| Статистика |
 |
Онлайн всего: 3 Гостей: 3 Пользователей: 0 |  |
 |
|
 | |  |
| Главная » 2008 » Июль » 24 » Выдвинуты номинанты на премию Pwnie 2008
15:00 Выдвинуты номинанты на премию Pwnie 2008 |
Pwnie
- аналог премии Оскар для мира информационной безопасности. Великие
достижения и провалы, и, конечно же, a lot of fun. Вторая ежегодная
премия Понни будет проходить в августе 2008 года в Лас-Вегасе на сходке
BlackHat USA.
В 2008 году 9 номинаций:
- За лучший серверный баг (Pwnie for Best Server-Side Bug)
- За лучший клиентский баг (Pwnie for Best Client-Side Bug)
- За массовое использование (Pwnie for Mass 0wnage)
- За самую инновационную разработку (Pwnie for Most Innovative Research)
- За самое некомпетентное вендорское заявление (Pwnie for Lamest Vendor Response)
- За самый известный баг (Pwnie for Most Overhyped Bug)
- За лучший саундтрек (Pwnie for Best Song)
- За эпический провал (Pwnie for Most Epic FAIL)
- За жизненное достижение (Pwnie for Lifetime Achievement)
1. Номинация Лучший серверный баг
Награждается человек, открывший наиболее технически сложный и
интересный серверный баг. (баг может быть в любой удаленно доступной
программе без вмешательства пользователя)
- Windows IGMP kernel vulnerability (CVE-2007-0069): Alex Wheeler и Ryan Smith
- NetWare kernel DCERPC stack buffer overflow : Nicolas Pouvesle
- ClamAV Remote Command Execution (CVE-2007-4560) : Nikolaos Rangos
- SQL Server 2005 (CVE-2007-4560): Brett Moore
Полное описание на английском: http://pwnie-awards.org/2008/awards.html…
2. Номинация Лучший клиентский баг
Аналогично первой номинации, но уже на клиентской стороне. Не стоит
забывать, что не только веб-браузеры, но и, например, баги в медиа
плеерах могут принимать участие.
- Multiple URL protocol handling flaws : Nate McFeters, Rob Carter, и Billy Rios
- Slirpie : Dan Kaminsky, RSnake, Dan Boneh
- Safari carpet bomb (CVE-2008-2540): Laurent Gaffié, Nitesh Dhanjani и Aviv Raff
- Adobe Flash DefineSceneAndFrameLabelData vulnerability (CVE-2007-0071): Mark Dowd и wushi
- QuickTime (CVE-2008-*): слишком много уязвимостей
Полное описание на английском: http://pwnie-awards.org/2008/awards.html…
3. Номинация Массовое использование
Награждается человек, открывший наиболее использованный впоследствии баг. Награда также известна как Понни для хака интернета.
- Windows IGMP kernel vulnerability (CVE-2007-0069) : Alex Wheeler и Ryan Smith
- An unbelievable number of WordPress vulnerabilities (CVE-2008-*) : многие копались в движке, и многим повезло
- Debian's random number generator with 15 bits of entropy (CVE-2008-0166): Luciano Bello
- XSS of the entire web for users of Earthlink, Comcast and Verizon : Dan Kaminsky
- SQL injection in more than 500,000 web sites : Rain Forest
Полное описание на английском: http://pwnie-awards.org/2008/awards.html…
4. Номинация Самая инновационная разработка
Награждается человек, опубликовавший наиболее интересную и
инновационную разработку в виде статьи, презентации, софта или даже
опубликовавший список почтовой рассылки.
- Application-Specific Attacks : Leveraging the ActionScript VM : Mark Dowd
- Splitting Gemini : Adam Cecchetti
- Lest We Remember : Cold Boot Attacks on Encryption
Keys : J. Alex Halderman, Seth Schoen, Nadia Heninger, William
Clarkson, William Paul, Joseph Calandrino, Ariel Feldman, Rick Astley,
Jacob Appelbaum, Edward Felten
- Defeating a VM packer with a decompiler written in OCaml : Rolf Rolles
- Heaps about Heaps : Brett Moore
Полное описание на английском: http://pwnie-awards.org/2008/awards.html…
5. Номинация Самое некомпетентное вендорское заявление
- McAfee's "Hacker Safe" certification program
Более 60 сайтов, сертифицированных как хакерозащищенные сервисом
McAfee's ScanAlert оказались уязвимы к XSS атакам, включая сам сайт
ScanAlert. Директор этой программы Joseph Pierini все равно заявлял,
что XSS уязвимости не могут быть использованы для взлома сервера:
"XSS не может быть использован для взлома сервера. Вы можете
использовать XSS для чего-нибудь еще. Вы можете реализовать XSS,
которая затронет конечного пользователя или клиента. Но клиентские
даные надежно хранятся на сервере и защищены. Таким образом, данные не
могут быть скомпрометированы XSS".
