Стали известны номинанты на премию Pwnie 2008

Discussion in 'Мировые новости. Обсуждения.' started by AlexV, 25 Jul 2008.

  1. AlexV

    AlexV Elder - Старейшина

    Joined:
    29 Feb 2008
    Messages:
    173
    Likes Received:
    550
    Reputations:
    81
    Стали известны номинанты на премию Pwnie 2008

    [​IMG]

    Pwnie - аналог премии Оскар для мира информационной безопасности. Великие достижения и провалы, и, конечно же, много веселья. Вторая ежегодная премия Понни будет проходить в августе 2008 года в Лас-Вегасе на конференции BlackHat USA.

    В 2008 году 9 номинаций:

    - За лучший серверный баг (Pwnie for Best Server-Side Bug)

    - За лучший клиентский баг (Pwnie for Best Client-Side Bug)

    - За массовое использование (Pwnie for Mass 0wnage)

    - За самую инновационную разработку (Pwnie for Most Innovative Research)

    - За самое некомпетентное вендорское заявление (Pwnie for Lamest Vendor Response)

    - За самый известный баг (Pwnie for Most Overhyped Bug)

    - За лучший саундтрек (Pwnie for Best Song)

    - За эпический провал (Pwnie for Most Epic FAIL)

    - За жизненное достижение (Pwnie for Lifetime Achievement)

    1. Номинация Лучший серверный баг

    Награждается человек, открывший наиболее технически сложный и интересный серверный баг. (баг может быть в любой удаленно доступной программе без вмешательства пользователя)
    - Windows IGMP kernel vulnerability (CVE-2007-0069): Alex Wheeler и Ryan Smith
    - NetWare kernel DCERPC stack buffer overflow : Nicolas Pouvesle
    - ClamAV Remote Command Execution (CVE-2007-4560) : Nikolaos Rangos
    - SQL Server 2005 (CVE-2007-4560): Brett Moore

    2. Номинация Лучший клиентский баг

    Аналогично первой номинации, но уже на клиентской стороне. Не стоит забывать, что не только веб-браузеры, но и, например, баги в медиа плеерах могут принимать участие.
    - Multiple URL protocol handling flaws : Nate McFeters, Rob Carter, и Billy Rios
    - Slirpie : Dan Kaminsky, RSnake, Dan Boneh
    - safari carpet bomb (CVE-2008-2540): Laurent Gaffié, Nitesh Dhanjani и Aviv Raff
    - Adobe Flash DefineSceneAndFrameLabelData vulnerability (CVE-2007-0071):
    Mark Dowd и wushi
    - QuickTime (CVE-2008-*): слишком много уязвимостей

    3. Номинация Массовое использование

    Награждается человек, открывший наиболее использованный впоследствии баг. Награда также известна как Понни для хака интернета.
    - Windows IGMP kernel vulnerability (CVE-2007-0069) : Alex Wheeler и Ryan Smith
    - An unbelievable number of Wordpress vulnerabilities (CVE-2008-*) : многие копались
    в движке, и многим повезло
    - Debian's random number generator with 15 bits of entropy (CVE-2008-0166): Luciano Bello
    - XSS of the entire web for users of Earthlink, Comcast and Verizon : Dan Kaminsky
    - SQL injection in more than 500,000 web sites : Rain Forest

    4. Номинация Самая инновационная разработка

    Награждается человек, опубликовавший наиболее интересную и инновационную разработку в виде статьи, презентации, софта или даже опубликовавший список почтовой рассылки.
    - Application-Specific Attacks : Leveraging the ActionScript VM : Mark Dowd
    - Splitting Gemini : Adam Cecchetti
    - Lest We Remember : Cold Boot Attacks on Encryption Keys : J. Alex Halderman,
    Seth Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph Calandrino,
    Ariel Feldman, Rick Astley, Jacob Appelbaum, Edward Felten
    - Defeating a VM packer with a decompiler written in OCaml : Rolf Rolles
    - Heaps about Heaps : Brett Moore


