捷報！臺灣資安公司戴夫寇爾研究員獲黑帽大會Pwnie Awards最佳伺服器漏洞獎肯定

黑帽大會每年都會舉辦漏洞界奧斯卡獎的Pwnie Awards獎項，事先會提名年度最棒（Excellence）以及最爛（Incompetence）的漏洞，並於黑帽大會中頒獎。臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang揭露的Pulse Secure及其他SSL VPN產品漏洞以及入侵與利用手法，則獲得2019年年度最佳伺服器漏洞的肯定。這也是全臺灣第一個獲得Pwnie Awards獎項肯定的資安研究員。

Pulse Secure的SSL VPN產品漏洞獲漏洞界奧斯卡獎最佳伺服器端漏洞肯定

許多駭客會利用各式各樣的漏洞去控制各種伺服器，而這種稱之為PWN的手法，每年在黑帽大會上則藉由舉辦Pwnie Awards的方式，肯定許多優秀的資安研究人員。而Pwnie的發音同Pony（小馬）的發音，所以得獎者象徵則是一匹可愛的玩具小馬。

此次，在這個黑帽大會年度漏洞奧斯卡獎上，獲得最佳伺服器漏洞獎五個提名的入圍者包括：Orange Tsai先前發掘的Jenkins RCE漏洞；Qualys資安團隊揭露的免費電郵服務Exim的RCE漏洞；資安研究員Stefan Viehböck所揭露中國雄邁IP Cam（網路監視器）韌體沒有更新成為駭客肉雞的漏洞；以及微軟日前所揭露，舊版Windows遠端桌面服務存在重大漏洞BlueKeep，可能引發類似WannaCry的災情的漏洞（CVE-2019-0708），都是今年影響甚大的伺服器端漏洞。

伺服器端漏洞第五個提名者則是由臺灣資安資安公司戴夫寇爾（Devcore）資安研究員Orange Tsai與Meh Chang共同揭露，包括Pulse Secure及其他SSL VPN的產品漏洞。由於這個漏洞對於很多企業，都帶來許多重大的資安風險，因此，在今年黑帽大會Pwnie Awards的頒獎大會中，Pulse Secure的SSL VPN產品漏洞，則獲得年度最佳伺服器漏洞獎的肯定。

華碩電腦更新伺服器遭駭客入侵，獲得漏洞界金酸莓獎提名

當然，如同電影界有肯定努力的奧斯卡獎，也有反串的金酸莓獎，在漏洞界中也不例外。

今年三月，臺灣電腦製造商華碩電腦，因為更新伺服器遭到駭客入侵，並由資安公司卡巴斯基揭露這起命名為暗影之鎚（ShadowHammer）的資安事件，則入圍「史詩般失敗」（pwnie for most epic fail）的金酸莓獎的入圍提名，這也真實諷刺華碩電腦只會製造卻不懂資安的現實。

「史詩般失敗」獎項最終的得獎者是，彭博資訊（Bloomberg）報導包括美商Super Micro（超微）的主機板上，被植入米粒大小的間諜晶片的報導。但這則報導遭到各方的強烈否定，加上彭博資訊也無法拿出足夠證據。這如同科幻小說般情節的報導，則獲得Pwnie Awards金酸莓獎的肯定。

所幸，華碩電腦暗影之鎚的資安事件最終並沒有獲獎，不然的話，就可能會出現，臺灣資安研究者傑出研究得到Pwnie Awards奧斯卡獎最佳伺服器端漏洞獎的肯定，卻同時有最Pwnie Awards金酸莓獎、最無能公司得獎的證明。