اگه خواننده سایت ما باشید، قبلا یک رویدادی با عنوان Top 10 Web Hacking Techniques رو معرفی کرده بودیم که بصورت سالانه برگزار میشه و در اون بهترین مقالات فنی در خصوص امنیت وب معرفی میشه.
یک برنامه ی مشابه این رویداد، تقریبا برای حوزه ی باینری برگزار میشه با عنوان Pwnie Award ، که در این پست میخوایم بررسیش کنیم.
رویداد Pwnie Award هم مثله رویداد Top 10 Web Hacking Techniques بصورت سالانه برگزار میشه و در اون از دستآوردهای محققین و جامعه ی امنیتی تقدیر میشه.
این رویداد اولین بار در سال 2007 توسط Alexander Sotirov و Dino Dai Zovi و بعد از بحثهایی در خصوص آسیب پذیری CVE-2007-2175 در QuickTime که توسط Dino گزارش شده بود و آسیب پذیری CVE-2007-0038 در Internet Explorer که توسط Alexander گزارش شده بود، شروع شد.
کل رویداد اینجوریه که ، یسری دسته بندی معرفی میشه و از جامعه ی امنیت میخوان تا نامزدهای کسب جایزه در اون دسته بندی رو براشون ارسال کنن. بعد از ارسال یک کمیته از متخصصین صنعت امنیت سایبری، موارد ارسالی رو بررسی میکنن و بهترین ها رو انتخاب میکنن. نامزدهای منتخب در کنفرانس Summercon در نیویورک معرفی و جوایز در کنفرانس Black Hat USA اعطاء میشه. البته اگه نتونید در این کنفرانس شرکت کنید، باهاتون تماس میگیرن و باهاتون هماهنگ میشن.
رویداد Pwnie Award 2024 برای انتخاب برترین باگ های منتشر شده بین 1 جولای 2023/ 10 تیر 1402 تا 30 ژوئن 2024/ 10 تیر 1403 برگزار میشه.
نحوه ی شرکت:
برای شرکت در این رویداد، یسری دسته بندی معرفی شده، که موارد ارسالی باید در یکی از این دسته بندی ها باشه. این دسته بندی ها عبارتند از :
- pwnie for best desktop bug : این جایزه به محققینی داده میشه که پیچیده ترین و جالبترین باگ دسکتاپ رو شناسایی یا اکسپلویت کردن.
- pwnie for the best mobile bug:این جایزه به محققینی داده میشه که جالب ترین و خلاقانه ترین باگ در موبایل رو کشف یا اکسپلویت کردن.
- pwnie for best cryptographic attack: این جایزه به محققینی تعلق میگیره که تاثیرگذارترین حمله رمزنگاری علیه سیستم های دنیای واقعی رو کشف کردن. حمله باید نشون دهنده شکستن معنادار یک سیستم مستقر واقعی باشه. درک عملکرد این حمله ممکنه نیازمند مدرک دکتری ریاضی باشه، اما درک تأثیر اون به چنین مدرکی نیاز نداره و اکسپلویت اون نباید نیازمند یک مرکز داده در یوتا باشه.
- pwnie for best song: بهترین آهنگ در زمینه ی امنیت سایبری رو انتخاب میکنن. له قول خودشون، جامعه امنیت سایبری اغلب افرادی با چندین استعدادی هستن. برای اینکه انگیزه ای باشه برای کار، موزیکهایی که از سال 2007 تا 2023 نامزد این مسابقات شدن رو جمع آوری کردم که میتونید از طریق کانالمون یا این لیست پخش (کامل نیست)، بهشون دسترسی داشته باشید.
- pwnie for most innovative research: این جایزه به محققینی تعلق میگیره که جالبترین و نوآورانه ترین تحقیق خودشون رو به صورت مقاله، ارائه، ابزار و حتی یک پست در لیست پستی منتشر کرده باشن.
- pwnie for most under-hyped research : صنعت امنیت سایبری، برای مشکلاتی که میتونه راه حل هایی برای اون بفروشه، سروصدای زیادی ایجاد میکنه. اما برای مواردی که برچسب DONTFIX میخورن، قابل اسکن نیستن، اما همچنان فوق العاده جالب و تاثیرگذار هستن، چی؟ برگزار کننده های این رویداد، بعنوان یک صنعت اونارو زیر فرش جارو میکنیم و بعدا در UNDERHYPED pwnie awards پیداشون میکنیم و جوایزی بهشون میدیم. خلاصه اینکه در این دسته بندی دنبال تحقیقاتی هستن که تاثیرگذار بودن اما خیلی سروصدا نداشتن.
- pwnie for best privilege escalation bug : این جایزه به محققینی داده میشه که پیچیدهترین و جالبترین آسیبپذیری افزایش سطح دسترسی رو از نظر فنی کشف یا اکسپلویت کردن. این آسیبپذیریها میتونه شامل موارد زیر باشه:
- افزایش سطح دسترسی محلی در سیستم عامل
- فرار از سندباکس سیستم عامل
- فرار از ماشین مجازی مهمان
- pwnie for best remote code execution bug : این جایزه به محققینی داده میشه که پیچیدهترین و جالبترین باگ اجرای کد از راه دور رو از نظر فنی کشف یا اکسپلویت کردن. این باگها در هر نرمافزاری که بصورت راه دور و بدون نیاز به تعامل کاربر قابل دسترس باشه، رخ میده.
- pwnie for lamest vendor response: این جایزه به سازنده ای داده میشه که به شکل کاملاً ناشیانه ای، یک آسیبپذیری امنیتی رو مدیریت کرده.
- pwnie for most epic fail: این جایزه برای تجلیل از شکست های حماسی و به یادماندنی یک فرد یا یک شرکت است. شکستی که کل صنعت امنیت اطلاعات رو در گرداب خود فرو برده. این شکست میتونه یک رویداد خاص، یک بازاریابی یا یک سرمایهگذاری بد یا ردپایی از یک سری شکستهای بزرگ باشه.
- pwnie for epic achievement: این جایزه به محققین، مهاجمین، مدافعین، مدیران، روزنامه نگاران، افراد گمنام، آدمهای عادی یا حتی ترولها تعلق میگیره که کاری چنان حماسی و باورنکردنی انجام دادن که حتی نمیشه با ایجاد یک دسته بندی جداگانه برای اون، عدالت رو در حقشون اجرا کرد. مواردی که تاثیرگذار بودن اما در دسته بندی های بالا نبودن.
اگه در هر یک از موارد بالا، موردی رو دارید، وارد سایت میشید، و براساس هر دسته بندی یک فرم گوگل مشخص شده که با انتخاب اون، میتونید نامزد خودتون رو معرفی کنید.
مطالب ارسالی باید به خوبی نوشته شده باشن و باید بصورت مختصر و مفید بهشون بگید که چرا فکر میکنید مورد ارسالیتون نامزد شایسته ای برای دریافت این جایزه است.
مواردی که ارسال میکنید، به این معنی نیست که در رقابت پذیرفته شدید. بررسی میشن بعد.
اگه 500 خط کد POC رو کپی کنید و براشون ارسال کنید، همون اولش رد میشید و/یا در شبکه های اجتماعی ممکنه ازتون انتقاد کنن.
اگه یک لینک به یک توییت ، بدون هیچ توضیحی ارسال کنید، حدف میشید.
برای کسب اطلاعات بیشتر میتونید به سایت رسمی رویداد مراجعه کنید.
تاریخ های مهم این رویداد:
- 19 آوریل/31 فروردین : ارسال نامزدها باز میشه.
- 19 جولای/29 تیر: نامزدهای منتخب در کنفرانس Summercon 2024 اعلام میشن.
- 6 آگوست: جوایز نامزدهای برتر در کنفرانس BlackHat USA بهشون داده میشه.
برترین های سال 2023 :
- Best Cryptographic Attack
- Best Desktop Bug
- @b2ahex: CVE-2022-22036
- Best Privilege Escalation Bug
- @danis_jiang and @0x140ceURB: URB Excalibur: Slicing Through the Gordian Knot of VMware VM Escapes
- Best Remote Code Execution Bug
- @scannell_simon: ClamAV RCE (CVE-2023-20032)
- Best Song:
- Ohm-I: Clickin
- Epic Achievement:
- @_clem1: Clement Lecigne: 33 زیرودی از سال 2014 پیدا کرده و در سال جاری 8 مورد. بعنوان بهترین هانتر 0day
- Lamest Vendor Response:
- Lifetime Achievement Award:
- Peiter Zatko : work for DARPA, Google, Stripe,Twitter
- Most Epic Fail:
- Maia Crimew: Holy fu**g bingle, we have the no fly list
- Most Innovative Research:
- Most Under-Hyped Research
- Simon Zuckerbraun at Trendmicro: Activation Context Cache Poisoning
منابع: