Опубліковані результати цьогорічної премії Pwnie Awards. Це рейтинг найвизначніших вразливостей, досліджень та інших епічних досягнень у галузі кібербезпеки. Ось список переможців 2021 року:
Найгірша реакція
Йдеться про реакцію компанії на повідомлення про вразливість (Lamest Vendor Response). Цьогорічний переможець — Cellebrite, компанія, яка робить ПЗ для вилучення даних з мобільних пристроїв. Серед клієнтів — авторитарні режими в Білорусі, Росії, Венесуелі та Китаї. Кілька місяців тому компанія заявила, що її ПЗ тепер може витягувати дані з месенджера Signal (але це виявилось неправдою).
Після цієї історії один з розробників Signal звернув увагу на купу вразливостей, зокрема критичних, у продуктах Cellebrite. У відповідь компанія написала, що турбується про дані й безпеку користувачів і робить найкращі застосунки у цій галузі.
Найбільш епічне досягнення
Це категорія для дослідників, зловмисників, журналістів, тролів та всіх інших, хто зробив чи знайшов щось настільки визначне й неочікуване, що для цього не існувало окремої категорії.
Цьогорічний переможець — Ільфак Ґільфанов (Ilfak Guilfanov), автор та співзасновник Hex-Rays й IDA, які кардинально вплинули на всю екосистему кібербезпеки та успішно функціонують вже 30 років.
Найкраща помилка підвищення привілеїв
Це нагорода для дослідників, які знайшли складну та цікаву проблему, пов'язану з ескалацією привілеїв. В номінації перемогла компанія Qualys, яка знайшла вразливість в sudo, що дозволяє отримати root-доступ. Ця проблема безпеки існувала протягом 10 років: щоб виявити її, потрібно докорінно розуміти, як саме система взаємодіє з sudo, тож цю знахідку вважають вкрай кмітливою і важливою.
Найкраща пісня
The Ransomware Song: пісня про (не)використання математики у дивовижному світі кібербезпеки.
Найкраща серверна помилка
Номінація за виявлення й експлуатацію найцікавішої та технічно складної помилки з боку сервера. Цьогорічний переможець — дослідники, які виявили атаки Microsoft Exchange.
Найкраща криптографічна атака
Відзнака за виявлення найсуттєвіших пробілів у реальних системах і алгоритмах шифрування. Переможець — Агентство національної безпеки США, яке знайшло помилку верифікації цифрових підписів у Windows, тож їх можна було підробити.
Найбільш інноваційне дослідження
Цьогоріч у номінації перемогли автори дослідження про метод атак BlindSide. Вона доводить, що в епоху Spectre-атак зловмисники можуть скористатись єдиною вразливістю пошкодження пам'яті — і успішно зламати систему, не викликаючи жодного збою.
Найепічніший провал року
У 2021 році цей титул отримує Microsoft — за її багаторазові й неуспішні спроби виправити вразливість PrintNightmare.
Найкращий баг з боку клієнта
Переможцем став дослідник Ґуннар Алендал (Gunnar Alendal), який зламав безпечний криптопроцесор Samsung Galaxy S20. Експлойт дозволяє змінювати прошивку і може повністю зруйнувати довіру до чипа, сертифікованого CC EAL 5+.
Найбільш недооцінене дослідження
В цій категорії перемогла команда дослідників Qualys, яка знайшла 21 вразливість в поштовому сервері Exim. Одинадцять з цих проблем — локальні, а десять можуть експлуатуватись дистанційно.
Ще немає коментарів