安全奥斯卡(Pwnie Awards 2016)获奖名单

这是一场有关“精彩极了”和“糟糕透了”的安全评选活动,历经10年的安全界奥斯卡这一次又会为我们呈现怎样的精彩…

关于Pwnie Awards

“Pwnie Awards”奖被誉为全球黑客奥斯卡,始创于2007年,到现在已有10届了(包含本年度)。 主要为有重大和突出研究成果的信息安全工作者设立的奖项。对于全球范围内的信息安全工作者来说,获得“Pwnie Awards”奖提名意味着其研究成果具有世界范围的影响力。

Pwnie Awards获奖名单

经过专家小组投票,今年信息安全行业的Pwnie Awards获奖名单如下:

1. 最佳服务器端漏洞奖

该奖项授予了技术最先进、最有趣的服务器端漏洞,它包括无需用户行为的远程访问软件漏洞等。

获奖者:思科ASA IKEv1/IKEv2碎片堆缓冲区溢出漏洞(Cisco ASA IKEv1/IKEv2 Fragmentation Heap Buffer Overflow)(CVE-2016-1287)。

荣誉归属者:David Barksdale,Jordan Gruskovnjak以及Alex Wheeler;

Cisco ASA Software的IKEv1及IKEv2代码中存在安全漏洞,未经身份验证的远程攻击者发送精心构造的UDP数据包到受影响系统,可造成受影响系统重载或远程执行代码。

此漏洞源于受影响代码区域的缓冲区溢出,由来自Exodus Intelligence的团队成员发现。

2. 最佳客户端漏洞奖

该奖项主要授予那些创造出或利用最先进的技术发现客户端漏洞的研究团队。

获奖者:glibc getaddrinfo栈缓冲区溢出漏洞(glibc getaddrinfo stack-based buffer overflow) (CVE-2015-7547)。

荣誉归属者:Fermin J. Serna;

该漏洞主要由Google的安全研究团队披露的,其漏洞成因在于DNS Server Response返回过量的(2048)字节,会导致接下来的response触发栈溢出。

攻击者可以借助特制的域名、DNS服务器或中间人攻击利用该漏洞,控制软件,并试图控制整个系统。

3. 最佳权限提升漏洞奖

该奖项为设法找到独创性方式将简单的漏洞利用提升至系统级执行的安全研究员而设立的。

获奖者:Widevine QSEE TrustZone权限提升漏洞(Widevine QSEE TrustZone Privilege Escalation) (CVE-2015-6639)。

荣誉归属者: laginimaineb;

一个从0到TrustZone的提权漏洞——Widevine QSEE TrustZone权限提升漏洞, 主要存在于Android 5.1.1 LMY49F之前的5.x版本、2016-01-01之前的6.0版本中。

这些版本中的Trustzone应用在实现上存在安全漏洞。远程攻击者利用构造的应用,可获取提升的权限。

4. 最佳加密攻击奖(2016新设奖项)

该奖项是2016年新设奖项,主要授予研发出最具活力、最具实效性的加密攻击方法的研究团队 。

获奖者:SSLv2加密攻击(又名“DROWN 攻击”) (CVE-2016-0800)。

荣誉归属者:Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Kasper, Shaanan Cohney, Susanne Engels, Christof Paar 以及Yuval Shavitt;

“溺水”漏洞在去年十二月份被发现,OpenSSL官方发布的3月安全公告中被公开。

通过该漏洞,攻击者可以发起“中间人劫持攻击”窃取被HTTPS加密的会话内容,包括雅虎,阿里巴巴,微博,Flicker,百度,奇虎360等大型网站在内,预计全球超过33%的网站受此漏洞影响。

5. 最佳后门奖(2016新设奖项)

该奖项为2016年新增奖项,旨在表彰开发出最有趣和最具影响力的后门研究人员。

获奖者:Juniper后门(CVE-2015-7755和CVE-2015-7756)。

荣誉归属者:中国信息对抗中心(Chinese Information Operations & Information Warfare Center);

