Награды Пуни

Награды Пуни
Награды Пуни
Статус	Активный
Жанр	Церемония награждения
Частота	Ежегодный
Место проведения	Саммеркон , Черная шляпа
Годы активности	17
Открыт	2007
Основатель	Alexander Sotirov , Dino Dai Zovi
Веб-сайт	пешки .с

Премия Pwnie Awards признает как выдающиеся достижения, так и некомпетентность в области информационной безопасности. ^{[ нужна ссылка ]}. Победителей выбирает комитет профессионалов индустрии безопасности из номинаций, собранных от сообщества информационной безопасности. ^[1] Номинанты объявляются ежегодно на Summercon , а сами награды вручаются на конференции Black Hat Security Conference . ^[2]

Происхождение

Название премии Pwnie Award основано на слове « pwn », которое на хакерском сленге означает «компрометировать» или «контролировать», исходя из предыдущего использования слова « собственный » (и оно произносится аналогично). Название «The Pwnie Awards» произносится как «Пони». ^[2] должен звучать как церемония вручения премии «Тони» , церемонии награждения бродвейского театра в Нью-Йорке.

История

Премия Pwnie Awards была основана в 2007 году Александром Сотировым и Дино Дай Зови. ^[1] после обсуждений открытия Дино кросс-платформенной уязвимости QuickTime ( CVE - 2007-2175 ) и обнаружение Александром уязвимости обработки файлов ANI ( CVE — 2007-0038 ) в Internet Explorer.

Победители

2024

Самый эпический провал: Crowdstrike за инцидент CrowdStrike 2024 года ^[3]

2023

Лучшая настольная ошибка: CountExposure!
Лучшая криптографическая атака: криптоанализ на основе видео: извлечение криптографических ключей из видеозаписи индикатора питания устройства ^[4] Бен Насси, Этай Илуз, Ор Коэн, Офек Вайнер, Дуди Насси, Борис Задов, Юваль Елович
Лучшая песня: Clickin'
Самое инновационное исследование: Apple Lightning изнутри : Jtagged iPhone для фаззинга и получения прибыли
Самое недооцененное исследование: отравление кэша контекста активации
Лучшая ошибка повышения привилегий: URB Excalibur: разрезание гордиева узла побегов VMware VM
Лучшая ошибка удаленного выполнения кода: ClamAV RCE
Самый неудачный ответ поставщика: три урока от Threema : анализ защищенного мессенджера
Самый эпический провал: «Черт возьми, у нас есть список запрещенных для полетов».
Эпическое достижение: Клеман Лесинь: чемпион мира по охоте за нулевым днем
Награда за заслуги перед жизнью: Мадж

2022

Самый неудовлетворительный ответ поставщика: группа реагирования Google «TAG» за «одностороннее прекращение контртеррористической операции». ^[5]^[6]^[7]
Эпическое достижение: ошибки RCE на стороне сервера Windows Юки Чена
Самый эпический провал: сотрудник HackerOne пойман на краже отчетов об уязвимостях в личных целях
Лучшая ошибка на рабочем столе: Пьетро Боррелло, Андреас Коглер, Мартин Шварцль, Мориц Липп, Дэниел Грусс, Майкл Шварц за архитектурную утечку данных из микроархитектуры
Самое инновационное исследование: Пьетро Боррелло, Мартин Шварцль, Мориц Липп, Дэниел Грусс, Майкл Шварц за «Специальный процессор: отслеживание и исправление микрокода Intel Atom».
Лучшая криптографическая атака: Hertzbleed: превращение мощных атак по побочным каналам в удаленные атаки по времени на x86, авторы: Иньчен Ван, Риккардо Пакканелла, Элизабет Тан Хе, Ховав Шачам, Кристофер Флетчер, Дэвид Колбреннер
Лучшая ошибка удаленного выполнения кода: KunlunLab для удаленного выполнения кода во время выполнения RPC для Windows ( CVE — 2022-26809 )
Лучшая ошибка повышения привилегий: Кидан Хе из Dawnslab, Mystique in the House: The Droid Vulnerability Chain, которому принадлежит все ваше пользовательское пространство.
Лучшая мобильная ошибка: FORCEDENTRY
Самое недооцененное исследование: Янней Ливне за подделку IP с помощью IPIP

