Pwnie Awards 2017: достижения, ошибки и глупости в сфере информационной безопасности

В конце июля, на конференции Black Hat в Лас-Вегасе, вручали премию Pwnie Awards ^[1]. Дают эту награду либо тем, кто сделал невероятную глупость в области информационной безопасности, отличился некомпетентностью, либо тем, кто что-то красиво, громко и весело взломал, или обнаружил что-то очень интересное. Учитывая специфику премии, вполне ожидаемо то, что далеко не все лауреаты поспешили подняться на сцену за ярко раскрашенной статуэткой пони. Государственные чиновники, представители разведывательных организаций и производители программного обеспечения обычно не склонны признавать свои ошибки.

^[2]

Премия разделена на несколько номинаций. Победителей выбирают, путём голосования, представители сообщества хакеров.

Награда за лучшую серверную ошибку досталась Equation Group ^[3], группе которую связывают с АНБ. Эксплойты Equation для Windows SMB в этом году попали в сеть после того, как их украли хакеры из Shadow Brokers. Эти инструменты были нацелены на три серьёзные уязвимости (CVE-2017-0143, 0144, 0145), и позже были использованы во вредоносных программах, включая WannaCrypt ^[4], для взлома систем по всему миру. Это принудило Microsoft выпустить патчи для устаревших ОС, закрывающие уязвимости.

Представители спецслужб США на церемонии вручения наград не появились, то же самое можно сказать и о делегатах от других государств. Так, награда за самый массовый взлом разделена между Северной Кореей (за создание группы Shadow Brokers) и Россией (за эпидемию WannaCry).

Между тем, премьер-министр Австралии Малкольм Тернбулл удостоился высшей награды в номинации «самый большой провал». Он заявил, что законы Австралии имеют преимущество перед законами математики. Австралийскому лидеру сказали о том, что невозможно обойти системы шифрования для целей борьбы с террористами и не лишить шифрования всех остальных. На это он ответил, что может заверить собеседника в том, что в Австралии преимущество имеют законы Австралии. «Законы математики достойны одобрения, но единственный закон, который имеет силу в Австралии — это закон Австралии», — продолжил Малкольм Тернбулл. За это высказывание он и получил статуэтку пони, хотя соперники у него были очень сильные. Среди них — защищённый (но, на самом деле, содержащий уязвимость ^[5]) браузер от Лаборатории Касперского для iOS. Кроме того, сюда же попал новостной ресурс The Intercept, после неосторожной публикации которого была задержана Reality Winner ^[6], предоставлявшая The Intercept секретную информацию.

Теперь, в двух словах, расскажем о других победителях.

Пони за лучшую ошибку в клиентском ПО получили Райан Хансон, Хайфей Ли, и другие исследователи, за раскрытие уязвимости CVE-2017-0199 ^[7], называемой ещё уязвимостью Microsoft OLE ^[8].

Награду за лучшую уязвимость, приводящую к повышению привилегий, получили Виктор ван дер Вин, Яник Фратантонио, и другие, за создание эксплойта Drammer ^[9] для rowhammer-атаки на оперативную память.

Приз за лучшую криптографическую атаку ушёл группе SHAttered ^[10] — Марку Стивенсу и другим.

В номинации «лучший бэкдор» победила компания MeDoc. Её система обновления ПО была взломана ^[11] и распространяла вирус-вымогатель NotPetya ^[12].

Приз за лучший брэндинг достаётся Ghostbutt ^[13] (CVE-2017-8291).

Награда за наиболее инновационное исследование ушла разработчикам нового способа обхода защиты ASLR ^[14].

Премию за жизненные достижения получил хакер FX из Phenoelit ^[15].

И, наконец, премия за самую неуклюжую реакцию разработчика досталась Леннарту Поттерингу, ведущему программисту systemd. Всё дело в его неоднозначном отношении к ошибкам в любимой всеми системе инициализации. А именно, речь идёт о следующих ошибках: 5998 ^[16], 6225 ^[17], 6214 ^[18], 5144 ^[19], и 6237 ^[20], подробнее о которой можно почитать тут ^[21].

Разыменование нулевых указателей, запись за пределы буфера, отсутствие поддержки полных имён доменов, выдача root-привилегий пользователям, имя которых начинается с цифры — всё это не слишком серьёзно. При исправлении подобных незначительных недостатков не нужно указывать присвоенные им CVE-номера, сведения об этом нет смысла включать в журнал изменений или даже в описания коммитов… Собственно говоря, за такое отношение к ошибкам и выдают награды на церемонии Pwnie Awards.

Уважаемые читатели! Кому и за какие заслуги вы вручили бы ярко раскрашенного пони?

Автор: RUVDS.com

Источник ^[22]