Ang Cui
Ang Cui | |
|---|---|
 | |
| Urodzić się |
Ang Cui
7 lutego 1983 Pekin, ChRL
|
| zawód (-y) | Badacz i konsultant ds. cyberbezpieczeństwa |
| Organizacja | Ochrona czerwonego balonu |
| Znany z | Thrangrycat, Funtenna, Monitor Darkly |
| Strona internetowa | https://redballoonsecurity.com |
Ang Cui ( pinyin : āng Cuī ) to amerykański badacz i przedsiębiorca zajmujący się cyberbezpieczeństwem. Jest założycielem i dyrektorem generalnym Red Balloon Security w Nowym Jorku, firmy zajmującej się cyberbezpieczeństwem, która opracowuje nowe technologie w celu ochrony systemów wbudowanych przed wykorzystaniem.
Kariera
Cui był wcześniej pracownikiem naukowym w Intrusion Detection Systems Lab na Uniwersytecie Columbia, gdzie pracował podczas robienia doktoratu. w dziedzinie informatyki na Uniwersytecie Columbia . Jego rozprawa doktorska zatytułowana „Bezpieczeństwo systemów wbudowanych: podejście oparte na oprogramowaniu” koncentrowała się na badaniach naukowych dotyczących eksploatacji i obrony systemów wbudowanych. Cui uzyskał tytuł doktora. w 2015 roku i założył Red Balloon Security, aby skomercjalizować swoją technologię obrony oprogramowania układowego, znaną obecnie jako Symbiote.
Cui publicznie wykazał luki w zabezpieczeniach szeroko używanych produktów komercyjnych i konsumenckich, w tym telefonów Cisco i Avaya VoIP , routerów Cisco i drukarek HP LaserJet . Swoje badania prezentował podczas wydarzeń branżowych, w tym Black Hat Briefings , konferencji DEF CON, RSA Conference , REcon security Conference oraz Auto-ISAC 2018 Summit. Badania Cui w zakresie bezpieczeństwa przyniosły Zdobywcy Pucharu Ameryki Kaspersky Labs 2011, stypendium Symantec Research Labs Graduate Fellowship 2012 oraz nagrodę DARPA Riser 2015
W 2017 roku Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych przyznał jego firmie wyróżnienie „Crossing the Valley of Death” za opracowanie dostępnego na rynku systemu cyberobrony dla obiektów infrastruktury krytycznej, który powstał po 12-miesięcznym badaniu pilotażowym finansowanym przez DHS w celu oceny ryzyka sabotażu cybernetycznego dla systemów budynku obiektu DHS Biosafety Level 3.
księstwo
W 2020 roku Cui otrzymał szlachecki tytuł księcia Księstwa Sealandii . Królewski tytuł Cui zapewnia mu oficjalne terytorium lub księstwo o powierzchni jednej stopy kwadratowej w obrębie mikronacji , którą nazwał PRZESTRZENIĄ. Jako książę Księstwa Sealand, Cui dołącza do grona wybitnych postaci, które również otrzymały tytuły szlacheckie od mikronacji, w tym angielskiego krykieta Bena Stokesa i muzyka Eda Sheerana .
Badania bezpieczeństwa
Symbiont
Cui jest najbardziej znany ze swojej roli w rozwoju Symbiote, opartej na hoście technologii obrony oprogramowania układowego dla urządzeń wbudowanych.
Symbiote jest wstrzykiwany do oprogramowania układowego starszego urządzenia wbudowanego , w którym zapewnia funkcję wykrywania włamań . Czyni to poprzez ciągłe sprawdzanie integralności statycznego kodu i danych na poziomie oprogramowania układowego, aby zapobiec wykonaniu nieautoryzowanego kodu lub poleceń. Symbiote jest od systemu operacyjnego i jest kompatybilny z większością urządzeń wbudowanych. Firma Red Balloon Security wydała już Symbiote dla komercyjnych marek drukarek, takich jak HP i innych urządzeń.