2021

Самый неудачный ответ поставщика: Cellebrite за ответ Мокси , создателю Signal, который провел реверс-инжиниринг своего UFED и сопутствующего программного обеспечения и сообщил об обнаруженном эксплойте. ^[8]^[9]
Эпическое достижение: Ильфак Гуильфанов в честь . 30-летия IDA
Лучший баг повышения привилегий: Барон Самедит из Qualys , за обнаружение эксплойта 10-летней давности в sudo .
Лучшая песня: «Песня-вымогатель» Форреста Бразила ^[10]
Лучшая ошибка на стороне сервера: Оранж Цай за обнаружение поверхности атаки на Microsoft Exchange Server ProxyLogon . ^[11]
Лучшая криптографическая атака: АНБ за раскрытие ошибки при проверке подписей в Windows, которая нарушает цепочку доверия сертификатов. ^[12]
Самое инновационное исследование: Энес Гёкташ, Каве Разави, Георгиос Портокалидис, Герберт Бос и Кристиано Джуффрида из VUSec за исследование атаки «слепой стороны». ^[13]
Самый эпический провал: Microsoft за неспособность исправить PrintNightmare . ^[14]
Лучшая ошибка на стороне клиента: обнаружение Гуннаром Алендалем переполнения буфера в защищенном чипе Samsung Galaxy S20 . ^[15]
Самое недооцененное исследование: исследовательская группа Qualys для 21Nails , ^[16] 21 уязвимость в Exim , самом популярном почтовом сервере Интернета. ^[17]

2020

Лучшая ошибка на стороне сервера: BraveStarr (CVE-2020-10188) — удаленный эксплойт telnetd для netkit Fedora 31 ( Рональд Хейзер )
Лучшая ошибка повышения привилегий: checkm8 — постоянный неисправимый эксплойт USB-бутрома для миллиарда устройств iOS. ( акси0мХ )
Эпическое достижение: «Удаленное рутирование современных устройств Android» ( Гуан Гун )
Лучшая криптографическая атака: уязвимость Zerologon ( Том Терворт , CVE-2020-1472)
Лучшая ошибка на стороне клиента: RCE на телефонах Samsung через MMS (CVE-2020-8899 и -16747), атака удаленного выполнения с нулевым щелчком мыши. ( Матеуш Юрчик )
Самое недооцененное исследование: уязвимости в режиме управления системой (SMM) и технологии доверенного выполнения (TXT) (CVE-2019-0151 и -0152) ( Габриэль Негрейра Барбоза, Родриго Рубира Бранко, Джо Сихула )
Самое инновационное исследование: TRRespass: Когда производители памяти говорят вам, что их чипы не защищены от молотков, это не так. ( Пьетро Фриго, Эмануэле Ванначчи, Хасан Хасан, Виктор ван дер Вин, Онур Мутлу, Криштиану Джуффрида, Херберт Бос, Каве Разави )
Самый эпический провал: Microsoft ; для реализации подписей на основе эллиптической кривой , которые позволяли злоумышленникам генерировать частные пары для открытых ключей любого подписывающего лица, что позволяло использовать HTTPS и подделку подписанных двоичных файлов. (CVE-2020-0601)
Лучшая песня: Powertrace Ребекки Айгнер, Даниэля Грусса, Мануэля Вебера, Морица Липпа, Патрика Радкола, Андреаса Коглера, Марии Эйхльзедер, ЭльТонно, Tunfish, Юки и Катер
Самый неудачный ответ поставщика: Дэниел Дж. Бернштейн (CVE-2005-1513)

2019

Лучшая ошибка на стороне сервера: Оранж Цай и Ме Чанг за исследование SSL VPN. ^[18]
Самое инновационное исследование: векторизованная эмуляция ^[19] Брэндон Фальк
Лучшая криптографическая атака: \m/ Dr4g0nbl00d \m/ ^[20] Мэттью Ванхуф, Эяль Ронен
Плоский ответ поставщика: Bitfi
Самая разрекламированная ошибка: обвинения в Supermicro аппаратных бэкдорах , Bloomberg
Самая недооцененная ошибка: Thrangrycat ( Джатин Катария, Red Balloon Security )

2018

Самое инновационное исследование: Spectre ^[21]/ Крах ^[22] ( Пауль Кохер, Ян Хорн, Андерс Фог, Даниэль Генкин, Дэниэл Грусс, Вернер Хаас, Майк Гамбург, Мориц Липп, Стефан Мангард, Томас Прешер, Михаэль Шварц, Юваль Яром )
Лучшая ошибка повышения привилегий: Spectre ^[21]/ Крах ^[22] ( Пауль Кохер, Ян Хорн, Андерс Фог, Даниэль Генкин, Дэниэл Грусс, Вернер Хаас, Майк Гамбург, Мориц Липп, Стефан Мангард, Томас Прешер, Михаэль Шварц, Юваль Яром )
Жизненные достижения: Михал Залевский
Лучшая криптографическая атака: РОБОТ — возвращение угрозы Oracle Бляйхенбахера ^[23] Ханно Бёк, Юрай Соморовски, Крэйг Янг
Самый неудачный ответ продавца: аппаратный криптокошелек Bitfi, после того как «невзламываемое» устройство было взломано для извлечения ключей, необходимых для кражи монет, и рутирования для игры в Doom . ^[24]

