Сами Камкар - Samy Kamkar
Сами Камкар | |
---|---|
Камкар выступает на Конференция Black Hat в 2010 | |
Родившийся | 10 декабря 1985 г. |
Национальность | Американец |
Род занятий | Исследователь конфиденциальности и безопасности, компьютер хакер, осведомитель и предприниматель |
Известен | Освобождение самский червь, Evercookie, SkyJack, и iPhone, Android и Windows Отслеживание мобильного телефона исследование |
Интернет сайт | Samy |
Сами Камкар (родился 10 декабря 1985 г.)[1] американский исследователь конфиденциальности и безопасности, компьютерный хакер, осведомитель и предприниматель. В 16 лет он бросил школу.[2] а год спустя стал соучредителем Фональность, компания по унифицированным коммуникациям, основанная на программном обеспечении с открытым исходным кодом, которая привлекла более 46 миллионов долларов частного финансирования.[3][4] В 2005 году он создал и выпустил самую быстрорастущую вирус за все время,[5] в Мое пространство червь Сами, и впоследствии подвергся набегу со стороны Секретная служба США, под Патриотический акт.[6] Он также создал SkyJack, нестандартный дрон, который взламывает любой ближайший Дроны-попугаи позволяя им управлять своим оператором [7] и создал Evercookie, который появился в сверхсекретной АНБ документ[8] показано Эдвард Сноуден и на первой странице Нью-Йорк Таймс.[9] Он также работал с Журнал "Уолл Стрит, и обнаружил незаконный отслеживание мобильного телефона где яблоко iPhone, Google Android и Microsoft телефон с операционной системой Виндоус мобильные устройства передают информацию GPS и Wi-Fi своим материнским компаниям. Его мобильное исследование привело к серии коллективных исков против компаний и слушанию по вопросам конфиденциальности на Капитолийском холме.[10]
Работа
Сами червь
В 2005 году Камкар выпустил самский червь, первый публично выпущенный самораспространяющийся червь межсайтовых сценариев, на Мое пространство.[11] Червь нес полезная нагрузка при этом в профиле жертвы будет отображаться строка «но, прежде всего, Сами - мой герой», и жертва неосознанно отправит запрос в друзья Камкару. Когда пользователь просматривал этот профиль, полезная нагрузка помещалась на его страницу. Всего за 20 часов[12] выпуска от 4 октября 2005 г. более миллиона пользователей использовали полезную нагрузку,[13] что делает его самым быстрым распространением вирус за все время.[5] Команда MySpace временно отключила MySpace, чтобы устранить проблему, которая позволила червю работать.
В 2006 году на Камкар совершили набег Секретная служба США и Целевая группа по электронным преступлениям, расширенная из Патриотический акт, для выпуска червя.[6] После представления сделка, соглашение между обвинением и защитой без тюремного срока, но заплатив штраф в размере 20 000 долларов США, отбыв трехлетний испытательный срок, отработав 720 часов общественных работ, Камкар признал себя виновным в совершении уголовного преступления во взломе компьютера в Верховном суде Лос-Анджелеса.[14] Также в соответствии с вышеупомянутым соглашением Камкару было разрешено иметь один компьютер, не подключенный к сети, но явно запрещен доступ в Интернет во время его заключения.[15] С 2008 года Kamkar проводит независимые исследования и консультации по компьютерной безопасности и конфиденциальности.[16]
Известные работы
В 2008 году, после снятия ограничения Камкара на доступ к компьютерам, он продемонстрировал слабые стороны в Visa, MasterCard и Europay кредитные карты с связь ближнего радиуса действия (NFC) и определение радиочастоты (RFID) встроены чипы и выпущено программное обеспечение, демонстрирующее возможность кражи информации о кредитных картах, включая имя, номер кредитной карты и дату истечения срока действия, по беспроводной связи с этих карт.[17][18] Он также выпустил код, демонстрирующий кража беспроводной идентификации из контроль физического доступа карты, в том числе HID Global карты, используя RFID с использованием только устройства размером с кредитную карту, что устраняет необходимость в подключении любого компьютера.[19][20]
