Black Hat 2014: Und das Pwnie geht an...

Jedes Jahr werden auf der Black-Hat-Konferenz mit einer glamourösen Zeremonie die Pwnie Awards verliehen. Dieses Jahr ging der Security-Oscar unter anderem an Heartbleed, Apple, den Hacker Geohot und Mt.Gox-Chef Mark Karpeles.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Die Pwnie Awards, die Oscars der Security-Gemeinde, prämieren sowohl die coolsten Hacks als auch die heftigsten Fehler des Jahres. Gewonnen haben dieses Jahr unter anderem Heartbleed, AVG, Apple mit dem GotoFail-Bug und Mt.Gox-Chef Mark Karpeles. Die offizielle Bestätigung der Gewinner durch die Organisatoren der Pwnies lässt allerdings weiterhin auf sich warten, da diese nach eigenen Angaben noch nicht nüchtern sind. Dazu muss man wissen, dass auf die Siegerehrung eine Party folgt, die legendäre Ausmaße erreichen soll.

Unter Hackern begehrt: Der diesjährige Preis

(Bild: Pwnie Awards)

Der Pwnie für den beeindruckendsten Server Bug geht in diesem Jahr, natürlich, an Heartbleed. Dessen Entdecker sagte beim Entgegennehmen des Preises, er habe die Lücke vor allem deswegen öffentlich gemacht, um einen Pwnie Award zu gewinnen. Leer aus ging Dan Farmer, der dieses Jahr kolossale Bugs im Fernwartungsprotokoll IPMI offenlegte. Den Pwnie für den besten Client Bug räumte Geohot ab, der vier Sicherheitslücken aneinander reihte, um Chrome beim Pwnium-Wettbewerb das Handwerk zu legen. Damit setzte er sich gegen Heartbleed und Apples GotoFail durch.

Weniger freuen wird sich Antiviren-Hersteller AVG: Die Firma darf sich nun mit dem Pwnie für die "Lamest Vendor Response" schmücken. Denn wer schon im LAN einer Firma ist, sollte sich auch auf der Verwaltungssoftware für die im Netz installierten Virenscanner anmelden dürfen, um diese abzuschalten. Auch ohne gültiges Passwort.

Getoppt wird AVG da allerdings noch von Apple, die den "Most Epic Fail" verbuchen können. Vorhersehbar, denn GotoFail liest sich wie die Definition dieser Rubrik. Eine einzelne Zeile C-Code hatte die SSL-Implementierung von Mac OS und iOS komplett unwirksam gemacht. Wenn das Sprungziel dann auch noch "fail" heißt, ist der Pwnie schon absehbar. In jedem anderen Jahr wäre das mit Abstand der schlimmste Bug des Jahres geworden, doch zum Glück für Apples Image kam Heartbleed und überschattete alles.

Auch die insolvente Bitcoin-Börse Mt.Gox bekam ihr Fett weg. Dessen Chef Mark Karpeles bekam den Pwnie für "Most Epic 0wnage", denn er hatte sich durch grundlegende Mängel in seiner Software hunderte Millionen Dollar in Bitcoins seiner Kunden stehlen lassen. Die Pwnie-Organisatoren fassen das in der Nominierung wie folgt zusammen: "Karpeles ist entweder der dümmste Programmierer in der Geschichte der Menschheit oder er war beim Diebstahl der Bitcoins seiner Kunden nicht ganz unschuldig."

Zum Abschluss gilt es noch die Gewinnerin des Pwnies für den besten Song zu würdigen. In diesem Jahr ist das eine leichte A-capella-Ballade zur Melodie von "Jingle Bells". Gewinnerin 0xabad1dea konnte sich mit dem mit leichter Stimme vorgetragenem "The SSL Smiley Song" gegen die 50-Cent-Parodie "I'm a C I Double S P" und weitere Konkurrenten wie NYAN und Dale Chase durchsetzen. (fab)