11:46
8/6/2010

Dwa tygodnie czekaliśmy na Wasze nominację do pierwszego polskiego plebiscytu na największą informatyczną wtopę i największy szacun. Dziś prezentujemy nominowanych do obu kategorii i prosimy o Wasze głosy.

Początkowo chcieliśmy podzielić zgłoszenia na cztery kategorie (Hacker, Lamer, Wtopa, Szacun), doszliśmy jednak do wniosku, że Hacker == Szacun, a Lamer == Wtopa i tak z 4 zrobiliśmy 2 :-) Może za rok, kiedy więcej będzie tematów do wychwalenia/obśmiania cztery kategorie nabiorą więcej sensu. Poniżej ankiety i opis nominacji

Hacker/Szacun roku (nominacje)

Gynvael & j00ru

Ten duet od 2 lat rozjeżdża CTF-y na Confidence, ale w nominacjach podkreślaliście zwłaszcza ostatnie odkrycie chłopaków, czyli kilka błędów w Windows. Oprócz bughuntingu, zarówno Gyn jak i j00ru wiele pracy wkładają w edukację Polaków w zakresie bezpieczeństwa komputerowego. Gyn m.in. opublikował artykuł w HITB Magazine, a j00ru stworzył dwie superużyteczne tablice graficznych wywołań systemowych oraz funkcji CSRSS w Windows.

Joanna Rutkowska & Rafał Wojtczuk

Ten zespół został nominowany za opensource’owy system operacyjny Qubes OS, którego główną koncepcją jest Security by Isolation, osiągane przy pomocy wirtualizacji. Warto wspomnieć, że Joanna jest również wspołautorką ataku znanego jako Evil Maid wycelowanego w oprogramowanie do szyfrowania całego dysku twardego (TrueCrypt, BitLocker).

Maksymilian Arciemowicz

Maksymilian został nominowany za szereg błędów, które udało mu sie znaleźć w popularnym oprogramowaniu (np. Kaspersky czy Mac OS X). Ostatnio pisaliśmy o Maksymilianie w kontekscie ataków CSRF poprzez FTP.

Michał Zalewski (lcamtuf)

Lcamtufa chyba nie trzeba nikomu przedstawiać. Michał został nominowany za atak strokejacking oraz narzędzia skanera luk w webaplikacjach o nazwie Skipfish.

Fałszywy konwojent SOLID Security

Podszywający się pod pracownika agencji ochrony SOLID Security konwojent, który odebrał worki z 5 milionami złotych na fałszywą legitymację i odjechał w siną dal. Według niektórych z Was, ta tajemnicza i nieschwytana dotąd postać zasługuje na szacunek, a według niektórych na wtopę — dlatego to wydarzenie zdecydowaliśmy się umieścić w obu kategoriach; jako “wtopa roku” nominację dostaje Centrum Obsługi Gotówkowej we Wrocławiu, które wydało konwojentowi worki z pieniędzmi).

Lamer/Wtopa Roku (nominacje)

“Głębokie ukrycie danych” w PKO BP

Chętnie nominowana w tej kategorii była wpadka przedstawiciela PKO BP, który umieszczony na stronach internetowych banku i zidenksowany przez wyszukiwarki plik z danymi osobowymi dłużników nazwał zabezpieczonym, bo przebywającym w “głębokim ukryciu”.

Wyciek haseł z Wykop.pl

Wykop został nominowany za wyciek całej bazy hashy haseł użytkowników z deweloperskiego serwera — panel zarządania bazą wystawiony na standardowym porcie nie był chroniony żadnym hasłem. Ta nominacja nastąpiła jeszcze zanim dowiedzieliśmy się o najnowszych problemach tego serwisu z bezpieczeństwem (por. Wykop hacked). Teraz jest więc jeden powód więcej, żeby wtopić Wykop ;)

Multimedia Polska

Jeden z największych ISP w Polsce nominację dostał za ciągnącą się już kilka lat awanturę z jednym ze swoich klientów. W zgłoszeniu podesłano nam adres http://multikupa.pl/, który w szczegółach opisuje konflikt oskarżonego o “hacking” klienta i firmy Multimedia Polska. Z serwerów firmy gwiźnięto loginy, niezaszyfrowane hasła dostępowe i bazę testową, ale oskarżony (tak, tak, sprawa była w sądzie) zaręcza, że żadnych “zabezpieczeń systemowych” nie przełamywał. W sprawie jest wiele sprzeczności, niektórzy w firmie chcieli dziękować znalazcy błędów, inni pozwali go do sądu. Jest co czytać.

