Alicja Esage
Alicja Esage | |
|---|---|
| Urodzić się |
ALISA Шевченко
19.05 1984 (wiek 38-39) |
| Inne nazwy | Alisa Szewczenko |
| Zawód | Badacz cyberbezpieczeństwa |
| Organizacja | Inżynieria dnia zerowego |
| Strona internetowa | Strona główna |
Alisa Shevchenko ( ros . Алиса Андреевна Шевченко ), zawodowo znana jako Alisa Esage , jest urodzoną w Rosji badaczką bezpieczeństwa komputerowego, przedsiębiorcą i hakerem o ukraińskich korzeniach. Jest znana z niezależnej pracy z dominującymi korporacjami programistycznymi, takimi jak Google i Microsoft , w celu znajdowania i wykorzystywania słabych punktów w zabezpieczeniach ich produktów; bycie pierwszą kobietą uczestniczącą w Pwn2Own , pierwszym na świecie profesjonalnym konkursie hakerskim ze znaczącymi nagrodami pieniężnymi; i oskarżenia przez rząd Stanów Zjednoczonych o sfałszowanie wyborów prezydenckich w 2016 roku.
Alisa Esage jest właścicielką Zero Day Engineering, firmy eksperckiej oferującej specjalistyczne szkolenia i doradztwo w zakresie badań podatności oprogramowania.
Biografia
Samozwańcza „ofensywna badaczka bezpieczeństwa”, profil w Forbes z 2014 roku , mówi o Esage: „bardziej pociągało ją hakowanie niż programowanie”. Po rzuceniu studiów przez pięć lat pracowała jako ekspert ds. analizy szkodliwego oprogramowania dla firmy Kaspersky Lab . W 2009 roku założyła firmę Esage Labs, później znaną jako ZOR Security (rosyjski akronim oznacza Цифровое Оружие и Защита, „Digital Weapons and Defense”).
Firma Esage, ZOR Security, została umieszczona na liście podmiotów objętych sankcjami przez USA po tym, jak została oskarżona o „pomoc Władimirowi Putinowi w staraniach o zmianę wyborów [2016] na Trumpa ”. Odnosząc się do oskarżeń Białego Domu, Esage stwierdził, że władze albo źle zinterpretowały fakty, albo zostały oszukane. Do dziś amerykańscy urzędnicy nie powiedzieli, dlaczego uważają, że Esage współpracowała z hakerami GRU ani co rzekomo im dała.
Na początku 2021 roku Esage ogłosił projekt Zero Day Engineering, specjalizujący się w szkoleniach zawodowych, badaniach wywiadowczych i doradztwie w obszarze zaawansowanych badań nad bezpieczeństwem komputerowym i lukami w zabezpieczeniach.
Esage wygrał kilka międzynarodowych konkursów zaawansowanego hakowania, przemawiał na wielu międzynarodowych konferencjach dotyczących bezpieczeństwa i publikował artykuły techniczne w czołowych magazynach technicznych.
Osiągnięcia
W 2014 roku Esage zajął pierwsze miejsce w konkursie PHDays IV „Critical Infrastructure Attack” (nazwa alternatywna: „Hack the Smart City”), skutecznie hakując makietę inteligentnego miasta i wykrywając kilka luk dnia zerowego w Indusoft Web Studio 7.1 przez Schneider Electric.
W latach 2014-2018 Esage został uznany za odkrycie wielu luk w zabezpieczeniach typu zero-day w popularnych programach gigantów technologicznych, takich jak Microsoft, Firefox i Google. Część tych luk została odpowiednio ujawniona za pośrednictwem programu nagród bezpieczeństwa Zero Day Initiative (ZDI), wcześniej należącego do amerykańskiego giganta technologicznego HP i przypisanego pod różnymi pseudonimami.
Esage prezentowała swoje badania na wielu międzynarodowych konferencjach dotyczących bezpieczeństwa: RECON, Positive Hack Days, Zero Nights, POC x Zer0con, Chaos Communications Congress.