2017

Эпическое достижение: Федерико Бенто за исправление ioctl-атаки TIOCSTI.
Самое инновационное исследование: ASLR на кону ^[25] Бен Грас, Каве Разави, Эрик Босман, Херберт Бос, Криштиану Джуффрида
Лучшая ошибка повышения привилегий: DRAMMER ^[26] Виктор ван дер Вин, Яник Фратантонио, Мартина Линдорфер, Дэниэл Грусс, Клементина Морис, Джованни Винья, Герберт Бос, Каве Разави, Криштиану Джуффрида
Лучшая криптографическая атака: первое столкновение для полного SHA -1 Марк Стивенс, Эли Бурштейн, Пьер Карпман, Анж Альбертини, Ярик Марков
Самый неудачный ответ поставщика: Леннарт Поеттеринг — за неправильную работу с уязвимостями безопасности, наиболее впечатляющую работу над многочисленными критическими Systemd. ошибками ^[27]
Лучшая песня: Hello (From the Other Side) ^[28] - Мануэль Вебер, Михаэль Шварц, Дэниэл Грусс, Мориц Липп, Ребекка Айгнер

2016

Самое инновационное исследование: Dedup Est Machina: дедупликация памяти как перспективный вектор эксплуатации ^[29] Эрик Босман, Каве Разави, Херберт Бос, Криштиану Джуффрида
Прижизненные достижения: Пейтер Затко, он же Мадж
Лучшая криптографическая атака: атака DROWN ^[30] Нимрод Авирам и др.
Лучшая песня: Cyberlier ^[31] - Кэти Муссурис

2015

Список победителей от. ^[32]

Лучшая серверная ошибка: множественные уязвимости сжатия SAP LZC LZH, Мартин Галло
Лучшая ошибка на стороне клиента: будет ли она смешаться?, ^[33] Матеуш j00ru Юрчик
Лучшая ошибка повышения привилегий: Повышение привилегий UEFI SMM, ^[34] Кори Калленберг
Самое инновационное исследование: несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике ^[35] Адриан Дэвид и др.
Самый неудовлетворительный ответ поставщика: Blue Coat Systems (за блокировку Рафаэля Риго на SyScan 2015) презентации исследования
Самая разрекламированная ошибка: Shellshock (ошибка программного обеспечения) , Стефан Шазелас
Самый грандиозный провал: OPM — Управление по управлению персоналом США (за потерю данных о 19,7 миллионах претендентов на получение допуска правительства США).
Самое эпическое событие: Китай.
Лучшая песня: «Clean Slate» YTCracker.
Жизненные достижения: Томас Дюллиен, он же Хальвар Флейк

2014

Лучшая серверная ошибка: Heartbleed ( Нил Мехта и Codenomicon , CVE-2014-0160)
Лучшая ошибка на стороне клиента: уязвимость Google Chrome к произвольному чтению и записи в память ( Geohot , CVE-2014-1705)
Лучшая ошибка повышения привилегий: уязвимость висячего указателя AFD.sys ( Себастьян Апельт , CVE-2014-1767); победитель Pwn2Own 2014.
Самые инновационные исследования: извлечение ключей RSA с помощью акустического криптоанализа с низкой пропускной способностью ( Дэниел Генкин, Ади Шамир, Эран Тромер ); извлекайте ключи дешифрования RSA с ноутбуков в течение часа, используя звуки, генерируемые компьютером.
Самый неудачный ответ поставщика: удаленное администрирование AVG небезопасно «по замыслу» ( AVG )
Лучшая песня: «The SSL Smiley Song» ( 0xabad1dea )
Самый эпический провал: Goto Fail ( Apple Inc. )
Эпическое создание: Mt. Gox ( Марк Карпелес )

2013

Лучшая ошибка на стороне сервера: Ruby on Rails YAML ( CVE-2013-0156 ) Бен Мерфи
Лучшая ошибка на стороне клиента: Adobe Reader переполнение буфера и выход из песочницы ( CVE-2013-0641 ) Неизвестно
Лучшая повышения привилегий ошибка : неполный обход кода кода iOS и уязвимости ядра ( CVE-2013-0977 , CVE-2013-0978 , CVE-2013-0981 ) Дэвид Ванг, он же Planetbeing, и команда evad3rs
Самое инновационное исследование: выявление и использование условий гонки ядра Windows с помощью шаблонов доступа к памяти ^[36] Матеуш "j00ru" Юрчик, Гюнваэль Колдвинд
Лучшая песня: «All the Things» Dual Core
Самый эпический провал: Nmap : Интернет считается вредным - DARPA проверка выводов Kludge Scanning Hakin9 ^[37]
Epic 0wnage: Совместная награда Эдварду Сноудену и АНБ
Жизненные достижения: Барнаби Джек

2012

Награду за лучшую ошибку на стороне сервера получил Сергей Голубчик за MySQL ошибку обхода аутентификации . ^[38]^[39] Две награды за лучшую клиентскую ошибку получили Сергей Глазунов и Пинки Пай за недостатки Google Chrome, представленные в рамках конкурса Google Pwnium . ^[38]^[40]

Награду за лучшую ошибку повышения привилегий получил Матеуш Юрчик («j00ru») за уязвимость в Windows ядре , которая затронула все 32-битные версии Windows. ^[38]^[39] Награда за самые инновационные исследования досталась Трэвису Гудспиду за способ отправки сетевых пакетов , которые могли бы вводить дополнительные пакеты. ^[38]^[39]

Награду за лучшую песню получила «Control» - рэпера ботаника Dual Core . ^[38] Новая категория награды, «Tweetie Pwnie Award» за то, что у нее больше подписчиков в Твиттере , чем у судей, была вручена MuscleNerd из команды разработчиков iPhone как представителю сообщества джейлбрейкеров iOS . ^[38]

Награда за «самый грандиозный провал» была вручена Metasploit создателем HD Moore компании F5 Networks за проблему со статическим корневым ключом SSH , а награду принял сотрудник F5, что необычно, поскольку победитель в этой категории обычно не принимает награду на церемония. ^[38]^[40] Среди других номинантов были LinkedIn (за утечку данных, раскрывающую хэши паролей ) и антивирусную индустрию (за неспособность обнаружить такие угрозы, как Stuxnet , Duqu и Flame ). ^[39]

Награду за «эпическую 0wnage» получила компания Flame за MD5 коллизионную атаку . ^[40] признав его сложной и серьезной вредоносной программой, которая ослабила доверие к системе Центра обновления Windows . ^[39]

2011

Лучшая серверная ошибка: ASP.NET Framework Padding Oracle ( CVE-2010-3332 ) Джулиано Риццо, Тай Дуонг ^[2]
Лучшая ошибка на стороне клиента: FreeType уязвимость в iOS ( CVE-2011-0226 ) Comex ^[2]^[41]
Лучшая ошибка повышения привилегий : уязвимости обратного вызова пользовательского режима Win32k ядра Windows ^[42] ( MS11-034 ) Тарьей Мандт ^[41]
Самое инновационное исследование: защита ядра с помощью статической двоичной перезаписи и управления программами ^[43] Петр Баня ^[41]
Пожизненные достижения: pipacs/ PaX команда ^[41]
Самый резкий ответ поставщика: RSA SecurID компрометация токена RSA ^[41]
Лучшая песня: «[The Light It Up Contest]» Geohot ^[2]^[41]
Самый эпический провал: Sony ^[2]^[41]
Pwnie для Epic 0wnage: Stuxnet ^[2]^[41]

2010

Лучшая серверная ошибка: Apache Struts2 удаленное выполнение кода платформы ( CVE-2010-1870 ) Медер Кыдыралиев
Лучшая клиентская ошибка: Java цепочка доверенных методов ( CVE-2010-0840 ), Сами Койву
Лучшая ошибка повышения привилегий: Windows NT #GP Trap Handler ( CVE-2010-0232 ) Тэвис Орманди
Самое инновационное исследование: вывод Flash Pointer и JIT Spraying ^[44] Дионис Блазакис
Самый неудачный ответ поставщика: LANrev удаленное выполнение кода Absolute Software
Лучшая песня: « Pwned — 1337 издание » Dr. Raid и Heavy Pennies
Самый эпический провал: Microsoft Internet Explorer 8 XSS -фильтр

2009

Лучшая ошибка на стороне сервера: FWD в Linux SCTP повреждение фрагмента памяти ( CVE — 2009-0065 ) Дэвид 'DK2' Ким
Лучшая ошибка повышения привилегий: Linux udev Netlink Message Escalation ( CVE — 2009-1185 ) Себастьян Крамер
Лучшая ошибка на стороне клиента: msvidctl.dll Переполнение буфера стека MPEG2TuneRequest ( CVE-2008-0015 ) Райан Смит и Алекс Уилер
Массовое распространение: с бэкдором Red Hat Networks пакеты OpenSSH ( CVE - 2008-3844 ) Аноним ^[1]
Лучшее исследование: «От 0 до 0 дня» на Symbian. Автор: Бернхард Мюллер.
Самый неудачный ответ поставщика: Linux «Постоянно предполагая, что все повреждения памяти ошибки ядра являются всего лишь отказом в обслуживании » Проект Linux ^[45]
Самая разрекламированная ошибка: MS08-067 Переполнение стека серверной службы NetpwPathCanonicalize() ( CVE - 2008-4250 ) Аноним ^[45]
Лучшая песня: Nice Report Doctor Raid
Самый эпический провал: взлом Твиттера и «облачный кризис» Twitter ^[1]
Награда за выдающиеся достижения: солнечный дизайнер ^[45]

2008

Лучшая ошибка на стороне сервера: уязвимость ядра Windows IGMP ( CVE-2007-0069 ) Алекс Уилер и Райан Смит
Лучшая ошибка на стороне клиента: многочисленные недостатки обработки протокола URL-адресов Нейт МакФетерс, Роб Картер и Билли Риос
Массовое распространение: невероятное количество WordPress уязвимостей
Самое инновационное исследование: Lest We Remember: Cold Boot Attacks на ключи шифрования (почетное упоминание удостоено Рольфа Роллеса за работу над виртуализации обфускаторами ) Дж. Алекс Халдерман , Сет Шон, Надя Хенингер , Уильям Кларксон, Уильям Пол, Джозеф Каландрино, Ариэль Фельдман , Рик Эстли, Джейкоб Аппелбаум, Эдвард Фельтен
Самый неудачный ответ поставщика: программа сертификации McAfee «Hacker Safe» ^[46]
Самая разрекламированная ошибка: уязвимость Дэна Камински, вызывающая отравление кэша DNS ( CVE-2008-1447 ). ^[46]
Лучшая песня: Packin' the K! от Лаборатории Касперского ^[46]
Самый эпический провал: в Debian ошибочная реализация OpenSSL ( CVE-2008-0166 )
Премия за заслуги перед жизнью: Тим Ньюшем

2007

Лучшая ошибка на стороне сервера: Solaris в telnetd эксплойт удаленного root-доступа ( CVE-2007-0882 ), Kingcope ^[47]
Лучшая ошибка на стороне клиента: исключений уязвимость необработанной цепочки фильтров ( CVE-2006-3648 ) skape & skywing ^[47]
Массовое использование: WMF SetAbortProc удаленное выполнение кода ( CVE-2005-4560 ) анонимное ^[47]
Самое инновационное исследование: временные обратные адреса, skape ^[47]
Самый неудачный ответ поставщика: OpenBSD IPv6 mbuf ядра переполнение буфера ( CVE-2007-1365 ) ^[47]
Самая разрекламированная ошибка: MacBook уязвимости Wi-Fi , Дэвид Мейнор ^[47]
Лучшая песня: Symantec Revolution, Symantec

