Vant prestisjetung hacker-pris

Pwnie Awards er en årlig prisutdeling som feirer både store prestasjoner så vel som store fiaskoer innen it-sikkerhet. Årets pris ble utdelt onsdag 3. august under hacker-konferansen Black Hat i Las Vegas, USA.

En slags Oscar for it-sikkerhetsmiljøet.

Juryen består av noen av de fremste sikkerhetsforskerene i verden.

Tøff konkurranse

En av årets vinnerene var norske Tarjei Mandt som fikk prisen for «Best Privilege Escalation Bug». Prisen gis i følge Pwnie Awards nettsted til personen som oppdaget eller utnyttet den mest teknisk sofistikerte og interessante sikkerhetsfeilen for å gi seg selv fulle rettigheter på et lokalt system.

- Det var veldig gode nominasjoner i kategorien, så jeg hadde ikke veldig stor tro på å vinne. Det var derfor veldig morsomt når dette likevel viste seg på være tilfelle, sier Mandt til Computerworld

- Det er selvfølgelig veldig morro når man får anerkjennelse fra de mest profilerte navnene i industrien. Prisen henger ganske høyt således.

Detaljer rundt Mandts pris-vinnende oppdagelse, Windows kernel win32k user-mode callback vulnerabilities (MS11-034), kan leses på Microsofts nettsider. I følge Microsoft er sikkerhetshullet et lokalt problem, og kan ikke utnyttes over nettverk.

Avdekket flere svakheter

I løpet av få måneder har Mandt også avdekket over 40 andre sårbarheter i Windows-kjernen. Detaljer over sårbarhetene, så vel som metodene han brukte, beskrives i en presentasjon Mandt viste frem på sikkerhetskonferansen Infiltrate 2011 i Miami.

- Sårbarheter blir som oftest funnet ved hjelp av «fuzzing» eller statisk analyse, og i dette tilfellet var det en kombinasjon av begge deler. Det har også vært en del tidligere arbeid og funn av sårbarheter i Windows-kjernen, som dokumentering av udokumentert funksjonalitet, detaljer rundt konkrete sårbarheter og lignende. En del av dette ble brukt som utgangspunkt, forteller Mandt.

Presentasjonen kan lastes ned fra bloggen hans.

Første gang

Det er første gangen Mandt er nominert for en slik pris. Han kan fortelle at det ikke har vært noen egentlig feiring enda på grunn av et tett program på konferansen.

- Jeg har foreløpig ingen store planer, men det er en del interessante foredrag fremover under Def Con konferansen som følger Black Hat, så jeg skal prøve å få med meg disse.

Mandt jobber til vanlig som sikkerhetsforsker for det norske firmaet Norman ASA som leverer sikkerhetsprodukter og løsninger til virksomheter over hele verden.

Sony

Pwnie for «Most Epic FAIL» gikk til Sony, men en av de to som hacket (jailbreaket) PS3, «Geohot», vant en Pwne for rap-låten han laget i den forbindelse:

Geohot ble saksøkt av Sony, saken endte i forlik.

Av relaterte nyheter kan det nevnes at et dansk hackerlag har vunnet Capture The Flag-konkurransen på Defcon. Temaet kaller seg European Nopsled Team, skriver Computerworld Danmark.