Premios Pwnie

Premios a la seguridad de la información

Los premios Pwnie reconocen tanto la excelencia como la incompetencia en el campo de la seguridad de la información ^{[ cita requerida ]} . Los ganadores son seleccionados por un comité de profesionales de la industria de la seguridad a partir de nominaciones recopiladas de la comunidad de seguridad de la información. ^[1] Los nominados se anuncian anualmente en Summercon y los premios en sí se entregan en la Black Hat Security Conference . ^[2]

Orígenes

El nombre Pwnie Award se basa en la palabra " pwn ", que en la jerga hacker significa "comprometer" o "controlar" basándose en el uso anterior de la palabra " propio " (y se pronuncia de manera similar). El nombre "The Pwnie Awards", pronunciado como "Pony", ^[2] pretende sonar como los Premios Tony , una ceremonia de premiación del teatro de Broadway en la ciudad de Nueva York.

Historia

Los premios Pwnie fueron fundados en 2007 por Alexander Sotirov y Dino Dai Zovi ^[1] luego de discusiones sobre el descubrimiento de Dino de una vulnerabilidad QuickTime multiplataforma ( CVE - 2007-2175) y el descubrimiento de Alexander de una vulnerabilidad de procesamiento de archivos ANI ( CVE - 2007- 0038) en Internet Explorer.

Ganadores

2024

• Fallo más épico: Crowdstrike para el incidente de CrowdStrike de 2024 ^[3]

2023

• Mejor error de escritorio: ¡CountExposure!
• Mejor ataque criptográfico: criptoanálisis basado en vídeo: extracción de claves criptográficas a partir de imágenes de vídeo del LED de encendido de un dispositivo ^[4] por Ben Nassi, Etay Iluz, Or Cohen, Ofek Vayner, Dudi Nassi, Boris Zadov, Yuval Elovici
• Mejor canción: Clickin'
• Investigación más innovadora: Dentro del Lightning de Apple : etiquetar el iPhone para obtener ganancias y obtener ganancias
• La investigación más poco publicitada: envenenamiento de la caché del contexto de activación
• Mejor error de escalada de privilegios: URB Excalibur: cortando el nudo gordiano de VMware VM Escapes
• Mejor error de ejecución remota de código: ClamAV RCE
• La respuesta más tonta del proveedor: tres lecciones de Threema : análisis de un mensajero seguro
• El fracaso más épico: "Santo cielo, tenemos la lista de exclusión aérea"
• Logro épico: Clement Lecigne: campeón mundial de cazadores de 0 días
• Premio a la trayectoria: Mudge

2022

• La respuesta más tonta del proveedor: el equipo de respuesta "TAG" de Google por "cerrar unilateralmente una operación antiterrorista". ^{[5] [6] [7]}
• Logro épico: errores RCE del lado del servidor de Windows de Yuki Chen
• El error más épico: un empleado de HackerOne fue sorprendido robando informes de vulnerabilidad para obtener beneficios personales
• Mejor error de escritorio: Pietro Borrello, Andreas Kogler, Martin Schwarzl, Moritz Lipp, Daniel Gruss, Michael Schwarz por la filtración arquitectónica de datos de la microarquitectura
• Investigación más innovadora: Pietro Borrello, Martin Schwarzl, Moritz Lipp, Daniel Gruss, Michael Schwarz para la Unidad de procesamiento personalizada: seguimiento y parcheo del microcódigo Intel Atom
• Mejor ataque criptográfico: Hertzbleed: convertir ataques potentes de canal lateral en ataques de sincronización remota en x86 por Yingchen Wang, Riccardo Paccagnella, Elizabeth Tang He, Hovav Shacham, Christopher Fletcher, David Kohlbrenner
• Mejor error de ejecución remota de código: KunlunLab para ejecución remota de código en tiempo de ejecución RPC de Windows ( CVE - 2022-26809)
• Mejor error de escalada de privilegios: Qidan He de Dawnslab, por Mystique in the House: The Droid Vulnerability Chain That Owns All Your Userspace
• Mejor error móvil: FORCEDENTRY
• La investigación menos publicitada: Yannay Livneh por falsificar IP con IPIP

2021

• La respuesta más tonta del proveedor: Cellebrite , por su respuesta a Moxie , el creador de Signal, que realizó ingeniería inversa en su UFED y el software que lo acompaña y reportó un exploit descubierto. ^{[8] [9]}
• Logro épico: Ilfak Guilfanov , en honor al 30 aniversario de IDA .
• Mejor error de escalada de privilegios: Baron Samedit de Qualys , por el descubrimiento de un exploit de hace 10 años en sudo .
• Mejor canción: The Ransomware Song de Forrest Brazeal ^[10]
• Mejor error del lado del servidor: Orange Tsai , por sus descubrimientos de superficies de ataque de Microsoft Exchange Server ProxyLogon . ^[11]
• Mejor ataque criptográfico: La NSA por revelar un error en la verificación de firmas en Windows que rompe la cadena de confianza de los certificados. ^[12]
• Investigación más innovadora: Enes Göktaş, Kaveh Razavi, Georgios Portokalidis, Herbert Bos y Cristiano Giuffrida de VUSec por su investigación sobre el ataque "BlindSide". ^[13]
• Fallo más épico: Microsoft , por no solucionar PrintNightmare . ^[14]
• Mejor error del lado del cliente: el descubrimiento de Gunnar Alendal de un desbordamiento de búfer en el chip seguro del Samsung Galaxy S20 . ^[15]
• Investigación menos publicitada: El equipo de investigación de Qualys para 21Nails , ^[16] 21 vulnerabilidades en Exim , el servidor de correo más popular de Internet. ^[17]

2020

• Mejor error del lado del servidor: BraveStarr (CVE-2020-10188): un exploit remoto netkit telnetd de Fedora 31 ( Ronald Huizer )
• Mejor error de escalada de privilegios: checkm8: un exploit de arranque USB permanente y no parcheable para mil millones de dispositivos iOS. ( axi0mX )
• Logro épico: "Rootear remotamente dispositivos Android modernos" ( Guang Gong )
• Mejor ataque criptográfico: vulnerabilidad Zerologon ( Tom Tervoort , CVE-2020-1472)
• Mejor error del lado del cliente: RCE en teléfonos Samsung a través de MMS (CVE-2020-8899 y -16747), un ataque de ejecución remota sin clic. ( Mateusz Jurczyk )
• Investigación más poco publicitada: vulnerabilidades en el modo de administración del sistema (SMM) y tecnología de ejecución confiable (TXT) (CVE-2019-0151 y -0152) ( Gabriel Negreira Barbosa, Rodrigo Rubira Branco, Joe Cihula )
• Investigación más innovadora: TRRespass: cuando los proveedores de memorias le dicen que sus chips no tienen Rowhammer, no lo son. ( Pietro Frigo, Emanuele Vannacci, Hasan Hassan, Victor van der Veen, Onur Mutlu, Cristiano Giuffrida, Herbert Bos, Kaveh Razavi )
• El fracaso más épico: Microsoft ; para la implementación de firmas de curva elíptica que permitieron a los atacantes generar pares privados para claves públicas de cualquier firmante, permitiendo HTTPS y suplantación binaria firmada. (CVE-2020-0601)
• Mejor canción: Powertrace de Rebekka Aigner, Daniel Gruss, Manuel Weber, Moritz Lipp, Patrick Radkohl, Andreas Kogler, Maria Eichlseder, ElTonno, tunefish, Yuki y Kater
• Respuesta más tonta del proveedor: Daniel J. Bernstein (CVE-2005-1513)

2019

• Mejor error del lado del servidor: Orange Tsai y Meh Chang , por su investigación sobre VPN SSL. ^[18]
• Investigación más innovadora: emulación vectorizada ^[19] Brandon Falk
• Mejor ataque criptográfico: \m/ Dr4g0nbl00d \m/ ^[20] Mathy Vanhoef, Eyal Ronen
• La respuesta más tonta del proveedor: Bitfi
• Error más publicitado: acusaciones de puertas traseras de hardware de Supermicro , Bloomberg
• Error menos publicitado: Thrangrycat , ( Jatin Kataria, Red Balloon Security )

2018

• Investigación más innovadora: Spectre ^[21] / Meltdown ^[22] ( Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yuval Yarom )
• Mejor error de escalada de privilegios: Spectre ^[21] / Meltdown ^[22] ( Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yuval Yarom )
• Logro de toda una vida: Michał Zalewski
• Mejor ataque criptográfico: ROBOT: el regreso de la amenaza del oráculo de Bleichenbacher ^[23] Hanno Böck, Juraj Somorovsky, Craig Young
• La respuesta más tonta del proveedor: billetera criptográfica de hardware Bitfi, después de que el dispositivo "inhackeable" fuera pirateado para extraer las claves necesarias para robar monedas y rootearlo para jugar Doom . ^[24]

2017

• Logro épico: Federico Bento por finalmente solucionar el ataque TIOCSTI ioctl
• Investigación más innovadora: ASLR en juego ^[25] Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos, Cristiano Giuffrida
• Mejor error de escalada de privilegios: DRAMMER ^[26] Victor van der Veen, Yanick Fratantonio, Martina Lindorfer, Daniel Gruss, Clementine Maurice, Giovanni Vigna, Herbert Bos, Kaveh Razavi, Cristiano Giuffrida
• Mejor ataque criptográfico: la primera colisión para SHA-1 completo Marc Stevens, Elie Bursztein, Pierre Karpman, Ange Albertini, Yarik Markov
• La respuesta más tonta del proveedor: Lennart Poettering , por manejar mal las vulnerabilidades de seguridad de manera espectacular para múltiples errores críticos de Systemd ^[27]
• Mejor canción: Hola (desde el otro lado) ^[28] - Manuel Weber, Michael Schwarz, Daniel Gruss, Moritz Lipp, Rebekka Aigner

2016

• Investigación más innovadora: Dedup Est Machina: la deduplicación de la memoria como vector de explotación avanzada ^[29] Erik Bosman, Kaveh Razavi, Herbert Bos, Cristiano Giuffrida
• Logro de toda una vida: Peiter Zatko alias Mudge
• Mejor ataque criptográfico: ataque DROWN ^[30] Nimrod Aviram et al.
• Mejor canción: Cyberlier ^[31] - Katie Moussouris

2015

Lista de ganadores de. ^[32]

• Mejor error del lado del servidor: múltiples vulnerabilidades de compresión SAP LZC LZH, Martin Gallo
• Mejor error del lado del cliente: ¿Se combinará?, ^[33] Mateusz j00ru Jurczyk
• Mejor error de escalada de privilegios: Escalada de privilegios UEFI SMM, ^[34] Corey Kallenberg
• Investigación más innovadora: Secreto imperfecto hacia adelante: cómo falla Diffie-Hellman en la práctica ^[35] Adrian David et al.
• La respuesta más tonta del proveedor: Blue Coat Systems (por bloquear la presentación de investigación de Raphaël Rigo en SyScan 2015)
• Error más sobrevalorado: Shellshock (error de software) , Stéphane Chazelas
• El FALLO más épico: OPM - Oficina de Gestión de Personal de EE. UU. (por perder datos sobre 19,7 millones de solicitantes de autorizaciones de seguridad del gobierno de EE. UU.)
• El escenario más épico: China
• Mejor canción: "Clean Slate" de YTCracker
• Logro de toda una vida: Thomas Dullien, también conocido como Halvar Flake

2014

• Mejor error del lado del servidor: Heartbleed ( Neel Mehta y Codenomicon , CVE-2014-0160)
• Mejor error del lado del cliente: vulnerabilidad de lectura y escritura de memoria arbitraria de Google Chrome ( Geohot , CVE-2014-1705)
• Mejor error de escalada de privilegios: vulnerabilidad del puntero colgante de AFD.sys ( Sebastian Apelt , CVE-2014-1767); el ganador de Pwn2Own 2014.
• Investigación más innovadora: extracción de claves RSA mediante criptoanálisis acústico de bajo ancho de banda ( Daniel Genkin, Adi Shamir, Eran Tromer ); extraiga claves de descifrado RSA de computadoras portátiles en una hora utilizando los sonidos generados por la computadora.
• La respuesta más tonta del proveedor: La administración remota de AVG es insegura “por diseño” ( AVG )
• Mejor Canción: "The SSL Smiley Song" ( 0xabad1dea )
• Fallo más épico: Goto Fail ( Apple Inc. )
• Paisaje épico: Mt. Gox, ( Mark Karpelès )

2013

• Mejor error del lado del servidor: Ruby on Rails YAML (CVE-2013-0156) Ben Murphy
• Mejor error del lado del cliente: desbordamiento del búfer de Adobe Reader y escape de Sandbox (CVE-2013-0641) Desconocido
• Mejor error de escalada de privilegios : omisión de código incompleto de iOS y vulnerabilidades del kernel (CVE-2013-0977, CVE-2013-0978, CVE-2013-0981) David Wang, también conocido como planetbeing y el equipo de evad3rs
• Investigación más innovadora: identificación y explotación de las condiciones de carrera del kernel de Windows mediante patrones de acceso a la memoria ^[36] Mateusz "j00ru" Jurczyk, Gynvael Coldwind
• Mejor Canción: "Todas las Cosas" Dual Core
• Fallo más épico: Nmap : Internet se considera perjudicial - Comprobación de inferencias de DARPA Kludge Scanning Hakin9 ^[37]
• Epic 0wnage: Premio conjunto a Edward Snowden y la NSA
• Logro de toda una vida: Barnaby Jack

2012

El premio al mejor error del lado del servidor fue para Sergey Golubchik por su falla en la omisión de autenticación de MySQL . ^{[38] [39]} Sergey Glazunov y Pinkie Pie recibieron dos premios al mejor error del lado del cliente por sus fallas en Google Chrome presentadas como parte del concurso Pwnium de Google . ^{[38] [40]}

El premio al mejor error de escalada de privilegios fue para Mateusz Jurczyk ("j00ru") por una vulnerabilidad en el kernel de Windows que afectaba a todas las versiones de 32 bits de Windows. ^{[38] [39]} El premio a la investigación más innovadora fue para Travis Goodspeed por una forma de enviar paquetes de red que inyectarían paquetes adicionales. ^{[38] [39]}

El premio a la mejor canción fue para "Control" del rapero nerdcore Dual Core . ^[38] Una nueva categoría de premio, el "Premio Tweetie Pwnie" por tener más seguidores en Twitter que los jueces, fue para MuscleNerd del iPhone Dev Team como representante de la comunidad de jailbreak de iOS . ^[38]

El premio al "fallo más épico" fue entregado por el creador de Metasploit , HD Moore, a F5 Networks por su problema de clave SSH raíz estática , y el premio fue aceptado por un empleado de F5, algo inusual porque el ganador de esta categoría generalmente no acepta el premio en la ceremonia. ^{[38] [40]} Otros nominados incluyeron LinkedIn (por su violación de datos que expone hashes de contraseñas ) y la industria antivirus (por no detectar amenazas como Stuxnet , Duqu y Flame ). ^[39]

El premio por "ataque épico" fue para Flame por su ataque de colisión MD5 , ^[40] reconociéndolo como un malware sofisticado y grave que debilitó la confianza en el sistema Windows Update . ^[39]

2011

• Mejor error del lado del servidor: ASP.NET Framework Padding Oracle (CVE-2010-3332) Juliano Rizzo, Thai Duong ^[2]
• Mejor error del lado del cliente: vulnerabilidad FreeType en iOS (CVE-2011-0226) Comex ^{[2] [41]}
• Mejor error de escalada de privilegios : vulnerabilidades de devolución de llamada en modo de usuario win32k del kernel de Windows ^[42] (MS11-034) Tarjei Mandt ^[41]
• Investigación más innovadora: Protección del kernel mediante reescritura binaria estática y pastoreo de programas ^[43] Piotr Bania ^[41]
• Logros de toda una vida: pipacs/ Equipo PaX ^[41]
• La respuesta más tonta del proveedor: el token RSA SecurID compromete RSA ^[41]
• Mejor canción: "[The Light It Up Contest]" Geohot ^{[2] [41]}
• El fracaso más épico: Sony ^{[2] [41]}
• Pwnie para Epic 0wnage: Stuxnet ^{[2] [41]}

2010

• Mejor error del lado del servidor: ejecución remota de código del marco Apache Struts2 (CVE-2010-1870) Meder Kydyraliev
• Mejor error del lado del cliente: encadenamiento de métodos de confianza de Java (CVE-2010-0840) Sami Koivu
• Mejor error de escalada de privilegios: Controlador de trampas #GP de Windows NT (CVE-2010-0232) Tavis Ormandy
• Investigación más innovadora: inferencia del puntero de destello y pulverización JIT ^[44] Dionysus Blazakis
• Lamest respuesta del proveedor: ejecución remota de código LANrev Absolute Software
• Mejor Canción: "Pwned - Edición 1337" Dr. Raid y Heavy Pennies
• Fallo más épico: filtro XSS de Microsoft Internet Explorer 8

2009

• Mejor error del lado del servidor: corrupción de memoria del fragmento SCTP FWD de Linux ( CVE - 2009-0065) David 'DK2' Kim
• Mejor error de escalada de privilegios: Linux udev Netlink Message Privilege Escalation ( CVE - 2009-1185) Sebastian Krahmer
• Mejor error del lado del cliente: msvidctl.dll MPEG2TuneRequest Desbordamiento del búfer de pila (CVE-2008-0015) Ryan Smith y Alex Wheeler
• Gestión masiva: Paquetes OpenSSH con puerta trasera de Red Hat Networks ( CVE - 2008-3844) Anónimo ^[1]
• Mejor investigación: De 0 a 0 días en Symbian Crédito: Bernhard Mueller
• Lamest respuesta del proveedor: Linux "Asumiendo continuamente que todos los errores de corrupción de la memoria del kernel son solo denegación de servicio " Proyecto Linux ^[45]
• Error más sobrevalorado: MS08-067 Servicio de servidor NetpwPathCanonicalize() Desbordamiento de pila ( CVE - 2008-4250) Anónimo ^[45]
• Mejor canción: Nice Report Doctor Raid
• El fracaso más épico: Twitter es pirateado y la "crisis de la nube" de Twitter ^[1]
• Premio a la trayectoria: Diseñador solar ^[45]

2008

• Mejor error del lado del servidor: vulnerabilidad del kernel IGMP de Windows (CVE-2007-0069) Alex Wheeler y Ryan Smith
• Mejor error del lado del cliente: múltiples fallas en el manejo de protocolos URL Nate McFeters, Rob Carter y Billy Rios
• Mass 0wnage: una cantidad increíble de vulnerabilidades de WordPress
• Investigación más innovadora: Para que no recordemos: ataques de arranque en frío a claves de cifrado (se otorgó una mención honorífica a Rolf Rolles por su trabajo en ofuscadores de virtualización ) J. Alex Halderman , Seth Schoen, Nadia Heninger , William Clarkson, William Paul, Joseph Calandrino, Ariel Feldman , Rick Astley, Jacob Appelbaum, Edward Felten
• La respuesta más tonta del proveedor: programa de certificación "Hacker Safe" de McAfee ^[46]
• Error más sobrevalorado: vulnerabilidad de envenenamiento de caché DNS de Dan Kaminsky (CVE-2008-1447) ^[46]
• Mejor canción: Packin' the K! por Kaspersky Labs ^[46]
• Fallo más épico: la implementación defectuosa de OpenSSL de Debian (CVE-2008-0166)
• Premio a la trayectoria: Tim Newsham

2007

• Mejor error del lado del servidor: Explotación de raíz remota de Solaris en telnetd (CVE-2007-0882), Kingcope ^[47]
• Mejor error del lado del cliente: vulnerabilidad de encadenamiento de filtros de excepción no controlada (CVE-2006-3648) skape & skywing ^[47]
• Cambio masivo: ejecución remota de código WMF SetAbortProc (CVE-2005-4560) anónima ^[47]
• Investigación más innovadora: remitentes temporales, skape ^[47]
• Respuesta más tonta del proveedor: desbordamiento del búfer del kernel mbuf de OpenBSD IPv6 (CVE-2007-1365) ^[47]
• Error más sobrevalorado: vulnerabilidades Wi-Fi de MacBook , David Maynor ^[47]
• Mejor canción: Symantec Revolution, Symantec

Referencias

1. Buley, Taylor (30 de julio de 2009). "Twitter vuelve a ser 'pwned'". Forbes . Archivado desde el original el 16 de febrero de 2013 . Consultado el 3 de enero de 2013 .
2. Sutter, John D. (4 de agosto de 2011). "Sony recibe el premio por 'fracaso épico' de los piratas informáticos". CNN . Consultado el 3 de enero de 2013 .
3. Es posible que algunos de ustedes ya lo sepan, pero debido a circunstancias atenuantes, ¡hemos otorgado una indemnización anticipada!
4. Criptoanálisis basado en video: extracción de claves criptográficas de imágenes de video del LED de encendido de un dispositivo
5. @PwnieAwards (10 de agosto de 2022). "Nuestra nominación final para la respuesta del proveedor más tonta es para: Google TAG por" cerrar unilateralmente una operación antiterrorista"" ( Tweet ) - vía Twitter .
6. https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/
7. https://www.verdict.co.uk/googles-project-zero-shuts-down-western-counter-terrorist-hacker-team/?cf-view
8. Goodin, Dan (21 de abril de 2021). "En un truco épico, el desarrollador de Signal le da la vuelta a la empresa forense Cellebrite". Archivado desde el original el 23 de mayo de 2023.
9. Cox, José; Franceschi-Bicchierai, Lorenzo (27 de abril de 2021). "Cellebrite impulsa la actualización después de que el propietario de la señal piratea el dispositivo". Archivado desde el original el 11 de mayo de 2023.
10. Brazeal, Forrest. "La canción del ransomware". YouTube . Archivado desde el original el 21 de diciembre de 2021 . Consultado el 9 de agosto de 2021 .
11. Tsai, naranja. "ProxyLogon es sólo la punta del iceberg: ¡una nueva superficie de ataque en Microsoft Exchange Server!". www.blackhat.com . Consultado el 9 de agosto de 2021 .
12. "U/OO/104201-20 PP-19-0031 14/01/2020 Agencia de Seguridad Nacional | Aviso de ciberseguridad 1 parche vulnerabilidad criptográfica crítica en clientes y servidores de Microsoft Windows" (PDF) . Defensa.gov . Consultado el 9 de agosto de 2021 .
13. Göktaş, Enes; Razaví, Kaveh; Portokalidis, Georgios; Bos, Herbert; Giuffrida, Cristiano. "Sonda especulativa: piratería a ciegas en la era del espectro" (PDF) .
14. Kolsek, Mitja. "Microparches gratuitos para la vulnerabilidad PrintNightmare (CVE-2021-34527)". 0Blog de parches . Consultado el 9 de agosto de 2021 .
15. Alendal, Gunnar. "Chip Chop: destruir el chip seguro del teléfono móvil para divertirse y realizar análisis forense digital". www.blackhat.com . Sombrero negro.
16. "21Nails: múltiples vulnerabilidades en Exim". qualys.com . Qualys . Consultado el 9 de agosto de 2021 .
17. "Encuesta E-Soft MX". seguridadspace.com . E-Soft Inc. 1 de marzo de 2021 . Consultado el 21 de marzo de 2021 .
18. Tsai, naranja. "Infiltrarse en una intranet corporativa como la NSA: ¡RCE de autenticación previa en las principales VPN SSL!". www.blackhat.com . Consultado el 7 de agosto de 2019 .
19. "Emulación vectorizada: seguimiento de contaminación acelerado por hardware a 2 billones de instrucciones por segundo", Emulación vectorizada
20. "Dragonblood: Análisis del protocolo de enlace Dragonfly de WPA3 y EAP-pwd"
21. "Ataques de espectro: explotación de la ejecución especulativa", Spectre
22. "Derretimiento", Derretimiento
23. "El regreso de la amenaza del oráculo de Bleichenbacher (ROBOT)"
24. https://www.theregister.com/2018/08/31/bitfi_reluctantly_drops_unhackable_claim/
25. "Pwnie a la investigación más innovadora", Premios Pwnie
26. "Pwnie al mejor error de escalada de privilegios", Premios Pwnie
27. "Premio Pwnie 2017 a la respuesta del proveedor más tonta", Premios Pwnie
28. Hola (desde el otro lado) Manuel Weber, Michael Schwarz, Daniel Gruss, Moritz Lipp, Rebekka Aigner
29. "Dedup Est Machina: deduplicación de memoria como vector de explotación avanzada", Erik Bosman et al.
30. "DROWN: Rompiendo TLS usando SSLv2" Nimrod Aviram et al.
31. Ciberlier Katie Moussouris
32. https://www.darkreading.com/vulnerabilities-threats/-will-it-blend-earns-pwnie-for-best-client-bug-opm-for-most-epic-fail
33. https://j00ru.vexillium.org/slides/2015/recon.pdf
34. https://www.kb.cert.org/vuls/id/552286
35. "Secreto directo imperfecto: cómo falla Diffie-Hellman en la práctica", Adrian David et al.
36. "Identificación y explotación de las condiciones de carrera del kernel de Windows mediante patrones de acceso a la memoria"
37. a las 09:31, John Leyden, 5 de octubre de 2012. "Los expertos trollean a la 'revista de seguridad más grande del mundo' con una presentación DICKish". www.theregister.co.uk . Consultado el 3 de octubre de 2019 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
38. Yin, Sara (26 de julio de 2012). "Y los ganadores del premio Pwnie 2012 son..." SecurityWatch . PCMag . Consultado el 8 de enero de 2013 .
39. Constantin, Lucian (26 de julio de 2012). "El truco de actualización de Windows de Flame gana el premio Pwnie por su propiedad épica en Black Hat". Servicio de noticias IDG . Mundo PC . Consultado el 8 de enero de 2013 .
40. Sean Michael Kerner (25 de julio de 2012). "Black Hat: Pwnie Awards van a Flame por pwnage épico y F5 por fracaso épico". InternetNews.com . Consultado el 8 de enero de 2013 .
41. Schwartz, Mathew J. (4 de agosto de 2011). "Aspectos destacados del premio Pwnie: fracaso épico de Sony y más". Semana de la Información . Consultado el 3 de enero de 2013 .
42. "Ataques al kernel mediante devoluciones de llamadas en modo de usuario"
43. "Asegurar el kernel mediante reescritura binaria estática y pastoreo de programas"
44. "Inferencia de puntero de explotación de intérprete y pulverización JIT"
45. Brown, Bob (31 de julio de 2009). "Twitter, Linux, Red Hat, Microsoft" honrados "con los premios Pwnie". MundoRed. Archivado desde el original el 5 de agosto de 2009 . Consultado el 3 de enero de 2013 .
46. Naone, Erica (7 de agosto de 2008). "Premios Pwnie de Black Hat". Revisión de tecnología del MIT . Consultado el 3 de enero de 2013 .
47. Naraine, Ryan (2 de agosto de 2007). "El equipo de OpenBSD se burló de los primeros premios 'Pwnie'". ZDNet. Archivado desde el original el 17 de febrero de 2013 . Consultado el 3 de enero de 2013 .

enlaces externos

• Los premios Pwnie