U shpallën fituesit e Pwnie Awards vjetore 2020, e cila është një ngjarje e jashtëzakonshme, në të cilën pjesëmarrësit zbulojnë dobësitë më të rëndësishme dhe defektet absurde në fushën e sigurisë kompjuterike.
Çmimet Pwnie ata njohin përsosmërinë dhe paaftësinë në fushën e sigurisë së informacionit. Fituesit zgjidhen nga një komitet i profesionistëve të industrisë së sigurisë nga nominimet e mbledhura nga komuniteti i sigurisë së informacionit.
Çmimet jepen çdo vit në Konferencën e Sigurisë së Black Hat. Çmimet Pwnie vlerësohen si një homologe e Oscars dhe Golden Raspberry Awards në sigurinë e kompjuterit.
Fituesit kryesorë
Gabimi më i mirë i serverit
Shpërblyer për identifikimin dhe shfrytëzimin e defektit më kompleks teknikisht dhe interesante në një shërbim të rrjetit. Fitorja u dha me identifikimin e cenueshmërisë CVE-2020-10188, e cila lejon sulme në distancë ndaj pajisjeve të ngulitura me firmware bazuar në Fedora 31 përmes një tejkalimi të buffer-it në telnetd.
Gabimi më i mirë në softuerin e klientit
Fituesit ishin studiuesit që identifikuan një dobësi në firmware Android të Samsung, i cili lejon hyrjen në pajisje duke dërguar MMS pa hyrjen e përdoruesit.
Ndjeshmëri më e mirë e përshkallëzimit
Fitorja u dha për identifikimin e një dobësie në sistemin operativ të Apple iPhone, iPad, Apple Watches dhe Apple TV Bazuar në patate të skuqura A5, A6, A7, A8, A9, A10 dhe A11, duke ju lejuar të shmangni jailbreak-un e firmuerit dhe të organizoni ngarkesën e sistemeve të tjera operative.
Sulmi më i mirë i kriptos
Jepet për identifikimin e dobësive më të rëndësishme në sistemet reale, protokollet dhe algoritmet e kriptimit. Çmimi u dha për identifikimin e cenueshmërisë së Zerologon (CVE-2020-1472) në protokollin MS-NRPC dhe algoritmin e kriptës AES-CFB8, i cili lejon një sulmues të fitojë të drejtat e administratorit në një kontrollues të domenit Windows ose Samba.
Kërkimet më inovative
Çmimi u jepet studiuesve të cilët kanë treguar se sulmet RowHammer mund të përdoren kundër çipave modernë të kujtesës DDR4 për të ndryshuar përmbajtjen e copave individuale të kujtesës me qasje të rastësishme dinamike (DRAM).
Përgjigja më e dobët e prodhuesit (Përgjigja më e Lamest Vendor)
I nominuar për përgjigjen më të papërshtatshme ndaj një raporti të cenueshmërisë në produktin tuaj. Fituesi është mitik Daniel J. Bernstein, i cili 15 vjet më parë nuk e konsideroi atë serioz dhe nuk zgjidhi cenueshmërinë (CVE-2005-1513) në qmail, pasi që shfrytëzimi i tij kërkonte një sistem 64-bit me më shumë se 4 GB virtual kujtesa
Për 15 vjet, sistemet 64-bit në servera zëvendësuan ato 32-bit, sasia e kujtesës së furnizuar u rrit në mënyrë dramatike dhe si rezultat, u krijua një shfrytëzim funksional që mund të përdoret për të sulmuar sistemet me qmail në cilësimet e paracaktuara.
Ndjeshmëria më e nënvlerësuar
Çmimi u dha për dobësitë (CVE-2019-0151, CVE-2019-0152) në mekanizmin Intel VTd / IOMMU, lejimi i anashkalimit të mbrojtjes së kujtesës dhe ekzekutimi i kodit në nivelet e Modalitetit të Menaxhimit të Sistemit (SMM) dhe Teknologjisë së Ekzekutimit të Besuar (TXT), për shembull, për zëvendësimin e rootkit në SMM. Ashpërsia e problemit doli të jetë dukshëm më e madhe se sa ishte parashikuar, dhe cenueshmëria nuk ishte aq e lehtë për t'u rregulluar.
Shumica e gabimeve epike të dështimit
Çmimi iu dha Microsoft-it për cenueshmëri (CVE-2020-0601) në zbatimin e nënshkrimeve dixhitale me lakim eliptik që lejon gjenerimin e çelësave privatë bazuar në çelësat publik. Problemi lejoi krijimin e certifikatave të falsifikuara TLS për HTTPS dhe nënshkrime të rreme dixhitale që Windows i verifikoi si të besueshme.
Arritja më e madhe
Çmimi u dha për identifikimin e një serie dobësish (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) që lejojnë anashkalimin e të gjitha niveleve të mbrojtjes së shfletuesit Chromé dhe ekzekutimin e kodit në sistemin jashtë sandbox mjedisi Dobësitë janë përdorur për të demonstruar një sulm në distancë ndaj pajisjeve Android për të fituar qasje në rrënjë.
Në fund, nëse doni të dini më shumë rreth të nominuarve, mund të kontrolloni detajet Në lidhjen vijuese.