Jak co roku w sierpniu w trakcie konferencji Black Hat rozdawane są jedne z najważniejszych nagród w świecie bezpieczeństwa – Pwnie Awards. W tym roku w gronie nominowanych brak naszych rodaków, ale nadal lista jest imponująca.
Pwnie Awards w ostatnich latach były dla nas powodem do dumy z talentów informatycznych Polaków. Rok temu na liście zwycięzców znaleźli się j00ru i Gynvael (a także magazyn Hakin9), a nominowany był Paweł @pa_kt. Rok wcześniej jooru także sięgnął po to trofeum a na liście nominowanych był też Rafał Wojtczuk. Z kolei w roku 2011 swoją statuetkę otrzymał Piotr Bania. 2014 jest zatem pierwszą edycją od 4 lat, w której brak Polaków. Kto okazał się bardziej godny tegorocznych nagród?
Słodkie kucyki dla laureatów
Nominacje
W kategorii „najlepszy błąd po stronie serwera” znajdziemy autorów „Abusing JSONP with Rosetta Flash” (CVE-2014-4671) czyli kreatywnego podejście do omijania zabezpieczeń „same origin'”, odkrywców Heartbleed, którego nie mogło na tej liście zabraknąć, odkrywców błędów w interfejsie IPMI, które, choć bardzo poważne, nie odczekały się odpowiedniego nagłośnienia oraz autora bloga /dev/ttyS0 za całokształt prac nad piętnowaniem jakości wbudowanego oprogramowania domowych ruterów.
Z kolei w kategorii „najlepszy błąd po stronie klienta” znajdziemy również odkrywców Heartbleed (które działa w obie strony), Geohota za manipulację pamięcią Google Chrome (CVE-2014-1705), Iana Beera za błędy w Safari (CVE-2014-1300) oraz odkrywców słynnego Goto fail, błędu w implementacji SSL w oprogramowaniu Apple (CVE-2014-1266).
Za „najlepszy błąd podniesienia uprawnień” uznano prace nad błędem w jądrze Windows umożliwiającym ucieczkę z piaskownicy internet Explorera (CVE-2014-1767), ucieczkę ze środowiska VirtualBox (CVE-2014-0981), sposób na roota na Samsungu Galaxy S5 (CVE-2014-3153) oraz dwa jaibreaki iOS – evasi0n oraz Pangu.
Za najbardziej innowacyjne badania nominację otrzymały prace nad błędami sprzętowymi w architekturze ARM, omijaniem zabezpieczeń Windows 8.1 z użyciem niebezpiecznych obiektów COM (nagrodzone także przez Microsoft), wydobywaniem kluczy RSA na podstawie dźwięków wydawanych przez pracujący komputer, a nagrywanych przez mikrofon telefonu, omijaniem Windows 8 UEFI Secure Boot oraz używaniem techniki ROP do ominięcia ASLR i NX bez znajomości wykorzystywanego pliku binarnego.
Za najgorszą reakcję na zgłoszenie błędu dostało się OpenCart, które zwyzywało zgłaszającego, FireEye które rzekomo doprowadziło do zwolnienia zgłaszającego z firmy, w której pracował, AVG za uznanie błędów za celowo wprowadzone funkcje oraz General Motors za ignorowanie zgłaszanych usterek, które mogły prowadzić do poważnych wypadków.
W najzabawniejszej kategorii „wielka wpadka” ponownie trafimy na Heartbleed oraz jego siostrę Goto Fail a także na włamanie do firmy Target i kradzież dziesiątek milionów numerów kart kredytowych (sprzęt wykrył włamanie, firma monitorująca ostrzegła dział bezpieczeństwa, który nic z tym ostrzeżeniem nie zrobił) oraz nieznany nam wcześniej incydent, dzięki któremu członkowie organizacji (ISC)^2 zrzeszającej ekspertów do spraw bezpieczeństwa mogli, podając na stronie www ujemne wartości w formularzu zamówienia, otrzymać 100% zniżki na opłatę członkowską.
Z kolei w trudnej do przetłumaczenia kategorii „Epic 0wnage” nominowani zostali odkrywcy Heartbleed (tak, to czwarta nominacja dla jednego błędu – rekord wszech czasów), anonimowi autorzy włamania do firmy Target, anonimowy autor włamania do serwisu Inputs.io (rekomendujący posiadaczom BTC trzymanie ich w urządzeniach nie podłączonych do sieci) oraz Mark Karpeles, słynny właściciel i główny programista giełdy Mt Gox.
