Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die "Oscars" der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien "Bester Krypto-Bug" und "Bester Desktop-Bug". Sie fanden heraus, dass AMD seit sieben Jahren den Schlüssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.
Ken Gannon erhielt einen Award für das Enthüllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie für die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po für die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien "Best RCE" (Remote Code Execution) und "Epic Achievement" für das Enthüllen von OpenSSH-Schwachstellen.
Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie für "Most Underhyped Research" (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug "Scheduled Disclosure" in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren ermöglicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln – und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.
Der Preis für den "Most Innovative"-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial fälschen, Denial-of-Service-Angriffe durchführen und sogar Zugriffe auf interne Unternehmensnetze erlangen.
Das Pwnie-Team
(Bild: Lukas Grunwald / heise online)
Außer den Awards für Sicherheitsforscher gibt es auch ironisch gemeinte "Auszeichnungen" für Firmen und Einzelpersonen. Den Negativ-Pwnie "Lamest Vendor Response" (etwa: schwächste Herstellerantwort) ging an die Linux-Kernelentwickler wegen der Sicherheitslücke “Linux kernel slab OOB write in hfsplus” (CVE-2025-0927). Und der Pwnie "EPIC Fail" ging an Mike Waltz für SignalGate genannte Signal-Gruppenchat-Affäre der US-Regierung. Das Pwnie-Team überreichte ihm auch ein T-Shirt, das das Motiv eines Sicherheits-Awareness-Plakates aufgreift: "Signal Groups kill troops."
Anspielung auf die SignalGate-Affäre der US-Regierung, die in einer Signal-Gruppe Militärgeheimnisse vor Fremden besprach.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare