Стали известны номинанты на премию Pwnie 2008

Стали известны номинанты на премию Pwnie 2008

Pwnie - аналог премии Оскар для мира информационной безопасности. Великие достижения и провалы, и, конечно же, много веселья. Вторая ежегодная премия Понни будет проходить в августе 2008 года в Лас-Вегасе на конференции BlackHat USA.

Pwnie - аналог премии Оскар для мира информационной безопасности. Великие достижения и провалы, и, конечно же, много веселья. Вторая ежегодная премия Понни будет проходить в августе 2008 года в Лас-Вегасе на конференции BlackHat USA.

В 2008 году 9 номинаций:

- За лучший серверный баг (Pwnie for Best Server-Side Bug)

- За лучший клиентский баг (Pwnie for Best Client-Side Bug)

- За массовое использование (Pwnie for Mass 0wnage)

- За самую инновационную разработку (Pwnie for Most Innovative Research)

- За самое некомпетентное вендорское заявление (Pwnie for Lamest Vendor Response)

- За самый известный баг (Pwnie for Most Overhyped Bug)

- За лучший саундтрек (Pwnie for Best Song)

- За эпический провал (Pwnie for Most Epic FAIL)

- За жизненное достижение (Pwnie for Lifetime Achievement)

1. Номинация Лучший серверный баг

Награждается человек, открывший наиболее технически сложный и интересный серверный баг. (баг может быть в любой удаленно доступной программе без вмешательства пользователя)

- Windows IGMP kernel vulnerability (CVE-2007-0069): Alex Wheeler и Ryan Smith
- NetWare kernel DCERPC stack buffer overflow : Nicolas Pouvesle
- ClamAV Remote Command Execution (CVE-2007-4560) : Nikolaos Rangos
- SQL Server 2005 (CVE-2007-4560): Brett Moore

Полное описание на английском: http://pwnie-awards.org/2008/awards.html…

2. Номинация Лучший клиентский баг

Аналогично первой номинации, но уже на клиентской стороне. Не стоит забывать, что не только веб-браузеры, но и, например, баги в медиа плеерах могут принимать участие.

- Multiple URL protocol handling flaws : Nate McFeters, Rob Carter, и Billy Rios
- Slirpie : Dan Kaminsky, RSnake, Dan Boneh
- Safari carpet bomb (CVE-2008-2540): Laurent Gaffié, Nitesh Dhanjani и Aviv Raff
- Adobe Flash DefineSceneAndFrameLabelData vulnerability (CVE-2007-0071):
Mark Dowd и wushi
- QuickTime (CVE-2008-*): слишком много уязвимостей

Полное описание на английском: http://pwnie-awards.org/2008/awards.html…

3. Номинация Массовое использование

Награждается человек, открывший наиболее использованный впоследствии баг. Награда также известна как Понни для хака интернета.

- Windows IGMP kernel vulnerability (CVE-2007-0069) : Alex Wheeler и Ryan Smith
- An unbelievable number of WordPress vulnerabilities (CVE-2008-*) : многие копались
в движке, и многим повезло
- Debian's random number generator with 15 bits of entropy (CVE-2008-0166): Luciano Bello
- XSS of the entire web for users of Earthlink, Comcast and Verizon : Dan Kaminsky
- SQL injection in more than 500,000 web sites : Rain Forest

Полное описание на английском: http://pwnie-awards.org/2008/awards.html…

4. Номинация Самая инновационная разработка

Награждается человек, опубликовавший наиболее интересную и инновационную разработку в виде статьи, презентации, софта или даже опубликовавший список почтовой рассылки.

