Pwnie Awards: John McAfee erhält Hacker-Oscar
Auf der Black-Hat-Konferenz in Las Vegas wurde auch in diesem Jahr wieder der begehrten Hacker-Preis der Pwnie Awards verliehen.
- Uli Ries
Die zum elften Mal verliehenen Pwnie Awards gelten als Hacker-Oscars. Wenngleich nicht alle Preisträger glücklich sein dürften über die Auszeichnung, da auch Negativpreise verliehen werden. So wie an John McAfee, der für eine vergeigte Bug Bounty für das angeblich unknackbare Bitcoin-Wallet Bitfi einen der Gurkenpreise verliehen bekam.
Lamest Vendor Response (zu Deutsch etwa "lahmste Hersteller-Reaktion"), heißt die Kategorie der Pwnie Awards, in der Bitfi und John McAfee in diesem Jahr den Preis abräumten. Das Gespann wurde noch nach Ablauf der Nominierungsfrist zur Abstimmung zugelassen, weil "das Internet" danach verlangte, so Preisrichterin Katie Moussouris. McAfee hatte eine Bug Bounty in Höhe von 250.000 US-Dollar ausgelobt, auszuzahlen an den, der die Krypto-Schlüssel des angeblich unknackbaren Bitcoin-Wallets auslesen kann. Eine schräge Vorgabe, da das Wallet gar keine solchen Schlüssel speichert. Als Hacker vermeldeten, sich Root-Rechte auf dem Wallet verschafft zu haben, wies McAfee deren Anspruch dann auch prompt zurück. Das alberne Hin und Her wurde jetzt mit einem Pwnie ausgezeichnet.
Zombie-Pony fĂĽrs Lebenswerk
Glücklicher dürften die übrigen Preisträger sein. Sie machten durch aufsehenerregende Hacks von sich reden. So wie Maksim Malyutin, der einen üblen Bug in Intels Managementsoftware AMT entdeckt hat und mit dem Pwnie für den Best Server Side Bug ausgezeichnet wurde. Durch Missbrauch der Schwachstelle können Angreifer aus der Ferne beliebige Dateien vom Rechner lesen oder darauf schreiben. Den besten Client Side Bug lieferten Georgi Geshev und Rob Miller ab. Genau genommen waren es aber insgesamt zwölf verkettete Logik-Bugs, mit denen sie beim diesjährigen Pwn2Own-Wettbwerb ein Android-Gerät von Samsung hackten.
Gleich zweimal durften Vertreter des Forscherteams auf die Bühne, das durch die Spectre und Meltdown getauften Prozessor-Schwachstellen Aufmerksamkeit erregte. Die Preisrichter verliehen sowohl den Pwnie für den besten Privilege Escalation Bug, als auch den für die Most Innovative Research an das Team. Den Lifetime Award – ein gruseliges Zombie-Pwnie – räumte in diesem Jahr Michal Zalewski ab, der viele Jahre lang bei Google für Security Engineering zuständig war und seit kurzem Vice President für Security Engineering beim Snapchat-Anbieter Snap Inc. ist. Weitere Preise gingen an Hanno Böck, Juraj Somorovsky und Craig Young für die Best Cryptographic Attack und an 0day.marketing für den Most Overhyped Bug für Holey Beep. (fab)