В 2010 году Камкар побывал в более чем дюжине стран, рассказывая о своих исследованиях в области безопасности мобильных устройств и о слабостях, которые он обнаружил в своей работе. криптоанализ из PHP язык программирования, включая выступления на крупнейших ежегодных хакерских съездах в мире, таких как DEF CON, Брифинги Black Hat и ToorCon.[21][22][23]
В конце 2010 года Камкар отправился в Братислава посещать День взлома Фарадея чтобы помочь разоблачить политическую и корпоративную коррупцию в Словакия правительство.[24]
В начале 2011 года Камкар вошел в совет директоров компании. Дивное новое программное обеспечение,[25] некоммерческая организация, первоначально финансируемая многомиллионным Государственный департамент США грант.[26] Некоммерческая организация отвечает за создание uProxy с Вашингтонский университет и Идеи Google, расширение браузера, предназначенное для того, чтобы пользователи с репрессивными режимами могли получать доступ в Интернет без контроля. Некоммерческая организация также создала фонарь, сеть, предназначенная для обхода цензуры в Интернете и противодействия подавлению цифровой информации и свободы слова.[27]
Помимо выпуска Evercookie как бесплатное программное обеспечение с открытым исходным кодом, а также разоблачает тайный сбор данных Apple, Google и Microsoft,[28] в 2011 году Камкар также представил KISSmetrics, рекламную сеть в Интернете, и Hulu как воссоздающие файлы cookie отслеживания после того, как потребители удалили их, сохранив уникальные идентификаторы отслеживания в файлах cookie Flash и Локальное хранилище HTML5, которые не удалялись автоматически, когда потребители очищали файлы cookie своего браузера.[29][30]Несколько компаний, которые были идентифицированы как выполняющие возрождение файлов cookie, впоследствии были привлечены к ответственности юристами по коллективным искам. В январе 2013 года KISSmetrics урегулировала иск, связанный с возрождением файлов cookie, на сумму 500 000 долларов.[31]
Ошибка в PHP
В начале 2010 года Камкар обнаружил серьезную ошибку во всех версиях PHP язык программирования, особенно в генератор псевдослучайных чисел, что позволило злоумышленнику захватить идентификатор сессии пользователя и взять на себя его сеанс.[32] Камкар выпустил патч[33] и после исправления выпустил код эксплойта, демонстрирующий возможную атаку в крупных банках, социальных сетях и форумах.[34][35][36]
Evercookie
В 2010 году Камкар выпустил Evercookie, файл cookie, который "очевидно не может быть удален", который впоследствии был задокументирован на первой странице Нью-Йорк Таймс.[9][37][38] В 2013 году сверхсекретный АНБ документ просочился[8] к Эдвард Сноуден ссылаясь на Evercookie как на метод отслеживания Tor пользователей.
Мобильные исследования
В 2011 году Камкар обнаружил, что мобильные устройства iPhone, Android и Windows Phone постоянно отправляют координаты GPS, коррелированные с MAC-адресами Wi-Fi, обратно в Apple, Google и Microsoft соответственно, и опубликовал свое исследование на нескольких первых страницах. Журнал "Уолл Стрит статьи.[28][39][40] IPhone продолжал отправлять данные о местоположении, «даже если службы определения местоположения были отключены».[39] Windows Phone также продолжит отправлять данные о местоположении, «даже если пользователь не дал приложению разрешение на это». Он обнаружил, что некоторые из этих данных были раскрыты Google, и опубликовал Androidmap, инструмент, предоставляющий доступ к базе данных Google MAC-адресов Wi-Fi, связанных с физическими координатами телефонов Android.[41]
Parrot AR Drone исследования
В 2013 году Камкар создал SkyJack, сочетание программного обеспечения и оборудования с открытым исходным кодом для работы на Беспилотный летательный аппарат который был "разработан для автономного поиска, взлома и беспроводного захвата других Дроны-попугаи на расстоянии Wi-Fi, создавая армию зомби-дронов ».[7][42] Вся спецификация программного и аппаратного обеспечения была выпущена с открытым исходным кодом и подробно описана на его веб-сайте.[42][43] Программное обеспечение было выпущено через день после Amazon.com объявил Amazon Prime Air, возможная будущая служба доставки с использованием дронов для доставки небольших посылок уже в 2015 году.[44]
