Nominierungen für den "Security-Oscar"
Manche Teilnehmer arbeiten mit geradezu unfairen Tricks. Anders als in Hollywood kommen aber bei den Pwnie-Awards auch Hohn und Spott nicht zu kurz: LinkedIn, die Antiviren-Industrie und Oracle sind bestimmt nicht erfreut über ihre Nominierung.
Die Pwnie-Awards wollen eine Art Oscar der Security-Community sein. Die Bekanntgabe der Gewinner erfolgt am Mittwoch, den 25.Juli; die Show eröffnet jetzt die Nominierung der Kandidaten. Ähnlich wie in Hollywood gibt es auch hier strahlende Stars, von denen einige mit zweifelhaften Methoden versuchen, ihre Chancen auf die Trophäe zu verbessern – aber auch Loser, über die sich schon im Vorfeld Hohn und Spott ergießen.
Das Business-Netz LinkedIn muss für seinen mehr als nur peinlichen Verlust von Passwörtern beim Wettbewerb um den "Most Epic Fail" einstecken: "Was hat 2500 Angestellte, über 90 Millionen Nutzer, keinen CSO und hasst Salz?". Auch ein Netzwerkausrüster, der den geheimen Schlüssel für den Root-Zugang via SSH übers Netz gut lesbar in seiner Firmware platzierte, bekommt sein Fett weg: "For FAIL, press F5". Für die Nominierung der gesamten Antiviren-Industrie hielt die Jury nicht einmal eine Begründung für erforderlich. Kein Wunder, hatte doch AV-Ikone Mikko Hypponen erst kürzlich das Scheitern der gesamten Branche eingestanden.
Bei den Server-Side-Bugs ist Oracle diesmal prominent vertreten: Der mögliche Lauscher in Oracle-Clustern, von dem der Hersteller bereits 4 Jahre wusste, bevor man ihn dann versehentlich verplapperte, tritt gegen den Passwort-Check-Bug in MySQL an: "Ich bin Root, darf ich rein? Nein? Und jetzt? Immer noch nicht? Aber jetzt? Danke!". Mit der gerade bekannt gewordenen Entscheidung, den Evil-Listener-Bug nicht zu fixen, hat Oracle auch ein ganz heißes Eisen für die Kategorie "Lamest Vendor Response" im Feuer, deren Kandidaten allerdings noch nicht veröffentlicht wurden.
Glamourös geht es hingegen bei den Client-Side Bugs zu. Da gibt sich Rockstar Charlie Miller bereits ganz aufgeregt, ob sein iOS-Bug, der das Nachladen von Code erlaubte und ihm den Ausschluss aus Apples Entwicklerprogramm bescherte, als preiswürdig erachtet wird. Experten stufen seine Chancen als gering ein. Für den Autor des konkurierenden Chrome-Exploits spricht nicht nur, dass er ganze 6 Sicherheitslücken trickreich hintereinander schaltete, um Chrome zu kapern und 60.000 Dollar einzustreichen, sondern auch ein weniger technischer Aspekt: Wie sollte Charlie bei den Pwnie Awards jemals gegen Pinkie Pie bestehen können? (ju)
