Озвучены имена победителей Pwnie Awards 2011На проходящей в эти дни конференции Black Hat в Лас Вегасе состоялась церемония вручения наград Pwnie Awards, ежегодной премии, которой удостаиваются люди, сделавшие самые значимые, а также самые спорные открытия в области информационной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года. Всего в этом году было представлено восемь номинаций: Лучшая серверная ошибка, победителем в которой становится человек, нашедший и использовавший наиболее технически сложную и интересную ошибку в сетевом сервисе. Среди конкурсантов были Matt Bergin, нашедший ошибку в Microsoft FTP server, позволяющую получить контроль над сервером (CVE-2010-3972), Sebastian Krahmer и Marius Tomaschewski, нашедшие способ выполнить произвольный код в ISC dhclient (CVE-2011-0997), Tavis Ormandy, нашедший уязвимость в коде IPSec, сетевого стека BSD (CVE-2011-1547), неизвестный автор эксплоита против сервера Exim (CVE-2010-4344) ставшие победителями Juliano Rizzo, Thai Duong, нашедшие способ компрометации любого ASP.NET-приложения (CVE-2010-3332). Лучшая ошибка в клиентском ПО, аналогичная награда в области клиентских приложений, на которую претендовали пять человек: VUPEN, нашедший способ выхода за пределы песочницы браузера Google Chrome и исполнения любого кода с правами текущего пользователя (демо), Fr?d?ric Hoguin, нашедший уязвимость в виртуальной машине Java, позволяющую исполнить произвольный код с помощью стандартных средств JRE (CVE-2010-4452), Vincenzo Iozzo, Willem Pinckaers и Ralf-Phillipp Weinmann, использовавшие уязвимости в HTML-движке WebKit для выполнения произвольного кода на смартфоне Blackberry, Jon Oberheide, который нашел способ установки произвольного приложения на Android-смартфон жертвы через специальным образом сформированную ссылку (XSS-уязвимость в веб-версии Android Market) ставший победителем Comex, нашедший уязвимость в растеризаторе шрифтов FreeType для платформы iOS, которая помогла тысячам людей в снятии блокировки iPhone (CVE-2011-0226). Лучшая уязвимость, приводящая к повышению привилегий. На получение приза в этой номинации претендовали четыре человека: Matthew 'j00ru' Jurczyk - выход за пределы Windows CSRSS (CVE-2011-1281), Nelson Elhage - DoS-уязвимость в ядре Linux (CVE-2010-4258), Tavis Ormandy - способ получений root-привилегий с помощью уязвимости в glibc (CVE-2010-3847) победитель Tarjei Mandt, нашедший более 40 уязвимостей в ядре Windows (MS11-034). Наиболее инновационное исследование. Присуждается людям, сделавшим наиболее интересное открытие. В этом году номинантами были: Jon Oberheide и Dan Rosenberg, представившие несколько техник использования уязвимостей в Linux-ядре с модулем GRSecurity, Haifei Li, опубликовавший исследование, посвященное уявимостям во Flash-плеере, Aaron Portnoy и Logan Brown, представившие очень подробное исследование аллокатора памяти SmartHeap в Adobe Shockwave, Chris Valasek, опубликовавший детальный обзор принципов работы Low Fragmentation Heap в Windows Vista и Windows 7 победивший Piotr Bania, представивший способ бинарного переписывания драйверов устройств в Windows. Самый ламерский ответ вендора (Lamest Vendor Response). Присуждается компаниям, наиболее неадекватно отреагировавшим на информацию об уязвимости в их продуктах. В этом году три номинанта: Novell, которая приняла уязвимость, которую можно использовать для выполнения кода, за DoS-уязвимость и отказалась исправлять ошибку, Magix, угрожавшей засудить исследователя, сообщившего руководству компании об уязвимости в том случае, если он опубликует эксплойт победитель RSA, которая после взлома одного из своих серверов, заявила, что хранившиеся на сервере SecurID-токены обновлять не обязательно, после чего с помощью украденных токенов произошел взлом Lockheed-Martin. Самый большой провал (Most Epic FAIL). В этой номинации безоговорочную победу одержала компания Sony, которая и была единственным номинантом целых пять раз за свою реакцию на различные события, начиная от взлома PS3 и заканчивая взломом PlayStation Network, и последовавшим за этим увольнением большого количества сотрудников безопасности. Самый веселый взлом (Epic 0wnage). Награда за самый разрушительный, наиболее освещаемый СМИ и веселый взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. В этом году четыре номинанта: Аноним, за взлом HBGary Federal, администратор которого использовал один и тот же пароль для доступа к административному разделу сайта и к Google Apps, LulzSec за взлом всех и вся (Fox News, PBS, Nintendo, pron.com, the NHS, Infraguard, the US senate, Bethesda, Minecraft, League of Legends, The Escapist magazine, EVE online, the CIA, The Times, The Sun), Bradley Manning Wikileaks за все события мирового масштаба, победитель: компьютерный червь Stuxnet, поражающий промышленные системы на базе Windows, за наведение ужаса на весь мир. Приз за лучшую музыкальную композицию, написанную хакером, получил George Hotz aka 'geohot' за песню The Light It Up Contest.
Распечатано с HostDB.ru.
|