Pwnie Ödülleri - Pwnie Awards

Pwnie Ödülü, bir Benim küçük midillim oyuncak.[1]

Pwnie Ödülleri alanında hem mükemmelliği hem de yetersizliği tanımak bilgi Güvenliği. Kazananlar, bilgi güvenliği topluluğundan toplanan adaylar arasından güvenlik sektörü profesyonellerinden oluşan bir komite tarafından seçilir.[2] Ödüller her yıl Siyah Şapka Güvenlik Konferansı.[3]

Kökenler

Pwnie Award adı "pwn ", hacker argosu," uzlaşmak "veya kelimenin önceki kullanımına bağlı olarak" kontrol etmek "anlamına gelir.kendi "(ve benzer şekilde telaffuz edilir)." The Pwnie Awards "adı" Pony "olarak telaffuz edilir.[3] sesinin The gibi olması amaçlanmıştır Tony Ödülleri New York'ta Broadway Tiyatrosu için bir ödül töreni.

Tarih

Pwnie Ödülleri, 2007 yılında Alexander Sotirov ve Dino Dai Zovi[2] Dino'nun platformlar arası bir QuickTime güvenlik açığını keşfetmesiyle ilgili tartışmaların ardından (CVE -2007-2175 ) ve Alexander'ın bir ANI dosya işleme güvenlik açığını (CVE -2007-0038 ) Internet Explorer'da.

Kazananlar

2019

  • En Yenilikçi Araştırma: Vektörize Emülasyon[4] Brandon Falk
  • En İyi Kriptografik Saldırı: m / Dr4g0nbl00d m / [5] Mathy Vanhoef, Eyal Ronen
  • En Acı Satıcı Yanıtı: Bitfi
  • En çok abartılan Hata: İddialar Süper mikro donanım arka kapıları, Bloomberg
  • En Az Aşınmış Hata: Thrangrycat, Jatin Kataria, Kırmızı Balon Güvenliği

2018

  • En Yenilikçi Araştırma: Spectre[6]/Erime[7] Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yval Yarom
  • Yaşam Boyu Başarı: Michał Zalewski
  • En İyi Kriptografik Saldırı: Bleichenbacher’ın Oracle Tehdidinin Dönüşü [8] Hanno Böck, Juraj Somorovsky, Craig Young
  • Lamest Satıcı Yanıtı: Bitfi - birden fazla hacker'ın ardından Bitfi'nin cihazını kırdıktan sonra binlerce aday gösterilen geç giriş John McAfee güvenliği için cihazı övüyor. Bilgisayar korsanları cihazı kırmış olsa da, tasarım gereği cihaz özel anahtarlar içermez, bu nedenle cihaza girilmesi başarılı bir şekilde para çekilmesine neden olmaz. Bitfi, ikramiye ödemeye hevesliydi ve şart koşulan tüm kuralları izledi. 8 Eylül 2018 tarihinde hangi ödül koşullarının yerine getirildiği ve hangi ödemelerin yapılacağına dair detaylar açıklandı. [9]

2017

  • Destansı Başarı: Nihayet TIOCSTI ioctl saldırısı düzeltildi Federico Bento
  • En Yenilikçi Araştırma: Hattaki ASLR [10] Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos, Cristiano Giuffrida
  • En İyi Ayrıcalık Arttırma Hatası: DRAMMER [11] Victor van der Veen, Yanick Fratantonio, Martina Lindorfer, Daniel Gruss, Clementine Maurice, Giovanni Vigna, Herbert Bos, Kaveh Razavi, Cristiano Giuffrida
  • Lamest Satıcı Yanıtı: Lennart Şiir Yazımı - güvenlik açıklarını kötü idare etmek için, en çarpıcı biçimde birden çok kritik Systemd böcekler[12]

2016

  • En Yenilikçi Araştırma: Veri Tekilleştirme Est Machina: Gelişmiş Kullanım Vektörü Olarak Bellek Tekilleştirme [13] Erik Bosman, Kaveh Razavi, Herbert Bos, Cristiano Giuffrida
  • Yaşam Boyu Başarı: Peiter Zatko aka Mudge
  • En İyi Kriptografik Saldırı: DROWN saldırısı [14] Nimrod Aviram ve ark.

2015

  • En Destansı Başarısızlık için Pwnie: OPM - ABD Personel Yönetimi Ofisi
  • Yaşam Boyu Başarı: Thomas Dullien, namı diğer Halvar Flake
  • En Yenilikçi Araştırma: Kusurlu İletim Gizliliği: Diffie-Hellman Uygulamada Nasıl Başarısız Oluyor [15] Adrian David vd.

