Aramizda
Aktif Üye
Pwnie Ödülleri’nin sunumu, yıllardır Las Vegas’ta düzenlenen Black Hat güvenlik konferansının gündeminde sabit bir madde olmuştur. Jüri, bu yıl yine çeşitli kategorilerde olağanüstü bilgisayar korsanlığı başarılarını onurlandırdı. Pwnies, aynı zamanda hacker Oscar’ları ve altın ahududu: her zamanki gibi, güvenlik açıklarına yönelik profesyonel olmayan üretici tepkileri olumsuz ödüller verildi.
Reklamcılık
Kritik boşluk bulguları ve harika araştırma makaleleri
Güvenlik araştırmacısı Simon Scannell, en iyi Uzaktan Kod Yürütme (RCE) hatası ödülünü evine götürdü. AV yazılımı ClamAV’da keşfettiği kritik güvenlik açığı CVE-2023-20032 (CVSS çekirdek 9.8/10), sistemlere keyfi kötü amaçlı kod taşımak ve orada ayrıcalıklarla kullanmak için uzaktaki saldırganlar tarafından kimlik doğrulaması olmadan kötüye kullanılmış olabilir. yürütmek için virüs tarama işlemi. Bir hizmet reddi durumunu kışkırtmak da mümkün olabilirdi. ClamAV kodu açık kaynak olduğu için güvenlik açığı, Cisco’nunkiler gibi çok sayıda üçüncü taraf ürününü dolaylı olarak etkiledi.
En İyi Kriptografik Saldırı Ödülü, Ben-Gurion Üniversitesi’nden Ben Nassi’ye verildi. Diğer şeylerin yanı sıra araştırmacı, Black Hat konferansındaki bir sunum sırasında cihazlardaki güç LED’lerinin gizli anahtarları nasıl ortaya çıkarabileceğini gösterdi. Çeşitli kriptografik hesaplamaların CPU taleplerinin LED’lerin parlaklığını ve rengini etkilediğini buldu. Bu temelde, örneğin cep telefonları veya güvenlik kameraları kullanılarak video kaydı ve analizi kullanılarak saldırılar gerçekleştirilebilir.
Nassi, uzun süredir video tabanlı kriptanaliz ile başarılı bir şekilde deneyler yapıyor. 2020’de o ve ekibi, asma tavan lambalarından en ince ışık dalgalanmalarını ilgili odadaki seslere ve konuşmalara yeniden çevirmeyi başardı.
Pwnie’ye olumlu anlamda da yakışır: Clement Lecigne’nin performansı. Jüri, Google’ın Tehdit Analizi Grubu’nda çalışan güvenlik araştırmacısını “0 günlük avcı dünya şampiyonu” olarak onurlandırdı. Geçmişte, vahşi doğada düzinelerce 0-günlük güvenlik açıklarını keşfetti ve “yaktı”, yani kötüler onları sömürmeden önce bunları herkese açık hale getirdi.
Reklamcılık
Profesyonellik eksikliği nedeniyle olumsuz piyonlar
Pwnie jürisi, 2023’ün başlarında bilinen bir olayı “En Epik Başarısızlık” olarak kabul etti. O sırada İsviçreli bir bilgisayar korsanı, ABD havayolu şirketi CommuteAir’in güvenli olmayan bir test sunucusunda gizli bir FBI uçuşa yasak listesi keşfetti. Buna, her uçuşta kapsamlı güvenlik kontrollerinden geçmek zorunda olan 1,5 milyon kişinin adı ve doğum tarihi dahildir.
Bir başka olumsuz ödül de anında mesajlaşma hizmeti Threema’daki ekibe gitti. Zürih’teki İsviçre Federal Teknoloji Enstitüsü’ndeki araştırmacıların güvenlik açığı bildirimlerine Threema web sitesinde bir blog gönderisiyle yanıt verdi. Pwnie ekibi bu tepkiyi “kıçtan bir blog gönderisi” olarak adlandırdı.
