Pwnie Award, напоминающая игрушку
My Little Pony.
The Pwnie Awards признают оба совершенство и некомпетентность в области информационной безопасности. Победители выбираются комитетом профессионалов индустрии безопасности из номинаций, собранных от сообщества информационной безопасности. Награды вручаются ежегодно на Black Hat Security Conference.
Содержание
- 1 Истоки
- 2 История
- 3 Победителя
- 3,1 2019
- 3,2 2018
- 3,3 2017
- 3,4 2016
- 3,5 2015
- 3,6 2014
- 3,7 2013
- 3,8 2012
- 3,9 2011
- 3,10 2010
- 3,11 2009
- 3,12 2008
- 3,13 2007
- 4 Ссылки
- 5 Внешние ссылки
Истоки
Название Pwnie Award основано на слове «pwn », которое на хакерском сленге означает «идти на компромисс» или «к» control "на основе предыдущего использования слова" own "(и оно произносится аналогичным образом). Название «The Pwnie Awards», произносимое как «Пони», должно звучать как The Tony Awards, церемония награждения Бродвейского театра в Нью-Йорке.
История
Премия Pwnie Awards была основана в 2007 году Александром Сотировым и после обсуждений, касающихся открытия Дино кроссплатформенной уязвимости QuickTime (CVE - 2007-2175 ) и открытие Александром уязвимости обработки файла ANI (CVE -2007-0038 ) в Internet Explorer.
Победители
2019
- Самые инновационные исследования: векторизованная эмуляция Брэндон Фальк
- Лучшая криптографическая атака: \ m / Dr4g0nbl00d \ m / Мэти Ванхоф, Эял Ронен
- Неудачный ответ поставщика: Bitfi
- Самая разрекламированная ошибка: утверждения о аппаратных бэкдорах Supermicro, Bloomberg
- Самая недооцененная ошибка: Thrangrycat, Джатин Катария, Red Balloon Security
2018
- Самое инновационное исследование: Spectre /Мелтдаун Пол Кочер, Янн Хорн, Андерс Фог, Даниэль Генкин, Даниэль Грусс, Вернер Хаас, Майк Гамбург, Мориц Липп, Стефан Мангард, Томас Прешер, Майкл Шварц, Иваль Яром
- Жизненные достижения: Михал Залевски
- Лучшая криптографическая атака: Возвращение Блейхенбахера Oracle Threat Ханно Бёк, Юрай Соморовский, Крейг Янг
- Неподходящий ответ поставщика: Bitfi - поздняя запись, получившая тысячи номинаций после того, как несколько хакеров взломали устройство Bitfi в соответствии с похвалой Джона Макафи нг устройства для его безопасности. Несмотря на то, что хакеры взломали устройство, устройство не содержит закрытых ключей, поэтому взлом устройства не приведет к успешному извлечению средств. Bitfi стремилась выплачивать награды и следовала всем установленным правилам. 8 сентября 2018 года было объявлено о том, какие условия вознаграждения были выполнены и какие выплаты будут произведены.
2017
- Эпическое достижение: наконец-то исправлена атака TIOCSTI ioctl Федерико Бенто
- Самые инновационные исследования: ASLR на линии Бен Гра, Кавех Разави, Эрик Босман, Герберт Бос, Кристиано Джуффрида
- Лучшая ошибка эскалации привилегий: DRAMMER Виктор ван дер Вин, Яник Фратантонио, Мартина Линдорфер, Даниэль Грусс, Клементина Морис, Джованни Винья, Герберт Бос, Кавех Разави, Кристиано Джуффрида
- Плохой продавец Леннарт: Poettering - для неправильного обращения с уязвимостями безопасности, наиболее эффективно для множества критических ошибок Systemd
2016
- Самые инновационные исследования: Dedup Est Machina: дедупликация памяти как расширенный вектор эксплуатации Эрик Босман, Кавех Разави, Герберт Бос, Криштиану Джуффрида
- Жизненные достижения: Пейтер Затко он же Mudge
- Лучшая криптографическая атака: Атака DROWN Нимрод Авирам и др.
