Op 6 augustus vindt de Oscaruitreiking voor hackers plaats en ons eigen NXP is genomineerd voor de domste reactie van een fabrikant, wat ook geldt voor Linus Torvalds. NXP, voorheen bekend als Philips Semiconductors, spande een rechtszaak aan tegen de onderzoekers die talloze beveiligingsproblemen met de Mifare classic chip ontdekten en hierover een rapport wilden publiceren. De chip werd onder andere in de OV-chipkaart gebruikt. De onderzoekers waarschuwden NXP al in 2007 over de problemen, maar ontvingen geen reactie voordat de rechtszaak werd aangespannen.

Linuxvader Torvalds moet ook met de billen bloot wegens incompetentie. "Hij bewees dat open-source security niet verbeterd is door te denken dat hoe meer mensen ernaar kijken, des te meer lekken gevonden worden. Linus Torvalds demonstreerde zijn incompetentie tijdens het oplossen van beveiligings- problemen door het stilletjes patchen van beveiligingslekken in de Linux-kernel te verdedigen." Ook McAfee's "Hacker Safe" certificeringsprogramma is voor een "Pwnie award" genomineerd.

Wie ook in de "prijzen" kan vallen is QuickTime. Niet vanwege een kwetsbaarheid, maar vanwege het feit dat de applicatie zelf zo lek als een mandje is. De afgelopen twee jaar zijn er meer dan 60 lekken in de software van Apple aangetroffen.

Hieronder alle categorieën inclusief nominaties:

Best Server-Side Bug
Windows IGMP kernel lek (CVE-2007-0069)
NetWare kernel DCERPC stack buffer overflow
ClamAV Remote Command Execution (CVE-2007-4560)
SQL Server 2005 (CVE-2007-4560)

Best Client-Side Bug
Multiple URL protocol handling lekken
Slirpie
Safari carpet bomb (CVE-2008-2540)
Adobe Flash DefineSceneAndFrameLabelData lek
QuickTime (CVE-2008-*)

Mass 0wnage
Windows IGMP kernel lek
Ontelbaar aantal WordPress lekken
Debian's random number generator
XSS voor het hele web bij Earthlink, Comcast en Verizon
SQL-injectie in meer dan 500.000 sites

Meest Innovatieve Onderzoek
Applicatie-specifieke aanvallen: ActionScript VM
Splitting Gemini
Cold Boot aanvallen op encryptiesleutels
Verslaan van VM packer met een in OCaml geschreven decompiler
Windows heap exploitatie

Domste Reactie van een Vendor
McAfee's "Hacker Safe" certificeringsprogramma
Linus Torvalds
Wonderware in reactie op SCADA DoS-lek
NXP

Meest Gehypte Bug
DNS cache poisoning-lek
BT Home Hub authenticatie omzeiling
Adobe Flash Player non-0day remote code execution

Beste Nummer
Packin' The K! - K & Key, Kaspersky Labs
The Data Song (Get Me LiveSecurity) - Scott Pinzon
Clockwork - Dr. Raid
Symantec Song - Doc Deazy

Grootste Falen
Todd Davis, Lifelock CEO plaatst eigen SSN op internet
Debian dat twee jaar een lekke OpenSSL library bevat
Windows Vista dat bewijst dat security niet verkoopt

Lifetime Achievement Award
Oded Horowitz
Tim Newsham
Dan Geer
John McDonald