O pônei dourado da Pwnie Awards
A segunda edição da Pwnie Awards[1. Pwnie é um trocadilho com “pony” (“pônei”) e “pwn” (“own”), gíria para invasão.], que aconteceu pela primeira vez no ano passado, vai novamente eleger, de forma bem-humorada, as melhores brechas e pesquisas no campo da segurança. Os candidatos desta edição foram divulgados no dia 20.
Este ano, dois programas ganharam uma nomeação — coisa que não ocorreu no ano passado, quando apenas bugs específicos foram nomeados.
O QuickTime foi nomeado para a categoria “Melhor brecha em software cliente”, por ter 62 vulnerabilidades descobertas por “todo mundo e sua mãe” só nos dois últimos anos. “Quem imaginou que colocar código criado originalmente no início dos anos 90 dentro deu um navegador web seria uma má idéia?”, indagam os organizadores da Pwnie Awards.
Já o software de gerenciamento de blogs WordPress ganhou uma nomeação na categoria “Mass 0wnage” ([Melhor brecha] para invasão em massa), por possuir um “número inacreditável” de vulnerabilidades, descobertas por “qualquer um que se importou em olhar”.
Outra novidade, além das nomeações de programas inteiro, está nas categorias. Além das que já existiam no ano passado — melhor brecha em software cliente, melhor brecha em software servidor, melhor brecha para invasão em massa, brecha que mais recebeu atenção da mídia sem necessidade, pior resposta de um desenvolvedor e melhor música –, a edição de 2008 também traz as categorias:
- Most Epic FAIL (Falha mais Épica)
Com base no famoso meme FAIL, esta categoria é ao mesmo tempo inexplicável e extremamente intuitiva após vermos os candidatos. Três Epic FAILs foram nomeados para concorrer:- Todd Davis, CEO da LifeLock, por postar seu SSN na web — A LifeLock é uma empresa que promete proteger seus clientes contra o roubo de identidade. Davis publicou na web seu número de SSN — que é semelhante a um CPF dos Estados Unidos — e disse que sua empresa protegeria sua identidade. Infelizmente para Davis, sua identidade foi roubada e criminosos conseguiram retirar um empréstimo de 500 dólares em seu nome. Clientes da empresa então a processaram, alegando propaganda enganosa.
- Debian, por distribuir durante dois anos uma biblioteca de criptografia inoperante — Um mantenedor da distribuição Linux Debian “consertou” um erro na biblioteca de criptografia OpenSSL. Ao “consertar” o problema, o programador removeu a capacidade da biblioteca de gerar chaves aleatórias, limitando as combinações possíveis a apenas 32 768 — um número ridiculamente pequeno para os padrões atuais. Como o número de chaves é tão pequeno, quebrá-la é extremamente fácil, tornando a criptografia inútil. O problema ficou na biblioteca do Debian durante dois anos e todas as chaves criadas durante este período precisam ser recriadas. Sistemas derivados do Debian, como Ubuntu, também foram afetados.
- Windows Vista, por provar que segurança não vende — A Microsoft anunciou aos quatro cantos os seus enormes investimentos em segurança para o Windows Vista. Mesmo assim, ninguém está impressionado e usuários reclamam de vários aspectos do sistema — muitas vezes das próprias funções de segurança. “A melhor coisa sobre o Vista é que agora nenhuma outra empresa vai se importar em investir em segurança, o que significa que nós poderemos comprometer qualquer qualquer software por algum tempo”, dizem os organizadores do evento.
- Lifetime Achievement Award (Prêmio por Realização Vitalícia)
Esta nova categoria busca premiar pesquisadores que fizeram importantes descobertas no campo da segurança e que hoje já trabalham com outras coisas ou trabalham como executivos e não mais como cientistas. Os nomeados são Oded Horovitz, Tim Newsham, Dan Geer e John McDonald — este último atualmente dono de um bar especializado em café.
A premiação final será realizada no dia 6 de agosto, na conferência de segurança BlackHat em Las Vegas. Os vencedores de 2007 foram divulgados na edição nº12 do Boletim Linha Defensiva.
Linha Defensiva 