Burada bahsedilen ödüllere ve diğer tüm ödüllere kısa bir genel bakış, 2023 Pwnie Ödülü kazananlarının yakın zamanda yayınlanan bir listesi tarafından sağlanmaktadır.
(iki)
Haberin Sonu
Reklamcılık
Kritik boşluk bulguları ve harika araştırma makaleleri
Güvenlik araştırmacısı Simon Scannell, en iyi Uzaktan Kod Yürütme (RCE) hatası ödülünü evine götürdü. AV yazılımı ClamAV’da keşfettiği kritik güvenlik açığı CVE-2023-20032 (CVSS çekirdek 9.8/10), sistemlere keyfi kötü amaçlı kod taşımak ve orada ayrıcalıklarla kullanmak için uzaktaki saldırganlar tarafından kimlik doğrulaması olmadan kötüye kullanılmış olabilir. yürütmek için virüs tarama işlemi. Bir hizmet reddi durumunu kışkırtmak da mümkün olabilirdi. ClamAV kodu açık kaynak olduğu için güvenlik açığı, Cisco’nunkiler gibi çok sayıda üçüncü taraf ürününü dolaylı olarak etkiledi.
En İyi Kriptografik Saldırı Ödülü, Ben-Gurion Üniversitesi’nden Ben Nassi’ye verildi. Diğer şeylerin yanı sıra araştırmacı, Black Hat konferansındaki bir sunum sırasında cihazlardaki güç LED’lerinin gizli anahtarları nasıl ortaya çıkarabileceğini gösterdi. Çeşitli kriptografik hesaplamaların CPU taleplerinin LED’lerin parlaklığını ve rengini etkilediğini buldu. Bu temelde, örneğin cep telefonları veya güvenlik kameraları kullanılarak video kaydı ve analizi kullanılarak saldırılar gerçekleştirilebilir.
Nassi, uzun süredir video tabanlı kriptanaliz ile başarılı bir şekilde deneyler yapıyor. 2020’de o ve ekibi, asma tavan lambalarından en ince ışık dalgalanmalarını ilgili odadaki seslere ve konuşmalara yeniden çevirmeyi başardı.
Pwnie’ye olumlu anlamda da yakışır: Clement Lecigne’nin performansı. Jüri, Google’ın Tehdit Analizi Grubu’nda çalışan güvenlik araştırmacısını “0 günlük avcı dünya şampiyonu” olarak onurlandırdı. Geçmişte, vahşi doğada düzinelerce 0-günlük güvenlik açıklarını keşfetti ve “yaktı”, yani kötüler onları sömürmeden önce bunları herkese açık hale getirdi.
Reklamcılık
Profesyonellik eksikliği nedeniyle olumsuz piyonlar
Pwnie jürisi, 2023’ün başlarında bilinen bir olayı “En Epik Başarısızlık” olarak kabul etti. O sırada İsviçreli bir bilgisayar korsanı, ABD havayolu şirketi CommuteAir’in güvenli olmayan bir test sunucusunda gizli bir FBI uçuşa yasak listesi keşfetti. Buna, her uçuşta kapsamlı güvenlik kontrollerinden geçmek zorunda olan 1,5 milyon kişinin adı ve doğum tarihi dahildir.
Bir başka olumsuz ödül de anında mesajlaşma hizmeti Threema’daki ekibe gitti. Zürih’teki İsviçre Federal Teknoloji Enstitüsü’ndeki araştırmacıların güvenlik açığı bildirimlerine Threema web sitesinde bir blog gönderisiyle yanıt verdi. Pwnie ekibi bu tepkiyi “kıçtan bir blog gönderisi” olarak adlandırdı.
Burada bahsedilen ödüllere ve diğer tüm ödüllere kısa bir genel bakış, 2023 Pwnie Ödülü kazananlarının yakın zamanda yayınlanan bir listesi tarafından sağlanmaktadır.
(iki)
Haberin Sonu