Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Pwnie Awards 2013

2013.08.02. 15:53 | buherator | Szólj hozzá!

A BlackHat konferencián ottani időszerint tegnap átadták az idei Pwnie-díjakat, íme a győztesek, illetve néhány szó a többi jelöltről:

Legjobb szerver-oldali bug

Idén a Ruby on Rails elég erősen kezdett, a különbözö YAML injection problémák már-már kiírthatatlannak tűntek, miközben mindent-nyitó kulcsot adtak alkalmazások sokaságához - Ben Murphy megérdemelten kapta tehát a díjat, de reméljük a többi Ruby hackert is meghívja majd egy-egy sörre.

A kategóriában jelölték még az offline jelszótörést lehetővé tevő Oracle sérülékenységet, az Asterisk távolról kihasználható, kódfuttatásra alkalmas sérülékenységét, az Internet irányából is gyakran elérhető SAPRouter heap-overflow-it, illetve az Nginx két HTTP fejlécekkel kihasználható (ha úgy tetszik, régimódi) sérülékenységeit. 

Legjobb kliens-oldali bug

A kliens-oldali sérülékenységek jelentőségét jól mutatja, hogy az idei jelöltek vagy Pwn2Own/Pwnium győztesek voltak, vagy ipari/államtitkokat nyúltak le a segítségükkel. A zsűri most a hivatásos feketekalaposokat ítélte jobbnak: Az Adobe Reader tiszta ROP payloadot használó, sandboxból is kitörni képes exploitja olyan gyöngyszemeket utasított maga mögé, mint egy másik célzott támadásban bevetett, kifinomult heap-manipulációt használó Flash exploit, a VUPEN IE10/Win8 kombót legyűrő gyöngyszeme,, vagy az MWR Chrome törése.

Legjobb jogosultság-kitrejesztést eredményező bug

A nyertes az evasi0n iOS jailbreak-je, melyet nap mint nap használ nagyjából 5 millió felhasználó. 

Bár Tavis Ormandy Windows 0-day-e, vagy sd ősrégi Linux kernel bugja után megnyalja a tíz ujját az egyszeri hacker, ezzel a népszerűséggel nem tudtak versenyezni.

A leginnovatívabb kutatás

A kategóriát idén uralták az alacsonyszintű problémák (kivételt csak a CRIME jelentett), melyek közül j00ru és Gynvael Coldwind Windows kernelt célzó race-condition kutatását emelte ki a döntőbizottság, ami összesen 37 privilégiumemelést lehetővé tevő bugot (és ezekhez kapcsolódó, szintén érdekes exploitot) eredményezett. 

A kategóriában ezen kívül láttunk user- és kernel-világbeli ASLR megkerülést és tisztán x86 MMU-val megvalósított Turing-gépet is. 

Legepikusabb FAIL

A hakin9-t és testvérmagazinjait (PenTest, eForensics stb.) sokan ismerik intenzív spam kampányaik eredményeként, de az Errata szépen összeszedi plagizált, ki nem fizetett és egyéb inkorrekt módon lehozott tartalmaikat. Szerencsére valaki megelégelte a lengyel csapat taktikáját, és beküldött egy - feltehetően Markov-láncokkal generált - marha professzionálisnak kinéző, de teljesen értelmetlen cikket "Nmap: The Internet Considered Harmful - DARPA Inference Checking Kludge Scanning" (DICKS) címmel, amit az újság profeeszinális szerkesztőgárdája csont nélkül le is hozott. 

A kategóriában indult még a Sophos, ami több lyukat nyitott a gépeken, mint amennyit bevédett, a kriptográfiából többszörösen megbuktatott CryptoCat, a digitális tanúsítványok ellenőrzését elbénázó Android, valamint az Egyesült Államok kormánya, aki 170.000 dollárnyi számítástechnikai felszerelést zúzatott be egy nem létező vírusfertőzés miatt. 

Legepikusabb 0wnage

US vs. Snowden - ezt azt hiszem nem kell kommentálni.

Szép volt még az Internet Census, melynek keretén belül valaki megtört egy halom SOHO routert, és ezekkel végig portscannelte az Internetet, Mudge kinyitotta a DARPA zsebeit hackerek számára, és érdemes megemlékeznünk arról is, hogyan hackelte vissza a Malware.lu az APT1 csapatot.

Az Életműdíjat a nem rég tisztázatlan körülmények között elhunyt, ATM és pacemaker hackjeivel híressé vált Barnaby Jack kapta.

Végül, de utolsó sorban, a legjobb dalnak kikiáltott Dual Core - All the Things azt hiszem, a jövő heti hekkcamp-re is tökéletes alapot fog szolgáltatni :)

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.