Jump to content

Сами Камкар

Чтобы узнать о фамилии Камкар, см. Камкар .
Сами Камкар
Камкар выступает на конференции Black Hat в 2010 году.
Рожденный ( 1985-12-10 ) 10 декабря 1985 г. (38 лет)
Национальность Американский
Род занятий Исследователь конфиденциальности и безопасности, компьютерный хакер , информатор и предприниматель.
Известный Выпуск червя Samy , Evercookie , SkyJack и по отслеживанию мобильных телефонов iPhone, Android и Windows Mobile исследования
Веб-сайт оба .pl

Сами Камкар (родился 10 декабря 1985 г.) [1] — американский исследователь конфиденциальности и безопасности, компьютерный хакер и предприниматель . В 16 лет он бросил школу. [2] Год спустя он стал соучредителем Fonality, компании унифицированных коммуникаций, основанной на программном обеспечении с открытым исходным кодом, которая привлекла более 46 миллионов долларов частного финансирования. [3] В 2005 году он создал и выпустил самый быстро распространяющийся вирус всех времен. [4] червя MySpace Патриотическим Samy , и впоследствии на него напала Секретная служба США в соответствии с актом . [5] Он также создал SkyJack , специальный дрон, который взламывает любые находящиеся поблизости дроны Parrot, позволяя оператору управлять ими. [6] и создал Evercookie , который появился в сверхсекретном АНБ. документе [7] обнародовано Эдвардом Сноуденом и опубликовано на первой полосе The New York Times . [8] Он также работал с The Wall Street Journal и обнаружил незаконное отслеживание мобильных телефонов , когда мобильные устройства Apple iPhone , Google Android и Microsoft Windows Phone передают информацию GPS и Wi-Fi своим материнским компаниям. Его мобильное исследование привело к серии коллективных исков против компаний и слушаниям о конфиденциальности на Капитолийском холме. [9] У Камкара есть глава с советами в Тима Ферриса книге «Инструменты титанов» .

Работа

[ редактировать ]

Самый червь

[ редактировать ]
Основная статья: Сэми (компьютерный червь)

В 2005 году Камкар выпустил червя Samy , первого публично выпущенного самораспространяющегося червя с межсайтовыми скриптами на MySpace . [10] Червь содержал полезную нагрузку , которая отображала строку «но, прежде всего, Сэми — мой герой» в профиле жертвы и заставляла жертву неосознанно отправлять Камкару запрос на добавление в друзья. Когда пользователь просматривал этот профиль, полезная нагрузка размещалась на его странице. Всего за 20 часов [11] с момента выпуска от 4 октября 2005 г. полезную нагрузку запустили более миллиона пользователей, [12] что делает его самым быстро распространяющимся вирусом всех времен. [4] Команда MySpace временно закрыла MySpace, чтобы устранить проблему, которая позволяла червю работать.

В 2006 году Камкар подвергся нападению со стороны Секретной службы США и оперативной группы по борьбе с электронными преступлениями, созданной на основе Патриотического закона , за распространение червя. [5] После того, как ему предложили сделку о признании вины без тюремного заключения, но он заплатил штраф в размере 20 000 долларов США, отбыл три года испытательного срока и отработал 720 часов общественных работ, Камкар признал себя виновным по уголовному обвинению во взломе компьютера в Верховном суде Лос-Анджелеса. [13] Также в соответствии с вышеупомянутым соглашением Камкару было разрешено иметь один компьютер, не подключенный к сети, но ему был явно запрещен любой доступ в Интернет во время его заключения. [14] С 2008 года Камкар занимается независимыми исследованиями и консалтингом в области компьютерной безопасности и конфиденциальности. [15]

Известные работы

[ редактировать ]

В 2008 году, после того как с Камкара было снято ограничение на использование компьютеров, он продемонстрировал недостатки Visa, MasterCard и Europay кредитных карт со встроенными чипами ближней связи (NFC) и радиочастотной идентификации (RFID) и выпустил программное обеспечение, демонстрирующее возможность кражи кредитных карт. информация, включая имя, номер кредитной карты и срок действия, передается по беспроводной сети с этих карт. [16] [17] Он также опубликовал код, демонстрирующий кражу личных данных карт физического контроля доступа по беспроводной сети , в том числе карт HID Global , с использованием RFID с использованием только устройства размером с кредитную карту, что устраняет необходимость подключения какого-либо компьютера. [18] [19]

В 2010 году Камкар побывал более чем в дюжине стран, рассказывая о своих исследованиях в области мобильной безопасности и слабых сторонах, которые он обнаружил в ходе криптоанализа языка программирования PHP , в том числе выступал на некоторых крупнейших ежегодных хакерских конвенциях в мире, таких как DEF CON , Black Hat. Брифинги и ToorCon . [20] [21] [22]

