Mae enillwyr Gwobrau Pwnie blynyddol 2021 wedi'u pennu, gan dynnu sylw at y gwendidau mwyaf arwyddocaol a'r methiannau abswrd ym maes diogelwch cyfrifiaduron. Mae Gwobrau Pwnie yn cael eu hystyried yn gyfwerth â'r Oscars a'r Golden Raspberry mewn diogelwch cyfrifiaduron.
Prif enillwyr (rhestr o gystadleuwyr):
- Gwell bregusrwydd dyrchafiad braint. Dyfarnwyd y fuddugoliaeth i Qualys am nodi'r bregusrwydd CVE-2021-3156 yn y cyfleustodau sudo, sy'n caniatáu cael breintiau gwraidd. Mae'r bregusrwydd wedi bod yn bresennol yn y cod ers tua 10 mlynedd ac mae'n nodedig am y ffaith bod angen dadansoddiad trylwyr o resymeg y cyfleustodau i'w nodi.
- Bug gweinydd gorau. Wedi'i wobrwyo am nodi a manteisio ar y byg mwyaf technegol gymhleth a diddorol mewn gwasanaeth rhwydwaith. Dyfarnwyd y fuddugoliaeth am nodi fector newydd o ymosodiadau ar Microsoft Exchange. Nid yw gwybodaeth am holl wendidau'r dosbarth hwn wedi'i chyhoeddi, ond mae gwybodaeth eisoes wedi'i datgelu am y bregusrwydd CVE-2021-26855 (ProxyLogon), sy'n caniatáu echdynnu data gan ddefnyddiwr mympwyol heb ddilysu, a CVE-2021-27065, sy'n gwneud mae'n bosibl gweithredu'ch cod ar weinydd gyda hawliau gweinyddwr.
- Yr ymosodiad cryptograffig gorau. Wedi'i ddyfarnu am nodi'r diffygion mwyaf arwyddocaol mewn systemau go iawn, protocolau, ac algorithmau amgryptio. Rhoddwyd y wobr i Microsoft am fregusrwydd (CVE-2020-0601) wrth weithredu llofnodion digidol cromlin eliptig a allai gynhyrchu allweddi preifat o allweddi cyhoeddus. Roedd y broblem yn caniatáu creu tystysgrifau TLS ffug ar gyfer HTTPS a llofnodion digidol ffug, a ddilyswyd yn Windows fel rhai dibynadwy.
- Yr ymchwil mwyaf arloesol. Rhoddwyd y wobr i ymchwilwyr a gynigiodd y dull BlindSide ar gyfer osgoi amddiffyniad Trosoledd Seiliedig ar Hap Cyfeiriad (ASLR) trwy ddefnyddio gollyngiadau sianel ochr sy'n deillio o weithred hapfasnachol o gyfarwyddiadau gan y prosesydd.
- Y methiant mwyaf (METHU Epic mwyaf). Rhoddwyd y wobr i Microsoft am yr atgyweiriad toredig aml-ryddhad ar gyfer bregusrwydd PrintNightmare (CVE-2021-34527) yn system argraffu Windows sy'n eich galluogi i weithredu'ch cod. Ar y dechrau, tynnodd Microsoft sylw at y broblem fel un lleol, ond yna daeth i'r amlwg y gallai'r ymosodiad gael ei gynnal o bell. Yna cyhoeddodd Microsoft ddiweddariadau bedair gwaith, ond bob tro roedd yr atgyweiriad yn cau achos arbennig yn unig, a daeth yr ymchwilwyr o hyd i ffordd newydd o gyflawni'r ymosodiad.
- Y byg gorau mewn meddalwedd cleient. Yr enillydd oedd yr ymchwilydd a nododd y bregusrwydd CVE-2020-28341 mewn proseswyr crypto Samsung diogel a dderbyniodd dystysgrif diogelwch CC EAL 5+. Roedd y bregusrwydd yn ei gwneud hi'n bosibl osgoi'r amddiffyniad yn llwyr a chael mynediad i'r cod a weithredwyd ar y sglodion a'r data a storiwyd yn yr amgaead, osgoi clo'r arbedwr sgrin, a hefyd gwneud newidiadau i'r firmware i greu drws cefn cudd.
- Y bregusrwydd mwyaf tanamcangyfrif. Rhoddwyd y wobr i Qualys am nodi cyfres o wendidau 21Nails yn y gweinydd post Exim, y gellid manteisio ar 10 ohonynt o bell. Roedd datblygwyr Exim yn amheus ynghylch y posibilrwydd o ecsbloetio'r problemau a threuliasant fwy na 6 mis yn datblygu atebion.
- Ymateb mwyaf lamer y gwneuthurwr (Ymateb Gwerthwr Lamest). Enwebiad ar gyfer yr ymateb mwyaf amhriodol i adroddiad bregusrwydd yn eich cynnyrch eich hun. Yr enillydd oedd Cellebrite, cwmni sy'n adeiladu cymwysiadau dadansoddi fforensig a chloddio data ar gyfer gorfodi'r gyfraith. Ymatebodd Cellebrite yn amhriodol i adroddiad bregusrwydd a bostiwyd gan Moxie Marlinspike, awdur y protocol Signal. Dechreuodd Moxxi ddiddordeb yn Cellebrite ar ôl erthygl yn y cyfryngau am greu technoleg sy'n caniatáu hacio negeseuon Signal wedi'u hamgryptio, a drodd yn ffug yn ddiweddarach oherwydd camddehongli gwybodaeth mewn erthygl ar wefan Cellebrite, a gafodd ei dileu wedyn (“ roedd yr ymosodiad” yn gofyn am fynediad corfforol i'r ffôn a'r gallu i ddatgloi sgrin, h.y. wedi'i leihau i wylio negeseuon yn y negesydd, ond nid â llaw, ond gan ddefnyddio cymhwysiad arbennig sy'n efelychu gweithredoedd defnyddwyr).
Astudiodd Moxxi gymwysiadau Cellebrite a chanfod gwendidau critigol yno a oedd yn caniatáu gweithredu cod mympwyol wrth geisio sganio data a ddyluniwyd yn arbennig. Canfuwyd hefyd bod y cymhwysiad Cellebrite yn defnyddio llyfrgell ffmpeg hen ffasiwn nad yw wedi'i diweddaru ers 9 mlynedd ac sy'n cynnwys nifer fawr o wendidau heb eu hail. Yn lle cydnabod y problemau a thrwsio'r problemau, mae Cellebrite wedi cyhoeddi datganiad ei fod yn poeni am gywirdeb data defnyddwyr, yn cynnal diogelwch ei gynhyrchion ar y lefel gywir, yn rhyddhau diweddariadau rheolaidd ac yn darparu'r cymwysiadau gorau o'i fath.
- Y cyflawniad mwyaf. Rhoddwyd y wobr i Ilfak Gilfanov, awdur y dadosodwr IDA a dadgrynhoir Hex-Rays, am ei gyfraniad at ddatblygu offer ar gyfer ymchwilwyr diogelwch a'i allu i gadw'r cynnyrch yn gyfredol am 30 mlynedd.
Ffynhonnell: opennet.ru