Исследование автомобильной безопасности
30 июля 2015 года Kamkar представил OwnStar - небольшое электронное устройство, которое можно было спрятать на или рядом с Дженерал Моторс автомобиль, чтобы встать между транспортными средствами OnStar ссылка и драйвер OnStar RemoteLink приложение. В этой классике атака "человек посередине", Kamkar или любой неавторизованный пользователь мог использовать свои команды OnStar для определения местоположения, разблокировки или запуска автомобиля. К 11 августа General Motors выпустила обновления для серверного программного обеспечения OnStar и приложения RemoteLink, чтобы заблокировать такие атаки.[45]
В 2015 году сообщалось, что Камкар построил недорогое электронное устройство размером с кошелек, которое можно было спрятать на запертом автомобиле или рядом с ним для захвата одного вход без ключа код, который будет использован позже для разблокировки автомобиля. Устройство передает сигнал глушения, чтобы заблокировать прием автомобиля скользящий код сигналы от брелка владельца, одновременно записывая эти сигналы от обеих его двух попыток, необходимых для разблокировки автомобиля. Записанный первый код отправляется в транспортное средство только тогда, когда владелец делает вторую попытку, в то время как записанный второй код сохраняется для будущего использования. Камкар заявил, что эта уязвимость была широко известна на протяжении многих лет и присутствует во многих типах транспортных средств, но ранее не демонстрировалась.[46] Была объявлена демонстрация DEF CON 23.[47]
Устройство эмуляции магнитной полосы и кредитной карты
24 ноября 2015 года Сами Камкар выпустил MagSpoof;[48] портативное устройство, которое может подделывать / имитировать любую магнитную полосу или кредитную карту «без проводов», даже на стандартных считывателях магнитной полосы, путем создания сильного электромагнитного поля, которое имитирует традиционную карту с магнитной полосой.
По его собственным словам, MagSpoof может использоваться как традиционная кредитная карта и просто хранить все ваши кредитные карты (а с модификациями может технически отключить требования к чипу) в различных форм-факторах или может использоваться для исследования безопасности в любой области, которая могла бы обычно требуется магнитная полоса, например, для считывателей кредитных карт, водительских прав, ключей от номеров в отелях, автоматических билетов на парковку и т. д.
Угон интернет-трафика
16 ноября 2016 года Сами Камкар выпустил PoisonTap;[49] эмулятор Ethernet USB, который можно использовать для перехвата всего интернет-трафика на целевой машине, даже если компьютер был защищен паролем и заблокирован.
Устройство с резервной защитой может быть удаленно принудительно выполнено с помощью файлов cookie своего пользователя на HTTP (незащищенных) веб-сайтах, не имеющих флажков безопасности, что означает, что злоумышленник может удаленно олицетворять локального пользователя.
Рекомендации
- ^ «Твиттер / самикамкар». Twitter.
- ^ «Сами Камкар получил трехлетний запрет на использование компьютера, теперь он герой-хакер». Fusion (телеканал). 28 сентября 2015 г.. Получено 2015-09-28.
- ^ "Fonality - Профиль CrunchBase". CrunchBase.
- ^ «Открытый исходный код - Фональность». Intel.
- ^ а б Иеремия Гроссман (апрель 2006 г.). «Черви и вирусы для кросс-сторонних сценариев: надвигающаяся тема и лучшая защита» (PDF). Безопасность Уайтхэта. Архивировано из оригинал (PDF) на 2011-01-04.
- ^ а б "[Owasp-losangeles] OWASP LA". Получено 25 декабря 2015.
- ^ а б Гудин, Дэн (2013-12-08). «Летающая хакерская штуковина охотится на других дронов, превращая их в зомби». Ars Technica.
- ^ а б "'Презентация Tor Stinks ». Хранитель.
- ^ а б «Новый веб-код вызывает опасения по поводу рисков для конфиденциальности». Нью-Йорк Таймс. 10 октября 2010 г.. Получено 2011-05-19.
