Альфапедия

Pwnie Awards

редактировать
Pwnie Award, напоминающая игрушку My Little Pony.

The Pwnie Awards признают оба совершенство и некомпетентность в области информационной безопасности. Победители выбираются комитетом профессионалов индустрии безопасности из номинаций, собранных от сообщества информационной безопасности. Награды вручаются ежегодно на Black Hat Security Conference.

Содержание
  • 1 Истоки
  • 2 История
  • 3 Победителя
    • 3,1 2019
    • 3,2 2018
    • 3,3 2017
    • 3,4 2016
    • 3,5 2015
    • 3,6 2014
    • 3,7 2013
    • 3,8 2012
    • 3,9 2011
    • 3,10 2010
    • 3,11 2009
    • 3,12 2008
    • 3,13 2007
  • 4 Ссылки
  • 5 Внешние ссылки
Истоки

Название Pwnie Award основано на слове «pwn », которое на хакерском сленге означает «идти на компромисс» или «к» control "на основе предыдущего использования слова" own "(и оно произносится аналогичным образом). Название «The Pwnie Awards», произносимое как «Пони», должно звучать как The Tony Awards, церемония награждения Бродвейского театра в Нью-Йорке.

История

Премия Pwnie Awards была основана в 2007 году Александром Сотировым и после обсуждений, касающихся открытия Дино кроссплатформенной уязвимости QuickTime (CVE - 2007-2175 ) и открытие Александром уязвимости обработки файла ANI (CVE -2007-0038 ) в Internet Explorer.

Победители

2019

  • Самые инновационные исследования: векторизованная эмуляция Брэндон Фальк
  • Лучшая криптографическая атака: \ m / Dr4g0nbl00d \ m / Мэти Ванхоф, Эял Ронен
  • Неудачный ответ поставщика: Bitfi
  • Самая разрекламированная ошибка: утверждения о аппаратных бэкдорах Supermicro, Bloomberg
  • Самая недооцененная ошибка: Thrangrycat, Джатин Катария, Red Balloon Security

2018

  • Самое инновационное исследование: Spectre /Мелтдаун Пол Кочер, Янн Хорн, Андерс Фог, Даниэль Генкин, Даниэль Грусс, Вернер Хаас, Майк Гамбург, Мориц Липп, Стефан Мангард, Томас Прешер, Майкл Шварц, Иваль Яром
  • Жизненные достижения: Михал Залевски
  • Лучшая криптографическая атака: Возвращение Блейхенбахера Oracle Threat Ханно Бёк, Юрай Соморовский, Крейг Янг
  • Неподходящий ответ поставщика: Bitfi - поздняя запись, получившая тысячи номинаций после того, как несколько хакеров взломали устройство Bitfi в соответствии с похвалой Джона Макафи нг устройства для его безопасности. Несмотря на то, что хакеры взломали устройство, устройство не содержит закрытых ключей, поэтому взлом устройства не приведет к успешному извлечению средств. Bitfi стремилась выплачивать награды и следовала всем установленным правилам. 8 сентября 2018 года было объявлено о том, какие условия вознаграждения были выполнены и какие выплаты будут произведены.

2017

  • Эпическое достижение: наконец-то исправлена ​​атака TIOCSTI ioctl Федерико Бенто
  • Самые инновационные исследования: ASLR на линии Бен Гра, Кавех Разави, Эрик Босман, Герберт Бос, Кристиано Джуффрида
  • Лучшая ошибка эскалации привилегий: DRAMMER Виктор ван дер Вин, Яник Фратантонио, Мартина Линдорфер, Даниэль Грусс, Клементина Морис, Джованни Винья, Герберт Бос, Кавех Разави, Кристиано Джуффрида
  • Плохой продавец Леннарт: Poettering - для неправильного обращения с уязвимостями безопасности, наиболее эффективно для множества критических ошибок Systemd

2016

  • Самые инновационные исследования: Dedup Est Machina: дедупликация памяти как расширенный вектор эксплуатации Эрик Босман, Кавех Разави, Герберт Бос, Криштиану Джуффрида
  • Жизненные достижения: Пейтер Затко он же Mudge
  • Лучшая криптографическая атака: Атака DROWN Нимрод Авирам и др.

2015

  • Pwnie for Most Epic FAIL: OPM - Управление персонала США
  • Срок службы A достижения: Томас Дуллиен, он же Халвар Флейк
  • Самые инновационные исследования: Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике Адриан Дэвид и др.

2014

Награда за лучшее ошибка на стороне сервера была обнаружена исследователями безопасности, обнаружившими Heartbleed, а лучшая ошибка на стороне клиента - Джорджем Хотцем за обнаружение ошибки в Chrome OS. Награда «Самый эпический провал» досталась Apple за ошибку goto fail в iOS и OS X.

2013

  • Лучшая ошибка на стороне сервера: Ruby on Rails YAML (CVE-2013-0156 ) Бен Мерфи
  • Лучшая ошибка на стороне клиента: Adobe Reader Переполнение буфера и выход из песочницы (CVE-2013-0641 ) Неизвестно
  • Лучшее Повышение привилегий Ошибка: iOS неполный обход кодовой подписи и уязвимости ядра ( CVE-2013-0977, CVE-2013-0978, CVE-2013-0981 ) Дэвид Ван, он же planetbeing, и команда evad3rs
  • Самые инновационные исследования: выявление и использование Windows состояний гонки ядер с помощью шаблонов доступа к памяти Матеуш «j00ru» Юрчик, Гинваэль Холодный Ветер
  • Лучшая песня: «All the Things» Dual Core
  • Самая эпическая неудача: Nmap : Интернет считается вредным - DARPA Проверка логических выводов Сканирование кладжа
  • Эпический капитал: совместное вознаграждение Эдварду Сноудену и NSA
  • Lifetime Ac достижение: Барнаби Джек

2012

Приз за лучшую серверную ошибку получил Сергей Голубчик за его недостаток MySQL. Две награды за лучший клиентский баг получили Сергей Глазунов и Пинки Пай за их Google Chrome недостатки, представленные в рамках конкурса Google Pwnium.

Приз за лучшую ошибку повышения привилегий получил Матеуш Юрчик ("j00ru") за уязвимость в Windows ядре, которая затронула всех 32-битные версии Windows. Награда за самые инновационные исследования была получена Трэвисом Гудспидом за способ отправки сетевых пакетов, которые вводили бы дополнительные пакеты.

Награда за лучшую песню досталась «Control» от nerdcore рэпер Dual Core. Новая категория награды, «Премия Tweetie Pwnie» за то, что у Twitter подписчиков, чем у судей, досталась MuscleNerd из iPhone Dev Team в качестве представителя iOS. Сообщество по взлому джейлбрейка.

Награда за "самый грандиозный провал" была вручена создателем Metasploit HD Moore F5 Networks за их статические root SSH ключевой вопрос, и награда была принята сотрудником F5, что необычно, потому что победитель в этой категории обычно не принимает награду на церемонии. Среди других номинантов были LinkedIn (за нарушение данных, раскрывающее пароль хэшей ) и отрасль антивирус (за неспособность обнаружить такие угрозы, как Stuxnet, Duqu и Flame ).

Награда за "epic 0wnage" досталась Flame за его MD5 атака столкновения, признав его сложным и серьезным вредоносным ПО, которое ослабило доверие к системе Центра обновления Windows.

2011

  • Лучшая ошибка на стороне сервера: ASP.NET Framework Padding Oracle (CVE-2010-3332 ) Джулиано Риццо, Тай Дуонг
  • Лучшая клиентская ошибка: FreeType уязвимость в iOS (CVE-2011-0226 ) Comex
  • Best Повышение привилегий Ошибка: уязвимости обратного вызова пользовательского режима ядра Windows win32k (MS11-034 ) Тарьей Мандт
  • Наиболее инновационное исследование: защита ядра с помощью статической перезаписи двоичных файлов и программной поддержки Петр Баня
  • Жизненные достижения: pipacs / PaX Команда
  • Лам t Ответ поставщика: RSA SecurID взлом токена RSA
  • Лучшая песня: "[The Light It Up Contest]" Geohot
  • Самый эпический провал: Sony
  • Pwnie for Epic 0wnage: Stuxnet

2010

  • Лучшая ошибка на стороне сервера: удаленное выполнение кода фреймворка Apache Struts2 (CVE-2010-1870 ) Медер Кыдыралиев
  • Лучшая ошибка на стороне клиента: Java Связка доверенных методов (CVE-2010-0840 ) Сами Койву
  • Лучшее Ошибка повышения привилегий: Windows NT #GP Trap Handler (CVE-2010-0232 ) Тэвис Ормэнди
  • Самые инновационные исследования: вывод Flash-указателя и JIT-распыление Дионис Блазакис
  • Отказ от поставщика: LANrev выполнение удаленного кода Absolute Software
  • Лучшая песня: «Pwned - издание 1337 » Доктор. Raid and Heavy Pennies
  • Самый эпичный провал: Microsoft Internet Explorer 8 XSS filter

