Состоялась церемония награждения Pwnie Awards

image

Теги: Black Hat

Pwnie Awards – это престижная ежегодная премия, которой удостаиваются люди, сделавшие самые значимые открытия в области информационной безопасности.

На конференции Black Hat, прошла церемония награждения наград Pwnie Awards. Pwnie Awards – это престижная ежегодная премия, которой удостаиваются люди, сделавшие самые значимые открытия в области информационной безопасности.

В этом году было представлено восемь номинаций:

  • Лучшая серверная ошибка, победителем в которой становится человек, нашедший и использовавший наиболее технически сложную и интересную ошибку в сетевом сервисе. Среди конкурсантов были
    • Matt Bergin, нашедший ошибку в Microsoft FTP server, позволяющую получить контроль над сервером (CVE-2010-3972),
    • Sebastian Krahmer и Marius Tomaschewski, нашедшие способ выполнить произвольный код в ISC dhclient (CVE-2011-0997),
    • Tavis Ormandy, нашедший уязвимость в коде IPSec, сетевого стека BSD (CVE-2011-1547),
    • неизвестный автор эксплоита против сервера Exim (CVE-2010-4344)
    • ставшие победителями Juliano Rizzo, Thai Duong, нашедшие способ компрометации любого ASP.NET-приложения (CVE-2010-3332).
  • Лучшая ошибка в клиентском ПО, аналогичная награда в области клиентских приложений, на которую претендовали пять человек:
    • VUPEN, нашедший способ выхода за пределы песочницы браузера Google Chrome и исполнения любого кода с правами текущего пользователя (демо),
    • Frédéric Hoguin, нашедший уязвимость в виртуальной машине Java, позволяющую исполнить произвольный код с помощью стандартных средств JRE (CVE-2010-4452),
    • Vincenzo Iozzo, Willem Pinckaers и Ralf-Phillipp Weinmann, использовавшие уязвимости в HTML-движке WebKit для выполненияпроизвольного кода на смартфоне Blackberry,
    • Jon Oberheide, который нашел способ установки произвольного приложения на Android-смартфон жертвы через специальным образом сформированную ссылку (XSS-уязвимость в веб-версии Android Market)
    • ставший победителем Comex, нашедший уязвимость в растеризаторе шрифтов FreeType для платформы iOS, которая помогла тысячам людей в снятии блокировки iPhone (CVE-2011-0226).
  • Лучшая уязвимость, приводящая к повышению привилегий. На получение приза в этой номинации претендовали четыре человека:
    • Matthew 'j00ru' Jurczyk - выход за пределы Windows CSRSS (CVE-2011-1281),
    • Nelson Elhage - DoS-уязвимость в ядре Linux (CVE-2010-4258),
    • Tavis Ormandy - способ получений root-привилегий с помощью уязвимости в glibc (CVE-2010-3847)
    • победитель Tarjei Mandt, нашедший более 40 уязвимостей в ядре Windows (MS11-034).
  • Наиболее инновационное исследование. Присуждается людям, сделавшим наиболее интересное открытие. В этом году номинантами были:
    • Jon Oberheide и Dan Rosenberg, представившие несколько техник использования уязвимостей в Linux-ядре с модулем GRSecurity,
    • Haifei Li, опубликовавший исследование, посвященное уявимостям во Flash-плеере,
    • Aaron Portnoy и Logan Brown, представившие очень подробное исследование аллокатора памяти SmartHeap в Adobe Shockwave,
    • Chris Valasek, опубликовавший детальный обзор принципов работы Low Fragmentation Heap в Windows Vista и Windows 7
    • победивший Piotr Bania, представивший способ бинарного переписывания драйверов устройств в Windows.
  • Самый ламерский ответ вендора (Lamest Vendor Response). Присуждается компаниям, наиболее неадекватно отреагировавшим на информацию об уязвимости в их продуктах. В этом году три номинанта:
    • Novell, которая приняла уязвимость, которую можно использовать для выполнения кода, за DoS-уязвимость и отказалась исправлять ошибку,
    • Magix, угрожавшей засудить исследователя, сообщившего руководству компании об уязвимости в том случае, если он опубликует эксплойт
    • победитель RSA, которая после взлома одного из своих серверов, заявила, что хранившиеся на сервере SecurID-токены обновлять не обязательно, после чего с помощью украденных токенов произошел взлом Lockheed-Martin.
  • Самый большой провал (Most Epic FAIL). В этой номинации безоговорочную победу одержала компания Sony, которая и была единственным номинантом целых пять раз за свою реакцию на различные события, начиная от взлома PS3 и заканчивая взломом PlayStation Network, и последовавшим за этим увольнением большого количества сотрудников безопасности.
  • Самый веселый взлом (Epic 0wnage). Награда за самый разрушительный, наиболее освещаемый СМИ и веселый взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. В этом году четыре номинанта:
    • Аноним, за взлом HBGary Federal, администратор которого использовал один и тот же пароль для доступа к административному разделу сайта и к Google Apps,
    • LulzSec за взлом всех и вся (Fox News, PBS, Nintendo, pron.com, the NHS, Infraguard, the US senate, Bethesda, Minecraft, League of Legends, The Escapist magazine, EVE online, the CIA, The Times, The Sun), Bradley Manning
    • Wikileaks за все события мирового масштаба,
    • победитель: компьютерный червь Stuxnet, поражающий промышленные системы на базе Windows, за наведение ужаса на весь мир.
  • Приз за лучшую музыкальную композицию, написанную хакером, получил George Hotz aka 'geohot' за песню The Light It Up Contest.

или введите имя

CAPTCHA
Федя
09-08-2011 01:27:31
А где же бит-сквотер Artem Dinaburg? Он должен был быть победителем в номинации "Наиболее инновационное исследование". Он и сказочный леприкон с горшочком золота.
0 |