Nagrody Pwnie

Nagrody Pwnie
Status Aktywny
Gatunek muzyczny Ceremonia wręczenia nagród
Częstotliwość Coroczny
Lokal Summercon , Czarny Kapelusz
lata aktywności 16
Zapoczątkowany 2007 ( 2007 )
Założyciel Aleksander Sotirow , Dino Dai Zovi
Strona internetowa pwnies.com _
Pwnie, przypominającą zabawkę My Little Pony .

Nagrody Pwnie przyznawane są zarówno za doskonałość, jak i niekompetencję w dziedzinie bezpieczeństwa informacji [ potrzebne źródło ] . Zwycięzcy są wybierani przez komisję specjalistów z branży bezpieczeństwa na podstawie nominacji zebranych od społeczności zajmującej się bezpieczeństwem informacji. Nominacje ogłaszane są co roku na Summercon , a same nagrody wręczane są na konferencji Black Hat Security Conference .

Pochodzenie

Nazwa Pwnie Award opiera się na słowie „ pwn ”, które w hakerskim slangu oznacza „kompromitować” lub „kontrolować” na podstawie wcześniejszego użycia słowa „ własny ” (i wymawia się je podobnie). Nazwa „The Pwnie Awards”, wymawiana jako „Pony”, ma brzmieć jak Tony Awards , ceremonia wręczenia nagród teatrom na Broadwayu w Nowym Jorku.

Historia

Nagrody Pwnie zostały ustanowione w 2007 roku przez Aleksandra Sotirowa i Dino Dai Zovi w następstwie dyskusji dotyczących wykrycia przez Dino luki w zabezpieczeniach QuickTime między platformami ( CVE - 2007-2175 ) oraz wykrycia przez Aleksandra luki w zabezpieczeniach przetwarzania plików ANI ( CVE - 2007-0038 ) w Internet Explorera.

Zwycięzcy

2022

  • Lamest Vendor Response: Zespół reagowania Google „TAG” za naprawienie kilku exploitów dnia zerowego (coś, co jest zwykle uważane za wysoce korzystne w bezpieczeństwie IT), ponieważ rzekomo i według jury „zamknął operację antyterrorystyczną ”.

2021

  • Najsłabsza odpowiedź sprzedawcy: Cellebrite za odpowiedź dla Moxie , twórcy Signal, dokonanie inżynierii wstecznej ich UFED i oprogramowania towarzyszącego oraz zgłoszenie wykrytego exploita.
  • Epickie osiągnięcie: Ilfak Guilfanov , na cześć 30-lecia IDA .
  • Najlepszy błąd eskalacji uprawnień: Baron Samedit z Qualys za odkrycie 10-letniego exploita w sudo .
  • Najlepsza piosenka: The Ransomware Song autorstwa Forresta Brazeala
  • Najlepszy błąd po stronie serwera: Orange Tsai za wykrycie powierzchni ataku Microsoft Exchange Server ProxyLogon .
  • Najlepszy atak kryptograficzny: NSA za ujawnienie błędu w weryfikacji podpisów w systemie Windows, który przerywa łańcuch zaufania certyfikatów.
  • Najbardziej innowacyjne badania: Enes Göktaş, Kaveh Razavi, Georgios Portokalidis, Herbert Bos i Cristiano Giuffrida z VUSec za badania nad atakiem „BlindSide”.
  • Najbardziej epicka wpadka: Microsoft za niepowodzenie w naprawie PrintNightmare .
  • Najlepszy błąd po stronie klienta: odkrycie przez Gunnara Alendala przepełnienia bufora w bezpiecznym chipie Samsunga Galaxy S20 .
  • Najbardziej niedoceniane badania: Zespół badawczy Qualys dla 21Nails , 21 luk w Exim , najpopularniejszym internetowym serwerze pocztowym.

2020

2019

  • Najlepszy błąd po stronie serwera: Orange Tsai i Meh Chang za badania dotyczące SSL VPN.
  • Najbardziej innowacyjne badania: wektoryzowana emulacja Brandon Falk
  • Najlepszy atak kryptograficzny: \m/ Dr4g0nbl00d \m/ Mathy Vanhoef, Eyal Ronen
  • Najsłabsza odpowiedź dostawcy: Bitfi
  • Najbardziej przesadzony błąd: zarzuty dotyczące backdoorów sprzętowych Supermicro , Bloomberg
  • Najbardziej niedoceniony błąd: Thrangrycat , Jatin Kataria, Red Balloon Security