- Application-Specific Attacks : Leveraging the ActionScript VM : Mark Dowd
- Splitting Gemini : Adam Cecchetti
- Lest We Remember : Cold Boot Attacks on Encryption Keys : J. Alex Halderman,
Seth Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph Calandrino,
Ariel Feldman, Rick Astley, Jacob Appelbaum, Edward Felten
- Defeating a VM packer with a decompiler written in OCaml : Rolf Rolles
- Heaps about Heaps : Brett Moore

Полное описание на английском: http://pwnie-awards.org/2008/awards.html…

5. Номинация Самое некомпетентное вендорское заявление

- McAfee's "Hacker Safe" certification program

Более 60 сайтов, сертифицированных как хакерозащищенные сервисом McAfee's ScanAlert оказались уязвимы к XSS атакам, включая сам сайт ScanAlert. Директор этой программы Joseph Pierini все равно заявлял, что XSS уязвимости не могут быть использованы для взлома сервера: "XSS не может быть использован для взлома сервера. Вы можете использовать XSS для чего-нибудь еще. Вы можете реализовать XSS, которая затронет конечного пользователя или клиента. Но клиентские даные надежно хранятся на сервере и защищены. Таким образом, данные не могут быть скомпрометированы XSS". И еще одна цитата: "мы поступаем как суперхакеры" ("we go in like a super hacker").

-Linus Torvalds

Линус выступил в поддержку "тихого" обновления ядра. Исправления уязвимостей в ядре системы не получали широкой огласки:

"Я считаю, что баги, касающиеся безопасности, такие же нормальные, как и другие. Я не скрываю их, но я так же не вижу причин, по которым они должны быть оглашены как нечто особенное.

... Слишком большое внимание уделяется вопросам безопасности. Героями становятся безопасники, а разве люди, которые просто занимаются исправлениями нормальных багов не так же важны?"

- Wonderware

CORE security сообщили о ДОС уязвимости в Wonderware's SCADA software. Как же они отреагировали? :)

      2008-01-30: Initial contact email sent by to Wonderware setting the estimated 
publication date of the advisory to February 25th.
2008-01-30: Contact email re-sent to Wonderware asking for a software security
contact for Wonderware InTouch.
2008-02-06: New email sent to Wonderware asking for a response and for a software
security contact for Wonderware InTouch.
2008-02-28: Core makes direct phone calls to Wonderware headquarters informing of
the previous emails and requesting acknowledgment of the notification
of a security vulnerability.
2008-02-29: Vendor asks for a copy of the proof of concept code used to
demonstrate the vulnerability.
2008-03-03: Core sends proof-of-concept code written in Python.
2008-03-05: Vendor asks for compiler tools required to use the PoC code.
2008-03-05: Core sends a link to http://www.python.org



- NXP (formerly Philips Semiconductors)

Судебное дело против исследователя, который взломал Mifare Classic смарт-карты. NXP судится с Radboud University Nijmegen, чтобы запретить публикацию статьи, в которой детально описывается схема атаки против RFID чипов, используемых во многих видах общественного транспорта по всему миру. Впервые было заявилено об уязвимости NXP в конце 2007 года, но вместо ответа получили повестку в суд.

Оффициальный комментарий Транспортной службы Лондона об успешном клонировании Oyster карт:

"Это не взлом всей Oyster системы. Это всего лишь единичный случай."

6. Номинация Самый известный баг

Награждается человек, открывший баг, который получил широкую огласку в интернете и в СМИ.

- Unspecified DNS cache poisoning vulnerability (CVE-2008-1447) : Dan Kaminsky
- BT Home Hub authentication bypass (CVE-2008-1334) : Adrian 'pagvac' Pastor
- Adobe Flash Player non-0day remote code execution (BID 29386) : Symantec

Полный текст на английском: http://pwnie-awards.org/2008/awards.html…

7. Номинация Лучший саундтрек


- Packin' The K! : K & Key, Kaspersky Labs

On hackers we put the hurtski,
  we use Kaspersky, we pack the K!
  

8. Номинация Эпический провал

- Todd Davis, Lifelock CEO for posting his SSN on the web
- Debian for shipping a backdoored OpenSSL library for two years (CVE-2008-0166)
- Windows Vista for proving that security does not sell
Полный текст на английском: http://pwnie-awards.org/2008/awards.html…

 

9. Номинация Жизненные достижения

- Oded Horowitz

- Tim Newsham (http://www.thenewsh.com/~newsham/)

- Dan Geer

- John McDonald 

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться