Quem acompanha a Black Hat USA anualmente sabe que um dos momentos mais aguardados — e cômicos — do evento é a celebração do Pwnie Awards. Se você não faz ideia do que estamos falando, aqui vai uma rápida explicação: trata-se de uma premiação anual, cuja cerimônia é efetuada dentro da conferência em questão, e que reconhece tanto as melhores conquistas quanto os maiores fracassos do mercado de segurança cibernética. Como você pode imaginar, os maiores fracassos são, de fato, os mais aguardados pelo público. Em 2021, a cerimônia ocorreu de forma híbrida. Vamos aos vencedores?
- BH21 | Será que o Windows Hello é confiável? Bem, nem tanto assim
- BH21 | Identificando ataques de engenharia social com tecnologia deepfake
- BH21 | CISA quer trabalhar junto com setor privado para conter ataques cibernéticos
Resposta Mais Estúpida de um Fornecedor
Vencedor: Cellebrite
O nome da categoria é autoexplicativo — este prêmio é concedido à empresa que mais pisou na jaca ao lidar com uma crise de segurança da informação. O clássico “se fosse para falar isso, era melhor ficar calado”. Pois bem: a vencedora deste ano é a firma israelense Cellebrite, que passou carão no mês de abril ao responder de forma totalmente imatura a uma extensa pesquisa do Signal em relação ao seu kit de invasão a smartphones. Aliás, nós noticiamos esse episódio; vai lá ver o papelão.
Conquista Épica
Vencedor: Ilfak Guilfanov
A categoria reconhece o bom trabalho prestado por pesquisadores, atacantes, defensores — enfim, qualquer pessoa envolvida em todo esse círculo que todos nós conhecemos, seja ela uma figura já conhecida ou completamente aleatória. O troféu foi para Ilfak, conhecido por revolucionar o campo de pesquisa de vulnerabilidades com suas invenções de ferramentas como Hex-Rays e IDA (que, inclusive, está completando 30 anos e ainda se mostra extremamente útil).
Melhor Bug de Escalação de Privilégios
Vencedor: CVE-2021-3156
Descoberta pela Qualys, essa vulnerabilidade presente no Sudo era do tipo estouro de buffer baseado em Heap (heap-based buffer overflow). Em resumo, ela permitia que qualquer usuário local escalasse seu próprio privilégio em uma máquina para virar um superusuário sem maiores dificuldades. Os pesquisadores da companhia, aliás, criaram três exploits diferentes para garantir que a falha era real: uma para o Ubuntu 20.04, uma para o Debian 10 e outra para o Fedora 33. Pesado.
Melhor Música
Vencedor: “The Ransomware Song”, de Forrest Brazeal
Pois é, o Pwnie Awards tem até mesmo uma categoria para a melhor música do ano relacionada com segurança da informação. E quem venceu nesta edição foi “The Ransomware Song”, que surgiu como uma brincadeira do especialista em AWS Forrest Brazeal tocando piano. Ele resolveu compor uma música simples dizendo que finalmente entendeu o porquê estudamos tanta matemática no ensino fundamental quando descobriu quanta grana dá para fazer com ransomwares… E ransomwares é basicamente sobre matemática.
Melhor Bug Server-Side
Vencedor: CVE-2021-26855, CVE-2021-27065 e vários outros
Você deve estar se perguntando como diversas falhas podem vencer em uma mesma categoria. Simples: aqui, é “celebrada” a vulnerabilidade do lado do servidor mais crítica possível, e, neste ano, este título ficou com a ProxyLogon, que afeta versões mais antigas do Microsoft Exchange. Não se trata, porém, de um único bug, mas de uma série de exploits que, se explorados em cadeia, podem ser usados até para espionar terceiros — e foi o que exatamente aconteceu, caso você não se lembre.
Melhor Bug Client-Side
Vencedor: CVE-2020-28341
O smartphone top de linha Samsung Galaxy S20 tem um chip de segurança à la Secure Enclave da Apple… O problema é que Gunnar Alendal conseguiu invadi-lo sozinho, sem muito esforço, graças a uma série de vulnerabilidades no hardware e em seu firmware. Para que tal falha pode ser usada? Para muita coisa, incluindo roubo de informações e força-bruta da tela de desbloqueio. Clap, clap.
Melhor Ataque Criptográfico
Vencedor: NSA/CVE-2020-0601
Pouco se sabe sobre esse bug, com exceção de que ele afetava várias versões do Windows, foi identificada pela NSA e residia na verificação de assinaturas criptográficas do sistema operacional. O problema era tão grave que o órgão não divulgou detalhes sobre o próprio, entrando em um acordo de confidencialidade com a Microsoft para corrigi-lo Troféu mais do que merecido.
Pesquisa Mais Inovadora
Vencedor: Speculative Probing: Hacking Blind in the Spectre Era
Lembra da vulnerabilidade Spectre? Nesta pesquisa altamente complexa, um grupo de pesquisadores (Enes Goktas, Kaveh Razavi, Georgios Portokalidis, Herbert Bos e Cristiano Giuffrida) demonstrou como um atacante poderia se aproveitar de uma vulnerabilidade de corrupção de memória para atacar um kernel Linux.
Pesquisa Mais Ignorada
Vencedor: 21 Nails
Outro prêmio para a Qualys. Esta categoria, que lista pesquisas que — embora sejam boas — acabaram passando despercebidas pela comunidade, elegeu este trabalho para o troféu de 2021. A pesquisa 21 Nails ganhou esse nome por revelar nada menos do que 21 bugs no servidor de emails Exim, sendo 11 vulnerabilidades locais e 10 remotas. Detalhe: a maioria dos problemas existiam desde que a plataforma foi lançada no mercado, em 1995. É.
Falha Mais Épica
Vencedor: PrintNightmare
Você é uma das maiores empresas de tecnologia do mundo. Você descobre uma falha grave em seu sistema operacional. Você emite um patch, mas ele não funciona. Você emite outro patch, mas falha de novo. Mais dois patches, e… Cara, o problema ainda não está totalmente resolvido no momento em que esta matéria foi escrita. Tem deslize maior do que esse?
Continue acompanhando a The Hack para mais conteúdos sobre a Black Hat USA 2021!