Ссылки

^ Перейти обратно: ^а ^б ^с ^д Бьюли, Тейлор (30 июля 2009 г.). «Твиттер снова «нажали»» . Форбс . Архивировано из оригинала 16 февраля 2013 года . Проверено 3 января 2013 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г Саттер, Джон Д. (4 августа 2011 г.). «Sony получила от хакеров награду «эпический провал»» . CNN . Проверено 3 января 2013 г.
^ Некоторые из вас, возможно, уже знают, но из-за смягчающих обстоятельств мы присудили компенсацию досрочно!
^ Криптоанализ на основе видео: извлечение криптографических ключей из видеозаписи индикатора питания устройства
^ @PwnieAwards (10 августа 2022 г.). «Наша окончательная номинация на «самый неудачный ответ поставщика» достается: Google TAG за «одностороннее прекращение контртеррористической операции» » ( твит ) – через Twitter .
^ https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/
^ https://www.verdict.co.uk/googles-project-zero-shuts-down-western-counter-terrorist-hacker-team/?cf-view
^ Гудин, Дэн (21 апреля 2021 г.). «В эпическом взломе разработчик Signal изменил ситуацию с криминалистической фирмой Cellebrite» . Архивировано из оригинала 23 мая 2023 г.
^ Кокс, Джозеф; Франчески-Биккьерай, Лоренцо (27 апреля 2021 г.). «Cellebrite выпускает обновление после того, как владелец сигнала взломал устройство» . Архивировано из оригинала 11 мая 2023 г.
^ Бразил, Форрест. «Песня о вымогателях» . Ютуб . Архивировано из оригинала 21 декабря 2021 г. Проверено 9 августа 2021 г.
^ Цай, Оранжевый. «ProxyLogon — это лишь верхушка айсберга: новая поверхность атаки на сервер Microsoft Exchange!» . www.blackhat.com . Проверено 9 августа 2021 г.
^ «U/OO/104201-20 PP-19-0031 14.01.2020 Агентство национальной безопасности | Рекомендации по кибербезопасности 1. Исправление критической криптографической уязвимости в клиентах и серверах Microsoft Windows» (PDF) . Defense.gov . Проверено 9 августа 2021 г.
^ Гокташ, Энес; Разави, Каве; Портокалидис, Георгиос; Босс, Герберт; Джуффрида, Кристиан. «Спекулятивное зондирование: слепой взлом в эпоху призраков» (PDF) .
^ Кольсек, Митя. «Бесплатные микропатчи для уязвимости PrintNightmare (CVE-2021-34527)» . 0 Блог патчей . Проверено 9 августа 2021 г.
^ Алендаль, Гуннар. «Chip Chop — разбивание чипа безопасности мобильного телефона ради развлечения и цифровой криминалистики» . www.blackhat.com . Черная шляпа.
^ «21Nails: Множественные уязвимости в Exim» . qualys.com . Квалис . Проверено 9 августа 2021 г.
^ «Опрос E-Soft MX» . Securityspace.com . E-Soft Inc., 1 марта 2021 г. Проверено 21 марта 2021 г.
^ Цай, Оранжевый. «Проникновение в корпоративную интрасеть, как АНБ: предварительная аутентификация RCE на ведущих SSL VPN!» . www.blackhat.com . Проверено 7 августа 2019 г.
^ «Векторизованная эмуляция: аппаратное ускорение отслеживания ошибок со скоростью 2 триллиона инструкций в секунду» , Векторизованная эмуляция
^ «Dragonblood: анализ рукопожатия Dragonfly для WPA3 и EAP-pwd»
^ Перейти обратно: ^а ^б «Призрачные атаки: использование спекулятивного исполнения» , Spectre
^ Перейти обратно: ^а ^б «Крах» , «Крах »
^ "Возвращение угрозы Oracle Бляйхенбахера (РОБОТ)"
^ https://www.theregister.com/2018/08/31/bitfi_reluctantly_drops_unhackable_claim/
^ «Пуни за самые инновационные исследования» , Pwnie Awards
^ «Пуни за лучшую ошибку повышения привилегий» , Pwnie Awards
^ «Премия Pwnie 2017 за худший ответ продавца» , Pwnie Awards
^ Привет (с другой стороны) Мануэль Вебер, Михаэль Шварц, Дэниел Грусс, Мориц Липп, Ребекка Айгнер
^ «Dedup Est Machina: дедупликация памяти как вектор расширенного использования» , Эрик Босман и др.
^ «DROWN: Взлом TLS с использованием SSLv2» Нимрод Авирам и др.
^ Киберлайер Кэти Муссурис
^ https://www.darkreading.com/vulnerabilities-threats/-will-it-blend-earns-pwnie-for-best-client-bug-opm-for-most-epic-fail
^ https://j00ru.vexillium.org/slides/2015/recon.pdf
^ https://www.kb.cert.org/vuls/id/552286
^ «Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике» , Адриан Дэвид и др.
^ «Идентификация и использование условий гонки ядра Windows с помощью шаблонов доступа к памяти»
^ в 09:31, Джон Лейден, 5 октября 2012 г. «Эксперты троллят «крупнейший журнал по безопасности в мире» своими ДИКОВЫМИ заявлениями» . www.theregister.co.uk . Проверено 3 октября 2019 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г Инь, Сара (26 июля 2012 г.). «А ваши победители премии Pwnie Award 2012…» SecurityWatch . PCMag . Проверено 8 января 2013 г.
^ Перейти обратно: ^а ^б ^с ^д ^и Константин, Лукиан (26 июля 2012 г.). «Взлом обновления Windows от Flame получил награду Pwnie Award за Epic Ownage в Black Hat» . IDG-Новости-Сервис . ПКМир . Проверено 8 января 2013 г.
^ Перейти обратно: ^а ^б ^с Шон Майкл Кернер (25 июля 2012 г.). «Black Hat: Pwnie Awards Go to Flame за эпический успех и F5 за эпический провал» . ИнтернетНьюс.com . Проверено 8 января 2013 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час Шварц, Мэтью Дж. (4 августа 2011 г.). «Основные достижения премии Pwnie: эпический провал Sony и многое другое» . Информационная неделя . Проверено 3 января 2013 г.
^ «Атаки на ядро через обратные вызовы в пользовательском режиме»
^ «Защита ядра посредством статической двоичной перезаписи и управления программами»
^ "Вывод указателя эксплуатации интерпретатора и JIT-распыление"
^ Перейти обратно: ^а ^б ^с Браун, Боб (31 июля 2009 г.). «Twitter, Linux, Red Hat, Microsoft «удостоены» премии Pwnie Awards» . СетьМир. Архивировано из оригинала 5 августа 2009 года . Проверено 3 января 2013 г.
^ Перейти обратно: ^а ^б ^с Наоне, Эрика (7 августа 2008 г.). «Награды Pwnie от Black Hat» . Обзор технологий Массачусетского технологического института . Проверено 3 января 2013 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж Нарейн, Райан (2 августа 2007 г.). «Команда OpenBSD высмеяла первую в истории награду Pwnie» . ЗДНет. Архивировано из оригинала 17 февраля 2013 года . Проверено 3 января 2013 г.

Внешние ссылки

Премия Пуни

[forbes-twitter-1] Перейти обратно: ^а ^б ^с ^д Бьюли, Тейлор (30 июля 2009 г.). «Твиттер снова «нажали»» . Форбс . Архивировано из оригинала 16 февраля 2013 года . Проверено 3 января 2013 г.

[cnn-sony-2] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г Саттер, Джон Д. (4 августа 2011 г.). «Sony получила от хакеров награду «эпический провал»» . CNN . Проверено 3 января 2013 г.

[3] Некоторые из вас, возможно, уже знают, но из-за смягчающих обстоятельств мы присудили компенсацию досрочно!

[4] Криптоанализ на основе видео: извлечение криптографических ключей из видеозаписи индикатора питания устройства

[5] @PwnieAwards (10 августа 2022 г.). «Наша окончательная номинация на «самый неудачный ответ поставщика» достается: Google TAG за «одностороннее прекращение контртеррористической операции» » ( твит ) – через Twitter .

[6] ttps://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/

[7] ttps://www.verdict.co.uk/googles-project-zero-shuts-down-western-counter-terrorist-hacker-team/?cf-view

[8] Гудин, Дэн (21 апреля 2021 г.). «В эпическом взломе разработчик Signal изменил ситуацию с криминалистической фирмой Cellebrite» . Архивировано из оригинала 23 мая 2023 г.

[9] Кокс, Джозеф; Франчески-Биккьерай, Лоренцо (27 апреля 2021 г.). «Cellebrite выпускает обновление после того, как владелец сигнала взломал устройство» . Архивировано из оригинала 11 мая 2023 г.

[10] Бразил, Форрест. «Песня о вымогателях» . Ютуб . Архивировано из оригинала 21 декабря 2021 г. Проверено 9 августа 2021 г.

[11] Цай, Оранжевый. «ProxyLogon — это лишь верхушка айсберга: новая поверхность атаки на сервер Microsoft Exchange!» . www.blackhat.com . Проверено 9 августа 2021 г.

[12] «U/OO/104201-20 PP-19-0031 14.01.2020 Агентство национальной безопасности | Рекомендации по кибербезопасности 1. Исправление критической криптографической уязвимости в клиентах и серверах Microsoft Windows» (PDF) . Defense.gov . Проверено 9 августа 2021 г.

[13] Гокташ, Энес; Разави, Каве; Портокалидис, Георгиос; Босс, Герберт; Джуффрида, Кристиан. «Спекулятивное зондирование: слепой взлом в эпоху призраков» (PDF) .

[14] Кольсек, Митя. «Бесплатные микропатчи для уязвимости PrintNightmare (CVE-2021-34527)» . 0 Блог патчей . Проверено 9 августа 2021 г.

[15] Алендаль, Гуннар. «Chip Chop — разбивание чипа безопасности мобильного телефона ради развлечения и цифровой криминалистики» . www.blackhat.com . Черная шляпа.

[16] «21Nails: Множественные уязвимости в Exim» . qualys.com . Квалис . Проверено 9 августа 2021 г.

[17] «Опрос E-Soft MX» . Securityspace.com . E-Soft Inc., 1 марта 2021 г. Проверено 21 марта 2021 г.

