Pwnie Awards 2015: Oscars der Security-Szene verliehen

Keine Black Hat ohne Pwnies. Eine Jury bestehend aus renommierten Sicherheitsexperten hat die begehrte Auszeichnung für die spektakulärsten Schwachstellen und Datenleaks vergeben. Auch der beste Song wurde freilich wieder gekürt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge
Pwnie Awards 2015
Von
  • Ronald Eikenberg

Das güldene Pwnie ist die begehrteste Trophäe der Security-Szene.

(Bild: @CoreSecurity )

Auf der diesjährigen Ausgabe der Hackerkonferenz Black Hat in Las Vages durfte natürlich auch die Verleihung der Pwnie Awards nicht fehlen – der wichtigsten Trophäe der Security-Szene. Die Liste der Gewinner liefert einen interessanten Rückblick über die vergangenen zwölf Monate, die von spektakulären Sicherheitslücken und Datenleaks gezeichnet wurden.

Den "Best Server-Side Bug" hat Martin Gallo von Core Security in SAP entdeckt. Es handelt es sich um mehrere Schwachstellen in den proprietären Implementierungen der Kompressionsverfahren LZC und LZH. Ein Angreifer kann durch sie den SAP-Server lahm legen und sogar eigene Code einschleusen. Clientseitig hat Mateusz ‘j00ru’ Jurczyk von Google abgeräumt, der Schwachstellen im PostScript-Format Charstring fand. Durch die Lücken kann man unter anderem sämtliche Windows-Versionen seit NT 4.0 sowie den Adobe Reader hochnehmen.

In der Kategorie "Best Privilege Escalation Bug" räumte dieses Mal ein Forscherteam der MITRE Corporation mit ihrer UEFI SMM Privilege Escalation ab. Sie entdeckten Lücken in Intels UEFI-Implementierung, durch die sich Rootkits einschleusen lassen. Der Pwnie für "Most Innovative Research" geht an David Adrian und sein Team für die Entdeckung und Erforschung der Logjam-Attacke, die auf einer Schwäche im Diffie-Hellman-Schlüsselaustausch beruht.

Das Pwnie in der unrühmlichen Kategorie "Lamest Vendor Response" geht an den Netzwerkausrüster Blue Coat. Das Unternehmen übte Druck auf den Sicherheitsforscher Raphaël Rigo aus, um zu verhindern, dass der Forscher auf der Sicherheitskonferenz SyScan Interna über die Securiy-Appliance ProxySG ausplaudert. Und das mit Erfolg: Der Talk wurde abgesagt. Der "Most Overhyped Bug" ist nach Einschätzung der Juroren die Shellshock-Lücke; ein Angreifer kann durch sie Shell-Befehle über Umgebungsvariablen in Unix-Systeme einschleusen.

Wie in jedem Jahr wurde auch wieder der "Best Song" der Szene prämiert. Dieses Jahr räumte der Kali-Hersteller Offensive Security mit der schmissigen Reggae-Nummer "Try Harder!" ab.

Die Pentesting-Firma Offensive Security hat mit ihrem Werbesong "Try Harder!"! ein Pwnie abgeräumt.

Der "Most Epic FAIL" ereignete sich beim U.S. Office of Personnel Management: Hacker sind gleich zwei Mal in die IT-Infrastruktur der US-Behörde eingestiegen und haben persönliche Daten von weit über 20 Millionen Bürgern ausgespäht. Die Leiterin hat kurz darauf ihren Hut genommen. Der Reverse-Engineering-Guru Thomas Dullien AKA Halvar Flake konnte den Lifetime Achievement Award, also das Pwnie fürs Lebenswerk, abräumen.

Natürlich wurde auch das epische Datenleck bei dem italienischen Spionagesoftware-Hersteller Hacking Team gewürdigt, nämlich in der Kategorie "Epic 0wnage". Nach wie vor unbekannte Täter stellten das digitale Hab und Gut des Unternehmens ins Netz – einschließlich Spionage-Tools, Zero-Day-Exploits und politisch brisanter Kommunikation.

(rei)