每年夏天的黑帽大会,安全专家都会评选网络安全研究和信息安全界的各种成就和失败,评选出年度网络安全最佳与最差,这也就是有着网络攻防领域奥斯卡奖之称的:Pwnie Awards,被人们巧妙的称为“破你奖”。
2018年6月起,安全人员就针对过去一年里披露的各种漏洞开始提名。被提名名单在8月公布,胜者由一组安全研究员组成的评审委员会评出。
“破你奖”奖项林林总总,从“最佳提权漏洞”到“炒作最甚漏洞”到“最差供应商响应”都有,还有授予为安全行业做出杰出研究与贡献人士的终身成就奖。
今年的非正式颁奖典礼由一群受人尊敬且幽默的安全专家主持,参加者众多,欢声笑语满堂。有些幸运获奖者正好就在现场,有些则没有,比如迈克菲公司创始人约翰·迈克菲。
“破你奖”专家组成员之一,MedSec首席执行官 Justine Bone 开玩笑说:“我们认为这是对付当下安全社区犬儒主义的最佳解毒剂了。”
1. 最佳服务器端漏洞
作为主持人的安全研究员 Chris Valasek 一开场就说:“服务器端漏洞一直是我心里的朱砂痣,我总觉得网络黑客行为的奥义就在服务器端漏洞。”
最佳服务器端漏洞授予发现或利用最先进最有趣的服务器端漏洞的研究人员,无需用户互动即可实现远程访问的任何软件都算在内。
今年该奖项归属英特尔AMT远程漏洞,获奖者是Embedi 的 Maksim Malyutin。
英特尔没能理解自己芯片硬件层上一段关键身份验证代码中的strncmp函数是怎么运作的,虽然整个安全社区都告诉他们说用这个函数是个糟糕的主意,但他们还是靠着垄断地位和基本经济学原理这么干了。
其他被提名的漏洞有: 开源邮件服务器Exim单字节溢出(Off-by-one)远程代码执行漏洞(RCE) (CVE-2018-6789)、Drupalmageddon 2 和 3 (CVE-2018-7602 和 CVE-2018-7600)、Frag Grenade,以及惠普远程管理功能iLO和戴尔远程访问管理卡iDRAC的多个RCE。
2. 最佳客户端漏洞
最佳客户端漏洞奖授予发现并利用最先进最有趣客户端漏洞的研究员。
今年 Rob Miller 和 G. Geshev 因“圣诞老人的12个逻辑漏洞礼物”而获此奖项。
题为《发现链:打造逻辑漏洞利用链》的报告中,两位研究人员描述了自己如何利用来自6个应用程序的11个漏洞组成的漏洞链。被利用的漏洞存在于三星、Chrome和安卓开源项目的组件中。这已经是Pwn2Own史上最长的漏洞利用链了,但两位研究人员又扔了一个远程拒绝服务漏洞进去,凑成了一打漏洞。
两位研究人员均供职今年早些时候刚被F-Secure收购的 MWR Infosecurity。
其他被提名的漏洞有:SOAP Dropper、CVE-2017-11882、DynoRoot1111 (CVE-2018-1111)、CVE-2017-5116和DNS客户端远程代码执行漏洞CVE-2017-11779。
3. 最佳提权漏洞
最佳提权漏洞授予发现或利用了技术最复杂最有趣提权漏洞的研究人员,包括本地操作系统提权、操作系统沙箱逃逸和虚拟机客户突破漏洞。
熔断和幽灵漏洞摘得最佳提权漏洞头衔,贡献者是 Moritz Lipp、Michael Schwarz、Daniel Gruss、Thomas Prescher、Werner Haas、Stefan Mangard、Paul Kocher、Daniel Genkin、Yuval Yarom、Mike Hamburg、Jann Horn 和 Anders Fogh。
毫不意外今年被提名的是熔断和幽灵漏洞。这两个关键处理器漏洞给2018年开了个相当糟糕的头,改变了漏洞披露游戏规则,代表着需要更多有效安全实践的新一类威胁。业界专家表示我们在未来几年中都还将持续看到这种效应的延续。
其他被提名的漏洞有: waitid (CVE-2017-14954、CVE-2017-5123)、RAMPAGE、backboardd Double free()、Holey Beep。
4. 最佳密码攻击
Bleichenbacher的Oracle威胁回归 (ROBOT)赢得了最佳密码攻击”破你”奖。该奖项授予发现了对现实世界系统、算法或协议影响最大的密码攻击的研究人员。获奖研究人员是被”破你”专家们昵称为“Bleichenbloodbath”的 Hanno Böck、Juraj Somorovsky 和 Craig Young。
我们试了试20年之久的攻击能否继续奏效,Web服务器是否还存在 Daniel Bleichenbacher 在1998年发现的 RSA Padding Oracle 攻击。
结果显示,情况依然如Hanno所料想的。ROBOT——19岁高龄的漏洞回归,能让攻击者执行RSA解密和用TLS服务器的私钥来签署操作。
只要做些小改动,该高龄攻击就能继续针对很多现代HTTPS主机下手。该团队发现了很多供应商都可能无法幸免,包括Citrix、思科和F5。流行网站,比如Facebook和PayPal,以及Alexa上排名前100网站中的27个域名,也未能幸免。
其他被提名的加密攻击有:用渗漏信道破解SMIME和OpenPGP电子邮件加密、Coppersmith攻击的回归:RSA模量实用因数分解、IOTA Curl-P、密钥重安装攻击:强制临时重用破解WPA2。
5. 最具创新性研究
幽灵/熔断被授予的第二个”破你”奖项。获奖者是将该最有趣最具创新性的研究以演讲、论文、工具甚至邮件列表形式发布的同一支团队。
专家预测,熔断和幽灵的发现可能会揭开微处理器漏洞涌出的创口。芯片级漏洞不仅存在,可供探索的空间还很大,研究人员将继续围猎此类漏洞。今年早些时候首次曝出幽灵漏洞以来,陆续又有几个变种被研究人员发现了。
其他被提名的还有:Throwhammer、Smashing-Smart-Contracts、TLBleed、GrandPwningUnit/GLitch。
6. 最差供应商响应
Bitfi被塞给了这个谁都不想要的”破你”奖项,因为他们以最引人注目的方式错误地处理了安全漏洞。
2018年7月,约翰·迈克菲放出10万美元赏金,邀人破解他所谓“世界上首个黑不了的设备”——Bitfi钱包。之后不久,Bitfi将赏金增加到25万美元。重赏之下勇夫频现,据说1周之内就有人拿到了该设备的root权限,好几个人都破解了该设备并宣称这钱包根本没有任何硬件安全机制,甚至连防篡改都没有。
但是Bitfi和迈克菲辩称,拿到root权限不等于黑掉了设备,只有能拿走里面的加密货币才算。研究人员纷纷鄙视这一漏洞奖励,称根本就是骗局。而迈克菲之后在视频中说,他不过是想宣传Bitfi。
其他被提名的还有:ThinkRace/Trackmageddon、布达佩斯交通管理局 (BKK)、T-Mobile Austria、Yubico。
7. 炒作最甚漏洞
在网络和或媒体上引发大肆炒作以致推高漏洞评级,但最终却证明根本无法实际利用的漏洞,就能获得该”破你”奖。0day.marketing发现的 Holey Beep (CVE-2018-0492) 获得了该奖项。
作为提权漏洞,Holey Beep 仅影响到1.86%的互联网用户,但却有自己的漏洞描述页面,被”破你”人士看作是对“品牌漏洞的攻击”,比”破你”奖本身的帖子还有趣。
其他被提名的还有:Efail (CVE-2017-17689)、熔断和幽灵(CVE-2017-5715)、Zip Slip (CVE-2018-1002204)、Zipperdown。
8. 终身成就奖
波兰安全专家、白帽子黑客、前谷歌安全工程总监 Michał Zalewski 获此殊荣。他写的《线上沉默》被”破你”评审之一认为是黑客意义的最佳体现。当然,为Michal带来该荣誉的绝不仅仅只是这一本书,颁奖典礼上长久的起立鼓掌很能说明问题。
Michal是安全社区的高产贡献者,数十年来以他独特的方式为安全界提供工具和资源。他开发了面向安全的模糊测试器 American Fuzzy Lop (AFL),该测试器曾被DARPA网络挑战赛决赛用作底层引擎。他还做出了p0f工具,利用被动流量指纹机制检测TCP/IP通信方。
相关阅读
2017 Pwnie 奖得主名单出炉 WannaCry获“最强伤害”