На проходящей в эти дни конференции Black Hat в Лас Вегасе состоялась (http://pwnies.com/winners/) церемония вручения наград Pwnie Awords, ежегодной премии, которой удостаиваются люди, сделавшие самые значимые, а также самые спорные открытия в области информационной безопасности. Pwnie Awords считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно начиная с 2007 года.
Всего в этом году было представлено восемь номинаций:-
Лучшая серверная ошибка
, победителем в которой становится человек, нашедший и использовавший наиболее технически сложную и интересную ошибку в сетевом сервисе. Среди конкурсантов были
- Matt Bergin, нашедший ошибку в Microsoft FTP server, позволяющую получить контроль над сервером (CVE-2010-3972 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3972)),
- Sebastian Krahmer и Marius Tomaschewski, нашедшие способ выполнить произвольный код в ISC dhclient (CVE-2011-0997 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=...URL: http://pwnies.com
Новость: http://www.opennet.me/opennews/art.shtml?num=31407
Вот никогда не понимал, что такого крутого во взломе продукции M$ и ISC? Это ж дырявые кастрюли, и не ломает их только ленивый.>Jon Oberheide и Dan Rosenberg, представившие несколько техник использования уязвимостей в Linux-ядре с модулем GRSecurity
А вот это уже интересно. Надеюсь, послужит развеянию легенд о "неломаемости" GRSecurity и PaX.
> А вот это уже интересно. Надеюсь, послужит развеянию легенд о "неломаемости" GRSecurity и PaX.Читать вот это, подробнее 6 абзац:
http://forums.grsecurity.net/viewtopic.php?f=7&t=2596
>Читать вот это, подробнее 6 абзац:Если кратко, "наша продукция сделает вашу систему менее уязвимой". А насколько менее? Вон даже его коллеги из производителей шампуня точно указывают цифру - "ваши волосы станут на 200% объемнее".
И, разумеется, совершенно оставлены за кадром проблемы отставания патчей от актуальной версии ядра и жуткий глюкодром на уровне RT-ветки в худшие ее годы.
Превращать боевую систему в парк аттракционов ради отражения одной из десяти атак, на мой взгляд, бессмысленно.
> Если кратко, "наша продукция сделает вашу систему менее уязвимой". А насколько менее?Всё сказано в документации - и насколько, и от каких атак защищает, и от каких не защищает. Вы не удосужились прочитать документацию, наверное и слова о "глюкодроме" взяли "из Интернетов"?
> И, разумеется, совершенно оставлены за кадром проблемы отставания патчей от актуальной
> версии ядраЗаходим на http://grsecurity.net/download.php и видим, что последняя версия основана на 2.6.39.
Сони такой эпик фейл, а M$ и правда тока Вася Лень не ломает!
А что, уволить специалистов по безопасности и остаться совсем без защиты - это круто придумано, наверное поэтому и продолжились взломы. Так держать, Сони! :)
> Сони такой эпик фейл, а M$ и правда тока Вася Лень не ломает!Еще порадовало:
> ставший победителем Comex, нашедший уязвимость в растеризаторе шрифтов FreeType для
> платформы iOS, которая помогла тысячам людей в снятии блокировки iPhone (CVE-2011-0226)."Не было бы счастья, да несчастье помогло..."
Незаслуженно пропустили в тексте новости:Pwnie for Lifetime Achievement (pipacs/PaX Team)
Awards?
> Awards?А "Pwnie" вас, значит, не смущает? :-)
Нет, именно "awords". Это эрратив - намеренное искажение слова. На эрративах, к слову,
основывается весь так называемый "олбанский езыг", он же "падонкаффский" сленг. Вы ведь,
надеюсь, не кидаетесь поправлять тех, кто пишет "превед", "йа криведко"? ;-) А в данном
случае мы имеем дело со стилизацией названия под англоязычный "хацкерский" сленг.
не вешай лапшу, а сходи на оффсайт и посмотри на логотипе, "о" там или "а".
и про слэнг потом не втирай.
> не вешай лапшу, а сходи на оффсайт и посмотри на логотипе, "о"
> там или "а".
> и про слэнг потом не втирай.Прошу прощения, с "awords" я действительно лопухнулся. Но вот "pwn" и "pwnie" - вполне
себе сленговые выражения.
> Вы ведь, надеюсь, не кидаетесь поправлять тех, кто пишет "превед", "йа криведко"? ;-)Таких не поправлять, а кувалдой фиксить разве что.
PS:
> Нет, именно "awords".Уже и пофикшено сообразно контрвозражению, как видим.
> Awards?Тогда уж pwnage или 0wned вообще должны выбивать вас из колеи. Капча одобряет - весьма l33t :D
>Pwnie Awords считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно начиная с 2007 года.Фигня эта награда как и сам попсовый оскар. Награждают какую-то школоту вроде Luzl-ов или Wikileaks (что эти то взломали? или награждают не спецов безопасности, а стукачей?), а те, кто создают например новые методы атак - нет.
А есть такие? кто их знает?
Я как минимум знаю некоторые новаторские разработки в области P2P безопасности (например, атаки на анонимность), это куда интереснее и сложнее, чем крэкерство лузлов.
> Я как минимум знаю некоторые новаторские разработки в области P2P безопасности (например,
> атаки на анонимность), это куда интереснее и сложнее, чем крэкерство лузлов.Прекрасно -- осталось прислать им ссылку на этот комментарий!
> Я как минимум знаю некоторые новаторские разработки в области P2P безопасности (например,
> атаки на анонимность), это куда интереснее и сложнее, чем крэкерство лузлов.Большинство сетей, которые не прячутся особо, типа торента - и ломать особо не надо, и так айпи видно. А те которые прячутся типа торов и i2p обычно делают это достаточно качественно. Атаки известны, но они сложны и дорогостоящи. И потому никто не заморачивается. Вскрыть корпоративных болванчиков типа Сони - быстрее, дешевле, результативнее и доставляет намного больше лулзов всем (кроме лохов типа Сони).