    5. Номинация Самое некомпетентное вендорское заявление

    - McAfee's "Hacker Safe" certification program

    Более 60 сайтов, сертифицированных как хакерозащищенные сервисом McAfee's ScanAlert оказались уязвимы к XSS атакам, включая сам сайт ScanAlert. Директор этой программы Joseph Pierini все равно заявлял, что XSS уязвимости не могут быть использованы для взлома сервера: "XSS не может быть использован для взлома сервера. Вы можете использовать XSS для чего-нибудь еще. Вы можете реализовать XSS, которая затронет конечного пользователя или клиента. Но клиентские даные надежно хранятся на сервере и защищены. Таким образом, данные не могут быть скомпрометированы XSS". И еще одна цитата: "мы поступаем как суперхакеры" ("we go in like a super hacker").

    -Linus Torvalds

    Линус выступил в поддержку "тихого" обновления ядра. Исправления уязвимостей в ядре системы не получали широкой огласки:

    "Я считаю, что баги, касающиеся безопасности, такие же нормальные, как и другие. Я не скрываю их, но я так же не вижу причин, по которым они должны быть оглашены как нечто особенное.

    ... Слишком большое внимание уделяется вопросам безопасности. Героями становятся безопасники, а разве люди, которые просто занимаются исправлениями нормальных багов не так же важны?"

    - Wonderware

    CORE security сообщили о ДОС уязвимости в Wonderware's SCADA software. Как же они отреагировали? :)
    2008-01-30: Initial contact email sent by to Wonderware setting the estimated
    publication date of the advisory to February 25th.
    2008-01-30: Contact email re-sent to Wonderware asking for a software security
    contact for Wonderware InTouch.
    2008-02-06: New email sent to Wonderware asking for a response and for a software
    security contact for Wonderware InTouch.
    2008-02-28: Core makes direct phone calls to Wonderware headquarters informing of
    the previous emails and requesting acknowledgment of the notification
    of a security vulnerability.
    2008-02-29: Vendor asks for a copy of the proof of concept code used to
    demonstrate the vulnerability.
    2008-03-03: Core sends proof-of-concept code written in Python.
    2008-03-05: Vendor asks for compiler tools required to use the PoC code.
    2008-03-05: Core sends a link to http://www.python.org

    - NXP (formerly Philips Semiconductors)

    Судебное дело против исследователя, который взломал Mifare Classic смарт-карты. NXP судится с Radboud University Nijmegen, чтобы запретить публикацию статьи, в которой детально описывается схема атаки против RFID чипов, используемых во многих видах общественного транспорта по всему миру. Впервые было заявилено об уязвимости NXP в конце 2007 года, но вместо ответа получили повестку в суд.

    Оффициальный комментарий Транспортной службы Лондона об успешном клонировании Oyster карт:

    "Это не взлом всей Oyster системы. Это всего лишь единичный случай."

    6. Номинация Самый известный баг

    Награждается человек, открывший баг, который получил широкую огласку в интернете и в СМИ.
    - Unspecified DNS cache poisoning vulnerability (CVE-2008-1447) : Dan Kaminsky
    - BT Home Hub authentication bypass (CVE-2008-1334) : Adrian 'pagvac' Pastor
    - Adobe Flash Player non-0day remote code execution (BID 29386) : Symantec

    7. Номинация Лучший саундтрек

    - Packin' The K! : K & Key, Kaspersky Labs
    On hackers we put the hurtski,
    we use Kaspersky, we pack the K!

    8. Номинация Эпический провал
    - Todd Davis, Lifelock CEO for posting his SSN on the web
    - Debian for shipping a backdoored OpenSSL library for two years (CVE-2008-0166)
    - Windows Vista for proving that security does not sell

    Источник: _http://habrahabr.ru/
    Дата: 25.07.08
     
    #1 AlexV, 25 Jul 2008
(You must log in or sign up to post here.)