Pemenang Pwnie Awards tahunan 2020 diumumkan, yang merupakan peristiwa penting, di mana peserta mengungkapkan kerentanan paling signifikan dan kekurangan yang tidak masuk akal di bidang keamanan komputer.
Penghargaan Pwnie mereka mengakui keunggulan dan ketidakmampuan dalam bidang keamanan informasi. Pemenang dipilih oleh komite profesional industri keamanan dari nominasi yang dikumpulkan dari komunitas keamanan informasi.
Penghargaan diberikan setiap tahun di Black Hat Security Conference. Penghargaan Pwnie dianggap sebagai pendamping Oscar dan Penghargaan Golden Raspberry dalam keamanan komputer.
Pemenang teratas
Kesalahan server terbaik
Diberikan untuk mengidentifikasi dan mengeksploitasi bug yang paling rumit secara teknis dan menarik dalam layanan jaringan. Kemenangan tersebut dianugerahi oleh identifikasi kerentanan CVE-2020-10188, yang memungkinkan serangan jarak jauh ke perangkat yang disematkan dengan firmware berbasis Fedora 31 melalui buffer overflow di telnetd.
Bug terbaik dalam perangkat lunak klien
Pemenangnya adalah para peneliti yang mengidentifikasi kerentanan di firmware Android Samsung, yang memungkinkan akses ke perangkat dengan mengirimkan MMS tanpa input pengguna.
Kerentanan eskalasi yang lebih baik
Kemenangan dianugerahi karena mengidentifikasi kerentanan dalam bootrom iPhone Apple, iPad, Jam Tangan Apple, dan Apple TV Berdasarkan chip A5, A6, A7, A8, A9, A10 dan A11, memungkinkan Anda menghindari jailbreak firmware dan mengatur beban sistem operasi lain.
Serangan crypto terbaik
Diberikan untuk mengidentifikasi kerentanan paling signifikan dalam sistem nyata, protokol, dan algoritma enkripsi. Penghargaan diberikan untuk mengidentifikasi kerentanan Zerologon (CVE-2020-1472) dalam protokol MS-NRPC dan algoritme kripto AES-CFB8, yang memungkinkan penyerang mendapatkan hak administrator pada pengontrol domain Windows atau Samba.
Riset paling inovatif
Penghargaan diberikan kepada para peneliti yang telah menunjukkan bahwa serangan RowHammer dapat digunakan terhadap chip memori DDR4 modern untuk mengubah konten bit individu dari memori akses acak dinamis (DRAM).
Respons terlemah pabrikan (Lamest Vendor Response)
Dinominasikan untuk Tanggapan Paling Tidak Pantas atas Laporan Kerentanan dalam Produk Anda Sendiri. Pemenangnya adalah Daniel J. Bernstein yang mistis, yang 15 tahun lalu tidak menganggapnya serius dan tidak menyelesaikan kerentanan (CVE-2005-1513) di qmail, karena eksploitasinya memerlukan sistem 64-bit dengan memori virtual lebih dari 4GB .
Selama 15 tahun, sistem 64-bit pada server menggantikan sistem 32-bit, jumlah memori yang disediakan meningkat secara dramatis, dan sebagai hasilnya, eksploitasi fungsional dibuat yang dapat digunakan untuk menyerang sistem dengan qmail dalam pengaturan default.
Kerentanan yang paling diremehkan
Penghargaan diberikan untuk kerentanan (CVE-2019-0151, CVE-2019-0152) pada mekanisme Intel VTd / IOMMU, memungkinkan melewati perlindungan memori dan mengeksekusi kode pada level Mode Manajemen Sistem (SMM) dan Teknologi Eksekusi Tepercaya (TXT), misalnya, untuk penggantian rootkit di SMM. Tingkat keparahan masalah ternyata jauh lebih besar dari yang diantisipasi, dan kerentanannya tidak mudah diperbaiki.
Kebanyakan kesalahan Epic FAIL
Penghargaan ini diberikan kepada Microsoft untuk kerentanan (CVE-2020-0601) dalam implementasi tanda tangan digital kurva eliptik yang memungkinkan pembuatan kunci pribadi berdasarkan kunci publik. Masalah ini memungkinkan pembuatan sertifikat TLS palsu untuk HTTPS dan tanda tangan digital palsu yang diverifikasi Windows sebagai dapat dipercaya.
Prestasi terbesar
Penghargaan ini diberikan karena mengidentifikasi serangkaian kerentanan (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) yang memungkinkan untuk melewati semua tingkat perlindungan browser Chromé dan menjalankan kode pada sistem di luar lingkungan kotak pasir . Kerentanan digunakan untuk mendemonstrasikan serangan jarak jauh pada perangkat Android untuk mendapatkan akses root.
Terakhir, jika Anda ingin mengetahui lebih banyak tentang para nominator, Anda bisa mengecek detailnya Di tautan berikut.