Most Epic Fail: Crowdstrike-Präsident nimmt Pwnie Award persönlich entgegen
Elf Pwnie Awards für bemerkenswerte Bugs, Hacks, Exploits oder Fehlleistungen. Crowdstrike gab zu, "schlimm versagt" zu haben.
- Uli Ries
Die Pwnie Awards sind die jährlich vergebenen „Hacker Oscars“ und wurden in diesem Jahr erstmals während der Hackerkonferenz Def Con verliehen und nicht wie gewohnt während der Schwesterkonferenz Black Hat.
Bereits vor der Preisverleihung stand der Sieger in der stets mit viel Häme versehenen Kategorie "Most Epic Fail" fest. Die Jury hinter den Pwnies gab bereits Ende Juli per Tweet bekannt, dass Crowdstrike den Preis für das von der EDR-Software Falcon verursachte, weltweite IT-Fiasko verdient hat. Michael Sentonas, President von Crowdstrike, war vor Ort und nahm den Preis – in diesem Fall nicht das übliche Spielzeug-Pony, sondern eine gut einen Meter hohe, mit einem goldenen Pony gekrönte Trophäe – persönlich entgegen. Er sagte, dass Crowdstrike "schlimm versagt" hat. Er wolle die Trophäe an einem prominenten Platz im Büro aufstellen, sodass alle Crowdstrike-Mitarbeitenden stets erinnert werden.
Die Jury entschied sich in diesem Jahr, einen der nur unregelmäßig verliehenen Preise für das Lebenswerk (Lifetime Achievement Award) zu vergeben. Der traurige Anlass war der Tod der Hackerin und Gründerin Sophia d‘ Antoine im April dieses Jahres. Sie war Teil des losen Verbunds, der hinter den Pwnie Awards steht. Sichtlich gerührt nahm ihre Schwester Claudia das Pony entgegen.
Wahrscheinlich staatliche Hacker ausgezeichnet
In der Kategorie "Best Mobile Bug" ging der Preis an einen unbekannten, wahrscheinlich staatlich unterstützten Angreifer, den Kaspersky in der "Operation Triangulation" getauften Untersuchung im vergangenen Jahr beschrieben hat. Den Angreifern gelang es erstmals, eine Hardware-Funktion in Apples iPhone zu attackieren.
Der zweite Saure-Gurken-Preis für die "Lamest Vendor Response" ging an Xiaomi. Das Unternehmen schaltete Teile seiner Infrastruktur, darunter den weltweiten App-Store, ab, um Teilnehmern des Hacker-Wettbewerbs Pwn2Own das Hacken der Xiaomi-Geräte zu erschweren.
Die übrigen Pwnies gingen an:
Best Cryptograhic Attack: GoFetch: Breaking Constant-Time Cryptographic Implementations Using Data Memory-Dependent Prefetchers, entdeckt von boruchen
Best Desktop Bug: A Chrome 0day caused by improperly triggered audio rendering, entdeckt von @7o8v1
Best Song: Touch Some Grass von UWU Underground
Best Privilege Escalation: Windows Streaming Service UAF, entdeckt von chompie1337
Best Remote Code Execution: The Overlooked Pattern: CVE-2024-30080's Path to pre-auth RCE von R00t0xk0shl
Most Epic Achievement: Aufspüren der XZ backdoor, entdeckt von Andres Freund
Most Innovative Research: Let the Cache Cache and Let the WebAssembly Assemble: Knockin' on Chrome's Shell, entdeckt von Edouard Bochin und Tao Yan
Most Underhyped Research: See No Eval: Runtime Dynamic Code Execution in Objective-C, entdeckt von @codecolorist
(emw)