Security-Oscars 2011 auf Black-Hat-Konferenz verliehen
Bei den diesjährigen Pwnie Awards wurden wieder die Entdecker der spektakulärsten Sicherheitslücken aber auch die größten Versager der Security-Szene gekürt.
- Ronald Eikenberg
Auf der Sicherheitskonferenz BlackHat in Las Vegas wurden mit den Pwnie Awards wieder traditionell die Oscars der Sicherheitsszene verliehen. Nicht jeder dürfte sich über den Preis freuen, denn neben den spektakulärsten Schwachstellen und Angriffen wurde unter anderem auch der Pwnie für den "Most Epic FAIL", das peinlichste Scheitern, verliehen.
Der Preis für die serverseitige Lücke ging an Juliano Rizzo und Thai Duong, die eine Schwachstelle in ASP.NET gefunden haben. Jailbreaker comex konnte mit seiner "Jailbreakme"-Lücke in FreeType den Pwnie für die clientseitige Lücke abräumen. Auf Basis dieser Lücke hat comex die Webseite Jailbreakme.com programmiert, über die man iOS-Gerät bis Version 4.3.3 auf Knopfdruck entsperren kann. Der Pwnie für den Privilege-Escalation-Bug (Rechtausweitung) ging an Tarjei Mandt, der über 40 Sicherheitslöcher im Windows-Kernel entdeckte.
Piotr Bania gewann mit seinem Paper "Securing the Kernel via Static Binary Rewriting and Program Shepherding" (PDF) den Pwnie für die innovativste Forschungsarbeit. Den Pwnie für sein Lebenswerk erhielt der Hacker pipacs vom PaX Team, weil er den Linux-Sicherheitspatch PaX und die Schutzfunktion Address Space Layout Randomization (ASLR) erfunden hat sowie "last but not least einen MP3-Player und einen Tetris-Klon in SoftICE gepatcht hat."
Den Pwnie für die lahmste Herstellerreaktion hat RSA für den Umgang mit der Kompromittierung der SecurID-Tokens gewonnen. Stuxnet hat den Pwnie für "Epic 0wnage" eingeheimst. Der Wurm hatte es auf SCADA-Steuersysteme für Industrieanlagen abgesehen. Der Pwnie für den "Most Epic FAIL" ging an Sony, was wenig überrascht – gingen doch auch schon alle fünf Nominierungen an den Unterhaltungsriesen. Den besten Song steuerte dieses Mal der PS3-Hacker George Hotz aka geohot mit seinem Rapvideo The Light It Up Contest bei.
Die Jury bestand aus einer Reihe namhafter Sicherheitsexperten, darunter auch Mark Dowd, Dino Dai Zovi, HD Moore, Ralf-Philipp Weinmann, Alex Sotirov und Thomas Dullien aka Halvar Flake. (rei)