2015年末,Juniper 网络公司发表声明,称 NetScreen 与 Juniper SSG 防火墙产品使用的操作系统 Juniper ScreenOS 中发现两个高危漏洞:CVE-2015-7755 和 CVE-2015-7756。

前者为Juniper ScreenOS 中的一个身份认证绕过漏洞,后者为设备 VPN 加密伪随机密钥可被破解的漏洞。

6. 最佳垃圾或特技攻击奖(2016新设奖项)

该奖项为新增奖项,主要颁给制造了最为惧、惑、疑(FUD)的安全事件的研究人员、公关团队以及记者们。

获奖者:黑客高速路上远程黑掉吉普(Remotely Killing a Jeep on the Highway)。

荣誉归属者:Charlie Miller 和Chris Valasek;

这一备受瞩目的演示直接导致Chrysler召回了140万辆汽车,力争尽快修复Charlie和Chris所提出的安全漏洞。

最重要的是,他也提醒了如此高昂的汽车应该配备相应的,能够保持智能车辆系统安全的解决方案是非常必要和需要认真考虑的。

7. 最佳品牌奖

该奖项颁给花精力解释并行销安全漏洞的公司

获奖者:Mousejack无线键盘注入漏洞;

荣誉归属者:Marc Newlin,Bastile公司的威胁研究团队;

Bastile公司的威胁研究团队成功发现了这一针对蓝牙键盘鼠标的攻击,称为“ Mousejack ”。MouseJack是一组影响非蓝牙无线键鼠的安全漏洞集合,攻击者可以在百米远的地方向受害计算机输入任意类型的指令。

该团队制作了3分钟的视频,并通过自身的营销团队将相关概念推送给新闻媒体,展示了其研究成果。

8. 最史诗级成就奖(2016新设奖项)

此奖项也是今年的新奖项,主要授予取得前所未见研究成果的研究人员。

获奖者:Never Giving Up and Letting Us Down (CVE-2000-A-BUNCH-OF-THEM);

荣誉归属者:Tavis Ormandy(去年入侵几乎所有的杀毒程序);

“零日漏洞查杀”专家Tavis Ormandy,就职于谷歌的信息安全工程师,因发现众多软件中的大量重要0day漏洞而知名。其创新思维和研究成果是罕有人及的,我们只想告诉 Tavis我们对他的肯定和认可,要让他明白…

9. 最具创新研究奖

该奖项主要授予在重要安全会议上,发表过最有趣和创新的研究论文的研究团队,无论其研究在实践中实用与否。

Dedup Est Machina:内存删除技术即高级开发媒介(Memory Deduplication as an Advanced Exploitation Vector)。

荣誉归属者: Erik Bosman,Kaveh Razavi,Herbert Bos以及Cristiano Guiffrida;

该成果由电气和电子工程师协会( IEEE)发表,研究人员展示,控制内存数据排列和再利用的攻击者可以执行逐字节披露敏感数据,例如随机64位指针。该研究成果对此前未知的有关重复数据删除漏洞进行了详细分析。

10. 最烂响应厂商奖

该奖项主要授予对安全事件响应最糟糕的供应商。

获奖者:西部数码移动硬盘驱动;

荣誉归属者:WD(西部数据);

当西部数据的移动硬盘驱动器发生严重漏洞时,该公司只会表示“将继续评估观察”,而不是像大多数正常的高科技公司一样及时发布安全修复措施。所以,最差响应的名号就非WD莫属喽….

