Como viene siendo habitual los últimos años, durante la realización de Black Hat USA 2015, tuvo lugar la ceremonia de entrega de los Pwnie Awards 2015. Esta ceremonia tiene una mezcla de humor, y sarcasmo por lo acaecido durante el último año en el mundo de la seguridad informática junto con el respeto por el trabajo en el mundo de los investigadores. Cada año, en varias categorías que van desde el Most EPIC Fail al Most Innovative Research en seguridad informática durante el año.
Este año se entregaron los premios una vez más, y entre los nominados (que este año había bien donde premiar) se eligieron los siguientes ganadores que disfrutarían del pequeño pony que se otorga al vencedor de cada categoría como recuerdo:
- Most Epic FAIL: El premio se fue para la US Office of Personnel Management, que sufrió el mayor robo de datos de la historia del gobierno de los EEUU al perder la base de datos de todos los funcionarios del gobierno. Un escándalo que dio la vuelta al mundo. Como era de esperar, nadie del gobierno de USA se presentó a recoger el premio.
Figura 2: El Hack a la OPM |
- Most Epic 0wnage: Este premio fue para el Hacked Hacking Team, que ha protagonizado la mayor brecha de seguridad del año, junto con la exposición de documentos, correos electrónicos, programas, etcétera, que aún siguen dando que hablar en los medios.
Figura 3: Hacked Hacking Team |
- Most Innovative Research: Este premio es uno de los más deseados, pues supone el respeto de la comunidad de hackers por un trabajo bien hecho. En esta ocasión, el premio se fue para Logjam. Este estudio trataba de localizar qué bugs podría haber estado usando la NSA para su programa TURBULENCE, y dio con lo que podría haber sido. Con él, se pueden descifrar las conexiones VPN en tiempos record.
Figura 4: Esquema de Man in the Middle usando Logjam |
- Most Overhyped Bug: Este premio se otorga a fallos que han tenido "Mucho ruido y pocas nueces", y este año se lo entregaron a ShellShock. Sin embargo, este premio ha levantado ampollas pues muchas personas -entre las que me incluyo yo - consideramos que el bug es de gran importancia y a día de hoy lo seguimos encontrando en muchas auditorías, así que no se merecía este premio, pero....
Figura 5: Introducción de una Webshell en un servidor usando ShellShock en el User-Agent |
- Best Server-Side Bug: Este año el premio se otorgó al investigador argentino Martín Gallo, que publicó su trabajo por el cual, un 0day en la implementación propietaria que hace SAP del algoritmo de compresión/descompresión LZC-ZH en sus productos, puede llevar a la ejecución de código en todos los productos SAP. Como decían en la nominación, un bug para 0wnear todos los productos de SAP. Brillante.
Figura 6: El Pwnie de Martín Gallo. Precioso. |
- Best Client-Side Bug: Este premio se entregó a Mateusz ‘j00ru’ Jurczyk (de Google), que publicó las vulnerabilidades con CVE-2015-0093 y CVE-2015-3052 que, por medio de la carga de una tipografía en el sistema y la apertura de un documento que incorpore dicha fuente se permite llegar a la ejecución de código.
- Best Privilege Escalation Bug: Este Pwnie fue para el trabajo de los investigadores del Mitre por su publicación sobre cómo hacer elevación de privilegios usando las modernas UEFI. Miles de equipos se vieron afectados por estos fallos.
- Lamest Vendor Response: Este galardón se entrega con mucha sorna a los fabricantes que han sabido lidiar peor con un fallo de seguridad. Este año, el premio se lo dieron a Blue Coat por intimidar a un investigador y querer forzarle a cancelar la charla de la SyScan que versaba sobre sus productos. Esto enfadó mucho a la comunidad de hackers.
- Lifetime Achievement Award: Uno de los premios más valorados, pues se trata el premio a una carrera profesional de un investigador. En este año se decidió otorgárselo a Halvar Flake, matemático, hacker, especializado en ingeniería inversa y más de una década publicando sus trabajos.
Figura 7: FX y Halvar Flak en DEFCON 12
- Best Song: Por último, el toque de música con el premio a la mejor canción. Este año para Call Offensive Security.
Como siempre, un año lleno de actividad que cada vez hace más difícil alzarse con uno de esos míticos pwnies de colorines - ya sea para bien, o ya sea para mal - que destacar por hacerlo bien es tan complicado como destacar por hacerlo mal - parece que hay muchos que se esmeran por conseguir estos galardones también -.
Saludos Malignos!
No hay comentarios:
Publicar un comentario