Centrum Obsługi Gotówkowej we Wrocławiu

Podszywający się pod pracownika agencji ochrony SOLID Security konwojent (nominowany w kategorii Szacun Roku) nie odebrałby worka z 5 milionami złotych na fałszywą legitymację i odjechałby w siną dal, gdyby nie pracownicy Centrum Obsługi Gotówkowej we Wrocławiu i ich “szczelne” procedury bezpieczeństwa…

Zagłosuj. Koniecznie. Bo zginie kotek!

Mam nadzieję, że powyższa ilustracja zachęciła was do głosowania, a więc do dzieła!

Na Szacun Roku zasługuje:

  • Fałszywy konwojent SOLID Security (43%, 630 Votes)
  • Gynvael & j00ru (26%, 373 Votes)
  • Joanna Rutkowska & Rafał Wojtczuk (18%, 259 Votes)
  • Michał Zalewski (lcamtuf) (10%, 142 Votes)
  • Maksymilian Arciemowicz (3%, 46 Votes)

Total Voters: 1,450

Wtopą Roku zostaje

  • Głębokie Ukrycie danych przez PKO BP (38%, 566 Votes)
  • Centrum Obsługi Gotówkowej we Wrocławiu (32%, 467 Votes)
  • Multimedia Polska (nielubieich.pl) (16%, 240 Votes)
  • Wyciek haseł z Wykop.pl (14%, 209 Votes)

Total Voters: 1,482

P.S. W komenarzach możecie podrzucać propozycje nagród :-)

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Do wtop wrzuc jeszcze UJ i CKE – mysle, ze moga byc wysoko notowani.

  2. a tak btw.. to chodzi o wtopę i szacun 2009 czy 2010? czy co?

  3. nie rozumiem czemu fałszywy ochroniasz SOLID Security jest w obu kategoriach, należy mu się szacunek za OGROMNE JAJA które trzeba mieć żeby wyciąć coś takiego

  4. Czy głosy na Fałszywego Konwojenta z obu kategorii będą sumowane? ;)
    Wiem, na kogo zagłosuję, ale sza!

  5. o, właśnie zauważyłem że zrobiłem błąd ortograficzny kopiując “ochroniasza” żywcem z ankiety

  6. „Fałszywy ochroniasz” — o Jesu, weśdzie to poprafdzie!

  7. Ciekawe, czy fałszywy konwojent zgłosi się po odbiór nagrody :)

  8. Hehe, szybko znaleźliście easter-egg we wtopowej ankiecie, szacun dla was. Unormowałem rekord ochroniarski z drugą ankietą.

  9. Co do konwojenta – w kategorii wtopy powinni znaleźć się ochroniarze centrum rozliczeniowego, a nie fałszywi konwojenci…

  10. @Bartek: racja. poprawione.

  11. Jak dla mnie na szacun zasłużyli Gynvael && j00ru, za to wtopą roku jest “głębokie ukrycie” w PKO BP – dawno się tak nie uśmiałem. ;]

  12. Jeśli we wtopie wygra Centru Gotówkowe, może ufundujecie im pamiątkową tablicę upamiętniającą to wydarzenie? Albo eee… strój konwojenta?

  13. Na pewno szacun roku należy się konwojentowi. Tylko czy zgłosi się po nagrodę? :)
    Wtopa roku to analn…, tfu! głębokie ukrycie danych przez PKO BP. Widzimy gdzie ten bank ma swoich klientów.

  14. Moim zdaniem do kategorii “Wtopa” pasowałoby dodać jeszcze atak na UW ;) W końcu kilka tysięcy danych studentów nie zostało dobrze zabezpieczonych.

  15. Fałszywy konwojent zdecydowanie zasługuje na szacun roku, natomiast sama firma na wtopę :)

  16. Hehe, zagłosowałem akurat na tych którzy wygrają, a sądziłem, że wszyscy zagłosują inaczej :P Choć wszystkie “wtopy” i “szacuny” godne zapisania złotymi zerami i jedynkami w annałach niebezpiecznika :D

  17. O ile nagroda dla hakera mogłaby być w miarę standardowa(jakiś zabytkowy sprzęt albo 1337zł) o tyle z nagrodą dla lamera może być trudniej.
    W sumie to można by:
    (wersja droższa) im audyt opłacić :)
    (wersja tańsza) wydać im certyfikat lamera i zrobić hall of shame

    • Bardzo mi się podoba pomysł złotej jedynki i złotego zera (jako nagród)

  18. Hmmm… na Waszym miejscu bym to sprawdzil bo bank PKO BP chyba z tym wyciekiem to nie ma nic wspolnego. Chodzi chyba o PEKAO SA, a te firmy nie sa w zaden sposob powiazane wiec PKO BP moze sie obrazic :-)

    • @adek: ja na twoim miejscu zastosowałbym się do twojej własnej rady i przeczytałbym podlinkowaną historię, zanim zapostowałbym komentarz ;-) (hint: myślisz o innym wycieku, tym z CV a nie z listą dłużników).

  19. Mea culpa! Moje niedoczytanie i pomylka. Nie wiem dlaczego skojarzylem to z wpadka z CV.

  20. Fałszywy ochroniarz na prowadzeniu… Tylko czy zgłosi się po nagrodę, a może po nagrodę zgłosi się fałszywy “fałszywy ochroniarz”. Uważajcie!
    :)

  21. Hehehe, fakt, trzeba uważać (zwłaszcza jeśli ochroniarz rzeczywiście już wybył na wieczne wakacje).
    Trochę dziwne, że w XXI wieku największym złodziejem okazuje się nie super hacker, a zwykły facet z laminatorem ;)

  22. @Sergi
    Nie wiadomo ile ukradł super haker, bo jak ukradł i jest super to nawet logów nie zostawił.

    OT:
    Imo największym złodziejem jest pan lansujący globalne ocieplenie za które nobla dostał, co więcej nawet nie musi się ukrywać.

  23. Właśnie, Sergi dobrze napisałeś – fałszywy konwojent nie jest jakimś super hakerem i uważam, że nie powinien się znaleźć w kategorii Haker/Szacun. Można go podziwiać za odwagę i spryt, ale czy zasługuje na szacunek? – wszak jest złodziejem. Dziwię się, że otrzymał tyle głosów.
    Porównajcie sobie – wszyscy pozostali nominowani w tej kategorii wnoszą wiele swojej pracy dla poprawy bezpieczeństwa i wszyscy z tego korzystamy, a jaką mamy korzyść z tego, że jeden cwany gość ukradł grube miliony wykorzystując głupotę obsługi centrum gotówkowego? – odpowiedzcie sobie sami.

  24. Tak sobie myślę, że do Wtopy Roku można nominować Google i jego sniffowanie sieci wi-fi przez pomyłkę :)

  25. A ja uważam że fałszywy konwojent zasługuje miano hackera niewiele mniej niż Kevin Mitnick. Rozpracował tak lub inaczej cały system, przygotował wszystko perfekcyjnie i miał jaja żeby to wykonać. Na tym przecież polega hakerstwo, żeby poznać system nie tylko od strony standardowego interfejsu, ale i od środka, żeby znaleźć jego słabe punkty. On to właśnie zrobił, sądzę że zna system i jego słabości lepiej niż jego twórcy (bo bez socjotechniki i wykorzystania luk w procedurach się na pewno nie obyło, nawet jeśli jedną osobę przekupił, co wcale pewne nie jest).

  26. Jednak ktoś dostrzega kompromitację spółki z Gdyni ;-) Od siebie dodam, że sprawą wycieku danych osobowych zajmuje się prokuratura, niedługo więc kolejne wieści z “frontu” walki pomiędzy mną a Multimedia Polska.

  27. Wszystkich zainteresowanych historią związaną z firmą Multimedia Polska zapraszam na nową stronę opisującą niekompetencje spółki z Gdyni – http://www.MultiKupa.pl

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: