Провали року: оголошені переможці Pwnie Awards 2021

3 хв. читання

Опубліковані результати цьогорічної премії Pwnie Awards. Це рейтинг найвизначніших вразливостей, досліджень та інших епічних досягнень у галузі кібербезпеки. Ось список переможців 2021 року:

Найгірша реакція

Йдеться про реакцію компанії на повідомлення про вразливість (Lamest Vendor Response). Цьогорічний переможець — Cellebrite, компанія, яка робить ПЗ для вилучення даних з мобільних пристроїв. Серед клієнтів — авторитарні режими в Білорусі, Росії, Венесуелі та Китаї. Кілька місяців тому компанія заявила, що її ПЗ тепер може витягувати дані з месенджера Signal (але це виявилось неправдою).

Після цієї історії один з розробників Signal звернув увагу на купу вразливостей, зокрема критичних, у продуктах Cellebrite. У відповідь компанія написала, що турбується про дані й безпеку користувачів і робить найкращі застосунки у цій галузі.

Найбільш епічне досягнення

Це категорія для дослідників, зловмисників, журналістів, тролів та всіх інших, хто зробив чи знайшов щось настільки визначне й неочікуване, що для цього не існувало окремої категорії.

Цьогорічний переможець — Ільфак Ґільфанов (Ilfak Guilfanov), автор та співзасновник Hex-Rays й IDA, які кардинально вплинули на всю екосистему кібербезпеки та успішно функціонують вже 30 років.

Найкраща помилка підвищення привілеїв

Це нагорода для дослідників, які знайшли складну та цікаву проблему, пов'язану з ескалацією привілеїв. В номінації перемогла компанія Qualys, яка знайшла вразливість в sudo, що дозволяє отримати root-доступ. Ця проблема безпеки існувала протягом 10 років: щоб виявити її, потрібно докорінно розуміти, як саме система взаємодіє з sudo, тож цю знахідку вважають вкрай кмітливою і важливою.

Найкраща пісня

The Ransomware Song: пісня про (не)використання математики у дивовижному світі кібербезпеки.

Найкраща серверна помилка

Номінація за виявлення й експлуатацію найцікавішої та технічно складної помилки з боку сервера. Цьогорічний переможець — дослідники, які виявили атаки Microsoft Exchange.

Найкраща криптографічна атака

Відзнака за виявлення найсуттєвіших пробілів у реальних системах і алгоритмах шифрування. Переможець — Агентство національної безпеки США, яке знайшло помилку верифікації цифрових підписів у Windows, тож їх можна було підробити.

Найбільш інноваційне дослідження

Цьогоріч у номінації перемогли автори дослідження про метод атак BlindSide. Вона доводить, що в епоху Spectre-атак зловмисники можуть скористатись єдиною вразливістю пошкодження пам'яті — і успішно зламати систему, не викликаючи жодного збою.

Найепічніший провал року

У 2021 році цей титул отримує Microsoft — за її багаторазові й неуспішні спроби виправити вразливість PrintNightmare.

Найкращий баг з боку клієнта

Переможцем став дослідник Ґуннар Алендал (Gunnar Alendal), який зламав безпечний криптопроцесор Samsung Galaxy S20. Експлойт дозволяє змінювати прошивку і може повністю зруйнувати довіру до чипа, сертифікованого CC EAL 5+.

Найбільш недооцінене дослідження

В цій категорії перемогла команда дослідників Qualys, яка знайшла 21 вразливість в поштовому сервері Exim. Одинадцять з цих проблем — локальні, а десять можуть експлуатуватись дистанційно.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 6.2K
Приєднався: 7 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація