2009-es év győztesei
Legjobb szerver-oldali bug
Legjobb privilégium-szint emelést lehetővé tevő bug
Legjobb kliens-oldali bug
Legjobb nagy mennyiségű feltörés
Legjobb kutatás
Legpancserebb gyártói reagálás
- Linux / Linux kernelfejlesztők
Leginkább túlhype-olt hiba
Legjobb dal
A legnagyobb bukta
- Twitter Gets Hacked and the "Cloud Crisis"
Életmű díj
- Solar Designer
Ki, mi, miért, hogyan, azaz a részletek itt.
- A hozzászóláshoz be kell jelentkezni
- 2929 megtekintés
Hozzászólások
Gratulálok a döntőbizottságnak, aki a "Mass 0wnage" kategóriában a 10+ milliós Conficker fertőzést lehetővé tevő Microsoft Windows MS08-067 Server Service Worms helyett - ami egyébként a jelöltek közt volt - a Red Hat SSH-t választotta, ahol még azt sem tudták leírni, hogy körülbelül mennyi rendszer lehet érintett.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
És nyert a "Leginkább túlhype-olt hiba" kategóriában???
- A hozzászóláshoz be kell jelentkezni
Úgy tűnik.
Pwnie for Mass 0wnage
Awarded to the person who discovered the bug that resulted in the most widespread exploitation or affected the most users. Also known as ‘Pwnie for Breaking the Internet'.
Most ha hirtelen tippelni kéne, hogy melyikből van több, az SSH backdoor miatt érintett Red Hat user-ből, vagy a Conficker által érintett "Microsoft Windows 2000 SP4, XP SP2 és SP3, Server 2003 SP1 és SP2, Vista Gold és SP1, Server 2008 és 7 Pre-Beta" userekből, akkor hirtelen nem is tudom melyikre tennék nagy pénzt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Komolytalan.
- A hozzászóláshoz be kell jelentkezni
miert nem az volt?
---
/* No comment */
Ketchup elementál megidézése a sajt síkra
- A hozzászóláshoz be kell jelentkezni
A lényeg, hogy a Linux a legtöbb kategóriában nyert!
- A hozzászóláshoz be kell jelentkezni
Hát én nem vitatom, hogy a "milliókat" érintő sctp remote bug nem érdemelte meg az első helyet, de ez azért érdekes volt. :DD
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
s/érintő/érő/
és máris érted ;)
- A hozzászóláshoz be kell jelentkezni
Azon gondolkodom, hogy egy MS08-67 exploit mennyit érhetett, ami a Windows 2000-től napjainkig bezárólag az összes MS OS-en használható volt, gyakorlatilag átjáróházat csinálva a számítógépek millióiból.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Azt nem tudom, de arról hallottam, hogy mekkora pénzt kapott volna sgrakkyu, ha nem publikálja a Linux remote kernel exploitot, hanem eladja... Nagggyon sokat.
- A hozzászóláshoz be kell jelentkezni
Na, akkor most visszatérve az elejére, nekem nem azzal van bajom, hogy ez a csak 64 bites rendszereket érintő sctp bug felkerült a listára, hanem az, hogy egy milliókat érintő bug még csak említésre se került.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mert nem a legtöbb embert érintő sebezhetőség kategória, hanem a legjobb server-oldali bug. Abban meg egy Linux remote kernel csak ütősebb, mint egy N+1 Windows Service bug, amely ráadásul szervereknél kevésbé volt kihasználható (ez meg tehát mégegyszer: legjobb szerver-oldali bug kategória), mert szerverek esetén jobbára szűrik már az RPC-t, pláne internet felől.
Egyébként nem csak 64 bites rendszereket érintette az stcp bug, csak az exploit arra lett fejlesztve.
- A hozzászóláshoz be kell jelentkezni
Senki sem mondta, hogy a MS08-64-nek a legjobb szerver oldali bug kategóriában kellett volna szerepelnie. Ezt már csak ideálmodtad. A "Mass 0wnage"-ban lett volna a helye. Lásd első hozzászólás. Én a komplett listáról beszéltem.
"Egyébként nem csak 64 bites rendszereket érintette az stcp bug, csak az exploit arra lett fejlesztve.
Igen, így már egész más. Egy tucatnyi rendszer helyett két tucatnyit érint.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ezt már csak ideálmodtad.
Mégis megint ezt írod utána:
Egy tucatnyi rendszer helyett két tucatnyit érint.
Tehát mégegyszer: legjobb szerver-oldali bug kategória ;)
- A hozzászóláshoz be kell jelentkezni
Értem. "most technically sophisticated and interesting server-side bug"
Tehát ez nem a legveszélyesebb, nem a legtöbb embert érintő, hanem a technikailag a legérdekesebb. Elfogadom.
Szerinted az MS08-64 nem érdemelt volna meg egy helyet ezen a listán a Mass 0wnage kategóriában?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Abban de, csak mivel nyert a leginkább hypeolt kategóriában, ezért gondolom nem akarták a másik témában is annak kihozni, mert unalmas lett volna az eredmény. Ha csak a hiba által ownolt gépek száma alapján döntöttek volna, akkor valószínű, hogy az MS08-67 vitte volna el a pálmát. Mivel azonban a RedHat incidensnél szokás szerint ment a bénázás és a kamuzás (ráadásul még mindig nincs kvázi vége, mert továbbra sem cserélték le a kompromitált kulcsokat), ezért gondolom megérdemeltnek érezték a piros kalap^Whangszórót.
- A hozzászóláshoz be kell jelentkezni
"mert unalmas lett volna az eredmény."
Ja, lehet, hogy az lett volna. Így meg egyszerűen komolytalan abban a kategóriában.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szerintem nem írták sehol, hogy igazságosan (lehet úgy egyáltalán?) vagy észérvek alapján fognak dönteni... A "Best Privilege Escalation Bug"-nál én pl. inkább a VMware vuln-ra szavaztam volna, dehát izlések és pofonok. ;)
- A hozzászóláshoz be kell jelentkezni
Csináljunk saját award-ot és akkor azt jelölünk amit akarunk. Csak egy jó név kéne :D
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
malicsusz-award :)
- A hozzászóláshoz be kell jelentkezni
HUPwnie awards?
suckIT szopás minden nap! HUPwnie awards
- A hozzászóláshoz be kell jelentkezni
BSD is dying. :(
suckIT szopás minden nap! Massa hétfőn hazarepül Brazíliába...
- A hozzászóláshoz be kell jelentkezni
Szép kis díj. Ha nem lett volna oda írva, hogy kiknek is adják, egyből másra gondoltam volna... Vagy a szervezők között lehetett egy kakukktojcsi.
- A hozzászóláshoz be kell jelentkezni