В конце 2010 года Камкар отправился в Братиславу, чтобы принять участие в Faraday Hack Day, чтобы помочь разоблачить политическую и корпоративную коррупцию в . правительстве Словакии [23] [ не удалось пройти проверку ]

В начале 2011 года Камкар вошел в совет директоров Brave New Software . [24] некоммерческая организация, первоначально финансируемая за счет многомиллионного гранта Государственного департамента США . [25] отвечает за создание uProxy Некоммерческая организация совместно с Вашингтонским университетом и Google Ideas — расширения для браузера, которое позволяет пользователям, находящимся в репрессивных режимах, получать доступ к Интернету без слежки за ними. Некоммерческая организация также создала Lantern — сеть, призванную обойти интернет-цензуру и победить подавление цифровой информации и свободы слова. [26]

Помимо выпуска Evercookie как бесплатного программного обеспечения с открытым исходным кодом и раскрытия тайного сбора данных Apple, Google и Microsoft, [27] В 2011 году Камкар также сообщил, что KISSmetrics, сеть онлайн-рекламы, и Hulu воссоздают файлы cookie отслеживания после того, как потребители удалили их, сохраняя уникальные идентификаторы отслеживания в файлах cookie Flash и локальном хранилище HTML5 , которые не удалялись автоматически, когда потребители очищали файлы cookie своего браузера. [28] [29] Впоследствии юристы подали в суд на несколько компаний, которые, как выяснилось, занимались возрождением файлов cookie. В январе 2013 года KISSmetrics урегулировала иск, связанный с возрождением файлов cookie, на сумму 500 000 долларов США. [30]

Ошибка в PHP

[ редактировать ]

В начале 2010 года Камкар обнаружил серьезную ошибку во всех версиях языка программирования PHP , в частности, в генераторе псевдослучайных чисел , которая позволяла злоумышленнику перехватить идентификатор сеанса пользователя и завладеть его сеансом. [31] Камкар выпустил патч [32] и после исправления был выпущен код эксплойта, демонстрирующий возможную атаку на крупные банки, социальные сети и форумы. [33] [34] [35]

Эверкуки

[ редактировать ]
Основная статья: Evercookie

В 2010 году Камкар выпустил Evercookie — файл cookie, который «по-видимому, невозможно удалить», что впоследствии было задокументировано на первой странице The New York Times . [8] [36] [37] сверхсекретный документ АНБ . В 2013 году в сеть попал [7] Эдвард Сноуден назвал Evercookie методом отслеживания пользователей Tor .

Мобильные исследования

[ редактировать ]
Основная статья: Отслеживание мобильных телефонов

В 2011 году Камкар обнаружил, что мобильные устройства iPhone, Android и Windows Phone постоянно отправляют GPS-координаты, сопоставленные с MAC-адресами Wi-Fi, обратно в Apple, Google и Microsoft соответственно, и опубликовал свое исследование в нескольких на первой полосе The Wall Street Journal. статьях . [27] [38] [39] iPhone продолжал отправлять данные о местоположении, «даже когда службы определения местоположения были отключены». [38] Windows Phone также продолжит отправлять данные о местоположении, «даже если пользователь не дал приложению на это разрешение». Он обнаружил, что некоторые из этих данных были раскрыты Google, и выпустил Androidmap , инструмент, раскрывающий базу данных Google по MAC-адресам Wi-Fi, коррелирующим с физическими координатами, заполненными телефонами Android. [40]

Исследование AR-дрона Parrot

[ редактировать ]
Основная статья: СкайДжек

В 2013 году Камкар создал SkyJack , комбинацию программного и аппаратного обеспечения с открытым исходным кодом для работы на беспилотном летательном аппарате , который был «спроектирован для автономного поиска, взлома и беспроводного захвата других дронов Parrot на расстоянии Wi-Fi, создавая армию дронов-зомби». ". [6] [41] Вся спецификация программного и аппаратного обеспечения была опубликована с открытым исходным кодом и подробно описана на его веб-сайте. [41] [42] Программное обеспечение было выпущено через день после того, как Amazon.com анонсировал Amazon Prime Air , возможную будущую службу доставки с использованием дронов для доставки небольших посылок уже в 2015 году. [43]

Исследование автомобильной безопасности

[ редактировать ]

30 июля 2015 года компания Kamkar представила OwnStar — небольшое электронное устройство, которое можно спрятать на автомобиле General Motors автомобиля или рядом с ним, чтобы оно вставало между соединением OnStar OnStar RemoteLink водителя и приложением . В этой классической атаке «человек посередине» Камкар или любой неавторизованный пользователь может подменить свои команды OnStar, чтобы найти, разблокировать или запустить автомобиль. К 11 августа General Motors выпустила обновления серверного программного обеспечения OnStar и приложения RemoteLink для блокировки подобных атак. [44]

