Trend Micro weitet Pwn2Own-Wettbewerb aus

Trend Micro kündigt heute einen neuen Wettbewerb zur Entdeckung von Sicherheitslücken an. Bei Pwn2Own Miami müssen die Teilnehmer Schwachstellen in der Software und den Protokollen von weit verbreiteten industriellen Steuerungssystemen finden. [...]

Der Wettbewerb wird von Trend Micros Zero Day Initiative (ZDI) veranstaltet und findet erstmals im Jänner 2020 im Rahmen der S4 Conference in Miami statt.
Der Wettbewerb wird von Trend Micros Zero Day Initiative (ZDI) veranstaltet und findet erstmals im Jänner 2020 im Rahmen der S4 Conference in Miami statt. (c) Trend Micro

Die Pwn2Own-Wettbewerbe treiben bereits seit zwölf Jahren die Suche nach Schwachstellen in den wichtigsten IT-Plattformen für Unternehmen weltweit voran. Im Jahr 2018 nahm die Zahl der durch die Zero Day Initiative (ZDI) erworbenen Schwachstellen in ICS-Software um 224 Prozent zu. Ein ähnlicher Zuwachs ist auch in diesem Jahr zu beobachten, was die Wichtigkeit verdeutlicht, Sicherheitslücken in diesen Systemen zu identifizieren und zu schließen, bevor sie ausgenutzt werden.  

„Unter Trends wie Industrie 4.0 und der digitalen Transformation ist eine zunehmende Konvergenz von IT und OT zu beobachten. Durch diese treten Sicherheitslücken zu Tage, die genutzt werden können, um Produktionsprozesse zu sabotieren oder sensibles geistiges Eigentum zu stehlen“, beschreibt Udo Schneider, Security Evangelist bei Trend Micro, die aktuelle Entwicklung. „Wir hoffen, durch die Ausweitung unserer langjährigen Pwn2Own-Wettbewerbe das Bewusstsein dafür zu steigern, dass diese Schwachstellen geschützt werden müssen. Gleichzeitig wollen wir den Herstellern solcher Systeme und ihren Kunden hilfreiche Informationen an die Hand geben, mit denen sie ihre Security verbessern können.“   

Verantwortungsvolle Offenlegung

Die ZDI arbeitet mit verschiedenen Herstellern von ICS-Systemen zusammen, um die beim Wettbewerb entdeckten Schwachstellen verantwortungsvoll offenzulegen und die schnellstmögliche Bereitstellung von Patches zu fördern. „Verantwortungsvolle Offenlegung“ („Responsible Disclosure“) bezeichnet übrigens ein Vorgehen, bei dem zunächst der Hersteller eines betroffenen Systems über entdeckte Schwachstellen informiert wird. Erst nach Ablauf eines vorgegebenen Zeitraums, in dem der Hersteller die Sicherheitslücke schließen kann, wird diese veröffentlicht. Die Zusammenarbeit mit IIoT-Herstellern (Industrial-Internet-of-Things) im Rahmen des ZDI-Programm hat bereits zu einem verbesserten Patch-ManagementProzess und dadurch verbesserter Sicherheit geführt. 

„Ich bin seit über zwanzig Jahren im Bereich ICS-Security tätig und habe eng mit Herstellern und der Security-Gemeinde zusammengearbeitet, um die kritischen Assets zu schützen, die in industriellen Steuerungssystemen zu finden sind. Schwachstellen stellen dabei einen wichtigen Aspekt dar“, sagt Dale Peterson, Gründer und Programmverantwortlicher von S4 Events. „Bugs in diesen Systemen zu finden und zu patchen, ist nicht leicht. Deshalb freue ich mich sehr, dass die ZDI und ihre talentierten Forscher sich dieser Ziele bei Pwn2Own Miami annehmen. Nur wenn wir diese Lücken entdecken, können wir auch angemessen mit ihnen umgehen.“ 

Ablauf des Wettbewerbs

Der Wettbewerb wird von Trend Micros Zero Day Initiative (ZDI) veranstaltet und findet im Rahmen der S4 Conference vom 21.-23. Jänner 2020 erstmals in Miami South Beach statt. Der Wettbewerb findet in fünf Kategorien statt und belohnt erfolgreiche Einreichungen mit Preisgeldern im Gesamtwert von 250.000 US-Dollar. Zudem wird nach einem Punktesystem der Gesamtsieger zum „Master of Pwn“ gekürt. Er erhält zusätzlich 65.000 Punkte und Platin-Status im Rewards Program der ZDI. 

Die Regeln und Details des Wettbewerbs finden Interessierte unter www.zerodayinitiative.com/blog/2019/10/28/pwn2own-miami-bringing-ics-into-the-pwn2own-world.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*