11. 名不副实漏洞奖

该奖项主要授予第一个发现漏洞并利用互联网大肆炒作的人。安全漏洞被大量媒体炒作发酵,其实际危害也常常被夸大。

获奖者:Badlock (CVE-2016-0128)。

荣誉归属者:Stefan Metzmacher;

International Samba Core Team成员Stefan Metzmacher发现Microsoft Windows平台和Samba服务软件中存在的一个严重等级的安全漏洞,将其命名为BadLock,该漏洞随后在Twitter及其他媒体中被炒作夸大。

12. 最佳歌曲奖

没有“最佳歌曲奖”的颁奖典礼是不完整的。

获奖歌曲:Cyberlier

荣誉归属者: Katie Moussouris

Sia的“Chandelier”封面是以Kiwicon 2015大会为主题的,音乐与激情的舞蹈及耀眼的烟火相结合,诠释围绕着网络战而带来的地缘政治紧张问题。

13. 史诗级失败奖

很奇怪,这个奖项难倒了评审组。好像每个人在过去的一年都取得了成功,即使不是这样,也说明没有差到这种程度的可以入选这一奖项,也是可喜可贺。

14. 终身成就奖:Mudge

该奖项主要授予在职业生涯中用其最全面、专业的安全知识奉献安全事业的突出人物。

获奖者:绰号“Mudge”的Peiter C. Zatko;

Zatk是长期从事漏洞研究的教育家、影响者,世界著名黑客小组CDC成员,同时,他也是“黑客智囊团”L0pht的成员,在2010年加入美国国防部的研究部门,主要的工作是帮助政府机构抵御网络攻击。

15. 最具广泛影响奖(Epic 0wnage奖)

该奖项颁给对公司或产品造成最具严重影响的研究人员或安全漏洞 。

获奖者:Juniper后门。

荣誉归属者:一些Bad Ass Motherfuckers(糙话,自行理解)

最后,再次恭喜Juniper在今年的Pwine Awards上二次上榜….

*原文链接:darkreading*、米雪儿编译,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

FBI逮捕一名中国黑客:称其贩卖恶意软件,入侵美国人事管理办公室

近日,美国FBI逮捕了一名中国公民,FBI宣称他参与的黑客组织曾成功入侵美国人事管理办公室(OPM)。这名黑客名为于平安(Yu Pingan,音译),来自中国上...

38211
来自专栏FreeBuf

第一起 | 国内恶意软件用伪基站传播Android恶意软件

根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。 ? 这是恶意软件开发者使用基站传播恶意软件的第一起案...

26010
来自专栏嵌入式程序猿

你的蜂鸣器是有源的还是无源的?

蜂鸣器和LED在嵌入式开发中经常用来做声光报警输出,LED比较简单,蜂鸣器在驱动的时候要注意区分是有源蜂鸣器还是无源蜂鸣器,有源蜂鸣器驱动比较简...

4665
来自专栏黑白安全

阿里安全协助警方打掉最新型DDoS网络攻击平台

【摘要】图说:阿里协助景宁警方打掉国内首个从事新型DDoS攻击的网络黑灰团伙利用少量带宽即可发起巨量DDoS攻击,让政府问政通道无法正常访问,让学校网页无法下发...

2326
来自专栏FreeBuf

瑞星2016年中国信息安全报告

免责声明 本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2...

3706
来自专栏域名资讯

上市公司*ST华泽官网打不开,域名已被挂出售卖

深交所主板上市公司*ST华泽(000693,SZ)的官网已打不开,公司称因欠费遭暂停。

2287
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-18银企对账-供应商付款-转账-FB60过帐供应商发票

4.6 银行对账单-供应商付款-银行转账 记账凭证如下: 1、FB60过账供应商发票: 借:办公费用 应交增值税进项税金 贷:应付账款 2、F...

4098
来自专栏腾讯游戏云的专栏

一个域名引发的血案……

6月29日凌晨,无数球迷正放下小龙虾、握紧啤酒杯,屏气凝神观看三狮军团英格兰鏖战欧洲红魔比利时。

67613
来自专栏大数据文摘

【安全】“心脏出血”漏洞一周年全球普查

2043
来自专栏安恒信息

2014前网民有必要知道的十大网络威胁(下)

五、GSM(2G)短信可能被监听   这事2013年之前几乎没人知道,其实国内运营商对部分地区的GSM制式的数据通信没有加密,黑客可以监听自己所在基站覆盖范围内...

2765

扫码关注云+社区

领取腾讯云代金券