2018

  • Najbardziej innowacyjne badania: Spectre / Meltdown Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yuval Yarom
  • Najlepszy błąd eskalacji przywilejów: Spectre / Meltdown Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yuval Yarom
  • Za całokształt twórczości: Michał Zalewski
  • Najlepszy atak kryptograficzny: ROBOT – Return Of Oracle Bleichenbacher's Oracle Threat Hanno Böck, Juraj Somorovsky, Craig Young
  • Najsłabsza odpowiedź sprzedawcy: Bitfi — późny wpis, który otrzymał tysiące nominacji po tym, jak wielu hakerów złamało urządzenie Bitfi po tym, jak John McAfee pochwalił urządzenie za jego bezpieczeństwo. Mimo że hakerzy złamali urządzenie, z założenia urządzenie nie zawiera kluczy prywatnych, dlatego włamanie się do urządzenia nie doprowadziłoby do pomyślnego wydobycia środków. Bitfi chętnie płaciło nagrody i przestrzegało wszystkich ustalonych zasad. Ogłoszenie zostało ogłoszone 8 września 2018 r. Ze szczegółami dotyczącymi spełnienia warunków premii i płatności, które zostaną dokonane.

2017

  • Epickie osiągnięcie: Wreszcie naprawiono atak TIOCSTI ioctl Federico Bento
  • Najbardziej innowacyjne badania: ASLR na linii Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos, Cristiano Giuffrida
  • Najlepszy błąd eskalacji uprawnień: DRAMMER Victor van der Veen, Yanick Fratantonio, Martina Lindorfer, Daniel Gruss, Clementine Maurice, Giovanni Vigna, Herbert Bos, Kaveh Razavi, Cristiano Giuffrida
  • Najlepszy atak kryptograficzny: pierwsza kolizja dla pełnego SHA- 1 Marc Stevens, Elie Bursztein, Pierre Karpman, Ange Albertini, Yarik Markov
  • Najsłabsza odpowiedź dostawcy: Lennart Poettering – za niewłaściwe obchodzenie się z lukami w zabezpieczeniach, najbardziej spektakularne w przypadku wielu krytycznych błędów Systemd
  • Najlepsza piosenka: Hello (From the Other Side) - Manuel Weber, Michael Schwarz, Daniel Gruss, Moritz Lipp, Rebekka Aigner

2016

  • Najbardziej innowacyjne badania: Dedup Est Machina: Deduplikacja pamięci jako zaawansowany wektor eksploatacji Erik Bosman, Kaveh Razavi, Herbert Bos, Cristiano Giuffrida
  • Osiągnięcie życiowe: Peiter Zatko alias Mudge
  • Najlepszy atak kryptograficzny: atak DROWN Nimrod Aviram et al.
  • Najlepsza piosenka: Cyberlier – Katie Moussouris

2015

Lista zwycięzców od.

  • Najlepszy błąd po stronie serwera: liczne luki w zabezpieczeniach kompresji SAP LZC LZH, Martin Gallo
  • Najlepszy błąd po stronie klienta: czy się pomiesza?, Mateusz j00ru Jurczyk
  • Najlepszy błąd związany z eskalacją uprawnień: eskalacja uprawnień UEFI SMM, Corey Kallenberg
  • Najbardziej innowacyjne badania: niedoskonała tajemnica przekazywana: jak zawodzi Diffie-Hellman w praktyce Adrian David i in.
  • Najsłabsza odpowiedź dostawcy: Blue Coat Systems (za zablokowanie prezentacji badawczej Raphaëla Rigo na SyScan 2015)
  • Najbardziej przesadzony błąd: Shellshock (software_bug) , Stephane Chazelas
  • Najbardziej epicka wpadka: OPM – US Office of Personnel Management (za utratę danych 19,7 miliona osób ubiegających się o poświadczenia bezpieczeństwa rządu USA).
  • Najbardziej epicki 0wnage: Chiny
  • Najlepsza piosenka: „Clean Slate” autorstwa YTCracker
  • Osiągnięcie życiowe: Thomas Dullien alias Halvar Flake

2014

2013

2012

Nagroda za najlepszy błąd po stronie serwera trafiła do Sergeya Golubchika za lukę w obejściu uwierzytelniania MySQL . Dwie nagrody za najlepszy błąd po stronie klienta otrzymali Sergey Glazunov i Pinkie Pie za wady Google Chrome zaprezentowane w ramach konkursu Google Pwnium .

Nagroda za najlepszy błąd eskalacji uprawnień trafiła do Mateusza Jurczyka („j00ru”) za lukę w jądrze systemu Windows , która dotknęła wszystkie 32-bitowe wersje systemu Windows. Nagroda za najbardziej innowacyjne badania trafiła do Travisa Goodspeeda za sposób wysyłania pakietów sieciowych , które wprowadzałyby dodatkowe pakiety.

