В Лас Вегасе прошла церемония вручения премии Pwnie Awards 2017

В Лас Вегасе прошла церемония вручения премии Pwnie Awards 2017

На прошедшей в Лас Вегасе конференции Black Hat состоялась церемония вручения премии Pwnie Awards 2017, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.

Основные номинации:

  • Самый ламерский ответ вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признан Леннарт Поттеринг (Lennart Poettering) за систематическое непризнание уязвимостей и тихое внесение исправлений без указания в списке изменений или тексте коммитов номеров CVE и без упоминания связи исправления с проблемами безопасности. В качестве примеров приводятся сообщения об ошибках 5998, 6225, 6214, 5144 и 6237 с разыменованиями нулевых указателей, записью за пределы буфера и запуском сервисов с повышенными привилегиями, которые Поттеринг отказался рассматривать как уязвимости, пишет opennet.ru.

    В качестве претендентов на получение премии также рассматривались:

    • Проект Nomx, который позиционировался как реализация наиболее защищённого коммуникационного протокола, а на деле оказался примером наплевательского отношения к безопасности.
    • Simon Smith за его работу по написанию запросов на удаление роликов в Youtube и заметок в блогах, в которых публиковались сведения об уязвимостях в его продуктах 1IQ, eVestigator, RPL Central и Official Intelligence (коммерческие форки Onion Browser и разных открытых мобильных приложений).
  • Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Премия присуждена группе Equation, которая связывается с деятельностью Агентства Национальной Безопасности США (АНБ), за подготовку эксплоитов для атаки на Windows SMB, которые были опубликованы командой Shadow Brokers вместе с порцией других данных, полученных в результате утечки информации из АНБ.

    Из не получивших премию претендентов можно отметить:

    • Критическая уязвимость (CVE-2016-6309) в OpenSSL, которая образовалась в результате исправления другой неопасной уязвимости и могла привести к выполнению кода злоумышленника при обработке отправленных им пакетов;
    • Уязвимостт Cloudbleed - утечка неинициализированных отрывков оперативной памяти прокси-серверов Cloudflare;
    • CVE-2017-0290 - удалённый запуск кода в Microsoft WinDefender;
    • CVE-2017-5689 - обход аутентификации в технологии Intel AMT;
    • CVE-2016-6432 - удалённый запуск кода в Cisco ASA.
  • Лучшая ошибка в клиентском ПО. Победителем признана уязвимость в Microsoft Office (CVE-2017-0199), позволявшая организовать выполнение кода через манипуляцию с OLE-объектами. На получение премии также претендовали:
    • Уязвимость в gstreamer-плагине для обработки музыкального формата SNES, который воспроизводил SNES через эмуляцию машинных кодов звукового процессора Sony SPC700 при помощи эмулятора Game Music Emu;
    • Серия уязвимостей, позволивших получить root-доступ в Chrome OS;
    • Уязвимости CVE-2016-5197 и CVE-2016-5198, позволившие получить полный контроль над Android при открытии специальной страницы в Chrome.
  • Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена создателям атаки Drammer, которая позволяет получить привилегии root на платформе Android не эксплуатируя явных уязвимостей в ПО, а пользуясь уязвимостью чипов памяти DRAM (RowHammer, позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти). На получение премии также претендовали:
    • Уязвимость (CVE-2017-7228) в Xen, позволяющая получить доступ ко всей системной памяти из гостевой системы;
    • Root-уязвимость в ядре Linux (CVE-2017-7184), применённая на конкурсе Pwn2Own для атаки на Ubuntu;
    • Серия уязвимостей, связанных с применением структур task_t;
    • Уязвимость Blitzard (CVE-2016-1815) в ядре macOS.
  • Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена команде, разработавшей практический метод генерации коллизии для SHA-1. Претендентами на получение премии также были:
    • FFS (Flip Feng Shui), метод скрытого изменения памяти чужих виртуальных машин;
    • Атака на RFC 7516 (JSON Web Encryption, JWE), позволяющая отправителю извлечь закрытый ключ получателя.
  • Лучший бэкдор. Присуждается за представление или обнаружение бэкдора, наиболее изощрённого с технической точки зрения или опасного с точки зрения широты распространения. Премия присуждена бэкдору M.E.Doc, устанавливаемому вредоносным ПО NotPetya. Претендентами на получение премии был бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner и бэкдор в SonicWall GMS.
  • Лучший брендинг. Присуждается на наиболее заметное продвижение информации об уязвимости как продукта. Последнее время уязвимости используются как инфоповод для своего продвижения. Для уязвимостей запускают отдельные сайты, создают логотипы и присваивают заметные имена. Победа в данной номинации присуждена уязвимости GhostButt (CVE-2017-8291) для которой даже была написана своя песня. Претенденты: RingRoad, DirtyCOW, Cloudbleed.
  • Наиболее инновационное исследование. Премия прусуждена авторам новой техники обхода механизма защиты ASLR (Address space layout randomization), которая может быть реализована на языке JavaScript и использована при эксплуатации уязвимостей в web-браузерах. На получение премии претендовали:
    • Инструментарий fuzzing-тестирования Fuzzy Lop;
    • Демонстрация перехвата звонков/SMS и создания фиктивных звонков/SMS от другого пользователя в сотовых LTE-сетях;
    • Инструмент для выявления уязвимостей Bochspwn Reloaded; техника атаки Drammer.
  • Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. В номинации упомянуты:
    • Уязвимость Dirty Cow (CVE-2016-5195), которая является локальной уязвимостью в ядре Linux, ничем не примечательной перед другими подобными проблемами, которые вплывают регулярно. Но в отличие от остальных проблем для Dirty Cow создан свой сайт, логотип и аккаунт в Twitter.
    • Уязвимость в Cryptsetup (CVE-2016-4484), которая была излишне демонизирована несмотря на возможность совершения атаки, только при физическом доступе к оборудованию;
    • Исследователь, выявивший код для деактивации атаки вредоносного ПО Wannacry был возвеличен в СМИ как спаситель человечества и герой;
    • Атака Cloak and Dagger, для которой заведён свой сайт, на деле бессмысленна, так как требует, чтобы жертва установила специальное приложение с правами вывода поверх других окон.
  • Самый большой провал (Most Epic FAIL). Победа присуждена премьер-министру Австралии, который выступил за законодательный запрет оконечного (end-to-end) шифрования в мессенджерах и заявил, что законы Австралии главнее, чем законы природы (законы математики). Среди других претендентов:
    • Выпускаемый Лабораторией Касперского защищённый браузер для iOS (HTTPSafe Browser) на деле не проверял валидность SSL-сертификатов для всех сайтов, кроме тех, что уже находились в чёрном списке;
    • Издание Intercept случайно раскрыло источник утечки информации, который до этого тщательно скрывала, не закрасив подпись на скане документа;
    • Уязвимость Cloudbleed в результате которой открывки конфеденциальных данных клиентов Cloudflare засветились в поисковых системах.
  • Самое значительное проникновение (Epic 0wnage). Вручается за самый разрушительный и наиболее освещаемый СМИ взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. Премию поделили вредоносное ПО WannaCry и деятельность Shadow Brokers по публикации эксплоитов, полученных в результате утечки информации из АНБ.
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Роскомнадзор предложил Google подписать антипиратский меморандум

Представители Роскомнадзора и корпорации Google встретились для обсуждения вопроса соответствия законодательству Российской Федерации. В ходе этой встречи российская сторона предложила интернет-гиганту присоединиться к антипиратскому меморандуму, который, напомним, был подписан 1 ноября.

Суть претензий ведомства к американской компании заключается в неподключении к госреестру запрещенных сайтов. То есть на данный момент поисковая система Google не фильтрует запрещенные в России материалы. За это предусматривается административный штраф.

Согласно российскому законодательству, Google может грозить штраф от 500 до 700 тысяч рублей.

«Одним из ключевых моментов переговоров стало обсуждение ситуации вокруг нарушения компанией требований российского закона по обеспечению фильтрации поисковой выдачи Google от запрещённой в России информации», — пишет пресс-служба Роскомнадзора.

«Роскомнадзор также предложил компании Google присоединиться к антипиратскому меморандуму, который был подписан 1 ноября 2018 года крупнейшими российскими медиахолдингами и интернет-компаниями. Меморандум предполагает удаление ссылок на нелегальный контент из результатов поисковой выдачи по обращению правообладателя и соответсвует механизмам, используемым Google».

В начале этой недели в России уже начали создавать базу данных пиратских ссылок после подписания антипиратского меморандума. По словам Дмитрия Чернышенко, главы «Газпром-медиа», заполнением баз данных занялись сами правообладатели.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru