Ambitionierte Hacker haben bis zum 1. Dezember 2025 Zeit, ihren Exploit-Code im Rahmen des ersten Zeroday Cloud-Wettbewerbs (Eigenschreibweise: zeroday.cloud) einzureichen.
Lesen Sie mehr nach der Anzeige
Erfolgreiche Teilnehmer erhalten Preisgelder in Höhe von insgesamt rund 4,5 Millionen US-Dollar für mehr als 20 weit verbreitete Anwendungen, die auf unterschiedliche Weise eng mit Cloud-Technologien verbunden sind. Dazu gehören das Nvidia Container Toolkit, Kubernetes, Grafana, Docker, Apache Tomcat, PostgreSQL, Jenkins, Gitlab CE und der Linux-Kernel.
Wichtigste Bedingung des Wettbewerbs, den das Cloud-Sicherheitsunternehmen Wiz in Zusammenarbeit mit AWS (Amazon Web Services), Google und Microsoft veranstaltet: Es muss ein Zero-Day-Exploit sein, also ein Angriff auf eine neu entdeckte, bisher unbekannte Schwachstelle. Darüber hinaus muss der Angriff letztendlich zur vollständigen Kompromittierung des anfälligen Systems führen („0-Click Unauthenticated Remote Code Execution“).
Details und Fallstricke bei der Anmeldung
Die gesamte Liste möglicher Angriffsziele inklusive Preisgeld finden Interessierte auf der Website des Zeroday Cloud-Wettbewerbs. Dort finden Sie auch die genauen Teilnahmebedingungen, Anmeldeformulare und weitere Informationen. Vorkonfigurierte Zielsysteme für die Integration in Docker haben die Veranstalter im eigenen GitHub-Repository hinterlegt.
Teilnehmer, deren Beitrag von der Jury angenommen wird, haben die Möglichkeit, ihre Leistung im Dezember auf der Black Hat Europe-Konferenz in London live zu demonstrieren. Wenn der Angriff dort gelingt, haben sie gewonnen. Der jeweilige Exploit wird dann im Rahmen eines Responsible-Disclosure-Verfahrens an den jeweiligen Hersteller übermittelt, um diesem ausreichend Zeit zur Schließung der Lücke zu geben.
Wichtig bei der Anmeldung: Laut Veranstalter müssen sich die Teilnehmer einzeln oder als Team anmelden bereits bis zum 20. November Registrieren Sie sich auf der Bug-Bounty-Plattform HackerOne, erbringen Sie den erforderlichen Identitätsnachweis und übermitteln Sie bestimmte Steuer- und andere Informationen. Die Frist vom 1. Dezember bezieht sich daher irreführend nur auf den Exploit selbst.
Lesen Sie mehr nach der Anzeige
Wer sich auf der Wettbewerbswebsite informiert, sollte unbedingt das Kleingedruckte lesen.
(Bild: zeroday.cloud / Screenshot)
Übertreffen Sie den Schwarzmarkt
Mit einem Wettbewerb, der sich speziell auf die Cloud konzentriert, füllt Wiz eine wichtige Lücke. Als Speicherort für riesige Mengen an Unternehmensdaten gerät er zunehmend ins Visier von Cyber-Gangstern. So greifen einige Ransomware-Banden inzwischen gezielt auf Cloud-Speicher zu, um möglichst effizient an erpressbare Informationen zu gelangen. Andere verschlüsseln Daten sofort. Oder sie zerstören Cloud-Backups, um ihre Chancen auf ein Lösegeld zu erhöhen.
Exploit-Code, der rechtzeitig in die richtigen Hände gelangt, hilft Unternehmen, Angreifern immer einen Schritt voraus zu sein. Hohe Geldbeträge als Preisgeld bei einem Wettbewerb stellen in diesem Zusammenhang weit mehr dar als nur eine schöne Belohnung für wohlmeinende, hilfsbereite Sicherheitsforscher. Vielmehr lassen sich damit auch Teilnehmer anlocken, die sonst ihre Zero-Day-Exploits in Untergrundforen feilbieten und sie dort letztlich an Kriminelle verkaufen, die bereits in den Startlöchern für den nächsten Angriff stehen.
Immer mehr Unternehmen erkennen, dass es wichtig ist, die Schwarzmarktpreise zu schlagen. Kürzlich hat Apple sein Bug-Bounty-Programm massiv ausgeweitet: Bisherige Zahlungen wurden verdoppelt oder vervierfacht. Das Unternehmen hat zuvor bis zu einer Million Dollar für einen Remote-Zero-Click-Angriff geboten, der keine Benutzerinteraktion erfordert und die Geräteübernahme ermöglicht. Jetzt sind es zwei Millionen.
(ovw)