2014

En iyi sunucu tarafı hata ödülü, keşfeden güvenlik araştırmacılarına gitti. Heartbleed ve müşteri tarafındaki en iyi hata, George Hotz bir hata bulmak için Chrome OS.[16] "En destansı başarısızlık" ödülü, elma onun için başarısız olmak iOS ve OS X'te hata.[16]

2013

2012

En iyi sunucu tarafı hata ödülü, onun için Sergey Golubchik'e gitti. MySQL kimlik doğrulama atlama kusur.[19][20] En iyi müşteri hatası için iki ödül Sergey Glazunov'a verildi ve Pinkie Pie onların için Google Chrome Google'ın bir parçası olarak sunulan kusurlar Pwnium yarışma.[19][21]

En iyi ödül ayrıcalık artırma hatası, Mateusz Jurczyk'e ("j00ru") gitti. pencereler çekirdek hepsini etkiledi 32 bit Windows sürümleri.[19][20] En yenilikçi araştırmanın ödülü, göndermenin bir yolu için Travis Goodspeed'e gitti ağ paketleri bu ek paketler enjekte eder.[19][20]

En iyi şarkı ödülü, "Kontrol" e gitti. nerdcore rapçı Çift çekirdek.[19] Yeni bir ödül kategorisi, daha fazlasına sahip olduğunuz için "Tweetie Pwnie Ödülü" Twitter hakimlerden daha takipçileri, MuscleNerd'e gitti iPhone Geliştirici Ekibi temsilcisi olarak iOS jailbreaking topluluk.[19]

"En destansı başarısızlık" ödülü, Metasploit yaratıcı HD Moore -e F5 Ağları statikleri için kök SSH önemli bir konu ve ödül, alışılmadık bir F5 çalışanı tarafından kabul edildi çünkü bu kategorinin galibi genellikle törende ödülü kabul etmiyor.[19][21] Diğer adaylar dahil LinkedIn (şifreyi açığa çıkaran veri ihlali için karmalar ) ve antivirüs endüstri (gibi tehditleri tespit edememek için Stuxnet, Duqu, ve Alev ).[20]

"Epic 0wnage" ödülü, Alev onun için MD5 çarpışma saldırısı,[21] bunu, güveni zayıflatan karmaşık ve ciddi bir kötü amaçlı yazılım parçası olarak kabul ederek Windows güncelleme sistemi.[20]

2011

2010

2009

  • En İyi Sunucu Tarafı Hatası: Linux SCTP FWD Yığın Bellek Bozulması (CVE-2009-0065) David 'DK2' Kim
  • En İyi Ayrıcalık Yükseltme Hatası: Linux Udev Netlink Mesaj Ayrıcalığı Yükseltme (CVE-2009-1185) Sebastian Krahmer
  • En İyi İstemci Tarafı Hatası: msvidctl.dll MPEG2TuneRequest Yığın arabellek taşması (CVE-2008-0015 ) Ryan Smith ve Alex Wheeler
  • Kütle 0 hakkı: Kırmızı şapka Arka Kapılı Ağlar OpenSSH Paketler (CVE-2008-3844) Anonim[2]
  • En İyi Araştırma: Symbian'da 0'dan 0'a Kredi bilgileri: Bernhard Mueller
  • Lamest Vendor Response: Linux "Sürekli olarak tüm çekirdeğin bellek bozulması hatalar sadece Hizmet Reddi " Linux Projesi[26]
  • En Fazla Hiper Hata: MS08-067 Sunucu Hizmeti NetpwPathCanonicalize () Yığın Taşması (CVE-2008-4250) Anonim[26]
  • En İyi Şarkı: Nice Report Doktor Raid
  • En Destansı Başarısızlık: Twitter Hacklendi ve "Bulut Krizi" Twitter[2]
  • Hayatboyu kazanç ödülü: Güneş Tasarımcısı[26]

2008

  • En İyi Sunucu Tarafı Hatası: Windows IGMP Çekirdek Güvenlik Açığı (CVE-2007-0069 ) Alex Wheeler ve Ryan Smith
  • En İyi İstemci Tarafı Hatası: Birden çok URL protokolü işleme kusurları Nate McFeters, Rob Carter ve Billy Rios
  • Mass 0wnage: İnanılmaz sayıda WordPress güvenlik açıkları
  • En Yenilikçi Araştırma: Unutmayalım: Şifreleme Anahtarlarına Soğuk Başlatma Saldırıları (Rolf Rolles üzerinde çalışması için mansiyon ödülü verildi. sanallaştırma Obfuscators ) J. Alex Halderman Seth Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph Calandrino, Ariel Feldman, Rick Astley, Jacob Appelbaum, Edward Felten
  • Lamest Satıcı Yanıtı: McAfee "Hacker Safe" sertifika programı[27]
  • En Fazla Hiper Hata: Dan Kaminsky 's DNS Önbellek Zehirlenmesi Güvenlik Açığı (CVE-2008-1447 )[27]
  • En iyi şarkı: K paketleniyor! tarafından Kaspersky Labs[27]
  • En Destansı Başarısızlık: Debian kusurlu OpenSSL Uygulama (CVE-2008-0166 )
  • Hayatboyu kazanç ödülü: Tim Newsham