2015
- Pwnie for Most Epic FAIL: OPM - Управление персонала США
- Срок службы A достижения: Томас Дуллиен, он же Халвар Флейк
- Самые инновационные исследования: Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике Адриан Дэвид и др.
2014
Награда за лучшее ошибка на стороне сервера была обнаружена исследователями безопасности, обнаружившими Heartbleed, а лучшая ошибка на стороне клиента - Джорджем Хотцем за обнаружение ошибки в Chrome OS. Награда «Самый эпический провал» досталась Apple за ошибку goto fail в iOS и OS X.
2013
- Лучшая ошибка на стороне сервера: Ruby on Rails YAML (CVE-2013-0156 ) Бен Мерфи
- Лучшая ошибка на стороне клиента: Adobe Reader Переполнение буфера и выход из песочницы (CVE-2013-0641 ) Неизвестно
- Лучшее Повышение привилегий Ошибка: iOS неполный обход кодовой подписи и уязвимости ядра ( CVE-2013-0977, CVE-2013-0978, CVE-2013-0981 ) Дэвид Ван, он же planetbeing, и команда evad3rs
- Самые инновационные исследования: выявление и использование Windows состояний гонки ядер с помощью шаблонов доступа к памяти Матеуш «j00ru» Юрчик, Гинваэль Холодный Ветер
- Лучшая песня: «All the Things» Dual Core
- Самая эпическая неудача: Nmap : Интернет считается вредным - DARPA Проверка логических выводов Сканирование кладжа
- Эпический капитал: совместное вознаграждение Эдварду Сноудену и NSA
- Lifetime Ac достижение: Барнаби Джек
2012
Приз за лучшую серверную ошибку получил Сергей Голубчик за его недостаток MySQL. Две награды за лучший клиентский баг получили Сергей Глазунов и Пинки Пай за их Google Chrome недостатки, представленные в рамках конкурса Google Pwnium.
Приз за лучшую ошибку повышения привилегий получил Матеуш Юрчик ("j00ru") за уязвимость в Windows ядре, которая затронула всех 32-битные версии Windows. Награда за самые инновационные исследования была получена Трэвисом Гудспидом за способ отправки сетевых пакетов, которые вводили бы дополнительные пакеты.
Награда за лучшую песню досталась «Control» от nerdcore рэпер Dual Core. Новая категория награды, «Премия Tweetie Pwnie» за то, что у Twitter подписчиков, чем у судей, досталась MuscleNerd из iPhone Dev Team в качестве представителя iOS. Сообщество по взлому джейлбрейка.
Награда за "самый грандиозный провал" была вручена создателем Metasploit HD Moore F5 Networks за их статические root SSH ключевой вопрос, и награда была принята сотрудником F5, что необычно, потому что победитель в этой категории обычно не принимает награду на церемонии. Среди других номинантов были LinkedIn (за нарушение данных, раскрывающее пароль хэшей ) и отрасль антивирус (за неспособность обнаружить такие угрозы, как Stuxnet, Duqu и Flame ).
Награда за "epic 0wnage" досталась Flame за его MD5 атака столкновения, признав его сложным и серьезным вредоносным ПО, которое ослабило доверие к системе Центра обновления Windows.
