I Pwnie Awards sono una sorta di Oscar nel campo dell’information security che premiano al tempo stesso gli errori software dei vendors, e le scoperte di bug e vulnerabilità più critiche da parte dei ricercatori.
Il nome deriva dal termine “pwn” (ricorda il verbo own), tipico dello slang hacker, che ha il significato di compromettere o controllare.
Si tratta di premiazioni annuali che hanno luogo, ormai da tre anni, in occasione della conferenza BlackHat USA di Las Vegas. Le candidature sono state sottoposte alla commissione nel periodo dal 3 giugno al 15 luglio scorsi, e hanno riguardato bug scoperti nell’arco dello scorso anno ovvero dal 1 giugno 2008 al 31 maggio 2009.
I vincitori come di consueto sono stati decisi da una giuria formata da nomi noti nel campo IT security, per esempio esperti di sicurezza di fama mondiale come HD Moore o Dave Aitel solo per citarne alcuni.
Oltre ai security researcher premiati per aver individuato e sfruttato vulnerabilità di vario tipo (es: server-side, client-side, privilege escalation), sono stati “premiati” anche nomi altisonanti come Linux e Twitter.
In particolare il team di sviluppo del kernel Linux ha vinto il “Lamest Vendor Response” per il suo continuo affermare che le vulnerabilità di memory corruption sono solo potenziale fonte di DoS (Denial of Service).
Come dimostrato invece da Wei Yongjun and sgrakkyu, vincitori del “Pwnie for Best Server-Side Bug“, un bug nello stack SCTP del kernel 2.6 (CVE-2009-0065) è stato usato per qualcosa di ben più pericoloso: ottenere una reverse-shell.
Twitter è stato invece premiato col “Pwnie for Most Epic FAIL” per la questione riguardante il disclosure di informazioni interne, che ha visto la comparsa in rete di documenti riservati della società.
Tutti i dettagli sulle premiazioni e i relativi vincitori delle singole categorie possono essere consultati nella pagina degli Awards 2009.