В 2015 году сообщалось, что Камкар создал недорогое электронное устройство размером с кошелек, которое можно было спрятать на запертом автомобиле или рядом с ним, чтобы захватить единый код доступа без ключа, который будет использоваться позже для разблокировки автомобиля. Устройство передает сигнал глушения, чтобы заблокировать прием автомобилем сигналов подвижного кода с брелока владельца, одновременно записывая эти сигналы от обеих его двух попыток, необходимых для разблокировки автомобиля. Записанный первый код отправляется в автомобиль только тогда, когда владелец предпринимает вторую попытку, а записанный второй код сохраняется для использования в будущем. Камкар заявил, что об этой уязвимости было широко известно уже много лет, поскольку она присутствует во многих типах транспортных средств, но ранее она не была продемонстрирована. [45] Была объявлена ​​демонстрация DEF CON 23. [46]

Устройство эмуляции магнитной полосы и кредитной карты

[ редактировать ]

24 ноября 2015 года Сами Камкар выпустил MagSpoof; [47] портативное устройство, которое может подделывать / имитировать любую магнитную полосу или кредитную карту «по беспроводной сети», даже на стандартных считывателях магнитных полос, генерируя сильное электромагнитное поле, имитирующее традиционную карту с магнитной полосой.

По его собственным словам, MagSpoof можно использовать как традиционную кредитную карту и просто хранить все ваши кредитные карты (и с модификациями может технически отключать требования к чипам) в различных форм-факторах или может использоваться для исследований безопасности в любой области, которая может традиционно требуют магнитной полосы, например, для считывателей кредитных карт, водительских прав, ключей от гостиничных номеров, билетов на автоматическую парковку и т. д.

Перехват интернет-трафика

[ редактировать ]

16 ноября 2016 года Сами Камкар выпустил PoisonTap; [48] эмулятор USB Ethernet, который можно использовать для перехвата всего интернет-трафика на целевом компьютере, даже если компьютер был защищен паролем и заблокирован.

Устройство с бэкдором можно удаленно заставить сделать запрос с помощью файлов cookie своего пользователя на HTTP-сайтах (незащищенных), которые не имеют флагов безопасности, а это означает, что злоумышленник может удаленно выдать себя за локального пользователя.

2 мая 2022 года подозреваемый северокорейский шпион завербовал 38-летнего руководителя южнокорейской криптовалютной биржи и 29-летнего военного офицера для использования PoisonTap для взлома Корейской объединенной системы командования и контроля (KJCCS). . [49]