- ^ "Google и Apple на Капитолийском холме за слушание по вопросам конфиденциальности высоких технологий". CNN.
- ^ «Червь межсайтового скриптинга попадает в MySpace». Betanews. 13 октября 2005 г.
- ^ "Объяснение MySpace Worm". Архивировано из оригинал 24 сентября 2015 г.. Получено 25 декабря 2015.
- ^ "Червь межсайтового скриптинга наводняет MySpace". Slashdot.
- ^ «MySpace говорит о приговоре Сами Камкара». TechSpot. Получено 2017-07-15.
- ^ «Величайшие моменты в истории хакерских атак: Сами Камкар уничтожает Myspace». Вице-видео. Получено 2017-07-15.
- ^ «Фоновые данные». Журнал "Уолл Стрит. 22 апреля 2011 г.
- ^ "chap.py".
- ^ «RFIDiot-документация».
- ^ "SpiderLabs - Знакомство с Proxmark3".
- ^ "Код Proxmark3".
- ^ "Samy Kamkar Talks". Получено 2013-04-28.
- ^ "DEF CON 18 Speakers". Получено 2013-04-28.
- ^ "Спикеры Black Hat USA 2010". Получено 2013-04-28.
- ^ "День Фарадея Хака". Получено 2013-04-28.
- ^ «Дивное новое программное обеспечение».
- ^ «Дивное новое программное обеспечение».
- ^ "Фонарь".
- ^ а б «Apple, Google собирают данные пользователей». Журнал "Уолл Стрит. 22 апреля 2011 г.. Получено 2011-05-19.
- ^ "Respawn Redux от Ашкана Солтани".
- ^ "Сами Камкар KISSmetrics Research" (PDF).
- ^ Дэвис, Венди (23 января 2013). «KISSmetrics завершает расчет по супер cookie». MediaPost New. Получено 2013-01-18.
- ^ «Ошибки PHP со случайными числами».
- ^ «Объявление о выпуске PHP 5.3.2».
- ^ Балдони, Роберто; Чоклер, Грегори (2012). Совместная защита финансовой инфраструктуры.
- ^ «Атака на PHP-сессии и случайные числа».
- ^ «Рекомендация: слабый ГСЧ в генерации идентификатора сеанса PHP приводит к захвату сеанса».
- ^ "'Evercookie '- это печенье, которое нельзя откусить ". MSNBC. 22 сентября 2010 г. Архивировано с оригинал 24 сентября 2010 г.. Получено 2011-05-19.
- ^ "Q&A: Создатель Evercookie Сами Камкар".
- ^ а б «Джобс пытается успокоить iPhone Imbroglio». Журнал "Уолл Стрит. 28 апреля 2011 г.. Получено 2011-05-19.
- ^ «Microsoft собирает данные о местоположении телефонов без разрешения». Сети CNET. 2 сентября 2011 г.. Получено 2011-05-19.
- ^ «База данных Wi-Fi Google может знать физическое местоположение вашего маршрутизатора». Huffington Post. 25 апреля 2011 г.. Получено 2011-05-19.
- ^ а б "Сами Камкар - SkyJack".
- ^ «Исходный код SkyJack». 2013-12-08. Получено 2013-12-08.
- ^ Странно, Адарио. "Amazon представляет летающие дроны доставки за 60 минут'". Mashable. Получено 2013-12-01.
- ^ Вудкок, Глен (11 августа 2015 г.). «OnStar Plugs Hacker Attacks». Автосеть. Получено 2015-08-11.
- ^ Томпсон, Кэди (2015-08-06). «Хакер сделал гаджет за 30 долларов, который может разблокировать многие автомобили, в которые можно войти без ключа». Tech Insider. Получено 2015-08-11.
- ^ Камкар, Сами (07.08.2015). "Управляйте им, как будто вы взломали: новые атаки и инструменты для беспроводного кражи автомобилей". DEF CON 23. Получено 2015-08-11.
- ^ "самик / магспуф". GitHub. Получено 25 декабря 2015.
- ^ "самик / поисонтап". GitHub. Получено 16 ноября 2016.