2011
- Лучшая ошибка на стороне сервера: ASP.NET Framework Padding Oracle (CVE-2010-3332 ) Джулиано Риццо, Тай Дуонг
- Лучшая клиентская ошибка: FreeType уязвимость в iOS (CVE-2011-0226 ) Comex
- Best Повышение привилегий Ошибка: уязвимости обратного вызова пользовательского режима ядра Windows win32k (MS11-034 ) Тарьей Мандт
- Наиболее инновационное исследование: защита ядра с помощью статической перезаписи двоичных файлов и программной поддержки Петр Баня
- Жизненные достижения: pipacs / PaX Команда
- Лам t Ответ поставщика: RSA SecurID взлом токена RSA
- Лучшая песня: "[The Light It Up Contest]" Geohot
- Самый эпический провал: Sony
- Pwnie for Epic 0wnage: Stuxnet
2010
- Лучшая ошибка на стороне сервера: удаленное выполнение кода фреймворка Apache Struts2 (CVE-2010-1870 ) Медер Кыдыралиев
- Лучшая ошибка на стороне клиента: Java Связка доверенных методов (CVE-2010-0840 ) Сами Койву
- Лучшее Ошибка повышения привилегий: Windows NT #GP Trap Handler (CVE-2010-0232 ) Тэвис Ормэнди
- Самые инновационные исследования: вывод Flash-указателя и JIT-распыление Дионис Блазакис
- Отказ от поставщика: LANrev выполнение удаленного кода Absolute Software
- Лучшая песня: «Pwned - издание 1337 » Доктор. Raid and Heavy Pennies
- Самый эпичный провал: Microsoft Internet Explorer 8 XSS filter
2009
- Лучшая ошибка на стороне сервера: Linux SCTP FWD Chunk Memory Corruption (CVE-2009-0065) Дэвид 'DK2' Ким
- Ошибка повышения привилегий: Linux udev Netlink Привилегия сообщений Эскалация (CVE-2009-1185) Себастьян Крамер
- Лучшая ошибка на стороне клиента: msvidctl.dll MPEG2TuneRequest переполнение буфера стека (CVE-2008-0015 ) Райан Смит и Алекс Уиллер
- Mass 0wnage: Red Hat Networks Backdoored OpenSSH Packages (CVE-2008-3844) Anonymous
- Лучшее исследование: от 0 до 0 дней на Symbian Предоставлено: Бернхард Мюллер
- Непослушный ответ поставщика: Linux «Постоянно предполагая, что все ошибки ядра , связанные с повреждением памяти, являются только отказом в обслуживании » Проект Linux
- Большинство Перегруженная ошибка: MS08-067 Server Service NetpwPathCanonicalize () Stack Overflow (CVE-2008-4250) Anonymous
- Лучшая песня: Хороший отчет Doc tor Raid
- Самая эпическая неудача: взлом Twitter и «облачный кризис» Twitter
- Награда за выслугу: Solar Designer
2008
- Лучшая серверная ошибка: Windows IGMP Уязвимость ядра (CVE-2007-0069 ) Алекс Уилер и Райан Смит
- Лучшая ошибка на стороне клиента: недостатки обработки нескольких протоколов URL Нейт Макфетерс, Роб Картер и Билли Риос
- Mass 0wnage: невероятное количество WordPress уязвимостей
- Самое инновационное исследование: Lest We Remember: Холодные атаки на ключи шифрования (был отмечен почетной наградой Рольфу Роллсу за работу над виртуализацией обфускаторами ) J. Алекс Халдерман, Сет Шон, Надя Хенингер, Уильям Кларксон, Уильям Пол, Джозеф Каландрино, Ариэль Фельдман, Рик Эстли, Джейкоб Аппельбаум, Эдвард Фелтен
- Ответ продавца: Макафи программа сертификации "Hacker Safe"
- Самая распространенная ошибка: Дэна Камински DNS уязвимость отравления кэша (CVE-2008-1447 )
- Лучшая песня: Packin 'the K! от Лаборатории Касперского
- Самый эпичный провал: ошибочный Debian Реализация OpenSSL (CVE-2008-0166 )
- Награда за выслугу лет: Тим Ньюшем
2007
- Лучшая ошибка на стороне сервера: Solaris в. telnetd exploit (CVE-2007-0882 ), Kingcope
- Лучшая ошибка на стороне клиента: Необработанное исключение уязвимость цепочки фильтров (CVE-2006-3648 ) skape skywing
- Mass 0wnage: WMF SetAbortProc выполнение удаленного кода (CVE-2005-4560 ) анонимный
- Самый инновационный Исследование: временные обратные адреса, skape
- La Ответ поставщика mest: OpenBSD IPv6 kernel переполнение буфера (CVE-2007-1365 )
- Самая перегибаемая ошибка: MacBook Wi-Fi Уязвимости, Дэвид Мэйнор
- Лучшая песня: Symantec Revolution, Symantec
Источники
- ^Rashid, Fahmida Y. (2 августа 2011 г.). «В число номинантов на премию Pwnie Awards 2011 входят Sony, Anonymous, LulzSec, WikiLeaks». eWeek. Проверено 3 января 2013 г.
