В рамках конференции Black Hat Europe по традиции были определены победители премии Pwnie Awards 2020. Обычно итоги подводят летом, на конференции Black Hat USA, но в этом году вручение Pwnie Awards впервые проходило в виртуальном формате, а также было отложено до конца года. Как не сложно догадаться, произошло это из-за пандемии коронавируса.

Напомню, что это своеобразный аналог «Оскара» в области информационной безопасности: каждый год профессионалы в области ИБ выдвигают номинантов, а затем голосуют за лучших и  худших в отрасли. Специалисты выбирают лучшие и наиболее оригинальные уязвимости года, а также отмечают специальной издевательской наградой худшие реакции вендоров на инциденты, а также эпические фейлы, из-за которых пользователи в итоге подверглись риску.

Итоги 2020 года,  по версии жюри Pwnie Awards, таковы:

  • Лучший баг на стороне сервера: BraveStarr— RCE в демоне Telnet на серверах Fedora 31.
  • Лучший баг на стороне клиента: обнаруженная командой Google Project Zero MMS-атака на телефоны Samsung, работающая без единого клика.
  • Лучший баг повышения привилегий: Checkm8  — уязвимость, позволившая осуществить полный джейлбрейк любых устройств Apple с чипами от A5 до A11, выпущенными между 2011 и 2017 годами.
  • Лучшая криптографическая атака: Zerologon  — баг в протоколе аутентификации Microsoft Netlogon, использование которого заключается  в добавлении нулей в определенные аутентификационные параметры.
  • Самое инновационное исследование: TRRespass — обход защиты TRR в современной RAM для выполнения атак Rowhammer.
  • Самая жалкая реакция вендора: Дэниел Дж. Бернштейн — за то, что не справился с багом в далеком 2005 году.
  • Самое недооцененное исследование: Габриэль Негрейре Барбоса, Родриго Рубира Бранко (BSDaemon), Джо Чихуле (Intel) за обнаружение CVE-2019-0151 и CVE-2019-0152 в Intel System Management Mode и Trusted Execution Technology.
  • Самый эпический фейл:Microsoft в связи с проблемой CurveBall, суть которой проявляется во время валидации сертификатов Elliptic Curve Cryptography (ECC), позволяя легко подделывать HTTPS-сайты и легитимные приложения.
  • Самое эпическое достижение: Гуан Гон, известный китайский багхантер, за обнаружение CVE-2019-5870, CVE-2019-5877, CVE-2019-10567, то есть трех ошибок, которые позволяли удаленно захватить устройства Android Pixel.

Оставить мнение