Google wettet auf Chrome OS
Vergangene Woche gab Google die Einzelheiten des dritten Pwnium-Events bekannt. In dem Wettbewerb lobt Google Preise an Sicherheitsexperten aus, die Schwachstellen in ausgewählten Google-Anwendungen aufdecken.
Neu ist, dass die Geldsumme stark gestiegen ist: Das Preisgeld summierte sich dieses Jahr auf 3,14 Millionen Dollar. Zudem ist nicht mehr der Browser Chrome, sondern Chrome OS Gegenstand der Preisvergabe. Dies ist gleich aus mehreren Gründen, die sich aber alle direkt auf die Zukunft der IT-Sicherheit auswirken.
Google erhöht den Einsatz
Rein aus dem Blickwinkel der Sicherheit ist die Suche nach Schwachstellen offenkundig eine feine Sache. Der Entwickler einer Applikation profitiert wesentlich mehr davon, wenn deren Anfälligkeiten vorausschauend in einer relativ kontrollierten Art und Weise aufgedeckt werden, als wenn böswillige Hacker die Schwächen offenlegen.
Daher lobt Google Prämien für neu entdeckte Sicherheitslücken in Chrome OS und im Chrome Browser aus. Einzigartig ist der hohe Geldbetrag, den Google dafür investiert.
Während Google 3 Millionen Dollar quasi aus der Portokasse zahlt, ist es dennoch viel Geld, verglichen mit den Summen, die die Industrie in der Vergangenheit für die Entdeckung von Schwachstellen ausgegeben hat. Zum Beispiel gab Google 1 Million Dollar für den letztjährigen Pwnium-Wettbewerb bei der CanSec West aus.
Zu der Zeit erschien die Summe erschreckend hoch, überragten doch die Prämien den traditionelleren Wettbewerb Pwn2Own, der von HPs ZDI-Team veranstaltet wird. In diesem Jahr hingegen harmoniert Google gut mit anderen Firmen und nimmt erneut am Pwn2Own-Contest teil, richtet aber zusätzlich seinen eigenen Pwnium-Wettbewerb aus. Damit zeigt Google eine Menge Engagement bei der Suche nach Sicherheitslücken.
Daraus entsteht allerdings eine interessante Dynamik: Google gibt mehr Geld aus, verlangt aber auch mehr von den Experten. Im Gegensatz zu früheren Veranstaltungen, bei denen die Sicherheits-Spezialisten lediglich Schwachstellen aufzeigten, fordert Google beim Pwnium Einsicht in den kompletten Exploit. Dadurch gelangt die Firma in eine Angebotsschlacht, nicht mit anderen Unternehmen und Lieferanten, sondern mit Regierungen und kriminellen Vereinigungen, die viel Geld für diese Art von Information bezahlen. So oder so steigt Google sicherlich tief ins Geschäft ein.
Dem Geld hinterher
Die Dollar-Beträge erregen gewiss viel Aufmerksamkeit bei den Menschen. Wesentlich interessanter ist jedoch, wofür das Geld ausgegeben wird. Die Mehrheit der millionenschweren Dollar-Prämien ist dafür bestimmt, Sicherheitslücken in Chrome OS aufzudecken.
Seitdem der Chrome-Browser Bestandteil des Pwn2Own-Wettbewerbs ist, konzentriert sich Google mit Pwnium auf sein noch relativ neues Betriebssystem Chrome OS. So steckt sich Google nicht nur hohe Ziele, sondern legt auch was Suchprämien anbelangt die Messlatte noch höher.
Das Unternehmen tut dies für ein Betriebssystem, das in freier Wildbahn praktisch nicht existiert. Das Angebot ist sogar noch interessanter, wenn man bedenkt, dass Google kein Geld für gefundene Lücken in seinem Android-Betriebssystem bietet. Dies ist immerhin das weltweit führende Betriebssystem auf mobilen Endgeräten. Nicht zuletzt weist dieses Missverhältnis klar darauf hin, von welch strategischer Bedeutung der “Browser-als-Betriebssystem-Ansatz” für die Zukunft von Google ist.
Diese Entwicklung wird Sicherheits-Teams weiterhin dazu zwingen, ihre Definition und Kontroll-Möglichkeiten von Applikationen zu überdenken. Der Browser bietet bereits jetzt bei den meisten Anwendern die größte Angriffsfläche. Viele hochdynamische Applikationen werden heute durch den Browser getunnelt. Die Protokolle können ebenso innerhalb HTTP getunnelt werden.
Nutzer erhalten Exploits über den Browser mittels entsprechender Sets wie bei einem Schwarzen Loch. Java Script und unterschiedlichste Client-seitige Technologien werden für übergreifende Scripting-Attacken missbraucht. Und verschiedene Browser-Plug-ins wie Flash und Java bilden die allgemeinen Einfallstore für die Angriffe.
Ein “Browser-Betriebssystem-Modell” treibt diese Entwicklung ins Extreme. Buchstäblich jede Applikation wird zu einer Web-Anwendung oder einem Plug-in. Der Browser (oder etwas Ähnliches) repräsentiert praktisch den gesamten User-Space im Sinne eines Betriebssystems.
Mit dieser Fähigkeit geht eine entsprechende Verantwortung einher: Diese erfordert wesentlich mehr als Prämien für entdeckte Schwachstellen. Google scheint sich dieser Aufgabe soweit verschrieben zu haben. Aber es wird in den kommenden Monaten und Jahren sehr interessant sein, die Entwicklung weiter zu beobachten.
Der Autor
Achim Kraus ist Senior Consultant Strategic Accounts bei Palo Alto Networks. Das Unternehmen hat mit seinem Ansatz der “Next Generation Firewall” den Markt für Netzwerk-Security erheblich umgekrempelt. Die Appliances des US-Unternehmens zeigen auf, welche Anwendungen über das Netzwerk laufen und geben Administratoren Kontrolle über Nutzer, Anwendungen und Inhalte. Die Herangehensweise von Palo Alto Networks erlaubt es, die Komplexität der für Netzwerksicherheit erforderlichen Infrastruktur zu reduzieren und eine Reihe von Einzelprodukten zu ersetzen.