Der deutsche Post Security Cup zur Sicherung des E-Postbriefs ist beendet. Elf Teams haben von Ende April bis Ende Juni versucht, Schwachstellen in den E-Post-Produkten zu identifizieren. Das Team LSE Leading Security Experts GmbH aus Hessen hat den Sonderpreis für Technische Exzellenz gewonnen. Zusätzlich zum Preisgeld von 8․000 Euro erhält das Team eine besondere Auszeichnung für seine herausragende Leistung.
"
Das Team LSE (v.l.n.r.): Eric Sesterhenn, Markus Vervier, Sven Walther (Geschäftsführer) und Marcus Rubenschuh aus der Jury (Chief Information Security Officer DPAG).
Bild: Deutsche Post
Das Team hatte versucht, eine der während des Wettbewerbs gemeldeten Denial-of-Service-Attacken (DoS) gegen die Druckaufbereitungskomponente mittels Integer-Overflow weiter auszubauen - Ziel war eine Code-Execution. Ihre Arbeit konnten die Hacker im Wettbewerbszeitraum zwar nicht beenden trotzdem war die "herausragende analytische" Leistung der Jury zusätzliche 3․133,70 Euro wert. Darüber hinaus deckte das Team weitere Lücken auf. So hat Team LSE eine Session-basierte DoS-Attacke eingereicht, eine DoS-Attacke gegen eine Malware-Erkennungskomponente und einen DoS-Angriff gegen eine Komponente einer Web-Application-Firewall aufgezeigt. Wie ein Sprecher der Post angab, war "eine WAF-Regel so konfiguriert, dass sie eine exponentielle Laufzeit aufwies." Bei dem Angriff auf die Malware-Erkennungskomponente wurde ein speziell manipuliertes PDF eingesetzt, das zu einer Endlosschleife in der Antiviren-Software führte. Insgesamt wurden sechs unterschiedliche Denial-of-Service-Attacken im Wettbewerb gezählt.
Das Team Secugain (v.l.n.r.): Dario Weißer, Hendrik Buchwald Ruslan Habalov Nikolai Krein & Marcus Rubenschuh aus der Jury.
Bild: Deutsche Post
Das Siegerteam des letzten Security-Cups im Jahr 2010, das Team Secugain mit Studenten der Ruhr-Universität Bochum, landete dieses Mal auf dem zweiten Platz und erhielt hierfür insgesamt 8․000 Euro. Secugain konnte das Preisgeld für die beste Schwachstellen-Einreichung in Höhe von 5․000 Euro einstreichen. Es hatte eine Cross-Site-Scripting-Lücke identifiziert und konnte die Web-Application-Firewall umgehen. Für drei Cross-Site-Request-Forgerys erhielt das Team je 1․000 Euro. Den dritten Platz belegte ein Team der Context Information Security Ltd. aus Düsseldorf. Das Team legte die Web-Application-Firewall mit einer Denial-of-Service Attacke lahm. Sie erhielten insgesamt 2․000 Euro.
Team Context IS Ltd. (v.l.n.r.): Ferhat Orta (Manager), Christian Becker, Sven Schlüter & Marcus Rubenschuh aus der Jury.
Bild: Deutsche Post
Nach Aussagen der Post haben die teilnehmende Teams insgesamt ungefähr 1000 Stunden Arbeit geleistet um die Systeme der Post zu prüfen. Für die Teilnahme hatte sich in diesem Jahr insgesamt 20 Teams beworben. Wer tatsächlich am Wettbewerb teilnehmen durfte, wurde von der Jury entschieden ? elf Teams hatten den Zuschlag erhalten und einen Teilnehmervertrag unterschreiben müssen, da innerhalb des Wettbewerbs sensible Informationen bereitgestellt werden die nicht an die Öffentlichkeit gelangen sollen.
Unter den elf Teams wurden für die 105 erbrachten Einreichungen Preisgelder in Höhe von insgesamt 22․000 Euro ausgezahlt. Je nach Einreichung wurden zwischen 1․000 und 5․000 Euro ausgeschüttet, obwohl dabei das Preisgeld von 5․000 Euro nur einmal an das Team Secugain ausgelobt wurde.
Die Jury (v.l.n.r): Mario Heiderich Dirk Heckmann Marcus Rubenschuh.
Bild: Deutsche Post
Der Geschäftsführer der E-Post, Ralph Wiegand, freute sich über den Ausgang des Wettbewerbs, da der E-Postbrief nicht geknackt werden konnte. Die Teilnehmer hätten Vorteile gegenüber echten Angreifern außerhalb des Wettbewerbs gehabt, "da beispielsweise Angriffe nicht blockiert wurden". Trotzdem hätten sich die Teams "die Zähne am E-Post System ausgebissen."
Die Post hat angekündigt die Untersuchungsergebnisse der Teams bald auf dem E-Post-Blog zu veröffentlichen.
Kommentare