Nagrodę za najlepszą piosenkę otrzymał utwór „Control” nerdcore'owego rapera Dual Core . Nowa kategoria nagrody, „Tweetie Pwnie Award” za posiadanie większej liczby na Twitterze niż sędziowie, trafiła do MuscleNerd z zespołu iPhone Dev Team jako przedstawiciela społeczności łamiącej iOS .

Nagroda za „najbardziej epicką porażkę” została wręczona przez twórcę Metasploit , HD Moore , firmie F5 Networks za problem ze statycznym głównym kluczem SSH , a nagrodę odebrał pracownik F5, co jest niezwykłe, ponieważ zwycięzca tej kategorii zwykle nie przyjmuje nagrody o godz. Ceremonia. Inni nominowani to LinkedIn (za naruszenie danych ujawniające skróty haseł ) i branża antywirusowa (za brak wykrycia zagrożeń, takich jak Stuxnet , Duqu i Flame ).

Nagroda za „epickie 0wnage” trafiła do Flame'a za atak kolizyjny MD5 , uznając go za wyrafinowane i poważne złośliwe oprogramowanie, które osłabiło zaufanie do systemu Windows Update .

2011

  • Najlepszy błąd po stronie serwera: ASP.NET Framework Padding Oracle ( CVE-2010-3332 ) Juliano Rizzo, Thai Duong
  • Najlepszy błąd po stronie klienta: luka FreeType w systemie iOS ( CVE-2011-0226 ) Comex
  • Najlepszy błąd eskalacji uprawnień : Luki w zabezpieczeniach jądra systemu Windows win32k wywołań zwrotnych w trybie użytkownika ( MS11-034 ) Tarjei Mandt
  • Najbardziej innowacyjne badania: zabezpieczanie jądra poprzez statyczne przepisywanie binarne i program Shepherding Piotr Bania
  • zespół pipacs/ PaX
  • Najsłabsza odpowiedź dostawcy: token RSA SecurID naruszył RSA
  • Najlepsza piosenka: „[The Light It Up Contest]” Geohot
  • Najbardziej epicka porażka: Sony
  • Pwnie dla Epic 0wnage: Stuxnet

