Security-Oscars: And the Pwnie goes to …
Der Pandemie zum Trotz hat die Pwnie-Jury auch in diesem Jahr die Security-Oscars verliehen – und natürlich auch "Goldene Himbeeren".
Die Pwnie Awards ehren oder diskreditieren die Ausgezeichneten in verschiedenen Kategorien - und zwar für die fürchterlichsten Patzer bei der IT-Security. Aber auch die größten Erfolge in dem Bereich werden prämiert.
Der US-Geheimdienst NSA ging nicht mit einem der Negativ-Pwnies wie "Lamest Vendor Response" ("dürftigste Reaktion eines Herstellers") oder "Most epic fail" ("größtmögliches Versagen") nach Hause. Stattdessen erkannte die Jury den staatlichen Code-Knackern den Preis in der Kategorie "Best Crypographic Attack" zu. Und zwar für die schon Anfang des Jahres 2020 veröffentlichte Schwachstelle in einer Krypto-Bibliothek von Windows [1]. Wer den Preis in dieser Kategorie erringen will, muss eine kryptografische Attacke mit schwerwiegenden Auswirkungen gegen in der Praxis eingesetzte Systeme vorweisen können. Den Pwnie-Juroren zufolge sei dies der erste Krypto-Bug überhaupt, der sich negativ aufs wirkliche Leben auswirkt.
Über den Preis für sein Lebenswerk ("Epic Achievement") darf sich Ilfak Guilfanov freuen [2]. Er ist der Macher des beliebten und allgegenwärtigen Debuggers IDA [3], der seit nunmehr 30 Jahren "monumentalen Einfluss auf die Sicherheitslandschaft" habe.
Am schlimmsten versagt hat …
Die erwähnte "Lamest Vendor Response" hat sich Cellebrite, Anbieter von Spionagesoftware, verdient. Das Unternehmen habe schlicht gar nicht auf die Hinweise zu Schwachstellen reagiert, die der Signal-Entwickler Moxie Marlinspike beschrieb [4].
Die zweite Goldene Himbeere ging an Microsoft. Als "Most Epic Fail" sieht die Jury Microsofts Unvermögen, die PrintNightmare getaufte Schwachstelle im Drucker-Spooler von Windows [5] zu reparieren. Trotz Patch und anschließendem Notfall-Patch sei die Gefahr nach wie vor nicht gebannt.
Microsoft spielt – unfreiwillig – auch in der Kategorie "Best Server-Side Bug" eine Rolle: Der Forscher Orange Tsai bekam diesen Preis fürs Aufdecken diverser Schwachstellen in Microsofts Exchange Server [6]. Der Hacker erklärt in einem frei zugänglichen Vortrag [7] im Rahmen der Sicherheitskonferenz Defcon Details zu den Exchange-Lücken.
Als "Most Under-Hyped Research", also nicht hinlänglich gewürdigte Forschung, zeichnet die Pwnie-Jury in diesem Jahr die 21 Bugs aus, die Qualys im Exim-Mail-Server aufgetan hat [8]. Angreifer könnten durch Missbrauch der Lücken root-Rechte erlangen auf der weltweit millionenfach installierten Software.
Darüber hinaus verliehen die Juroren weitere Pwnies, unter anderem für den besten Song [9] (Spoiler Alert: hörenswert) oder die innovativste Sicherheitsforschung. Eine vollständige Liste der Preisträger findet sich auf der Webseite der Jury [10].
(jk [11])
URL dieses Artikels:
https://www.heise.de/-6157581
Links in diesem Artikel:
[1] https://www.heise.de/security/meldung/NSA-meldet-Windows-Luecke-anstatt-sie-auszunutzen-4637752.html
[2] https://twitter.com/ilfak
[3] https://hex-rays.com/
[4] https://www.heise.de/news/Macher-des-Signal-Messenger-hacken-Ueberwachungs-Software-von-Cellebrite-6024421.html
[5] https://www.heise.de/news/Notfallpatch-Microsoft-schliesst-PrintNightmare-Luecke-in-Windows-6130503.html
[6] https://www.heise.de/news/Neues-Tool-von-Microsoft-Exchange-Server-mit-wenigen-Klicks-absichern-5988841.html
[7] https://www.youtube.com/watch?v=5mqid-7zp8k&ab_channel=DEFCONConference
[8] https://www.heise.de/news/Jetzt-patchen-Kritische-Root-Luecken-bedrohen-Exim-Mail-Server-6036724.html
[9] https://www.heise.de/news/l-f-Auch-Hacker-haben-Lieder-6156525.html
[10] https://pwnies.com/winners/
[11] mailto:jk@ct.de
Copyright © 2021 Heise Medien