Pwnie Awards 2019: Auch die Presse bekommt ihr Fett weg

Wie jedes Jahr fanden auf der Black-Hat-Konferenz in Las Vegas wieder die Pwnie Awards statt. Sie sind quasi die Oscars der Security-Szene und prämieren spektakuläres Versagen ebenso wie herausragende Leistungen rund um IT-Sicherheit.

Neben positiven Auszeichnungen wie etwa die der besten kryptografischen Attacke gab es auch Negativpreise – unter anderem für die übelste Reaktion eines Anbieters auf eine gemeldete Sicherheitslücke oder für den überhyptesten Bug.

WPA3-Lücke Dragonblood bester kryptografischer Angriff

Die beste kryptografische Attacke lieferte den Organisatoren zufolge das Team ab, dass die Dragonblood getaufte Lücke in der kommenden WLAN-Verschlüsselung WPA3 aufdeckte.

Den besten serverseitigen Bug, also eine Schwachstelle, die sich ohne Anwenderinteraktion missbrauchen lässt, entdeckten die taiwanesischen Forscher Orange Tsai und Meh Chang. Und zwar in den SSL-VPN-Lösungen von Pulse Secure, das unter anderem Twitter und Fortinet verwenden.

Den Pwnie für den besten clientseitigen Bug verdienten sich Grant Thompson und Daven Morris durch ihre Entdeckung, dass sich iPhones und iPads dank Facetime, Apples Software zur Video-Telefonie, von jedermann in Wanzen zur Raumüberwachung verwandeln lassen (CVE-2019-6223).

Doppelt (negativ) gepwned: BitFi und Bloomberg

Das gab es in der Historie der Pwnies noch nicht: Zweimal in derselben Kategorie in aufeinanderfolgenden Jahren ausgezeichnet zu werden. Diese zweifelhafte Ehre wurde dem von John McAfee mit ins Leben gerufenen Crypto-Wallet BitFi zuteil. Der gruseligen Performance aus dem letzten Jahr setzte BitFi durch die anhaltende Beschimpfung von Sicherheitsforschern nochmal einen drauf – und verdiente sich laut Jury den Preis damit ein zweites Mal.

Gleich zweimal wurden die Journalisten der Bloomberg Businessweek für ihre Arbeit ausgezeichnet – könnten wahrscheinlich jedoch sehr gut auf ihre Pwnies verzichten. Denn sowohl der Preis für den „Most overhyped Bug“, als auch der für den „Most Epic Fail“ gingen an das Wirtschaftsmagazin. Und zwar für deren Berichterstattung über angebliche Spionagechips, die auf Servermainboards von Super Micro zu finden gewesen sein sollen.

Die übrigen Pwnies wurden verliehen in den Kategorien:

• Most underhyped research: Die Hardware-Lücke "Thrangrycat" von Jatin Kataria, Richard Housley und Ang Cui
• Best privilege escalation Bug: Eine Use-after-free-Schwachstelle im iOS-Kernel, entdeckt von Qixun Zhao
  
• Most innovative research: Vectorized Emulation von Brendon Falk
  
• Epic achievement: Steve Christey Coley für seine Arbeit an den CVE-Einträgen
  

(ovw)