2010

2009

2008

2007

  1. ^ Rashid, Fahmida Y. (2 sierpnia 2011). „Nominowani do nagród Pwnie w 2011 roku to Sony, Anonymous, LulzSec, WikiLeaks” . eTydzień . Źródło 3 stycznia 2013 r .
  2. ^ a b c d Buley, Taylor (30 lipca 2009). „Twitter znów zostaje„ podłapany ”” . Forbesa . Zarchiwizowane od oryginału w dniu 16 lutego 2013 r . Źródło 3 stycznia 2013 r .
  3. ^ a b c d e f g Sutter, John D. (4 sierpnia 2011). „Sony otrzymuje nagrodę„ epickiej porażki ”od hakerów” . CNN . Źródło 3 stycznia 2013 r .
  4. ^ @PwnieAwards (10 sierpnia 2022). „Nasza ostateczna nominacja w kategorii Lamest Vendor Response trafia do:Google TAG za „jednostronne zamknięcie operacji antyterrorystycznej”” ( Tweet) – za pośrednictwem Twittera .
  5. Bibliografia _ „Piosenka ransomware” . YouTube . Zarchiwizowane od oryginału w dniu 2021-12-21 . Źródło 9 sierpnia 2021 r .
  6. ^ Tsai, pomarańczowy. „ProxyLogon to tylko wierzchołek góry lodowej: nowa powierzchnia ataku na serwerze Microsoft Exchange!” . www.blackhat.com . Źródło 9 sierpnia 2021 r .
  7. Bibliografia _ _ _ Defense.gov . Źródło 9 sierpnia 2021 r .
  8. ^ Göktaş, Enes; Razavi, Kaveh; Portokalidis, Georgios; Boś, Herbert; Giuffrida, Cristiano. „Spekulacyjne sondowanie: hakowanie na ślepo w erze widm” (PDF) .
  9. Bibliografia _ „Bezpłatne mikrołatki usuwające lukę w zabezpieczeniach PrintNightmare (CVE-2021-34527)” . 0Patch Blog . Źródło 9 sierpnia 2021 r .
  10. Bibliografia _ „Chip Chop - rozbijanie bezpiecznego chipa telefonu komórkowego dla zabawy i cyfrowej kryminalistyki” . www.blackhat.com . Czarny kapelusz.
  11. ^ „21Nails: Wiele luk w Exim” . qualys.com . Kwalifikacje . Źródło 9 sierpnia 2021 r .
  12. ^ „Ankieta E-Soft MX” . securityspace.com . E-Soft Inc. 1 marca 2021 . Źródło 21 marca 2021 r .
  13. ^ Powertrace Rebekka Aigner, Daniel Gruss, Manuel Weber, Moritz Lipp, Patrick Radkohl, Andreas Kogler, Maria Eichlseder, ElTonno, Tunefish, Yuki, Kater
  14. ^ Tsai, pomarańczowy. „Infiltracja korporacyjnego intranetu jak NSA – pre-auth RCE na wiodących SSL VPN!” . www.blackhat.com . Źródło 7 sierpnia 2019 r .
  15. Bibliografia _ _ _
  16. ^ „Dragonblood: Analiza uścisku dłoni Dragonfly WPA3 i EAP-pwd”
  17. ^ a b „Ataki widma: wykorzystywanie spekulacyjnej egzekucji” , Spectre
  18. ^ a b „Odwilż” , Odwilż
  19. ^ „Powrót zagrożenia wyroczni Bleichenbachera (ROBOT)”
  20. ^ „Ważne oświadczenie firmy Bitfi” , ogłoszenie publiczne Bitfi
  21. ^ „Pwnie za najbardziej innowacyjne badania” , Nagrody Pwnie
  22. ^ „Pwnie za najlepszy błąd eskalacji uprawnień” , Nagrody Pwnie
  23. ^ „Nagroda Pwnie 2017 za najgorszą reakcję dostawcy” , Nagrody Pwnie
  24. ^ Witam (z drugiej strony) Manuel Weber, Michael Schwarz, Daniel Gruss, Moritz Lipp, Rebekka Aigner
  25. ^ „Dedup Est Machina: deduplikacja pamięci jako zaawansowany wektor eksploatacji” , Erik Bosman i in.
  26. ^ „DROWN: Łamanie TLS przy użyciu SSLv2” Nimrod Aviram i in.
  27. ^ Cyberlier Katie Moussouris
  28. ^ https://www.darkreading.com/vulnerabilities-threats/-will-it-blend-earns-pwnie-for-best-client-bug-opm-for-most-epic-fail
  29. Bibliografia _
  30. Bibliografia _
  31. ^ „Niedoskonała tajemnica przekazywana: jak Diffie-Hellman zawodzi w praktyce” , Adrian David i in.
  32. ^ „Identyfikacja i wykorzystywanie warunków wyścigu jądra systemu Windows za pomocą wzorców dostępu do pamięci”
  33. ^ o 09:31, John Leyden 5 października 2012 r. „Eksperci trollują„ największy magazyn bezpieczeństwa na świecie ”z uległością DICKish” . www.theregister.co.uk . Źródło 2019-10-03 .
  34. ^ a b c d e f g Yin, Sara (26 lipca 2012). „A zdobywcami nagrody Pwnie 2012 są…” SecurityWatch . PCMag . Źródło 8 stycznia 2013 r .
  35. ^ a b c d e Constantin, Lucian (26 lipca 2012). „Flame's Windows Update Hack wygrywa nagrodę Pwnie za Epic Ownage w Black Hat” . IDG-News-Service . PCWorld . Źródło 8 stycznia 2013 r .
  36. ^ abc Sean Michael . Kerner (25 lipca 2012) „Black Hat: Pwnie Awards Go to Flame za epicką pwnage i F5 za epicką porażkę” . InternetNews.com . Źródło 8 stycznia 2013 r .
  37. ^ a b c d e f g h Schwartz, Mathew J. (4 sierpnia 2011). „Najważniejsze nagrody Pwnie: Sony Epic Fail i więcej” . Tydzień informacyjny . Źródło 3 stycznia 2013 r .
  38. ^ „Ataki na jądro poprzez wywołania zwrotne w trybie użytkownika”
  39. ^ „Zabezpieczanie jądra poprzez statyczne przepisywanie binarne i tworzenie programów”
  40. ^ „Wnioskowanie o wskaźniku eksploatacji interpretera i opryskiwanie JIT”
  41. ^ a b c Brown, Bob (31 lipca 2009). „Twitter, Linux, Red Hat, Microsoft „uhonorowany” nagrodami Pwnie” . Świat sieci. Zarchiwizowane od oryginału w dniu 5 sierpnia 2009 r . Źródło 3 stycznia 2013 r .
  42. . ^ abc Naone , Erica (7 sierpnia 2008) „Nagrody Pwnie Black Hat” . Przegląd technologii MIT . Źródło 3 stycznia 2013 r .
  43. ^ a b c d e f Naraine, Ryan (2 sierpnia 2007). "Zespół OpenBSD kpił z pierwszych w historii nagród 'Pwnie'" . ZDNet . Źródło 3 stycznia 2013 r .

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Pwnie_Awards&oldid=1138875229