И еще одна цитата: "мы поступаем как суперхакеры" ("we go in like a super hacker").
-Linus Torvalds
Линус выступил в поддержку "тихого" обновления ядра. Исправления уязвимостей в ядре системы не получали широкой огласки:
"Я считаю, что баги, касающиеся безопасности, такие же нормальные, как
и другие. Я не скрываю их, но я так же не вижу причин, по которым они
должны быть оглашены как нечто особенное.
... Слишком большое внимание уделяется вопросам безопасности. Героями
становятся безопасники, а разве люди, которые просто занимаются
исправлениями нормальных багов не так же важны?"
- Wonderware
CORE security сообщили о ДОС уязвимости в Wonderware's SCADA software. Как же они отреагировали? :)
2008-01-30: Initial contact email sent by to Wonderware setting the estimated publication date of the advisory to February 25th.
2008-01-30: Contact email re-sent to Wonderware asking for a software security contact for Wonderware InTouch.
2008-02-06: New email sent to Wonderware asking for a response and for a software security contact for Wonderware InTouch.
2008-02-28: Core makes direct phone calls to Wonderware headquarters
informing of the previous emails and requesting acknowledgment of the
notification of a security vulnerability.
2008-02-29: Vendor asks for a copy of the proof of concept code used to demonstrate the vulnerability.
2008-03-03: Core sends proof-of-concept code written in Python.
2008-03-05: Vendor asks for compiler tools required to use the PoC code.
2008-03-05: Core sends a link to http://www.python.org
- NXP (formerly Philips Semiconductors)
Судебное дело против исследователя, который взломал Mifare Classic смарт-карты.
NXP судится с Radboud University Nijmegen, чтобы запретить публикацию
статьи, в которой детально описывается схема атаки против RFID чипов,
используемых во многих видах общественного транспорта по всему миру.
Впервые было заявилено об уязвимости NXP в конце 2007 года, но вместо
ответа получили повестку в суд.
Оффициальный комментарий Транспортной службы Лондона об успешном клонировании Oyster карт:
"Это не взлом всей Oyster системы. Это всего лишь единичный случай."
6. Номинация Самый известный баг
Награждается человек, открывший баг, который получил широкую огласку в интернете и в СМИ.
- Unspecified DNS cache poisoning vulnerability (CVE-2008-1447) : Dan Kaminsky
- BT Home Hub authentication bypass (CVE-2008-1334) : Adrian 'pagvac' Pastor
- Adobe Flash Player non-0day remote code execution (BID 29386) : Symantec
Полный текст на английском: http://pwnie-awards.org/2008/awards.html…
7. Номинация Лучший саундтрек
Какая же премия без номинации лучший саунтрек. Удасться ли кому-нибудь затмить Дерековскую "Ночь перед рождеством".
- Packin' The K! : K & Key, Kaspersky Labs
On hackers we put the hurtski,
we use Kaspersky, we pack the K!
Что-то непереводимое :) Но Лаба Касперского должна выиграть, так как конкурентов нету ;)
8. Номинация Эпический провал
- Todd Davis, Lifelock CEO for posting his SSN on the web
- Debian for shipping a backdoored OpenSSL library for two years (CVE-2008-0166)
- Windows Vista for proving that security does not sell
Полный текст на английском: http://pwnie-awards.org/2008/awards.html…
9. Номинация Жизненные достижения
- Oded Horowitz
Как и Шэр, он может оставить только Oded, потому что все знают этого засранца.
- Tim Newsham (http://www.thenewsh.com/~newsham/)
- Dan Geer
Вы может быть слышали о нем по таким проектам как:
X Windows
Kerberos
@stake
- John McDonald (Solaris/SPARC non-exec stack
exploitation technique и сооавторство "The Art of Software Security
Assessment". А еще он делает лучшее кофе латте в Великобритании).
|
|
Просмотров: 586 |
Добавил: MN
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 | |  |
|
|
