הוכרזו הזוכים בפרסי Pwnie השנתיים 2020, שהוא אירוע בולט, בו המשתתפים חושפים את הפגיעות והפגמים האבסורדיים ביותר בתחום אבטחת המחשב.
פרסי הפווני הם מכירים הן במצוינות והן בחוסר יכולת בתחום אבטחת המידע. הזוכים נבחרים על ידי ועדה של אנשי מקצוע בענף האבטחה ממועמדות שנאספו מקהילת אבטחת המידע.
פרסים מוענקים מדי שנה בכנס האבטחה של Black Hat. פרסי Pwnie נחשבים כמקבילה לאוסקר ולפרסי פטל הזהב בתחום אבטחת המחשבים.
הזוכים המובילים
שגיאת השרת הטובה ביותר
מוענק על זיהוי וניצול הבאג המורכב ביותר מבחינה טכנית ומעניין בשירות רשת. הניצחון הוענק בזיהוי הפגיעות CVE-2020-10188, המאפשרת התקפות מרחוק למכשירים המוטמעים בקושחה המבוססת על פדורה 31 באמצעות הצפת מאגר ב- telnetd.
הבאג הטוב ביותר בתוכנת לקוח
הזוכים היו חוקרים שזיהו פגיעות בקושחת האנדרואיד של סמסונג, המאפשרת גישה למכשיר באמצעות שליחת MMS ללא קלט משתמש.
פגיעות הסלמה טובה יותר
הניצחון הוענק על זיהוי פגיעות באתחול של מכשירי iPhone, iPad, Apple Watch ו- Apple TV של Apple מבוסס על שבבי A5, A6, A7, A8, A9, A10 ו- A11, מה שמאפשר לך למנוע פריצת קושחה ולארגן את העומס של מערכות הפעלה אחרות.
התקפת הצפנה הטובה ביותר
הוענק על זיהוי הפגיעות המשמעותיות ביותר במערכות, פרוטוקולים ואלגוריתמי הצפנה אמיתיים. הפרס הוענק על זיהוי הפגיעות של Zerologon (CVE-2020-1472) בפרוטוקול MS-NRPC ובאלגוריתם ההצפנה AES-CFB8, המאפשר לתוקף להשיג זכויות מנהל על בקר תחום Windows או Samba.
המחקר החדשני ביותר
הפרס מוענק לחוקרים שהראו כי ניתן להשתמש בהתקפות RowHammer כנגד שבבי זיכרון DDR4 מודרניים לשינוי התוכן של סיביות בודדות של זיכרון גישה אקראית דינמית (DRAM).
התגובה החלשה ביותר של היצרן (Lamest Vendor Response)
מועמד לתגובה הכי לא הולמת לדוח פגיעות במוצר שלך. הזוכה הוא דניאל ג'יי ברנשטיין המיתולוגי, שלפני 15 שנה לא ראה בזה רציני ולא פתר את הפגיעות (CVE-2005-1513) ב- qmail, שכן ניצולו דרש מערכת של 64 סיביות עם יותר מ -4 GB וירטואלי זיכרון.
במשך 15 שנה מערכות 64 סיביות בשרתים החליפו מערכות 32 סיביות, כמות הזיכרון שסופקה גדלה באופן דרמטי, וכתוצאה מכך נוצר ניצול פונקציונלי שיכול לשמש לתקיפת מערכות עם qmail בהגדרות ברירת המחדל.
הפגיעות המוערכת ביותר
הפרס הוענק בגין פרצות (CVE-2019-0151, CVE-2019-0152) על מנגנון אינטל VTd / IOMMU, המאפשר עקיפת הגנה על זיכרון וביצוע קוד ברמות מצב ניהול מערכת (SMM) וטכנולוגיית ביצוע מהימן (TXT), למשל, להחלפת rootkit ב- SMM. חומרת הבעיה התבררה כגדולה משמעותית מהצפוי, והפגיעות לא הייתה קלה לתיקון.
רוב שגיאות ה- Epic FAIL
הפרס הוענק למיקרוסופט בגין פגיעות (CVE-2020-0601) ביישום חתימות דיגיטליות עקומות אליפטיות המאפשרות יצירת מפתחות פרטיים על בסיס מפתחות ציבוריים. הבעיה אפשרה ליצור תעודות TLS מזויפות עבור HTTPS וחתימות דיגיטליות מזויפות ש- Windows אימת כי הן אמינות.
ההישג הגדול ביותר
הפרס הוענק על זיהוי סדרת נקודות תורפה (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) המאפשרות לעקוף את כל רמות ההגנה של דפדפן Chromé וביצוע קוד במערכת מחוץ לארגז החול סביבה. הפגיעות שימשו כדי להדגים התקפה מרחוק על מכשירי אנדרואיד כדי להשיג גישה לשורש.
לבסוף, אם אתה רוצה לדעת יותר על המועמדים, אתה יכול לבדוק את הפרטים בקישור הבא.