Premios Pwnie

Premios de seguridad de la información

Los premios Pwnie reconocen tanto la excelencia como la incompetencia en el campo de la seguridad de la información ^{[ cita requerida ]} . Los ganadores son seleccionados por un comité de profesionales de la industria de la seguridad a partir de nominaciones recopiladas de la comunidad de seguridad de la información. ^[1] Los nominados se anuncian anualmente en Summercon , y los premios en sí se entregan en la Conferencia de Seguridad Black Hat . ^[2]

Orígenes

El nombre Pwnie Award se basa en la palabra " pwn ", que es una jerga hacker que significa "comprometer" o "controlar" basándose en el uso anterior de la palabra " own " (y se pronuncia de manera similar). El nombre "The Pwnie Awards", que se pronuncia como "Pony", ^[2] pretende sonar como los Premios Tony , una ceremonia de premios para el teatro de Broadway en la ciudad de Nueva York.

Historia

Los premios Pwnie fueron fundados en 2007 por Alexander Sotirov y Dino Dai Zovi ^[1] tras las discusiones relacionadas con el descubrimiento por parte de Dino de una vulnerabilidad multiplataforma en QuickTime ( CVE - 2007-2175) y el descubrimiento por parte de Alexander de una vulnerabilidad de procesamiento de archivos ANI ( CVE - 2007-0038) en Internet Explorer.

Ganadores

2024

• El mayor fracaso: Crowdstrike para 2024 Incidente de CrowdStrike ^[3]

2023

• El mejor error de escritorio: ¡CountExposure!
• Mejor ataque criptográfico: criptoanálisis basado en vídeo: extracción de claves criptográficas a partir de secuencias de vídeo del LED de encendido de un dispositivo ^[4] por Ben Nassi, Etay Iluz, Or Cohen, Ofek Vayner, Dudi Nassi, Boris Zadov, Yuval Elovici
• Mejor canción: Clickin'
• La investigación más innovadora: el interior de Lightning de Apple : Jtagging del iPhone para fuzzing y ganancias
• La investigación menos publicitada: envenenamiento de la caché del contexto de activación
• El mejor error de escalada de privilegios: URB Excalibur: cómo cortar el nudo gordiano de los escapes de máquinas virtuales de VMware
• El mejor error de ejecución remota de código: ClamAV RCE
• La respuesta más floja de un proveedor: tres lecciones de Threema : análisis de un mensajero seguro
• El mayor fracaso: “Santo cielo, tenemos la lista de personas a las que no se puede volar”
• Logro épico: Clement Lecigne: campeón mundial de cazadores de 0 días
• Premio a la trayectoria: Mudge

2022

• La respuesta más floja del proveedor: el equipo de respuesta "TAG" de Google por "cerrar unilateralmente una operación antiterrorista". ^{[5] [6] [7]}
• Logro épico: errores de RCE del lado del servidor de Windows de Yuki Chen
• El mayor fracaso: un empleado de HackerOne fue descubierto robando informes de vulnerabilidad para obtener ganancias personales
• Mejor error de escritorio: Pietro Borrello, Andreas Kogler, Martin Schwarzl, Moritz Lipp, Daniel Gruss, Michael Schwarz por filtrar datos de la microarquitectura de forma arquitectónica
• Investigación más innovadora: Pietro Borrello, Martin Schwarzl, Moritz Lipp, Daniel Gruss, Michael Schwarz por la unidad de procesamiento personalizada: seguimiento y aplicación de parches al microcódigo de Intel Atom
• Mejor ataque criptográfico: Hertzbleed: Convertir ataques de canal lateral de potencia en ataques de sincronización remota en x86 por Yingchen Wang, Riccardo Paccagnella, Elizabeth Tang He, Hovav Shacham, Christopher Fletcher, David Kohlbrenner
• El mejor error de ejecución remota de código: KunlunLab para Windows RPC Runtime Remote Code Execution ( CVE - 2022-26809)
• El mejor error de escalada de privilegios: Qidan He de Dawnslab, por Mystique in the House: la cadena de vulnerabilidades de los droides que posee todo su espacio de usuario
• El mejor error móvil: FORCEDENTRY
• La investigación menos publicitada: Yannay Livneh por falsificar la propiedad intelectual con IPIP

2021

• La respuesta más floja del proveedor: Cellebrite , por su respuesta a Moxie , el creador de Signal, que realizó ingeniería inversa de su UFED y el software que lo acompaña e informó sobre un exploit descubierto. ^{[8] [9]}
• Logro épico: Ilfak Guilfanov , en honor al 30º aniversario de IDA .
• Mejor error de escalada de privilegios: Baron Samedit de Qualys , por el descubrimiento de un exploit de hace 10 años en sudo .
• Mejor canción: The Ransomware Song de Forrest Brazeal ^[10]
• Mejor error del lado del servidor: Orange Tsai , por sus descubrimientos de la superficie de ataque de ProxyLogon de Microsoft Exchange Server . ^[11]
• Mejor ataque criptográfico: La NSA por su divulgación de un error en la verificación de firmas en Windows que rompe la cadena de confianza de los certificados. ^[12]
• Investigación más innovadora: Enes Göktaş, Kaveh Razavi, Georgios Portokalidis, Herbert Bos y Cristiano Giuffrida en VUSec por su investigación sobre el ataque "BlindSide". ^[13]
• El mayor fracaso: Microsoft , por no haber solucionado PrintNightmare . ^[14]
• El mejor error del lado del cliente: el descubrimiento de Gunnar Alendal de un desbordamiento de búfer en el chip seguro del Samsung Galaxy S20 . ^[15]
• La investigación menos publicitada: el equipo de investigación de Qualys para 21Nails , ^[16] 21 vulnerabilidades en Exim , el servidor de correo más popular de Internet. ^[17]

2020

• El mejor error del lado del servidor: BraveStarr (CVE-2020-10188): un exploit remoto de telnetd en Fedora 31 netkit ( Ronald Huizer )
• El mejor error de escalada de privilegios: checkm8: un exploit permanente e imparable de bootrom USB para mil millones de dispositivos iOS. ( axi0mX )
• Logro épico: "Rootear de forma remota dispositivos Android modernos" ( Guang Gong )
• Mejor ataque criptográfico: vulnerabilidad Zerologon ( Tom Tervoort , CVE-2020-1472)
• El mejor error del lado del cliente: RCE en teléfonos Samsung a través de MMS (CVE-2020-8899 y -16747), un ataque de ejecución remota sin hacer clic. ( Mateusz Jurczyk )
• Investigación menos publicitada: vulnerabilidades en el modo de administración del sistema (SMM) y en la tecnología de ejecución confiable (TXT) (CVE-2019-0151 y -0152) ( Gabriel Negreira Barbosa, Rodrigo Rubira Branco, Joe Cihula )
• Investigación más innovadora: TRRespass: cuando los proveedores de memoria le dicen que sus chips no contienen Rowhammer, no es así. ( Pietro Frigo, Emanuele Vannacci, Hasan Hassan, Victor van der Veen, Onur Mutlu, Cristiano Giuffrida, Herbert Bos, Kaveh Razavi )
• El mayor fracaso: Microsoft ; por la implementación de firmas de curva elíptica que permitían a los atacantes generar pares privados para las claves públicas de cualquier firmante, lo que permitía la suplantación de HTTPS y de binarios firmados. (CVE-2020-0601)
• Mejor canción: Powertrace de Rebekka Aigner, Daniel Gruss, Manuel Weber, Moritz Lipp, Patrick Radkohl, Andreas Kogler, Maria Eichlseder, ElTonno, tunefish, Yuki y Kater
• Respuesta más tonta del proveedor: Daniel J. Bernstein (CVE-2005-1513)

2019

• Mejor error del lado del servidor: Orange Tsai y Meh Chang , por su investigación sobre SSL VPN. ^[18]
• Investigación más innovadora: emulación vectorizada ^[19] Brandon Falk
• Mejor ataque criptográfico: \m/ Dr4g0nbl00d \m/ ^[20] Mathy Vanhoef, Eyal Ronen
• La respuesta más floja del vendedor: Bitfi
• El error más publicitado: acusaciones de puertas traseras de hardware de Supermicro , según Bloomberg
• El error menos publicitado: Thrangrycat ( Jatin Kataria, Red Balloon Security )

2018

• Investigación más innovadora: Spectre ^[21] / Meltdown ^[22] ( Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yuval Yarom )
• Mejor error de escalada de privilegios: Spectre ^[21] / Meltdown ^[22] ( Paul Kocher, Jann Horn, Anders Fogh, Daniel Genkin, Daniel Gruss, Werner Haas, Mike Hamburg, Moritz Lipp, Stefan Mangard, Thomas Prescher, Michael Schwarz, Yuval Yarom )
• Logro de toda una vida: Michał Zalewski
• Mejor ataque criptográfico: ROBOT - El regreso de la amenaza Oracle de Bleichenbacher ^[23] Hanno Böck, Juraj Somorovsky, Craig Young
• La respuesta más floja del vendedor: la billetera criptográfica de hardware Bitfi, luego de que el dispositivo "imposible de hackear" fuera hackeado para extraer las claves necesarias para robar monedas y rootearlo para jugar Doom . ^[24]

2017

• Logro épico: Federico Bento por finalmente solucionar el ataque ioctl de TIOCSTI
• Investigación más innovadora: ASLR en juego ^[25] Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos, Cristiano Giuffrida
• Mejor error de escalada de privilegios: DRAMMER ^[26] Victor van der Veen, Yanick Fratantonio, Martina Lindorfer, Daniel Gruss, Clementine Maurice, Giovanni Vigna, Herbert Bos, Kaveh Razavi, Cristiano Giuffrida
• Mejor ataque criptográfico: la primera colisión para SHA-1 completo Marc Stevens, Elie Bursztein, Pierre Karpman, Ange Albertini, Yarik Markov
• La respuesta más floja del proveedor: Lennart Poettering , por el mal manejo de las vulnerabilidades de seguridad, de manera espectacular, en el caso de múltiples errores críticos de Systemd ^[27]
• Mejor canción: Hola (desde el otro lado) ^[28] - Manuel Weber, Michael Schwarz, Daniel Gruss, Moritz Lipp, Rebekka Aigner

2016

• Investigación más innovadora: Dedup Est Machina: La deduplicación de memoria como un vector de explotación avanzado ^[29] Erik Bosman, Kaveh Razavi, Herbert Bos, Cristiano Giuffrida
• Logro de toda una vida: Peiter Zatko, también conocido como Mudge
• Mejor ataque criptográfico: ataque DROWN ^[30] Nimrod Aviram et al.
• Mejor canción: Cyberlier ^[31] - Katie Moussouris

2015

Lista de ganadores de. ^[32]

• El mejor error del lado del servidor: vulnerabilidades múltiples en la compresión SAP LZC LZH, Martin Gallo
• Mejor error del lado del cliente: ¿Se combinará?, ^[33] Mateusz j00ru Jurczyk
• El mejor error de escalada de privilegios: UEFI SMM Privilege Escalation, ^[34] Corey Kallenberg
• Investigación más innovadora: Secreto directo imperfecto: cómo el método Diffie-Hellman falla en la práctica ^[35] Adrian David et al.
• La respuesta más floja de un proveedor: Blue Coat Systems (por bloquear la presentación de investigación de Raphaël Rigo en SyScan 2015)
• El error más publicitado: Shellshock (error de software) , de Stephane Chazelas
• El error más épico: OPM - Oficina de Gestión de Personal de EE. UU. (por perder datos de 19,7 millones de solicitantes de autorizaciones de seguridad del gobierno de EE. UU.)
• El pueblo más épico: China
• Mejor canción: "Clean Slate" de YTCracker
• Logro de toda una vida: Thomas Dullien, también conocido como Halvar Flake

2014

• El mejor error del lado del servidor: Heartbleed ( Neel Mehta y Codenomicon , CVE-2014-0160)
• El mayor error del lado del cliente: vulnerabilidad de lectura y escritura de memoria arbitraria en Google Chrome ( Geohot , CVE-2014-1705)
• Mejor error de escalada de privilegios: vulnerabilidad de puntero colgante AFD.sys ( Sebastian Apelt , CVE-2014-1767); ganador de Pwn2Own 2014.
• Investigación más innovadora: Extracción de claves RSA mediante criptoanálisis acústico de bajo ancho de banda ( Daniel Genkin, Adi Shamir, Eran Tromer ); extraiga claves de descifrado RSA de computadoras portátiles en una hora utilizando los sonidos generados por la computadora.
• La respuesta más floja del proveedor: la administración remota de AVG no es segura “por diseño” ( AVG )
• Mejor canción: "The SSL Smiley Song" ( 0xabad1dea )
• El mayor fracaso épico: Goto Fail ( Apple Inc. )
• Título épico: Mt. Gox, ( Mark Karpelès )

2013

• El mejor error del lado del servidor: Ruby on Rails YAML (CVE-2013-0156) Ben Murphy
• El mayor error del lado del cliente: desbordamiento de búfer y escape de Sandbox de Adobe Reader (CVE-2013-0641) Desconocido
• El mejor error de escalada de privilegios : omisión de código incompleto en iOS y vulnerabilidades del kernel (CVE-2013-0977, CVE-2013-0978, CVE-2013-0981) David Wang, también conocido como planetbeing y el equipo evad3rs
• Investigación más innovadora: identificación y explotación de las condiciones de carrera del núcleo de Windows mediante patrones de acceso a la memoria ^[36] Mateusz "j00ru" Jurczyk, Gynvael Coldwind
• Mejor canción: "All the Things" de Dual Core
• El mayor fracaso: Nmap : Internet se considera perjudicial - Comprobación de inferencias de DARPA Escaneo de errores Hakin9 ^[37]
• Épica historia: premio conjunto a Edward Snowden y la NSA
• Logro de toda una vida: Barnaby Jack

2012

El premio al mejor error del lado del servidor fue para Sergey Golubchik por su falla de omisión de autenticación MySQL . ^{[38] [39]} Dos premios al mejor error del lado del cliente fueron otorgados a Sergey Glazunov y Pinkie Pie por sus fallas de Google Chrome presentadas como parte del concurso Pwnium de Google . ^{[38] [40]}

El premio al mejor error de escalada de privilegios fue para Mateusz Jurczyk ("j00ru") por una vulnerabilidad en el núcleo de Windows que afectó a todas las versiones de 32 bits de Windows. ^{[38] [39]} El premio a la investigación más innovadora fue para Travis Goodspeed por una forma de enviar paquetes de red que inyectarían paquetes adicionales. ^{[38] [39]}

El premio a la mejor canción fue para "Control" del rapero nerdcore Dual Core . ^[38] Una nueva categoría de premio, el "Tweetie Pwnie Award" por tener más seguidores en Twitter que los jueces, fue para MuscleNerd del iPhone Dev Team como representante de la comunidad de jailbreaking de iOS . ^[38]

El premio al "error más épico" fue entregado por el creador de Metasploit, HD Moore, a F5 Networks por su problema con la clave SSH raíz estática , y el premio fue aceptado por un empleado de F5, algo inusual porque el ganador de esta categoría normalmente no acepta el premio en la ceremonia. ^{[38] [40]} Otros nominados incluyeron a LinkedIn (por su filtración de datos que expuso hashes de contraseñas ) y la industria antivirus (por no detectar amenazas como Stuxnet , Duqu y Flame ). ^[39]

El premio al "ataque épico" le correspondió a Flame por su ataque de colisión MD5 , ^[40] reconociéndolo como una pieza de malware sofisticada y seria que debilitó la confianza en el sistema Windows Update . ^[39]

2011

• El mejor error del lado del servidor: relleno de Oracle en ASP.NET Framework (CVE-2010-3332) Juliano Rizzo, Thai Duong ^[2]
• El mejor error del lado del cliente: vulnerabilidad FreeType en iOS (CVE-2011-0226) Comex ^{[2] [41]}
• Mejor error de escalada de privilegios : vulnerabilidades de devolución de llamada en modo de usuario win32k del kernel de Windows ^[42] (MS11-034) Tarjei Mandt ^[41]
• Investigación más innovadora: cómo proteger el núcleo mediante la reescritura binaria estática y el control de programas ^[43] Piotr Bania ^[41]
• Logro de toda una vida: equipo pipacs/ PaX ^[41]
• La respuesta más tonta del proveedor: el token RSA SecurID compromete RSA ^[41]
• Mejor canción: "[The Light It Up Contest]" Geohot ^{[2] [41]}
• El mayor fracaso: Sony ^{[2] [41]}
• Pwnie para Epic Townage: Stuxnet ^{[2] [41]}

2010

• El mejor error del lado del servidor: ejecución remota de código en el marco Apache Struts2 (CVE-2010-1870) Meder Kydyraliev
• El mejor error del lado del cliente: Java Trusted Method Chaining (CVE-2010-0840) Sami Koivu
• Error de escalada de privilegios: controlador de trampas GP de Windows NT (CVE-2010-0232) Tavis Ormandy
• Investigación más innovadora: Inferencia de punteros de destello y pulverización JIT ^[44] Dionysus Blazakis
• Respuesta del proveedor más débil: ejecución remota de código LANrev Absolute Software
• Mejor canción: "Pwned - 1337 edition" de Dr. Raid y Heavy Pennies
• El mayor error: el filtro XSS de Microsoft Internet Explorer 8

2009

• El mejor error del lado del servidor: corrupción de memoria en fragmentos FWD de SCTP de Linux ( CVE - 2009-0065) David 'DK2' Kim
• El mejor error de escalada de privilegios: Linux udev Netlink Message Privilege Escalation ( CVE - 2009-1185) Sebastian Krahmer
• El mejor error del lado del cliente: msvidctl.dll Desbordamiento del búfer de pila MPEG2TuneRequest (CVE-2008-0015) Ryan Smith y Alex Wheeler
• Mass 0wnage: Red Hat Networks ha introducido una puerta trasera en los paquetes OpenSSH ( CVE - 2008-3844) Anónimo ^[1]
• Mejor investigación: De 0 a 0 días en Symbian Crédito: Bernhard Mueller
• La respuesta más floja del proveedor: Linux "sigue asumiendo que todos los errores de corrupción de memoria del núcleo son solo denegaciones de servicio " Proyecto Linux ^[45]
• Error más publicitado: MS08-067 Desbordamiento de pila del servicio de servidor NetpwPathCanonicalize() ( CVE - 2008-4250) Anónimo ^[45]
• Mejor canción: Nice Report Doctor Raid
• El mayor fracaso: el hackeo de Twitter y la "crisis de la nube" Twitter ^[1]
• Premio a la trayectoria: Diseñador solar ^[45]

2008

• El mejor error del lado del servidor: vulnerabilidad del kernel IGMP de Windows (CVE-2007-0069) Alex Wheeler y Ryan Smith
• El mejor error del lado del cliente: múltiples fallas en el manejo del protocolo URL Nate McFeters, Rob Carter y Billy Rios
• Mass 0wnage: Una cantidad increíble de vulnerabilidades en WordPress
• Investigación más innovadora: Lest We Remember: ataques de arranque en frío en claves de cifrado (mención honorífica otorgada a Rolf Rolles por su trabajo sobre ofuscadores de virtualización ) J. Alex Halderman , Seth Schoen, Nadia Heninger , William Clarkson, William Paul, Joseph Calandrino, Ariel Feldman, Rick Astley, Jacob Appelbaum, Edward Felten
• La respuesta más floja del proveedor: el programa de certificación "Hacker Safe" de McAfee ^[46]
• El error más publicitado: la vulnerabilidad de envenenamiento de caché DNS de Dan Kaminsky (CVE-2008-1447) ^[46]
• Mejor canción: Packin' the K! de Kaspersky Labs ^[46]
• El mayor fracaso: la implementación defectuosa de OpenSSL en Debian (CVE-2008-0166)
• Premio a la trayectoria: Tim Newsham

2007

• El mejor error del lado del servidor: Solaris en el exploit de root remoto telnetd (CVE-2007-0882), Kingcope ^[47]
• El mejor error del lado del cliente: vulnerabilidad de encadenamiento de filtros de excepciones no controladas (CVE-2006-3648) skape & skywing ^[47]
• Ejecución remota de código de WMF SetAbortProc (CVE-2005-4560) anónimo ^[47]
• Investigación más innovadora: direcciones de retorno temporales, skape ^[47]
• Respuesta del proveedor más débil: desbordamiento del búfer del kernel mbuf de IPv6 de OpenBSD (CVE-2007-1365) ^[47]
• El error más publicitado: vulnerabilidades de Wi-Fi en MacBook , David Maynor ^[47]
• Mejor canción: Symantec Revolution, Symantec

Referencias

1. Buley, Taylor (30 de julio de 2009). «Twitter vuelve a ser atacado». Forbes . Archivado desde el original el 16 de febrero de 2013. Consultado el 3 de enero de 2013 .
2. Sutter, John D. (4 de agosto de 2011). "Sony recibe el premio 'fallo épico' de los hackers". CNN . Consultado el 3 de enero de 2013 .
3. Algunos de ustedes quizás ya lo sepan, pero debido a circunstancias atenuantes, ¡hemos otorgado un premio anticipado!
4. Criptoanálisis basado en video: extracción de claves criptográficas a partir de secuencias de video del LED de encendido de un dispositivo
5. @PwnieAwards (10 de agosto de 2022). "Nuestra nominación final a la respuesta más floja de un proveedor es para: Google TAG por "cerrar unilateralmente una operación antiterrorista"" ( Tweet ) – vía Twitter .
6. "Los principales equipos de seguridad de Google cerraron unilateralmente una operación antiterrorista".
7. "El Proyecto Zero de Google desmantela un equipo de hackers antiterroristas occidentales". 29 de marzo de 2021.
8. Goodin, Dan (21 de abril de 2021). "En un ataque épico, el desarrollador de Signal le da la vuelta a la situación a la firma forense Cellebrite". Archivado desde el original el 23 de mayo de 2023.
9. Cox, Joseph; Franceschi-Bicchierai, Lorenzo (27 de abril de 2021). "Cellebrite lanza una actualización después de que el propietario de Signal pirateara el dispositivo". Archivado desde el original el 11 de mayo de 2023.
10. Brazeal, Forrest (11 de junio de 2021). «La canción del ransomware». YouTube . Archivado desde el original el 21 de diciembre de 2021. Consultado el 9 de agosto de 2021 .
11. Tsai, Orange. "ProxyLogon es solo la punta del iceberg: ¡una nueva superficie de ataque en Microsoft Exchange Server!". www.blackhat.com . Consultado el 9 de agosto de 2021 .
12. "U/OO/104201-20 PP-19-0031 14/01/2020 Agencia de Seguridad Nacional | Aviso de ciberseguridad 1 Parche de vulnerabilidad criptográfica crítica en clientes y servidores de Microsoft Windows" (PDF) . Defense.gov . Consultado el 9 de agosto de 2021 .
13. Göktaş, Enes; Razaví, Kaveh; Portokalidis, Georgios; Bos, Herbert; Giuffrida, Cristiano. "Sonda especulativa: piratería a ciegas en la era del espectro" (PDF) .
14. Kolsek, Mitja. "Microparches gratuitos para la vulnerabilidad PrintNightmare (CVE-2021-34527)". Blog de 0Patch . Consultado el 9 de agosto de 2021 .
15. Alendal, Gunnar. "Chip Chop: cómo destruir el chip de seguridad de los teléfonos móviles por diversión y para realizar análisis forenses digitales". www.blackhat.com . Black Hat.
16. "21Nails: Múltiples vulnerabilidades en Exim". qualys.com . Qualys . Consultado el 9 de agosto de 2021 .
17. "Encuesta de E-Soft MX". securityspace.com . E-Soft Inc. 1 de marzo de 2021 . Consultado el 21 de marzo de 2021 .
18. Tsai, Orange. "Infiltración en la intranet corporativa como la NSA: RCE previo a la autenticación en las principales VPN SSL". www.blackhat.com . Consultado el 7 de agosto de 2019 .
19. "Emulación vectorizada: seguimiento de manchas acelerado por hardware a 2 billones de instrucciones por segundo", Emulación vectorizada
20. "Dragonblood: Análisis del protocolo Dragonfly de WPA3 y EAP-pwd"
21. "Ataques Spectre: Explotación de la ejecución especulativa", Spectre
22. "Colapso", Colapso
23. "El regreso de la amenaza Oracle de Bleichenbacher (ROBOT)"
24. https://www.theregister.com/2018/08/31/bitfi_reluctantly_drops_unhackable_claim/ ^{[ URL desnuda ]}
25. "Premio Pwnie a la investigación más innovadora", Premios Pwnie
26. "Premio Pwnie al mejor error de escalada de privilegios", Premios Pwnie
27. "Premio Pwnie 2017 a la respuesta más floja del proveedor", Premios Pwnie
28. Hola (desde el otro lado) Manuel Weber, Michael Schwarz, Daniel Gruss, Moritz Lipp, Rebekka Aigner
29. "Dedup Est Machina: la deduplicación de memoria como un vector de explotación avanzado", Erik Bosman et al.
30. "DROWN: Rompiendo TLS usando SSLv2" Nimrod Aviram et al.
31. La cibercriminal Katie Moussouris
32. "'¿Se mezclará?' obtiene el premio Pwnie al mejor error del cliente y el premio OPM al mayor fracaso épico".
33. https://j00ru.vexillium.org/slides/2015/recon.pdf ^{[ URL básica PDF ]}
34. "Nota de vulnerabilidad CERT/CC VU#552286".
35. "Secreto imperfecto hacia adelante: cómo falla Diffie-Hellman en la práctica", Adrian David et al.
36. "Cómo identificar y explotar las condiciones de carrera del kernel de Windows mediante patrones de acceso a la memoria"
37. a las 09:31, John Leyden 5 de octubre de 2012. "Expertos se burlan de la 'mayor revista de seguridad del mundo' con una publicación de DICKish". www.theregister.co.uk . Consultado el 3 de octubre de 2019 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
38. Yin, Sara (26 de julio de 2012). "Y los ganadores del premio Pwnie Award 2012 son..." SecurityWatch . PCMag . Consultado el 8 de enero de 2013 .
39. Constantin, Lucian (26 de julio de 2012). "Flame's Windows Update Hack Wins Pwnie Award for Epic Ownage at Black Hat". IDG-News-Service . PCWorld . Consultado el 8 de enero de 2013 .
40. Sean Michael Kerner (25 de julio de 2012). "Black Hat: los premios Pwnie van para Flame por su pwnage épico y para F5 por su fracaso épico". InternetNews.com . Consultado el 8 de enero de 2013 .
41. Schwartz, Mathew J. (4 de agosto de 2011). "Pwnie Award Highlights: Sony Epic Fail And More". InformationWeek . Consultado el 3 de enero de 2013 .
42. "Ataques al núcleo mediante devoluciones de llamadas en modo usuario"
43. "Cómo proteger el núcleo mediante la reescritura binaria estática y el control de programas"
44. "Inferencia de punteros de explotación de intérpretes y pulverización JIT"
45. Brown, Bob (31 de julio de 2009). «Twitter, Linux, Red Hat y Microsoft «honrados» con los premios Pwnie». NetworkWorld. Archivado desde el original el 5 de agosto de 2009. Consultado el 3 de enero de 2013 .
46. Naone, Erica (7 de agosto de 2008). «Black Hat's Pwnie Awards». MIT Technology Review . Consultado el 3 de enero de 2013 .
47. Naraine, Ryan (2 de agosto de 2007). «El equipo de OpenBSD fue objeto de burlas en la primera entrega de los premios 'Pwnie'». ZDNet. Archivado desde el original el 17 de febrero de 2013. Consultado el 3 de enero de 2013 .

Enlaces externos

• Los premios Pwnie