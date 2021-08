Die Pwnie Awards ehren oder diskreditieren die Ausgezeichneten in verschiedenen Kategorien - und zwar für die fürchterlichsten Patzer bei der IT-Security. Aber auch die größten Erfolge in dem Bereich werden prämiert.

Der US-Geheimdienst NSA ging nicht mit einem der Negativ-Pwnies wie "Lamest Vendor Response" ("dürftigste Reaktion eines Herstellers") oder "Most epic fail" ("größtmögliches Versagen") nach Hause. Stattdessen erkannte die Jury den staatlichen Code-Knackern den Preis in der Kategorie "Best Crypographic Attack" zu. Und zwar für die schon Anfang des Jahres 2020 veröffentlichte Schwachstelle in einer Krypto-Bibliothek von Windows. Wer den Preis in dieser Kategorie erringen will, muss eine kryptografische Attacke mit schwerwiegenden Auswirkungen gegen in der Praxis eingesetzte Systeme vorweisen können. Den Pwnie-Juroren zufolge sei dies der erste Krypto-Bug überhaupt, der sich negativ aufs wirkliche Leben auswirkt.

Über den Preis für sein Lebenswerk ("Epic Achievement") darf sich Ilfak Guilfanov freuen. Er ist der Macher des beliebten und allgegenwärtigen Debuggers IDA, der seit nunmehr 30 Jahren "monumentalen Einfluss auf die Sicherheitslandschaft" habe.

Am schlimmsten versagt hat …

Die erwähnte "Lamest Vendor Response" hat sich Cellebrite, Anbieter von Spionagesoftware, verdient. Das Unternehmen habe schlicht gar nicht auf die Hinweise zu Schwachstellen reagiert, die der Signal-Entwickler Moxie Marlinspike beschrieb.

Die zweite Goldene Himbeere ging an Microsoft. Als "Most Epic Fail" sieht die Jury Microsofts Unvermögen, die PrintNightmare getaufte Schwachstelle im Drucker-Spooler von Windows zu reparieren. Trotz Patch und anschließendem Notfall-Patch sei die Gefahr nach wie vor nicht gebannt.

Microsoft spielt – unfreiwillig – auch in der Kategorie "Best Server-Side Bug" eine Rolle: Der Forscher Orange Tsai bekam diesen Preis fürs Aufdecken diverser Schwachstellen in Microsofts Exchange Server. Der Hacker erklärt in einem frei zugänglichen Vortrag im Rahmen der Sicherheitskonferenz Defcon Details zu den Exchange-Lücken.

Als "Most Under-Hyped Research", also nicht hinlänglich gewürdigte Forschung, zeichnet die Pwnie-Jury in diesem Jahr die 21 Bugs aus, die Qualys im Exim-Mail-Server aufgetan hat. Angreifer könnten durch Missbrauch der Lücken root-Rechte erlangen auf der weltweit millionenfach installierten Software.

Darüber hinaus verliehen die Juroren weitere Pwnies, unter anderem für den besten Song (Spoiler Alert: hörenswert) oder die innovativste Sicherheitsforschung. Eine vollständige Liste der Preisträger findet sich auf der Webseite der Jury.