[18] Цай, Оранжевый. «Проникновение в корпоративную интрасеть, как АНБ: предварительная аутентификация RCE на ведущих SSL VPN!» . www.blackhat.com . Проверено 7 августа 2019 г.

[19] «Векторизованная эмуляция: аппаратное ускорение отслеживания ошибок со скоростью 2 триллиона инструкций в секунду» , Векторизованная эмуляция

[20] «Dragonblood: анализ рукопожатия Dragonfly для WPA3 и EAP-pwd»

[spectreattack.com-21] Перейти обратно: ^а ^б «Призрачные атаки: использование спекулятивного исполнения» , Spectre

[Meltdown-22] Перейти обратно: ^а ^б «Крах» , «Крах »

[23] "Возвращение угрозы Oracle Бляйхенбахера (РОБОТ)"

[24] ttps://www.theregister.com/2018/08/31/bitfi_reluctantly_drops_unhackable_claim/

[25] «Пуни за самые инновационные исследования» , Pwnie Awards

[26] «Пуни за лучшую ошибку повышения привилегий» , Pwnie Awards

[27] «Премия Pwnie 2017 за худший ответ продавца» , Pwnie Awards

[28] Привет (с другой стороны) Мануэль Вебер, Михаэль Шварц, Дэниел Грусс, Мориц Липп, Ребекка Айгнер

[29] «Dedup Est Machina: дедупликация памяти как вектор расширенного использования» , Эрик Босман и др.

[30] «DROWN: Взлом TLS с использованием SSLv2» Нимрод Авирам и др.

[31] Киберлайер Кэти Муссурис

[32] ttps://www.darkreading.com/vulnerabilities-threats/-will-it-blend-earns-pwnie-for-best-client-bug-opm-for-most-epic-fail

[33] ttps://j00ru.vexillium.org/slides/2015/recon.pdf

[34] ttps://www.kb.cert.org/vuls/id/552286

[35] «Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике» , Адриан Дэвид и др.

[36] «Идентификация и использование условий гонки ядра Windows с помощью шаблонов доступа к памяти»

[37] в 09:31, Джон Лейден, 5 октября 2012 г. «Эксперты троллят «крупнейший журнал по безопасности в мире» своими ДИКОВЫМИ заявлениями» . www.theregister.co.uk . Проверено 3 октября 2019 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )

[pcmag-yin-38] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г Инь, Сара (26 июля 2012 г.). «А ваши победители премии Pwnie Award 2012…» SecurityWatch . PCMag . Проверено 8 января 2013 г.

[pcworld-constantin-39] Перейти обратно: ^а ^б ^с ^д ^и Константин, Лукиан (26 июля 2012 г.). «Взлом обновления Windows от Flame получил награду Pwnie Award за Epic Ownage в Black Hat» . IDG-Новости-Сервис . ПКМир . Проверено 8 января 2013 г.

[internetnews-kerner-40] Перейти обратно: ^а ^б ^с Шон Майкл Кернер (25 июля 2012 г.). «Black Hat: Pwnie Awards Go to Flame за эпический успех и F5 за эпический провал» . ИнтернетНьюс.com . Проверено 8 января 2013 г.

[informationweek-sony-41] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час Шварц, Мэтью Дж. (4 августа 2011 г.). «Основные достижения премии Pwnie: эпический провал Sony и многое другое» . Информационная неделя . Проверено 3 января 2013 г.

[42] «Атаки на ядро через обратные вызовы в пользовательском режиме»

[43] «Защита ядра посредством статической двоичной перезаписи и управления программами»

[44] "Вывод указателя эксплуатации интерпретатора и JIT-распыление"

[networkworld-honored-45] Перейти обратно: ^а ^б ^с Браун, Боб (31 июля 2009 г.). «Twitter, Linux, Red Hat, Microsoft «удостоены» премии Pwnie Awards» . СетьМир. Архивировано из оригинала 5 августа 2009 года . Проверено 3 января 2013 г.

[technologyreview-pwnie-46] Перейти обратно: ^а ^б ^с Наоне, Эрика (7 августа 2008 г.). «Награды Pwnie от Black Hat» . Обзор технологий Массачусетского технологического института . Проверено 3 января 2013 г.

[zdnet-openbsd-47] Перейти обратно: ^а ^б ^с ^д ^и ^ж Нарейн, Райан (2 августа 2007 г.). «Команда OpenBSD высмеяла первую в истории награду Pwnie» . ЗДНет. Архивировано из оригинала 17 февраля 2013 года . Проверено 3 января 2013 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]