2009

  • Лучшая ошибка на стороне сервера: Linux SCTP FWD Chunk Memory Corruption (CVE-2009-0065) Дэвид 'DK2' Ким
  • Ошибка повышения привилегий: Linux udev Netlink Привилегия сообщений Эскалация (CVE-2009-1185) Себастьян Крамер
  • Лучшая ошибка на стороне клиента: msvidctl.dll MPEG2TuneRequest переполнение буфера стека (CVE-2008-0015 ) Райан Смит и Алекс Уиллер
  • Mass 0wnage: Red Hat Networks Backdoored OpenSSH Packages (CVE-2008-3844) Anonymous
  • Лучшее исследование: от 0 до 0 дней на Symbian Предоставлено: Бернхард Мюллер
  • Непослушный ответ поставщика: Linux «Постоянно предполагая, что все ошибки ядра , связанные с повреждением памяти, являются только отказом в обслуживании » Проект Linux
  • Большинство Перегруженная ошибка: MS08-067 Server Service NetpwPathCanonicalize () Stack Overflow (CVE-2008-4250) Anonymous
  • Лучшая песня: Хороший отчет Doc tor Raid
  • Самая эпическая неудача: взлом Twitter и «облачный кризис» Twitter
  • Награда за выслугу: Solar Designer

2008

2007

Источники
  1. ^Rashid, Fahmida Y. (2 августа 2011 г.). «В число номинантов на премию Pwnie Awards 2011 входят Sony, Anonymous, LulzSec, WikiLeaks». eWeek. Проверено 3 января 2013 г.
  2. ^ Були, Тейлор (30 июля 2009 г.). «Твиттер снова« взломали »». Forbes. Архивировано из оригинала 16 февраля 2013 г. Получено 3 января 2013 г.
  3. ^ Саттер, Джон Д. (4 августа 2011 г.). «Sony получает награду« эпический провал »от хакеров». CNN. Проверено 3 января 2013 г.
  4. ^«Векторизованная эмуляция: аппаратное ускорение отслеживания заражения со скоростью 2 триллиона инструкций в секунду», векторизованная эмуляция
  5. ^«Dragonblood: анализ рукопожатия Dragonfly WPA3 и EAP-pwd»
  6. ^«Атаки Spectre: использование спекулятивного исполнения», Spectre
  7. ^«Meltdown», Meltdown
  8. ^«Возвращение угрозы Oracle Блейхенбахера (ROBOT)»
  9. ^«Важное заявление Bitfi», Публичное объявление Bitfi
  10. ^«Pwnie for Most Innovative Research», Pwnie Awards
  11. ^«Pwnie for Best Privilege Escalation Bug», Pwnie Awards
  12. ^«2017: Pwnie for Lamest Vendor Response», Pwnie Awards
  13. ^«Dedup Est Machina: дедупликация памяти как расширенный вектор эксплуатации», Эрик Босман и др.
  14. ^«УТВЕРЖДЕНО: нарушение TLS с использованием SSLv2» Нимрод Авирам и др.
  15. ^«Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике», Адриан Дэвид и др.
  16. ^ Шарр, Джилл (7 августа 2014 г.). «Награды Pwnie отмечают победы в области безопасности и грандиозные неудачи». Руководство Тома. Получено 6 августа 2015 г.
  17. ^«Выявление и использование условий гонки ядра Windows с помощью шаблонов доступа к памяти»
  18. ^в 09:31, Джон Лейден, 5 октября 2012 г. «Эксперты троллят 'крупнейший журнал по безопасности в мире' с ДИКШЕЕ подчинение ". www.theregister.co.uk. Проверено 3 октября 2019 г.
  19. ^ Инь, Сара (26 июля 2012 г.). «А победители премии Pwnie 2012...» SecurityWatch. PCMag. Проверено 8 января 2013 г.
  20. ^ Константин, Лучиан (26 июля 2012 г.). «Взломанная версия Windows Update от Flame выиграла премию Pwnie за эпическое мастерство в Black Hat». IDG-News-Service. PCWorld. Проверено 8 января 2013 г.
  21. ^ Шон Майкл Кернер (25 июля 2012 г.). «Черная шляпа: Pwnie Awards Go to Flame за эпическое изображение и F5 за эпический провал». InternetNews.com. Проверено 8 января 2013 г.
  22. ^ Шварц, Мэтью Дж. (4 августа 2011 г.). «Основные моменты Pwnie Award: Sony Epic Fail и многое другое». Информационная неделя. Проверено 3 января 2013 г.
  23. ^«Атаки ядра через обратные вызовы в режиме пользователя»
  24. ^«Защита ядра с помощью статической двоичной перезаписи и управления программой»
  25. ^«Вывод указателя использования интерпретатора и JIT-распыление»
  26. ^ Браун, Боб (31 июля 2009 г.). «Twitter, Linux, Red Hat, Microsoft удостоены награды Pwnie Awards». NetworkWorld. Архивировано с оригинального 5 августа 2009 г. Получено 3 января 2013 г.
  27. ^ Наоне, Эрика (7 августа 2008 г.). "Награды Pwnie Black Hat's". Обзор технологий MIT. Получено 3 января 2013 г.
  28. ^ Нарайн, Райан (2 августа 2007 г.). «Команда OpenBSD впервые высмеяла награды« Pwnie »». ZDNet. Проверено 3 января 2013 г.
Внешние ссылки
Последняя правка сделана 2021-06-02 11:27:27
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте