Flame的Windows Update Hack赢得Pwnie奖在黑帽子史诗Ownage

每年在黑帽安全会议上发布的Pwnie奖评委会都将在IT安全方面取得成就和失败，已经认识到Flame cyberespionage恶意软件所使用的Windows Update攻击是过去12个月中令人印象深刻的折中。

根据Pwnie奖网站，“Epic 0wnage”奖授予黑客负责“提供最具破坏性，广泛宣传或搞笑0wnage。“

今年的提名人包括：

[进一步阅读：如何从您的Windows PC删除恶意软件]

- 火焰恶意软件的作者，提出了一个新型密码分析技术ue生成一个流氓微软代码签名证书，允许他们将恶意软件作为Windows更新提供;

- 随处可见的证书颁发机构（CA），Pwnie奖评委将其描述为一个巨大的安全漏洞，因为其中有几个在过去的一年中被破坏了;

- 以及来自iPhone开发团队和慢性开发团队的iOS jailbreakers，基本上说服了数百万用户保持设备不被修补，并且容易受到已知的越狱中使用的严重缺陷的影响。

Flame作者用来欺骗Windows Update的MD5碰撞加密攻击是一个非常复杂的黑客攻击，据知名安全研究员和Pwnie奖评委亚历山大·索蒂洛夫在颁奖仪式上表示。他说，世界上一些最好的密码技术人员仍然在试图确定碰撞攻击是如何实际执行的，除了使用新型密码分析技术之外，这种攻击也有非常严重的影响，因为它削弱了公众的信任在Windows Update中，Sotirov说。如果有人被真正的攻击者滥用而不仅仅是在学术环境中，现在又有谁能相信它？ “研究人员问道：”Sotirov是国际安全研究团队的一员，他们在2008年通过生成一个恶意CA证书证明了其对MD5算法的实际冲突攻击，该证书使他们能够欺骗互联网上任何受HTTPS保护的网站

事件发生后，所有人都认为供应商会停止使用带有MD5签名的数字证书，但微软仍然在2012年使用其中的一种，Sotirov说。

在发现Flame攻击后，微软撤销了其中三项中间的CA证书，并加强了Windows Update，以防止将来发生类似的攻击。<​​

火焰攻击令微软感到尴尬，因此有点搞笑，Sotirov说。

正如预期的那样，尚未知名的Flame作者没有出现在典礼上拿奖。然而，一位穿着深绿色军装的亚裔男子站在观众座位上，从其他与会者的掌声和笑声。

今年的“最具史诗级FAIL”Pwnie奖颁发给安全硬件厂商F5 Networks，其设备被发现包含为所有这些设备运行的根帐户的SSH专用密钥。

但是，此类别中的提名者还包括整个防病毒行业未能检测到Stuxnet，Duqu或Flame等威胁，以及LinkedIn遭受数据泄露，导致盗窃650万个易破解的密码哈希值。

针对最佳客户端错误的Pwnie奖授予脆弱性研究人员Pinkie Pie和Sergey Glazunov，他们分别提供了Google Chrome沙盒转义漏洞利用在今年早些时候举行的CanSecWest安全大会上

安全研究人员Sergei Golubchik在发现MySQL中的一个漏洞后，赢得了Pwnie奖，以获得最佳的服务器端漏洞，允许攻击者b通过重复尝试使用错误的密码登录来验证ypass身份验证

安全研究人员Mateusz Jurczyk，也被称为“j00ru”，赢得了Pwnie的最佳特权升级漏洞，用于查找Windows内核中一个影响所有32位Windows版本的漏洞。

Pwnie奖最具创新性的安全性研究人员前往安全研究员Travis Goodspeed开发一种通过互联网发送数据包的方法，该方法可以将额外的数据包注入内部网络。