21 czerwca 2017 r. firma Red Balloon Security ogłosiła wprowadzenie Symbiote for Automotive Defense, samochodowej wersji standardowej technologii Symbiote, na konferencji Escar USA Conference w Detroit .
W 2016 r. magazyn Popular Science uznał Symbiote za jedną z „9 najważniejszych innowacji w dziedzinie bezpieczeństwa roku”.
Drukarki HP LaserJet
W 2011 roku Cui był częścią projektu badawczego na Uniwersytecie Columbia, kierowanego przez profesora Salvatore Stolfo , mającego na celu zbadanie luk w zabezpieczeniach drukarek HP LaserJet . Projekt wykazał, że chers ogłosił poważne luki w zabezpieczeniach tych urządzeń, które mogą pozwolić na szereg zdalnych ataków, w tym wywołanie zagrożenia pożarowego poprzez wymuszenie ciągłego nagrzewania się utrwalacza drukarki.
Firma HP wydała aktualizację oprogramowania układowego wkrótce po opublikowaniu tych ustaleń. Jednak zespół twierdził, że znalazł 201 podatnych na ataki drukarek laserowych HP w sieci Departamentu Obrony USA i dwie w centrali HP kilka miesięcy po opublikowaniu poprawki bezpieczeństwa. W 2015 roku firma HP udzieliła licencji na technologię Symbiote firmy Cui do wykorzystania jako ochrona oprogramowania układowego przed cyberatakami dla drukarek LaserJet Enterprise i drukarek wielofunkcyjnych.
Telefony IP Cisco
Na 29. kongresie Chaos Communication Congress w grudniu 2012 r. Cui i Solfo przedstawili wyniki badania finansowanego przez DARPA , które ujawniło lukę w zabezpieczeniach telefonów Cisco IP Phone (seria CiscoUnified IP Phone 7900), która może umożliwić atakującemu przekształcenie ich w urządzenia podsłuchowe. Exploit uzyskał dostęp roota do oprogramowania sprzętowego urządzenia, co mogło umożliwić przechwytywanie połączeń telefonicznych. Umożliwiłoby to również atakującemu zdalne włączenie mikrofonu telefonu w celu podsłuchiwania rozmów w pobliżu.
Funtenna
Na konferencji Black Hat Briefings poświęconej bezpieczeństwu cybernetycznemu w 2015 r. Cui ujawnił exploit oprogramowania układowego o nazwie „Funtenna”, który manipuluje procesami elektronicznymi w typowych urządzeniach, takich jak drukarki, telefony i pralki, w celu wytworzenia sygnałów radiowych, które mogłyby potajemnie przesyłać dane poza bezpieczny obiekt . Atak może nawet zadziałać z urządzeniami w systemie z przerwą powietrzną.
Serwisy informacyjne, takie jak Ars Technica i Motherboard, zwróciły uwagę na potencjał Funtenny w zakresie przekształcania zainfekowanych urządzeń w tajne narzędzia szpiegowskie.
Monitoruj ciemno
Na konferencji bezpieczeństwa DEF CON 24 w 2016 roku Cui wraz ze swoim głównym naukowcem Jatinem Katarią i badaczem bezpieczeństwa Francois Charbonneau zademonstrowali nieznane wcześniej luki w oprogramowaniu sprzętowym powszechnie używanych monitorów komputerowych , które osoba atakująca może wykorzystać do szpiegowania ekranu użytkownika aktywności i manipulowania tym, co użytkownik widzi i czym zajmuje się na ekranie.
Zgłoszono, że luka w oprogramowaniu sprzętowym o nazwie „Monitor Darkly” dotyczy monitorów komputerów Dell , HP , Samsung i Acer .
Luka była specyficzna dla kontrolerów ekranowych (OSD) monitorów, które służą do kontrolowania i dostosowywania opcji wyświetlania na ekranie, takich jak jasność, kontrast lub pozycjonowanie poziome/pionowe. Jednak, jak zauważyli Cui, Kataria i Charbonneau w streszczeniu przemówienia na konferencji bezpieczeństwa REcon 2016, z exploitem Monitor Darkly, OSD może być również używane do „odczytywania zawartości ekranu, zmieniania dowolnych wartości pikseli i wykonywania dowolnego kodu dostarczane przez liczne kanały kontrolne.”
Witryna z wiadomościami o bezpieczeństwie CSO Online powiedziała o tej luce: „Wykorzystując zhakowany monitor, mogli manipulować pikselami i dodawać ikonę bezpiecznej kłódki przy adresie URL. Mogą sprawić, że PayPal w wysokości 0 USD będzie wyglądało na saldo w wysokości 1 miliarda USD. Mogli zmienić „światło ostrzegawcze stanu na interfejsie sterowania elektrowni z zielonego na czerwony”.
Exploit został później wykorzystany w odcinku 3. sezonu programu Mr. Robot , w którym FBI używa go do robienia zrzutów ekranu komputera Elliota Aldersona .
BadFET
Na konferencji bezpieczeństwa REcon 2017 Cui i badacz bezpieczeństwa Rick Housley zademonstrowali nową metodę hakowania procesorów za pomocą impulsu elektromagnetycznego lub EMP.
znana jako wstrzykiwanie błędu elektromagnetycznego (EMFI), była już wcześniej badana, ale nowa technika Cui i Housleya, znana jako „BadFET”, jest przystosowana do wykorzystywania nowoczesnych komputerów i urządzeń wbudowanych poprzez oddziaływanie na wiele komponentów w tych urządzeniach na Wykorzystując 300-woltowy impuls EMP z odległości 3 milimetrów, atak BadFET omija ochronę bezpiecznego rozruchu , która uniemożliwia procesorom wykonanie niezaufanego kodu.
Cui i Housley wprowadzili również platformę EMFI typu open source, która udostępnia BadFET innym badaczom bezpieczeństwa w celu dalszej analizy, testowania i rozwoju.
Thrangrycat
13 maja 2019 r. Cui i jego zespół badawczy (składający się z Jatina Katarii, Richarda Housleya i Jamesa Chambersa) wspólnie z firmą Cisco ogłosili krytyczną lukę w zabezpieczeniach procesu bezpiecznego rozruchu firmy Cisco, zidentyfikowaną jako CVE-2019-1649 i określaną jako „Thrangrycat” przez Red Balloon Security.
Luka dotyczy kluczowego komponentu zabezpieczeń sprzętowych opracowanego przez firmę Cisco, znanego jako moduł Trust Anchor (TAm). Luka jest uważana za znaczącą, ponieważ TAm stanowi podstawę bezpiecznego rozruchu wielu urządzeń Cisco, w tym routerów i przełączników. Jak magazyn WIRED w swoim raporcie na temat luki Thrangrycat: „Ta funkcja bezpieczeństwa Cisco, znana jako kotwica zaufania, została wdrożona w prawie wszystkich urządzeniach korporacyjnych firmy od 2013 roku. Fakt, że badacze zademonstrowali sposób na jej ominięcie w jedno urządzenie wskazuje, że dzięki modyfikacjom specyficznym dla urządzenia możliwe jest pokonanie kotwicy zaufania w setkach milionów jednostek Cisco na całym świecie. Obejmuje to wszystko, od routerów korporacyjnych, przez przełączniki sieciowe, po zapory ogniowe .
Cisco opisuje TAm jako „zastrzeżony, odporny na manipulacje chip”, który „znajduje się w wielu produktach Cisco” i „pomaga zweryfikować autentyczność sprzętu Cisco”.
Luka może umożliwić osobie atakującej modyfikację oprogramowania wewnętrznego tego modułu w celu uzyskania trwałego dostępu do sieci i przeprowadzania wielu różnych złośliwych działań, w tym kradzieży danych, importowania złośliwego oprogramowania i fizycznego niszczenia sprzętu.
The New York Times nazwał Thrangrycat „super alarmującym”, a magazyn WIRED ostrzegał, że ma on „ogromne implikacje globalne”.
Uważa się, że Thrangrycat jest pierwszą luką w zabezpieczeniach nazwaną symbolami emoji .