De onderzoeksgroep softwarebeveiliging van de VU Amsterdam, die onder leiding staat van professor Herbert Bos, heeft op de Pwnie-awards tijdens de Black Hat-conferentie in Las Vegas twee prijzen in de wacht gesleept. Ook het Centrum Wiskunde en Informatica won een prijs.
De groep ontving de prijzen in de categorieën 'most innovative research' en 'best privilege escalation bug'. De eerste prijs werd toegekend voor het onderzoek dat de naam AnC draagt. Dit presenteerde de onderzoeksgroep in februari. Het onderzoek richt zich op het omzeilen van de beveiligingsmaatregel aslr via javascript. De tweede ontvangen prijs werd uitgereikt voor het Drammer-onderzoek, dat in oktober van vorig jaar werd gepresenteerd. Dat draait om het uitvoeren van een Rowhammer-aanval op verschillende Android-apparaten, waardoor roottoegang mogelijk is.
Ben Gras, een van de onderzoekers, zegt tegen Tweakers: "Namens de hele groep kan ik zeggen dat we zeer vereerd zijn dat onze onderzoeksresultaten door Black Hat als relevant en toonaangevend worden beschouwd. We stellen ons altijd tot doel zowel maatschappelijk relevant als wetenschappelijk vernieuwend te zijn, en het is mooi om dat zo bevestigd te krijgen. De Pwnies zullen lang en trots prijken bij de eigenaars!"
De onderzoeksgroep was niet de enige Nederlandse winnaar, zo viel het CWI in de prijzen in de categorie 'best cryptographic attack'. Daarmee werd het werk beloond van cryptanalist Marc Stevens dat hij onder meer samen met Pierre Karpman en Google uitvoerde om de eerste sha-1-collision tot stand te brengen. In het onderzoek, genaamd Shattered, waren zij in staat om twee pdf-documenten met dezelfde sha-1-hash te creëren, wat effectief het einde betekende van deze hashfunctie.
De jaarlijks terugkerende Pwnie-awards zijn bedoeld om hoogte- en dieptepunten op het gebied van ict-beveiliging te eren. Daarbij zijn er veelal serieuze categorieën, maar ook ludieke onderdelen. Zo ging de prijs voor het beste infosec-liedje dit jaar naar een nummer over ssh via covert channels. De beste backdoor werd gewonnen door de Oekraïense boekhoudsoftware MeDoc, die verantwoordelijk was voor de verspreiding van NotPetya. Alle winnaars zullen binnenkort door de organisatie bekendgemaakt worden.
Update: Artikel aangevuld met CWI.