تم الإعلان عن الفائزين بجوائز Pwnie السنوية 2020 ، وهو حدث بارز يكشف فيه المشاركون عن أهم نقاط الضعف والعيوب السخيفة في مجال أمن الكمبيوتر.
جوائز Pwnie الاعتراف بكل من التميز وعدم الكفاءة في مجال أمن المعلومات. يتم اختيار الفائزين من قبل لجنة من المتخصصين في صناعة الأمن بناءً على الترشيحات التي تم جمعها من مجتمع أمن المعلومات.
يتم تقديم الجوائز سنويًا في مؤتمر Black Hat Security. تعتبر جوائز Pwnie بمثابة نظير لجوائز الأوسكار و Golden Raspberry في أمن الكمبيوتر.
الفائزون الأوائل
أفضل خطأ في الخادم
مُنحت لتحديد أكثر الأخطاء الفنية تعقيدًا واستغلالها ومثيرة للاهتمام في خدمة الشبكة. تم منح الانتصار من خلال تحديد الثغرة الأمنية CVE-2020-10188 ، والتي تسمح بالهجمات عن بُعد على الأجهزة المضمنة مع البرامج الثابتة القائمة على Fedora 31 من خلال تجاوز سعة المخزن المؤقت في telnetd.
أفضل خطأ في برنامج العميل
الفائزون هم الباحثون الذين حددوا ثغرة في البرامج الثابتة لنظام Android من Samsung ، والتي تتيح الوصول إلى الجهاز عن طريق إرسال رسائل MMS دون إدخال المستخدم.
ضعف التصعيد بشكل أفضل
النصر حصل على جائزة لتحديد ثغرة أمنية في bootrom لأجهزة Apple iPhone و iPads و Apple Watch و Apple TV استنادًا إلى شرائح A5 و A6 و A7 و A8 و A9 و A10 و A11 ، مما يسمح لك بتجنب كسر حماية البرامج الثابتة وتنظيم حمل أنظمة التشغيل الأخرى.
أفضل هجوم تشفير
مُنحت لتحديد أهم نقاط الضعف في الأنظمة الحقيقية والبروتوكولات وخوارزميات التشفير. تم منح الجائزة لتحديد ثغرة Zerologon (CVE-2020-1472) في بروتوكول MS-NRPC وخوارزمية التشفير AES-CFB8 ، والتي تسمح للمهاجم بالحصول على حقوق المسؤول على وحدة تحكم مجال Windows أو Samba.
البحث الأكثر ابتكارًا
تُمنح الجائزة للباحثين الذين أظهروا أن هجمات RowHammer يمكن استخدامها ضد رقائق ذاكرة DDR4 الحديثة لتغيير محتوى البتات الفردية لذاكرة الوصول العشوائي الديناميكية (DRAM).
أضعف استجابة من الشركة المصنعة (Lamest Vendor Response)
تم ترشيحه للاستجابة غير الملائمة لتقرير ضعف في منتجك الخاص. الفائز هو الأسطوري دانيال ج.بيرنشتاين ، الذي لم يعتبره خطيرًا منذ 15 عامًا ولم يحل الثغرة الأمنية (CVE-2005-1513) في qmail ، نظرًا لأن استغلاله يتطلب نظام 64 بت مع أكثر من 4 جيجابايت من الذاكرة الافتراضية .
لمدة 15 عامًا ، حلت أنظمة 64 بت على الخوادم محل أنظمة 32 بت ، وزاد مقدار الذاكرة المتوفرة بشكل كبير ، ونتيجة لذلك ، تم إنشاء استغلال وظيفي يمكن استخدامه لمهاجمة الأنظمة باستخدام qmail في الإعدادات الافتراضية.
معظم الضعف التقليل
تم منح الجائزة في حالة نقاط الضعف (CVE-2019-0151، CVE-2019-0152) على آلية Intel VTd / IOMMU ، السماح بتجاوز حماية الذاكرة وتنفيذ التعليمات البرمجية في وضع إدارة النظام (SMM) ومستويات تقنية التنفيذ الموثوق (TXT) ، على سبيل المثال ، لاستبدال rootkit في SMM. اتضح أن خطورة المشكلة أكبر بكثير مما كان متوقعًا ، ولم يكن من السهل إصلاح الثغرة الأمنية.
معظم أخطاء Epic FAIL
تم منح الجائزة لشركة Microsoft عن الثغرات الأمنية (CVE-2020-0601) في تنفيذ التواقيع الرقمية ذات المنحنى البيضاوي التي تسمح بإنشاء مفاتيح خاصة بناءً على المفاتيح العامة. سمحت هذه المشكلة بإنشاء شهادات TLS مخادعة لـ HTTPS والتوقيعات الرقمية المزيفة التي تحقق Windows من أنها جديرة بالثقة.
أعظم إنجاز
تم منح الجائزة لتحديد سلسلة من الثغرات الأمنية (CVE-2019-5870، CVE-2019-5877، CVE-2019-10567) التي تسمح بتجاوز جميع مستويات الحماية لمتصفح Chromé وتنفيذ التعليمات البرمجية على النظام خارج بيئة وضع الحماية . تم استخدام الثغرات الأمنية لإثبات هجوم عن بعد على أجهزة Android للوصول إلى الجذر.
أخيرًا ، إذا كنت تريد معرفة المزيد عن المرشحين ، فيمكنك التحقق من التفاصيل في الرابط التالي.