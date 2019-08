Wie jedes Jahr fanden auf der Black-Hat-Konferenz in Las Vegas wieder die Pwnie Awards statt. Sie sind quasi die Oscars der Security-Szene und prämieren spektakuläres Versagen ebenso wie herausragende Leistungen rund um IT-Sicherheit.

Neben positiven Auszeichnungen wie etwa die der besten kryptografischen Attacke gab es auch Negativpreise – unter anderem für die übelste Reaktion eines Anbieters auf eine gemeldete Sicherheitslücke oder für den überhyptesten Bug.

WPA3-Lücke Dragonblood bester kryptografischer Angriff

(Bild: Uli Ries)

Die beste kryptografische Attacke lieferte den Organisatoren zufolge das Team ab, dass die Dragonblood getaufte Lücke in der kommenden WLAN-Verschlüsselung WPA3 aufdeckte.

Den besten serverseitigen Bug, also eine Schwachstelle, die sich ohne Anwenderinteraktion missbrauchen lässt, entdeckten die taiwanesischen Forscher Orange Tsai und Meh Chang. Und zwar in den SSL-VPN-Lösungen von Pulse Secure, das unter anderem Twitter und Fortinet verwenden.

Den Pwnie für den besten clientseitigen Bug verdienten sich Grant Thompson und Daven Morris durch ihre Entdeckung, dass sich iPhones und iPads dank Facetime, Apples Software zur Video-Telefonie, von jedermann in Wanzen zur Raumüberwachung verwandeln lassen (CVE-2019-6223).

Doppelt (negativ) gepwned: BitFi und Bloomberg

Das gab es in der Historie der Pwnies noch nicht: Zweimal in derselben Kategorie in aufeinanderfolgenden Jahren ausgezeichnet zu werden. Diese zweifelhafte Ehre wurde dem von John McAfee mit ins Leben gerufene Crypto-Wallet BitFi zuteil. Der gruseligen Performance aus dem letzten Jahr setzte BitFi durch die anhaltende Beschimpfung von Sicherheitsforschern nochmal einen drauf – und verdiente sich laut Jury den Preis damit ein zweites Mal.

Gleich zweimal wurden die Journalisten der Bloomberg Businessweek für ihre Arbeit ausgezeichnet – könnten wahrscheinlich jedoch sehr gut auf ihre Pwnies verzichten. Denn sowohl der Preis für den „Most overhyped Bug“, als auch der für den „Most Epic Fail“ gingen an das Wirtschaftsmagazin. Und zwar für deren Berichterstattung über angebliche Spionagechips, die auf Servermainboards von Super Micro zu finden gewesen sein sollen.

Die übrigen Pwnies wurden verliehen in den Kategorien:

(Uli Ries) / (ovw)