- ^ Були, Тейлор (30 июля 2009 г.). «Твиттер снова« взломали »». Forbes. Архивировано из оригинала 16 февраля 2013 г. Получено 3 января 2013 г.
- ^ Саттер, Джон Д. (4 августа 2011 г.). «Sony получает награду« эпический провал »от хакеров». CNN. Проверено 3 января 2013 г.
- ^«Векторизованная эмуляция: аппаратное ускорение отслеживания заражения со скоростью 2 триллиона инструкций в секунду», векторизованная эмуляция
- ^«Dragonblood: анализ рукопожатия Dragonfly WPA3 и EAP-pwd»
- ^«Атаки Spectre: использование спекулятивного исполнения», Spectre
- ^«Meltdown», Meltdown
- ^«Возвращение угрозы Oracle Блейхенбахера (ROBOT)»
- ^«Важное заявление Bitfi», Публичное объявление Bitfi
- ^«Pwnie for Most Innovative Research», Pwnie Awards
- ^«Pwnie for Best Privilege Escalation Bug», Pwnie Awards
- ^«2017: Pwnie for Lamest Vendor Response», Pwnie Awards
- ^«Dedup Est Machina: дедупликация памяти как расширенный вектор эксплуатации», Эрик Босман и др.
- ^«УТВЕРЖДЕНО: нарушение TLS с использованием SSLv2» Нимрод Авирам и др.
- ^«Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике», Адриан Дэвид и др.
- ^ Шарр, Джилл (7 августа 2014 г.). «Награды Pwnie отмечают победы в области безопасности и грандиозные неудачи». Руководство Тома. Получено 6 августа 2015 г.
- ^«Выявление и использование условий гонки ядра Windows с помощью шаблонов доступа к памяти»
- ^в 09:31, Джон Лейден, 5 октября 2012 г. «Эксперты троллят 'крупнейший журнал по безопасности в мире' с ДИКШЕЕ подчинение ". www.theregister.co.uk. Проверено 3 октября 2019 г.
- ^ Инь, Сара (26 июля 2012 г.). «А победители премии Pwnie 2012...» SecurityWatch. PCMag. Проверено 8 января 2013 г.
- ^ Константин, Лучиан (26 июля 2012 г.). «Взломанная версия Windows Update от Flame выиграла премию Pwnie за эпическое мастерство в Black Hat». IDG-News-Service. PCWorld. Проверено 8 января 2013 г.
- ^ Шон Майкл Кернер (25 июля 2012 г.). «Черная шляпа: Pwnie Awards Go to Flame за эпическое изображение и F5 за эпический провал». InternetNews.com. Проверено 8 января 2013 г.
- ^ Шварц, Мэтью Дж. (4 августа 2011 г.). «Основные моменты Pwnie Award: Sony Epic Fail и многое другое». Информационная неделя. Проверено 3 января 2013 г.
- ^«Атаки ядра через обратные вызовы в режиме пользователя»
- ^«Защита ядра с помощью статической двоичной перезаписи и управления программой»
- ^«Вывод указателя использования интерпретатора и JIT-распыление»
- ^ Браун, Боб (31 июля 2009 г.). «Twitter, Linux, Red Hat, Microsoft удостоены награды Pwnie Awards». NetworkWorld. Архивировано с оригинального 5 августа 2009 г. Получено 3 января 2013 г.
- ^ Наоне, Эрика (7 августа 2008 г.). "Награды Pwnie Black Hat's". Обзор технологий MIT. Получено 3 января 2013 г.
- ^ Нарайн, Райан (2 августа 2007 г.). «Команда OpenBSD впервые высмеяла награды« Pwnie »». ZDNet. Проверено 3 января 2013 г.
Внешние ссылки