Ғолибони ҷоизаҳои солонаи Pwnie 2021 эълон шуданд, ки осебпазирӣ ва нокомиҳои бемаънӣ дар амнияти компютериро таъкид мекунанд. Ҷоизаҳои Pwnie муодили ҷоизаҳои Оскар ва Малинаи тиллоӣ дар соҳаи амнияти компютерӣ дониста мешаванд.
Ғолибони асосӣ (рӯйхати довталабон):
- Беҳтарин осебпазирӣ, ки боиси афзоиши имтиёзҳо мегардад. Ғолибият ба Qualys барои муайян кардани осебпазирии CVE-2021-3156 дар утилитаи sudo дода шуд, ки ба шумо имкон медиҳад имтиёзҳои решаро ба даст оред. Ин осебпазирӣ дар код тақрибан 10 сол мавҷуд буд ва қобили таваҷҷӯҳ аст, ки барои муайян кардани он таҳлили ҳамаҷонибаи мантиқи утилитаро талаб мекард.
- Беҳтарин хатои сервер. Барои муайян кардан ва истифода бурдани хатогиҳои аз ҷиҳати техникӣ мураккабтарин ва ҷолиб дар хидмати шабакавӣ мукофотонида шудааст. Ғалаба барои муайян кардани вектори нави ҳамлаҳо дар Microsoft Exchange дода шуд. Маълумот дар бораи на ҳама осебпазирии ин синф интишор шудааст, аммо дар бораи осебпазирии CVE-2021-26855 (ProxyLogon), ки ба шумо имкон медиҳад, ки маълумоти корбари худсаронаро бидуни аутентификатсия истихроҷ кунед ва CVE-2021-27065 маълумот дода шудааст. , ки имкон медиҳад, ки коди худро дар сервер бо ҳуқуқи администратор иҷро кунед.
- Беҳтарин ҳамлаи криптографӣ. Барои муайян кардани камбудиҳои назаррас дар системаҳои воқеӣ, протоколҳо ва алгоритмҳои рамзгузорӣ мукофотонида шудааст. Ҷоиза ба Microsoft барои осебпазирӣ (CVE-2020-0601) дар татбиқи имзоҳои рақамӣ дар асоси каҷҳои эллиптикӣ дода шуд, ки имкон медиҳад калидҳои хусусиро дар асоси калидҳои ҷамъиятӣ тавлид кунад. Ин масъала имкон дод, ки сертификатҳои қалбакии TLS барои HTTPS ва имзоҳои рақамии тахайюлӣ, ки аз ҷониби Windows боэътимод тасдиқ карда шуданд, эҷод карда шаванд.
- Тадқиқоти инноватсионии ҳама вақт. Ҷоиза ба муҳаққиқоне дода шуд, ки усули BlindSide-ро барои гузаштан аз рандомизатсия дар асоси суроғаҳо (ASLR) бо истифода аз ихроҷи каналҳои паҳлӯӣ, ки дар натиҷаи иҷрои спекулятсионии протсессори дастурҳо ба вуҷуд омадааст, пешниҳод карданд.
- Бузургтарин нокомӣ (Беҳтарин Эпикӣ нокомӣ). Ҷоиза ба Microsoft барои такроран интишори ислоҳи шикаста барои осебпазирии PrintNightmare (CVE-2021-34527) дар системаи чопи Windows, ки иҷрои кодро иҷозат медод, дода шуд. Microsoft дар аввал ин мушкилотро ҳамчун маҳаллӣ қайд кард, аммо баъд маълум шуд, ки ҳамла метавонад аз фосилаи дур анҷом дода шавад. Сипас Microsoft чор маротиба навсозиро нашр кард, аммо ҳар дафъа ислоҳ танҳо як парвандаи махсусро бастааст ва муҳаққиқон роҳи нави анҷом додани ҳамларо пайдо карданд.
- Беҳтарин хато дар нармафзори муштарӣ. Ғолиб муҳаққиқе гардид, ки осебпазирии CVE-2020-28341-ро дар протсессори криптографии амни Samsung муайян кард, ки сертификати амнияти CC EAL 5+ гирифт. Ин осебпазирӣ имкон дод, ки аз амният комилан канорагирӣ карда, ба коде, ки дар чип кор мекунад ва маълумоте, ки дар анклав кор мекунад, дастрасӣ пайдо кунед, қулфи муҳофизаткунандаи экранро паси сар кунед ва инчунин ба нармафзор барои эҷоди пушти дари пинҳонӣ тағирот ворид кунед.
- осебпазирии аз ҳама ночиз. Ҷоиза ба Qualys барои муайян кардани як қатор осебпазирии 21Nails дар сервери почтаи Exim дода шуд, ки 10-тои онҳо метавонанд ба таври фосилавӣ истифода шаванд. Таҳиягарони Exim шубҳа доштанд, ки мушкилотро метавон истифода бурд ва дар тӯли 6 моҳ барои таҳияи ислоҳҳо сарф кард.
- Ҷавоби охирини фурӯшанда. Пешбарӣ барои посухи нокифоятарин ба паём дар бораи осебпазирӣ дар маҳсулоти худ. Ғолиб Cellebrite, ширкате гардид, ки барои таҳлили судиву истихроҷи маълумот аз ҷониби мақомоти ҳифзи ҳуқуқ дархостҳо эҷод мекунад. Cellebrite ба гузориши осебпазирӣ, ки аз ҷониби Мокси Марлинспик, муаллифи протоколи сигнал фиристода шудааст, ба таври кофӣ посух надод. Мокси ба Cellebrite пас аз нашри ёддошт дар бораи эҷоди технологияе, ки имкон медиҳад рахна кардани паёмҳои рамзшудаи Signal, ки баъдтар аз сабаби тафсири нодурусти иттилоот дар мақолаи вебсайти Cellebrite қалбакӣ шуд, ба Cellebrite таваҷҷӯҳ зоҳир кард. пас аз он хориҷ карда шуд ("ҳамла" дастрасии ҷисмонӣ ба телефон ва қобилияти хориҷ кардани экрани қулфро талаб мекард, яъне он барои дидани паёмҳо дар паёмбар кам карда шуд, аммо ба таври дастӣ, балки бо истифода аз барномаи махсусе, ки амалҳои корбаронро тақлид мекунад).
Мокси замимаҳои Cellebrite-ро омӯхт ва дар он ҷо осебпазириҳои муҳимро дарёфт кард, ки ҳангоми кӯшиши скан кардани маълумоти махсус тарҳрезишуда коди худсарона иҷро карда шавад. Замимаи Cellebrite инчунин муайян карда шуд, ки китобхонаи кӯҳнашудаи ffmpeg-ро истифода мебарад, ки дар тӯли 9 сол нав карда нашуда буд ва дорои шумораи зиёди осебпазириҳои навсозӣ шудааст. Ба ҷои эътироф кардани мушкилот ва ислоҳи мушкилот, Cellebrite изҳорот дод, ки дар бораи якпорчагии маълумоти корбар ғамхорӣ мекунад, амнияти маҳсулоти худро дар сатҳи зарурӣ нигоҳ медорад, мунтазам навсозиҳо мебарорад ва беҳтарин барномаҳои навъи онро пешкаш мекунад.
- Бузургтарин дастовард. Ҷоиза ба Илфак Гилфанов, муаллифи диссасемблери IDA ва декомпилятори Hex-Rays барои саҳмаш дар таҳияи асбобҳо барои муҳаққиқони амният ва қобилияти нигоҳ доштани маҳсулоти муосир дар тӯли 30 сол дода шуд.
Манбаъ: opennet.ru