Ссылки

[ редактировать ]
  1. ^ «Твиттер/самыкамкар» . Твиттер .
  2. ^ «Сами Камкар получил 3-летний компьютерный запрет, теперь он герой хакера» . Фьюжн (телеканал) . 28 сентября 2015 года . Проверено 28 сентября 2015 г.
  3. ^ «Открытый исходный код — фональность» . Интел .
  4. ^ Перейти обратно: а б Иеремия Гроссман (апрель 2006 г.). «Черви и вирусы с перекрестным скриптингом: надвигающаяся тема и лучшая защита» (PDF) . Уайтхэт Секьюрити. Архивировано из оригинала (PDF) 4 января 2011 г.
  5. ^ Перейти обратно: а б «[Owasp-losangeles] OWASP LA» . Проверено 25 декабря 2015 г.
  6. ^ Перейти обратно: а б Гудин, Дэн (08 декабря 2013 г.). «Летающая хакерская штуковина охотится на других дронов и превращает их в зомби» . Арс Техника .
  7. ^ Перейти обратно: а б « Презентация «Тор воняет»» . Хранитель .
  8. ^ Перейти обратно: а б «Новый веб-код вызывает обеспокоенность по поводу рисков конфиденциальности» . Нью-Йорк Таймс . 10 октября 2010 г. Проверено 19 мая 2011 г.
  9. ^ «Google и Apple на Капитолийском холме на слушаниях по вопросам конфиденциальности в сфере высоких технологий» . CNN .
  10. ^ «Червь межсайтового скриптинга попал на MySpace» . Бетаньюс . 13 октября 2005 г.
  11. ^ «Объяснение червя MySpace» . Архивировано из оригинала 24 сентября 2015 года . Проверено 25 декабря 2015 г.
  12. ^ «Червь межсайтового скриптинга заполонил MySpace» . Слэшдот . 14 октября 2005 г.
  13. ^ «MySpace рассказывает о приговоре Сами Камкару» . ТехСпот . Проверено 15 июля 2017 г.
  14. ^ «Величайшие моменты в истории хакерства: Сэми Камкар уничтожает Myspace» . Вице-видео . Проверено 15 июля 2017 г.
  15. ^ «Исходные данные» . Уолл Стрит Джорнал . 22 апреля 2011 г.
  16. ^ "чап.py" .
  17. ^ «Документация RFIDiot» .
  18. ^ «SpiderLabs — Знакомство с Proxmark3» .
  19. ^ «Код Proxmark3» .
  20. ^ «Разговоры Сами Камкара» . Проверено 28 апреля 2013 г.
  21. ^ «Динамики DEF CON 18» . Архивировано из оригинала 20 октября 2010 г. Проверено 28 апреля 2013 г.
  22. ^ «Спикеры Black Hat USA 2010» . Проверено 28 апреля 2013 г.
  23. ^ «День взлома Фарадея» . Проверено 28 апреля 2013 г.
  24. ^ «Отважное новое программное обеспечение» .
  25. ^ «Отважное новое программное обеспечение» . Архивировано из оригинала 31 октября 2013 г. Проверено 30 октября 2013 г.
  26. ^ «Фонарь» .
  27. ^ Перейти обратно: а б «Apple и Google собирают пользовательские данные» . Уолл Стрит Джорнал . 22 апреля 2011 года . Проверено 19 мая 2011 г.
  28. ^ «Respawn Redux от Ашкана Солтани» . 11 августа 2011 г.
  29. ^ «Исследование Сами Камкара KISSmetrics» (PDF) .
  30. ^ Дэвис, Венди (23 января 2013 г.). «KISSmetrics завершает урегулирование проблемы суперкуки» . МедиаПост Новинка . Проверено 18 января 2013 г.
  31. ^ «PHP допускает ошибки со случайными числами» .
  32. ^ «Объявление о выпуске PHP 5.3.2» .
  33. ^ Бальдони, Роберто ; Чоклер, Грегори (2012). Совместная защита финансовой инфраструктуры .
  34. ^ «Атака на PHP-сессии и случайные числа» .
  35. ^ «Рекомендация: слабый RNG при генерации идентификатора сеанса PHP приводит к перехвату сеанса» .
  36. ^ « Evercookie — это печенье, которое не хочется кусать» . MSNBC . 22 сентября 2010 года. Архивировано из оригинала 24 сентября 2010 года . Проверено 19 мая 2011 г.
  37. ^ «Вопросы и ответы: создатель Evercookie Сами Камкар» . 31 августа 2022 г.
  38. ^ Перейти обратно: а б «Джобс пытается успокоить запутанную ситуацию с iPhone» . Уолл Стрит Джорнал . 28 апреля 2011 года . Проверено 19 мая 2011 г.
  39. ^ «Microsoft собирает данные о местоположении телефона без разрешения» . Сети CNET . 2 сентября 2011 года . Проверено 19 мая 2011 г.
  40. ^ «База данных Wi-Fi Google может знать физическое местоположение вашего маршрутизатора» . Хаффингтон Пост . 25 апреля 2011 года . Проверено 19 мая 2011 г.
  41. ^ Перейти обратно: а б «Сами Камкар — СкайДжек» .
  42. ^ «Исходный код SkyJack» . Гитхаб . 08.12.2013 . Проверено 8 декабря 2013 г.
  43. ^ Странно, Адарио. «Amazon представляет летающие дроны-доставщики в программе «60 минут» » . Машаемый . Проверено 1 декабря 2013 г.
  44. ^ Вудкок, Глен (11 августа 2015 г.). «OnStar предотвращает хакерские атаки» . Автонет . Проверено 11 августа 2015 г.
  45. ^ Томпсон, Кэди (6 августа 2015 г.). «Хакер сделал гаджет за 30 долларов, который может разблокировать многие автомобили, в которых есть доступ без ключа» . Технический инсайдер . Проверено 11 августа 2015 г.
  46. ^ Камкар, Сами (07 августа 2015 г.). «Управляйте им так, как будто вы его взломали: новые атаки и инструменты для кражи автомобилей по беспроводной сети» . ДЕФ КОН 23 . Проверено 11 августа 2015 г.
  47. ^ "самык/магспуф" . Гитхаб . Проверено 25 декабря 2015 г.
  48. ^ "самык/ядовитая кран" . Гитхаб . Проверено 16 ноября 2016 г.
  49. ^ «Двое южнокорейцев арестованы за помощь Пхеньяну в краже «военных секретов» | NK News» . www.nknews.org . Архивировано из оригинала 3 мая 2022 года . Проверено 15 мая 2022 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Samy_Kamkar&oldid=1223662225"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 20eab73262e22bc8255364052e585674__1715603220
URL1:https://arc.ask3.ru/arc/aa/20/74/20eab73262e22bc8255364052e585674.html
Заголовок, (Title) документа по адресу, URL1:
Samy Kamkar - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)