Pwnie Awards 2017: достижения, ошибки и глупости в сфере информационной безопасности

в 13:10, , рубрики: Pwnie Awards, безопасность, Блог компании RUVDS.com, информационная безопасность, пятничный пост

В конце июля, на конференции Black Hat в Лас-Вегасе, вручали премию Pwnie Awards. Дают эту награду либо тем, кто сделал невероятную глупость в области информационной безопасности, отличился некомпетентностью, либо тем, кто что-то красиво, громко и весело взломал, или обнаружил что-то очень интересное. Учитывая специфику премии, вполне ожидаемо то, что далеко не все лауреаты поспешили подняться на сцену за ярко раскрашенной статуэткой пони. Государственные чиновники, представители разведывательных организаций и производители программного обеспечения обычно не склонны признавать свои ошибки.

image

Премия разделена на несколько номинаций. Победителей выбирают, путём голосования, представители сообщества хакеров.

Награда за лучшую серверную ошибку досталась Equation Group, группе которую связывают с АНБ. Эксплойты Equation для Windows SMB в этом году попали в сеть после того, как их украли хакеры из Shadow Brokers. Эти инструменты были нацелены на три серьёзные уязвимости (CVE-2017-0143, 0144, 0145), и позже были использованы во вредоносных программах, включая WannaCrypt, для взлома систем по всему миру. Это принудило Microsoft выпустить патчи для устаревших ОС, закрывающие уязвимости.

Представители спецслужб США на церемонии вручения наград не появились, то же самое можно сказать и о делегатах от других государств. Так, награда за самый массовый взлом разделена между Северной Кореей (за создание группы Shadow Brokers) и Россией (за эпидемию WannaCry).

Между тем, премьер-министр Австралии Малкольм Тернбулл удостоился высшей награды в номинации «самый большой провал». Он заявил, что законы Австралии имеют преимущество перед законами математики. Австралийскому лидеру сказали о том, что невозможно обойти системы шифрования для целей борьбы с террористами и не лишить шифрования всех остальных. На это он ответил, что может заверить собеседника в том, что в Австралии преимущество имеют законы Австралии. «Законы математики достойны одобрения, но единственный закон, который имеет силу в Австралии — это закон Австралии», — продолжил Малкольм Тернбулл. За это высказывание он и получил статуэтку пони, хотя соперники у него были очень сильные. Среди них — защищённый (но, на самом деле, содержащий уязвимость) браузер от Лаборатории Касперского для iOS. Кроме того, сюда же попал новостной ресурс The Intercept, после неосторожной публикации которого была задержана Reality Winner, предоставлявшая The Intercept секретную информацию.

Теперь, в двух словах, расскажем о других победителях.

Пони за лучшую ошибку в клиентском ПО получили Райан Хансон, Хайфей Ли, и другие исследователи, за раскрытие уязвимости CVE-2017-0199, называемой ещё уязвимостью Microsoft OLE.

Награду за лучшую уязвимость, приводящую к повышению привилегий, получили Виктор ван дер Вин, Яник Фратантонио, и другие, за создание эксплойта Drammer для rowhammer-атаки на оперативную память.

Приз за лучшую криптографическую атаку ушёл группе SHAttered — Марку Стивенсу и другим.

В номинации «лучший бэкдор» победила компания MeDoc. Её система обновления ПО была взломана и распространяла вирус-вымогатель NotPetya.

Приз за лучший брэндинг достаётся Ghostbutt (CVE-2017-8291).

Награда за наиболее инновационное исследование ушла разработчикам нового способа обхода защиты ASLR.

Премию за жизненные достижения получил хакер FX из Phenoelit.

И, наконец, премия за самую неуклюжую реакцию разработчика досталась Леннарту Поттерингу, ведущему программисту systemd. Всё дело в его неоднозначном отношении к ошибкам в любимой всеми системе инициализации. А именно, речь идёт о следующих ошибках: 5998, 6225, 6214, 5144, и 6237, подробнее о которой можно почитать тут.

Разыменование нулевых указателей, запись за пределы буфера, отсутствие поддержки полных имён доменов, выдача root-привилегий пользователям, имя которых начинается с цифры — всё это не слишком серьёзно. При исправлении подобных незначительных недостатков не нужно указывать присвоенные им CVE-номера, сведения об этом нет смысла включать в журнал изменений или даже в описания коммитов… Собственно говоря, за такое отношение к ошибкам и выдают награды на церемонии Pwnie Awards.

Уважаемые читатели! Кому и за какие заслуги вы вручили бы ярко раскрашенного пони?

Автор: RUVDS.com

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js