Jej prace były prezentowane w różnych profesjonalnych publikacjach branży bezpieczeństwa, takich jak Virus Bulletin, Secure List i Phrack Magazine. [ potrzebne źródło ]
Pwn2Own
8 kwietnia 2021 r. Esage była pierwszą kobietą, która wygrała Pwn2Own , zaawansowane zawody hakerskie odbywające się od 2007 r. W ramach swojego zgłoszenia do konkursu na Pwn2Own Vancouver 2021 Esage celowała w Parallels Desktop dla komputerów Mac w wersji 16.1.3 z exploitem dnia zerowego opracowanym przez sama i była w stanie zademonstrować wyjście z maszyny wirtualnej gościa do hosta z wykonaniem dowolnego kodu w systemie MacOS, na w pełni załatanym systemie. Zgłoszenie zostało uznane za częściowe zwycięstwo w konkursie ze względu na fakt, że docelowy dostawca oprogramowania wiedział wewnętrznie o błędzie dnia zerowego, który został wykorzystany w exploicie Esage.
Spór
Nazwanie przez organizatorów „częściowego zwycięstwa” exploita Esage Pwn2Own Vancouver 2021 wywołało kontrowersje w globalnej społeczności zajmującej się bezpieczeństwem informacji, a komentatorzy na Twitterze domagali się zmiany zasad konkursu, aby próbę można było uznać za całkowitą wygraną. [ potrzebne źródło ] Zgodnie z zasadami Pwn2Own z 2021 r. zwycięskie zgłoszenie konkursowe może zostać zdyskwalifikowane lub obniżone w rankingach konkursowych, jeśli docelowy dostawca oprogramowania był wewnętrznie świadomy odpowiedniej luki w zabezpieczeniach (choć nadal nie został załatany) w dniu konkursu. Udział Esage zwrócił uwagę na ten punkt zasad, z licznymi argumentami opublikowanymi na Twitterze przez wybitne osobistości społeczności zajmującej się bezpieczeństwem komputerowym, aby poprzeć zmianę zasad.
Kwestionowano również status Esage jako pierwszej kobiety w historii Pwn2Own, choć w mniejszym stopniu. Podczas gdy nagranie transmisji na żywo z zawodów jest jasne w tej kwestii, a narrator mówi o 05:08 „Alisa jest naszą pierwszą uczestniczką w historii”, a założyciel Pwn2Own wtrąca się na Twitterze, oficjalny tweet konkursowy zawierał notatkę: „the pierwsza kobieta uczestnicząca jako osoba fizyczna”. Jest to prawdopodobne, ponieważ uczestnik zespołu Pwn2Own 2018 z zespołu Ret2 Systems zmienił swoje imię i tożsamość płciową w późniejszych latach. [ Potrzebne źródło ] Pod względem faktów, publiczny zapis zawodów Pwn2Own w oficjalnych postach na blogu i nagraniach transmisji na żywo nie zawiera żadnych wzmianek o udziale kobiet przed wpisem Esage w 2021 roku.
Motywacja i osobowość
Esage cytuje swojego ojca jako główną inspirację do wyboru zawodu i kariery: „Myślę, że nauczył mnie lutować, kiedy miałem 5 lat. Zacząłem więc czytać książki o komputerach i programowaniu we wczesnej szkole i nauczyłem się programować. w C++ i asemblerze x86, gdy tylko dostałem peceta w wieku 15 lat”.
O jej udziale w konkursie Pwn2Own: „To kamień milowy w karierze profesjonalnego hakera i główny cel osobisty. Jestem bardzo podekscytowana! I czuję ulgę”
Publikacje i exploity
- Esage, Alisa (6 maja 2016). „Samo-poprawiające się Microsoft XML z niedopasowaniami i silniami” . Magazyn Phrack . 69 (10).
- „Luka w zabezpieczeniach programu Microsoft Windows Media Center CVE-2014-4060 umożliwiająca zdalne wykonanie kodu” . BezpieczeństwoFocus . 14 sierpnia 2014 r.
- „(0Day) Luka w zabezpieczeniach formatowania wierszy programu Microsoft Word związana z odmową usługi” . Inicjatywa Zero Day . 27 lutego 2015 r.
- „Ewolucja rootkitów” . Bezpieczna lista .
- „Studium przypadku: trojan Ibank” . Biuletyn wirusów .
- „Fuzzing wszystko w 2014 roku w celu ujawnienia luki w dniu 0” . Biuletyn wirusów, 2014.
- „O dochodzeniach w cyberprzestrzeni. Studium przypadku: napad na system przekazów pieniężnych” . Biuletyn wirusów, 2014.
- „Biuletyn zabezpieczeń firmy Microsoft MS14-067 — Krytyczny” .
- „Luka w zabezpieczeniach Microsoft XML Core Services CVE-2014-4118 umożliwiająca zdalne wykonanie kodu” .
- badd1e na GitHubie .