Az év legnagyobb biztonsági bukásai
A héten kiosztották az egyik legrangosabb IT-biztonsági díjat a las vegas-i BlackHat USA konferencián. A Pwnie Awards 2012 a tavaly júliustól idén júliusig nyilvánosságra került legjobb "műveket" jutalmazta.
A legjobb szerveroldali biztonsági rés díját Ben Murphy vihette haza a Ruby on Rails YAML-bemenetek súlyos hibájáért. Néhány hiba együttes eredményeként előálló biztonsági rés minden létező RoR-telepítést érintett, kihasználásával tetszőleges SQL-parancs vagy bármilyen egyéb kód injektálható és futtatható volt a rendszereken.
A legjobb kliensoldali hiba az Adobe Reader puffertúlcsordulás és sandbox-kitörés kombinációjáért járt, amely megfelelően preparált PDF-állományokkal használható ki. A kategóriában igen erős volt a mezőny - jegyzi meg a BuheraBlog, az idei jelöltek vagy Pwn2Own/Pwnium győztesek voltak, vagy ipari/államtitkokat nyúltak le a segítségükkel, [a győztes] olyan gyöngyszemeket utasított maga mögé, mint egy másik célzott támadásban bevetett, kifinomult heap-manipulációt használó Flash exploit, a VUPEN IE10/Win8 kombót legyűrő gyöngyszeme, vagy az MWR Chrome törése."
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A legjobb jogosultság-kiterjesztést eredményező hiba az evasion iOS-jailbreak alapját képezi, és a mobil operációs rendszer 6.1.2-es verziója fölött is képes átvenni az irányítást. A jóindulatú törést a kiadást követő néhány napban hétmillióan töltötték le, az Apple-kontrolltól megszabadított iPhone-ok, iPod touch-ok és iPadek száma pedig több millióra rúg. Az igen népszerű jailbreaket az Apple hibás aláírás-ellenőrzése és kernel-sérülékenység együtt tette lehetővé.
Epic fail
Az epic fail kategóriában a lengyel IT-biztonsági lap, a Hakin9 kapott díjat, miután lehozott egy számítógéppel generált, teljesen értelmetlen tanulmányt. A dolgozat címe The Internet Considered Harmful - DARPA Inference Checking Kludge Scanning, amelyre a "szerzők" később csak a rövidítéseként ("DICKS") hivatkoznak. A Hakin9 magazin biztonsági szakértők körében hírhedt kiadványnak számít, folyamatos spammeléssel igyekszik szerzőket gyűjteni, a dolgozatokat pedig sokszor alapvető szakmai kontroll nélkül, akár elolvasás nélkül publikálja. Erre hívta fel a figyelmet a dolgozat - amely PDF-formában itt érhető el az utókor számára.
A legnagyobb törés (Epic 0wnage) kategóriában Edward Snowden és az amerikai NSA (National Security Agency) kapta. A zsűri szerint Snowden húzása, a PRISM és hasonló titkos adatgyűjtő rendszerek bemutatása kiváló példája a belső alkalmazottak által jelentette biztonsági résnek, amely ebben az esetben egész látványos szivárgássá terebélyesedett és sikerrel publicizálta az amerikai hírszerzés megkérdőjelezhető módszereit - ezért járt az év legkárosabb, legnagyobb nyilvánosságot kapó (vagy legszánalmasabb) biztonsági incidensnek járó díj.