einen neuen Contest -- Pwn2Own Automotive –an und steckt sich damit hehre Ziele.
Die Zero Day Initiative (ZDI) kündigte einen neuen Pwn2Own-Wettbewerb an, der sich auf Kfz-Systeme konzentrieren wird -- Pwn2Own Automotive. Der Contest findet nächstes Jahr auf der Automotive World im Januar 2024 statt. Der Pwn2Own-Wettbewerb ist ausschließlich auf Automobilkomponenten und -technologien ausgerichtet und verfolgt drei Hauptziele:
- Schaffung einer Grundlage für die Förderung der Automobilforschung. Wir wollen einen Anlaufpunkt bieten, auf der Forscher Berichte zu verschiedenen Produkten und Plattformen einreichen können und dafür finanziell belohnt werden.
- Anreize für Hersteller schaffen, in der Sicherheitsforschungs-Community mitzumachen. Wir wollen unsere weltweite Community der Sicherheitsforscher mit Automobilherstellern zusammenbringen, um deren Sicherheit und Widerstandsfähigkeit zu verbessern.
- Den Fokus auf die Teilkomponenten eines Fahrzeugs lenken. Statt das Fahrzeug als monolithische Einheit zu betrachten, wollen wir den Fokus auf die vielen komplexen Systeme lenken, aus denen ein modernes Automobil besteht.
Ein Auto ist nicht bloß ein Auto, es ist ein System von Systemen. Klassischerweise könnte man diese in Komponenten wie Lenkung, Bremsen, Getriebe und Kühlung aufschlüsseln. Früher bedeutete Elektrik nur, dass der Motor gezündet und die Lichter mit Strom versorgt wurden. In modernen Autos sind diese Systeme zunehmend komplexer. Ob es sich nun um die On-Board-Diagnose (OBD), die Telematik-Steuereinheit für die Fahrzeugverfolgung, das fortschrittliche Fahrerassistenzsystem (ADAS) oder sogar das Infotainment-System im Fahrzeug handelt, diese Komponenten stellen eine größere Rechenleistung dar - und damit eine größere Angriffsfläche.
Wir werden die Regeln für diesen Wettbewerb kurz nach dem Pwn2Own-Event in Vancouver im März vorstellen. Unser Ziel ist es, mit den Anbietern zusammenzuarbeiten, um sicherzustellen, dass wir die geeigneten Ziele verfügbar haben. Nach ersten Gesprächen mit mehreren Herstellern wissen wir bereits, dass auf der Veranstaltung Ladestationen für Elektrofahrzeuge und verschiedene Infotainment-Systeme vorhanden sein werden. Wir werden auch Open-Source-Komponenten einbeziehen, die häufig in verschiedenen Fahrzeugsystemen zu finden sind.
Wir haben bei anderen Pwn2Own-Wettbewerben bereits große Erfolge erzielt und die Sicherheit von Produkten in Bereichen wie Unternehmenssoftware und ICS-Technologien erhöht. Wir möchten dasselbe mit Autos und ihren Subsystemen erreichen und hoffen, dass diese Partnerschaften dazu beitragen, die Sicherheit der Fahrzeuge verbessern.
Seit 2007 bringt Pwn2Own Forscher und Anbieter zusammen, um die neuesten Sicherheitslücken und Exploit-Techniken zu finden. Im Laufe der Jahre entwickelte Sicherheitsmaßnahmen wie Isolated Heap, Enhanced Protected Mode, MemGC und Win32K Module Isolation haben ihre Wurzeln in Exploits, die bei einer Pwn2Own-Veranstaltung vorgeführt wurden. Eines der Ziele des Wettbewerbs ist es, Bugs zu finden und zu beheben, bevor sie von Angreifern ausgenutzt werden. Ein weiteres Ziel ist es, Forscher und Hersteller aus aller Welt zusammenzubringen, um den aktuellen Stand der Fahrzeugsicherheit zu diskutieren und Strategien zu ihrer Verbesserung zu entwickeln.
Aktuelle Informationen zu dem Wettbewerb werden wir immer wieder im Laufe des Jahres veröffentlichen.