bencede
New member
Pwnie Ödülleri’nin sunumu, yıllardır Las Vegas’ta düzenlenen Black Hat güvenlik konferansının gündeminde sabit bir nokta olmuştur. Bu yıl da jüri, bilgisayar korsanlarının üstün başarılarını çeşitli kategorilerde ödüllendirdi. Pwnies, aynı zamanda hacker Oscar’ları ve altın ahududu: Her zamanki gibi, güvenlik açıkları ve üreticilerin güvenlik açıklarına profesyonel olmayan tepkileri olumsuz ödüller aldı.
Duyuru
Kritik boşluk keşifleri ve harika araştırma makaleleri
Güvenlik araştırmacısı Simon Scannell, en iyi RCE (Uzaktan Kod Yürütme) hatası ödülünü evine götürdü. AV yazılımı ClamAV’da keşfettiği kritik güvenlik açığı CVE-2023-20032 (CVSS çekirdek 9.8/10), kimliği doğrulanmamış uzak saldırganlar tarafından sistemlere rastgele kötü amaçlı kod taşımak ve orada çalıştırmak için virüs taraması işlem ayrıcalıklarıyla kullanmak için kötüye kullanılmış olabilir. Bir hizmet reddi durumuna neden olmak da mümkün olabilirdi. ClamAV kodu açık kaynak olduğundan, güvenlik açığı Cisco ürünleri gibi birçok üçüncü taraf ürünü dolaylı olarak etkiledi.
En İyi Kripto Saldırısı için Pwnie, Ben-Gurion Üniversitesi’nden Ben Nassi’ye gitti. Diğer şeylerin yanı sıra araştırmacı, Black Hat konferansındaki bir sunumda, cihazlardaki güç LED’lerinin gizli anahtarları nasıl ortaya çıkarabileceğini gösterdi. Çeşitli kriptografik hesaplamaların CPU taleplerinin LED’lerin parlaklığını ve rengini etkilediğini buldu. Buna dayanarak, örneğin cep telefonları veya güvenlik kameraları kullanılarak video kaydı ve analizi kullanılarak saldırılar gerçekleştirilebilir.
Nassi, uzun süredir video tabanlı kriptanaliz ile başarılı bir şekilde deneyler yapıyor. 2020 yılında, o ve ekibi, söz konusu odadaki asma tavan ışıklarından gelen en ince ışık dalgalanmalarını sese ve konuşmaya yeniden çevirmeyi başardı.
Pwnie’ye olumlu yönden de layık: Clement Lecigne’nin performansı. Jüri, Google’ın Tehdit Analizi Grubu’nda çalışan güvenlik araştırmacısını “0 günlük avcı dünya şampiyonu” olarak ödüllendirdi. Geçmişte, vahşi ortamda düzinelerce 0 günlük güvenlik açığını keşfetti ve “yaktı”, yani kötü adamlar onları sömürmeden önce bunları herkese açık hale getirdi.
Duyuru
Profesyonellik eksikliği nedeniyle olumsuz piyonlar
Pwnie jüri heyeti, 2023’ün başlarında bilinen bir olayı “En Epik Başarısızlık” olarak kabul etti. O sırada İsviçreli bir bilgisayar korsanı, ABD havayolu şirketi CommuteAir’in güvenli olmayan bir test sunucusunda gizli bir FBI uçuşa yasak listesi keşfetti. Buna, her uçuşta kapsamlı güvenlik kontrollerinden geçmek zorunda olan 1,5 milyon kişinin adı ve doğum tarihi dahildir.
Bir diğer olumsuz ödül de Threema anlık mesajlaşma ekibine gitti. Zürih’teki İsviçre Federal Teknoloji Enstitüsü’ndeki araştırmacılardan gelen güvenlik açığı bildirimlerine, Pwnie’nin jüri heyetinin bildirimleri ayırma ve reddetme konusunda muhtemelen oldukça sert olduğunu düşündüğü Threema web sitesindeki bir blog gönderisiyle yanıt verdi. Pwnie’nin ekibi bu tepkiyi “kıç blog gönderisi” olarak adlandırdı.
Burada bahsedilen ödüllere ve diğer tüm ödüllere kısa bir genel bakış, yakın zamanda yayınlanan 2023 Pwnie Ödülü kazananları listesi tarafından sağlanmaktadır.
(iki)
Haberin Sonu
Duyuru
Kritik boşluk keşifleri ve harika araştırma makaleleri
Güvenlik araştırmacısı Simon Scannell, en iyi RCE (Uzaktan Kod Yürütme) hatası ödülünü evine götürdü. AV yazılımı ClamAV’da keşfettiği kritik güvenlik açığı CVE-2023-20032 (CVSS çekirdek 9.8/10), kimliği doğrulanmamış uzak saldırganlar tarafından sistemlere rastgele kötü amaçlı kod taşımak ve orada çalıştırmak için virüs taraması işlem ayrıcalıklarıyla kullanmak için kötüye kullanılmış olabilir. Bir hizmet reddi durumuna neden olmak da mümkün olabilirdi. ClamAV kodu açık kaynak olduğundan, güvenlik açığı Cisco ürünleri gibi birçok üçüncü taraf ürünü dolaylı olarak etkiledi.
En İyi Kripto Saldırısı için Pwnie, Ben-Gurion Üniversitesi’nden Ben Nassi’ye gitti. Diğer şeylerin yanı sıra araştırmacı, Black Hat konferansındaki bir sunumda, cihazlardaki güç LED’lerinin gizli anahtarları nasıl ortaya çıkarabileceğini gösterdi. Çeşitli kriptografik hesaplamaların CPU taleplerinin LED’lerin parlaklığını ve rengini etkilediğini buldu. Buna dayanarak, örneğin cep telefonları veya güvenlik kameraları kullanılarak video kaydı ve analizi kullanılarak saldırılar gerçekleştirilebilir.
Nassi, uzun süredir video tabanlı kriptanaliz ile başarılı bir şekilde deneyler yapıyor. 2020 yılında, o ve ekibi, söz konusu odadaki asma tavan ışıklarından gelen en ince ışık dalgalanmalarını sese ve konuşmaya yeniden çevirmeyi başardı.
Pwnie’ye olumlu yönden de layık: Clement Lecigne’nin performansı. Jüri, Google’ın Tehdit Analizi Grubu’nda çalışan güvenlik araştırmacısını “0 günlük avcı dünya şampiyonu” olarak ödüllendirdi. Geçmişte, vahşi ortamda düzinelerce 0 günlük güvenlik açığını keşfetti ve “yaktı”, yani kötü adamlar onları sömürmeden önce bunları herkese açık hale getirdi.
Duyuru
Profesyonellik eksikliği nedeniyle olumsuz piyonlar
Pwnie jüri heyeti, 2023’ün başlarında bilinen bir olayı “En Epik Başarısızlık” olarak kabul etti. O sırada İsviçreli bir bilgisayar korsanı, ABD havayolu şirketi CommuteAir’in güvenli olmayan bir test sunucusunda gizli bir FBI uçuşa yasak listesi keşfetti. Buna, her uçuşta kapsamlı güvenlik kontrollerinden geçmek zorunda olan 1,5 milyon kişinin adı ve doğum tarihi dahildir.
Bir diğer olumsuz ödül de Threema anlık mesajlaşma ekibine gitti. Zürih’teki İsviçre Federal Teknoloji Enstitüsü’ndeki araştırmacılardan gelen güvenlik açığı bildirimlerine, Pwnie’nin jüri heyetinin bildirimleri ayırma ve reddetme konusunda muhtemelen oldukça sert olduğunu düşündüğü Threema web sitesindeki bir blog gönderisiyle yanıt verdi. Pwnie’nin ekibi bu tepkiyi “kıç blog gönderisi” olarak adlandırdı.
Burada bahsedilen ödüllere ve diğer tüm ödüllere kısa bir genel bakış, yakın zamanda yayınlanan 2023 Pwnie Ödülü kazananları listesi tarafından sağlanmaktadır.
(iki)
Haberin Sonu