Pwnie Awards to jeden z najważniejszych konkursów w branży bezpieczeństwa. Już od 5 lat kapituła wręcza złote kucyki odkrywcom najciekawszych błędów, autorom najciekawszych badań oraz sprawcom największych wpadek.
Już w zeszłym roku w gronie laureatów pojawił się Polak – Piotr Bania, który otrzymał nagrodę w kategorii „najbardziej innowacyjna praca naukowa” za opracowanie Securing the Kernel via Static Binary Rewriting and Program Shepherding. Laureatami nagrody za rok 2012 mają szansę zostać dwaj rodacy (a w zasadzie tylko jeden, bo startują w tej samej kategorii) – ich nazwiska znajdziecie poniżej. Kto dostąpił zaszczytu nominacji w tym roku?
Błąd po stronie klienta
Już w pierwszej kategorii nie brakuje znanych nazwisk. Pierwszy pojawia się tutaj Pinkie Pie, znany z rozłożenia na łopatki przeglądarki Chrome w trakcie konkursu Google Pwnium. Towarzyszy mu Sergey Glazunov, który w trakcie tego samego konkursu pokonał tą samą przeglądarkę, korzystając z ok. 14 różnych błędów (sam zespół Chrome stracił rachubę).
Oprócz zwycięzców Google Pwnium na liście nominowanych są tez autorzy robaka Duqu (za CVE 2011-3402), Fermin Serna za CVE 2012-0769 oraz Charlie Miller za CVE 2011-3442. Każde z ich odkryć to osobna historia – zainteresowanych odsyłamy do wujka Googla, bo czekają na nas kolejne kategorie.
Błąd po stronie serwera
W tej kategorii wśród bardziej znanych nominacji mamy przede wszystkim Sergeia Golubchika za odkrycie, że jeśli prosi się wystarczająco długo, to MySQL wpuści na konto roota oraz Marka Maundera, który odkrył kompromitujący błąd we wtyczce WordPressa (CVE-2011-4106). Towarzyszą im Joxean Koret za CVE-2012-1675 oraz anonimowy odkrywca błędu w ProFTPD (CVE-2011-4130).
Błąd umozliwiający podniesienie uprawnień
I oto nasza narodowa kategoria. Polskie barwy reprezentują Rafał Wojtczuk z intelową instrukcją SYSRET (CVE-2012-0217) oraz Mateusz „j00ru” Jurczyk z błędem w jądrze wszystkich 32-bitowych systemów Windows (CVE-2011-2018). O zwycięstwo walczyć będą z pod2gm, którego odkrycie w iOS (CVE-2012-0642) umożliwiło jailbreak wersji 5.0 oraz z Derekiem Soederem, odkrywcą błędów w VMware (CVE-2012-1515).
Najbardziej innowacyjna praca naukowa
W tej kategorii konkurować będą autorzy prac, opisujących takie zjawiska jak wstrzykiwanie pakietów w inne pakiety, atakowanie atomów Windowsa, modyfikowanie podpisanych plików wykonywalnych Windowsa z zachowaniem walidacji sygnatury, nowe metody inżynierii wstecznej oraz przepełnianie buforu w elementach wyposażenia nowoczesnego samochodu.
Największa wpadka
W tej kategorii występują prawdziwe gwiazdy. Przede wszystkim nominowani zostali producenci rozwiązań antywirusowych (nominacja grupowa, nie wymagająca uzasadnienia). Dołączył do nich Francesco Pompo, autor botnetu, który został spektakularnie rozniesiony w strzępy, LinkedIn za niedawny wyciek hashy oraz firma F5 networks za umieszczenie w urządzeniach prywatnego klucza SSH umożliwiającego dostęp z uprawnieniami administratora do wszystkich urządzeń tego samego typu.
Epicka dominacja (epic 0wnage)
W tej kategorii pojawiają się najbardziej spektakularne wygrane, jakie pojawiły się w ciągu ostatniego roku. W gronie nominowanych znaleźli się autorzy wirusa Flame za przełomową kolizję certyfikatu Microsoftu, umożliwiającą fałszowanie podpisu cyfrowego kodu wirusa i jego rozpowszechnianie rpzez mechanizm aktualizacji Windows. Towarzysza im urzędy certyfikacyjne, których wpadek nie brakowało w zeszłym roku oraz autorzy jailbreaków w systemie iOS, pokonujący każdą kolejną wersję zabezpieczeń autorstwa Apple.
Podsumowanie
Lista nominowanych nie pokrywa wszystkich dużych incydentów bezpieczeństwa, które miały miejsce w ciągu zeszłego roku, ale bez wątpienia obejmuje te najważniejsze lub najciekawsze. Cieszymy się, że o 4 z nich napisaliśmy jako pierwsi po polsku – postaramy się w przyszłym roku osiągnąć jeszcze lepszy wynik. Laureatów Pwnie Awards 2012 poznamy już za 4 dni, podczas bardzo ciekawie zapowiadającej się konferencji Black Hat 2012.
Komentarz