Bejelentették a 2009-es Pwnie-díj győzteseit

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a harmadik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzeteseket a korábban bejelentett jelöltek közül választották ki.

2009-es év győztesei

Pwnie - a Pwnie-díj
Pwnie (ejtsd: Pony)

Legjobb szerver-oldali bug

Legjobb privilégium-szint emelést lehetővé tevő bug

Legjobb kliens-oldali bug

Legjobb nagy mennyiségű feltörés

Legjobb kutatás

Legpancserebb gyártói reagálás

  • Linux / Linux kernelfejlesztők

Leginkább túlhype-olt hiba

Legjobb dal

A legnagyobb bukta

  • Twitter Gets Hacked and the "Cloud Crisis"

Életmű díj

  • Solar Designer

Ki, mi, miért, hogyan, azaz a részletek itt.

Hozzászólások

Gratulálok a döntőbizottságnak, aki a "Mass 0wnage" kategóriában a 10+ milliós Conficker fertőzést lehetővé tevő Microsoft Windows MS08-067 Server Service Worms helyett - ami egyébként a jelöltek közt volt - a Red Hat SSH-t választotta, ahol még azt sem tudták leírni, hogy körülbelül mennyi rendszer lehet érintett.

--
trey @ gépház

Úgy tűnik.

Pwnie for Mass 0wnage

Awarded to the person who discovered the bug that resulted in the most widespread exploitation or affected the most users. Also known as ‘Pwnie for Breaking the Internet'.

Most ha hirtelen tippelni kéne, hogy melyikből van több, az SSH backdoor miatt érintett Red Hat user-ből, vagy a Conficker által érintett "Microsoft Windows 2000 SP4, XP SP2 és SP3, Server 2003 SP1 és SP2, Vista Gold és SP1, Server 2008 és 7 Pre-Beta" userekből, akkor hirtelen nem is tudom melyikre tennék nagy pénzt.

--
trey @ gépház

Mert nem a legtöbb embert érintő sebezhetőség kategória, hanem a legjobb server-oldali bug. Abban meg egy Linux remote kernel csak ütősebb, mint egy N+1 Windows Service bug, amely ráadásul szervereknél kevésbé volt kihasználható (ez meg tehát mégegyszer: legjobb szerver-oldali bug kategória), mert szerverek esetén jobbára szűrik már az RPC-t, pláne internet felől.

Egyébként nem csak 64 bites rendszereket érintette az stcp bug, csak az exploit arra lett fejlesztve.

Senki sem mondta, hogy a MS08-64-nek a legjobb szerver oldali bug kategóriában kellett volna szerepelnie. Ezt már csak ideálmodtad. A "Mass 0wnage"-ban lett volna a helye. Lásd első hozzászólás. Én a komplett listáról beszéltem.

"Egyébként nem csak 64 bites rendszereket érintette az stcp bug, csak az exploit arra lett fejlesztve.

Igen, így már egész más. Egy tucatnyi rendszer helyett két tucatnyit érint.

--
trey @ gépház

Értem. "most technically sophisticated and interesting server-side bug"

Tehát ez nem a legveszélyesebb, nem a legtöbb embert érintő, hanem a technikailag a legérdekesebb. Elfogadom.

Szerinted az MS08-64 nem érdemelt volna meg egy helyet ezen a listán a Mass 0wnage kategóriában?

--
trey @ gépház

Abban de, csak mivel nyert a leginkább hypeolt kategóriában, ezért gondolom nem akarták a másik témában is annak kihozni, mert unalmas lett volna az eredmény. Ha csak a hiba által ownolt gépek száma alapján döntöttek volna, akkor valószínű, hogy az MS08-67 vitte volna el a pálmát. Mivel azonban a RedHat incidensnél szokás szerint ment a bénázás és a kamuzás (ráadásul még mindig nincs kvázi vége, mert továbbra sem cserélték le a kompromitált kulcsokat), ezért gondolom megérdemeltnek érezték a piros kalap^Whangszórót.

Szép kis díj. Ha nem lett volna oda írva, hogy kiknek is adják, egyből másra gondoltam volna... Vagy a szervezők között lehetett egy kakukktojcsi.