2007

Referanslar

  1. ^ Rashid, Fahmida Y. (2 Ağustos 2011). "2011'deki Pwnie Ödülleri Adayları arasında Sony, Anonymous, LulzSec, WikiLeaks yer alıyor". eWeek. Alındı 3 Ocak 2013.
  2. ^ a b c d Buley, Taylor (30 Temmuz 2009). "Twitter Tekrar 'Pwned' Ediyor". Forbes. Arşivlenen orijinal 16 Şubat 2013. Alındı 3 Ocak 2013.
  3. ^ a b c d e f g Sutter, John D. (4 Ağustos 2011). "Sony, bilgisayar korsanlarından 'epik başarısızlık' ödülü aldı". CNN. Alındı 3 Ocak 2013.
  4. ^ "Vektörize Emülasyon: Saniyede 2 trilyon talimatla donanım hızlandırmalı kusur izleme", Vektörize Emülasyon
  5. ^ "Dragonblood: WPA3 ve EAP-pwd'nin Yusufçuk El Sıkışmasını Analiz Etmek"
  6. ^ "Spectre Saldırıları: Spekülatif İnfazdan Yararlanma", Spectre
  7. ^ "Erime", Erime
  8. ^ "Bleichenbacher’ın Oracle Tehdidinin (ROBOT) Dönüşü"
  9. ^ "Bitfi'den Önemli Açıklama", Bitfi Kamu Duyurusu
  10. ^ "En Yenilikçi Araştırma için Pwnie", Pwnie Ödülleri
  11. ^ "En İyi Ayrıcalık Artırma Hatası için Pwnie", Pwnie Ödülleri
  12. ^ "2017: En Acımasız Satıcı Yanıtı için Pwnie", Pwnie Ödülleri
  13. ^ "Tekilleştirme Est Machina: Gelişmiş Kullanım Vektörü Olarak Bellek Tekilleştirme", Erik Bosman vd.
  14. ^ "DROWN: SSLv2 kullanarak TLS'yi kırma" Nimrod Aviram ve ark.
  15. ^ "Eksik İletim Gizliliği: Diffie-Hellman Uygulamada Nasıl Başarısız Olur?", Adrian David vd.
  16. ^ a b Scharr, Jill (7 Ağustos 2014). "Pwnie Ödülleri Güvenlik Kazançlarını ve Destansı Başarısızlıkları Kutladı". Tom'un Kılavuzu. Alındı 6 Ağustos 2015.
  17. ^ "Bellek Erişim Modelleriyle Windows Çekirdeği Yarış Koşullarını Tanımlama ve Kullanma"
  18. ^ 09:31, John Leyden 5 Ekim 2012. "Uzmanlar, DICKish gönderimi ile 'dünyanın en büyük güvenlik dergisini' troll". www.theregister.co.uk. Alındı 2019-10-03.
  19. ^ a b c d e f g Yin, Sara (26 Temmuz 2012). "Ve 2012 Pwnie Ödülü Kazananlarınız ..." Güvenlik İzleme. PCMag. Alındı 8 Ocak 2013.
  20. ^ a b c d e Constantin, Lucian (26 Temmuz 2012). "Flame's Windows Update Hack, Black Hat'ta Destansı Sahiplik dalında Pwnie Ödülü'nü Kazandı". IDG-Haber-Servis. Bilgisayar Dünyası. Alındı 8 Ocak 2013.
  21. ^ a b c Sean Michael Kerner (25 Temmuz 2012). "Black Hat: Pwnie Awards Go to Flame for Epic pwnage ve F5 for epic fail". InternetNews.com. Alındı 8 Ocak 2013.
  22. ^ a b c d e f g h Schwartz, Mathew J. (4 Ağustos 2011). "Pwnie Ödülü Önemli Noktalar: Sony Epic Başarısız Ve Daha Fazlası". Bilgi Haftası. Alındı 3 Ocak 2013.
  23. ^ "Kullanıcı Modu Geri Çağırma Yoluyla Kernel Saldırıları"
  24. ^ "Statik İkili Yeniden Yazma ve Program Çobanlığı Yoluyla Çekirdeğin Güvenliğini Sağlama"
  25. ^ "Tercüman Sömürü İşaretçisi Çıkarımı ve JIT Püskürtme"
  26. ^ a b c Brown, Bob (31 Temmuz 2009). "Twitter, Linux, Red Hat, Microsoft, Pwnie Ödülleri ile" onurlandırıldı ". NetworkWorld. Arşivlenen orijinal 5 Ağustos 2009. Alındı 3 Ocak 2013.
  27. ^ a b c Naone, Erica (7 Ağustos 2008). "Black Hat's Pwnie Ödülleri". MIT Technology Review. Alındı 3 Ocak 2013.
  28. ^ a b c d e f Naraine, Ryan (2 Ağustos 2007). "OpenBSD ekibi ilk 'Pwnie' ödüllerinde alay etti". ZDNet. Alındı 3 Ocak 2013.

Dış bağlantılar