Ovo su dobitnici nagrada Pwnie 2020

Proglašeni pobjednici godišnjih nagrada Pwnie Awards 2020, što je istaknuti događaj, u kojem učesnici otkrivaju najznačajnije ranjivosti i apsurdne nedostatke na polju računarske sigurnosti.

Nagrade Pwnie prepoznaju i izvrsnost i nesposobnost na polju informacione sigurnosti. Pobjednike bira komisija stručnjaka iz sigurnosne industrije na osnovu nominacija prikupljenih od zajednice za informacionu sigurnost.

Nagrade se dodjeljuju svake godine na sigurnosnoj konferenciji Black Hat. Nagrade Pwnie smatraju se pandanima Oscara i Zlatnih malina u računalnoj sigurnosti.

Najbolji pobjednici

Najbolja greška servera

Dodijeljeno za identificiranje i iskorištavanje najsloženije tehničke greške i zanimljiv u mrežnoj usluzi. Pobjeda je dodijeljena identifikacijom ranjivosti CVE-2020-10188, koja omogućava daljinske napade na uređaje ugrađene u ugrađeni firmver zasnovan na Fedori 31 kroz preljev međuspremnika u telnetd.

Najbolja greška u klijentskom softveru

Pobjednici su bili istraživači koji su prepoznali ranjivost Samsungovog firmvera za Android, koji omogućava pristup uređaju slanjem MMS-a bez korisničkog unosa.

Bolja ranjivost u eskalaciji

Pobjeda je nagrađen za prepoznavanje ranjivosti u bootromu Apple iPhone-a, iPad-a, Apple satova i Apple TV-a Zasnovan na čipovima A5, A6, A7, A8, A9, A10 i A11, što vam omogućava da izbjegnete jailbreak firmwarea i organizirate opterećenje drugih operativnih sistema.

Najbolji kripto napad

Dodijeljeno za prepoznavanje najznačajnijih ranjivosti u stvarnim sistemima, protokolima i algoritmima šifriranja. Nagrada je dodijeljena za identifikaciju ranjivosti Zerologon (CVE-2020-1472) u protokolu MS-NRPC i kripto algoritmu AES-CFB8, koji omogućava napadaču da stekne administratorska prava na Windows ili Samba kontroleru domene.

Najinovativnije istraživanje

Nagrada se dodjeljuje istraživačima koji su pokazali da se napadi RowHammer mogu koristiti protiv modernih DDR4 memorijskih čipova kako bi se promijenio sadržaj pojedinačnih bitova dinamičke memorije sa slučajnim pristupom (DRAM).

Najslabiji odgovor proizvođača (Najkraći odgovor dobavljača)

Nominiran za najneprikladniji odgovor na izvještaj o ranjivosti u vlastitom proizvodu. Pobjednik je mitski Daniel J. Bernstein, koji prije 15 godina to nije smatrao ozbiljnim i nije riješio ranjivost (CVE-2005-1513) u qmailu, jer je za njegovu eksploataciju bio potreban 64-bitni sistem s više od 4 GB virtualnog memorija.

Tijekom 15 godina 64-bitni sustavi na serverima istisnuli su 32-bitne sisteme, količina isporučene memorije dramatično se povećala i kao rezultat toga stvoreno je funkcionalno iskorištavanje koje bi se moglo koristiti za napad na sisteme s qmail-om u zadanim postavkama.

Najviše podcijenjena ranjivost

Nagrada je dodijeljena za ranjivosti (CVE-2019-0151, CVE-2019-0152) na Intel VTd / IOMMU mehanizmu, omogućavajući zaobilaženje zaštite memorije i izvršavanje koda na nivoima System Management Mode (SMM) i Trusted Execution Technology (TXT), na primjer, za zamjenu rootkita u SMM-u. Ispostavilo se da je ozbiljnost problema bila znatno veća nego što se očekivalo, a ranjivost nije bilo tako lako popraviti.

Većina epskih pogrešaka FAIL

Nagrada je dodijeljena Microsoftu za ranjivost (CVE-2020-0601) u implementaciji digitalnih potpisa s eliptičnom krivuljom koja omogućava generiranje privatnih ključeva na osnovu javnih ključeva. Izdanje je omogućilo stvaranje lažnih TLS certifikata za HTTPS i lažne digitalne potpise koje je Windows potvrdio kao pouzdane.

Najveće postignuće

Nagrada je dodijeljena za identificiranje niza ranjivosti (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) koje omogućavaju zaobilaženje svih nivoa zaštite preglednika Chromé i izvršavanje koda na sistemu izvan pješčanika okoliš. Ranjivosti su korištene za demonstraciju daljinskog napada na Android uređaje kako bi se dobio root pristup.

Konačno, ako želite znati više o nominiranim osobama, možete provjeriti detalje Na sledećem linku.


Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.