Jump to content

Алиса Эсаж

Add links
(Перенаправлено от Алисы Шевченко )

Алиса Эсаж
Рожденный
Алиса Шевченко

19.05 [ 1 ] 1984 (39–40 лет) [ 2 ]
Россия
Другие имена Alisa Shevchenko
Занятие Исследователь кибербезопасности
Организация Инженерия нулевого дня
Веб-сайт Домашняя страница

Alisa Shevchenko ( Russian : Алиса Андреевна Шевченко ), professionally known as Alisa Esage, is a Russian-born computer security researcher, entrepreneur and hacker with Ukrainian roots. [ 3 ] Она известна тем, что независимо сотрудничает с доминирующими корпорациями-разработчиками программного обеспечения, такими как Google и Microsoft, над поиском и использованием слабых мест безопасности в их продуктах; стать первой женщиной-участницей Pwn2Own , главного в мире профессионального хакерского соревнования со значительными денежными призами; и обвинен правительством США во взломе президентских выборов в 2016 году.

Алиса Эсадж — владелица Zero Day Engineering , экспертной фирмы, предлагающей специализированное обучение и консультации в области исследования уязвимостей программного обеспечения.

Биография

[ редактировать ]

В профиле Esage в 2014 году, опубликованном в журнале Forbes, говорится, что она называет себя «наступательным исследователем безопасности»: «ее больше привлекало хакерство, чем программирование». [ 4 ] [ 5 ] После окончания университета она работала экспертом по анализу вредоносного ПО в «Лаборатории Касперского» пять лет . В 2009 году она основала компанию Esage Labs, позже известную как ZOR Security (цифровое оружие и защита).

Компания ZOR Security, принадлежащая Esage, была внесена в список организаций, подпадающих под санкции США, после того, как ее обвинили в «помощи Владимиру Путину в попытке повлиять на выборы [2016 года] в пользу Трампа ». Что касается обвинений Белого дома, Esage заявил, что власти либо неверно истолковали факты, либо были обмануты. [ 6 ] Официальные лица США до сих пор не сказали, почему, по их мнению, Esage работала с хакерами ГРУ и что она им якобы дала. [ 7 ]

В начале 2021 года Esage объявила [ 8 ] проект Zero Day Engineering, специализирующийся на профессиональном обучении, исследовательской разведке и консалтинге в области передовых исследований компьютерной безопасности и уязвимостей.

Esage выиграла несколько международных соревнований по продвинутому хакерству, выступала на нескольких международных конференциях по безопасности и публиковала технические статьи в ведущих технических журналах.

Достижения

[ редактировать ]

В 2014 году Esage заняла первое место в конкурсе PHDays IV «Атака на критическую инфраструктуру» (альтернативное название: «Взломай умный город»), успешно взломав макет умного города и обнаружив несколько уязвимостей нулевого дня в Indusoft Web Studio 7.1. Шнайдер Электрик. [ 9 ] [ 10 ]

В 2014–2018 годах компания Esage получила признание за обнаружение множества уязвимостей нулевого дня в популярных программных продуктах таких технологических гигантов, как Microsoft, [ 11 ] Фаерфокс, [ 12 ] и Гугл. [ 13 ] Часть этих уязвимостей была оперативно раскрыта в рамках программы вознаграждений за безопасность Zero Day Initiative (ZDI). [ 14 ] ранее принадлежал американскому технологическому гиганту HP и упоминался под разными псевдонимами. [ 15 ]

Esage представляла свои исследования на нескольких международных конференциях по безопасности: RECON, Positive Hack Days, [ 16 ] Ноль Ночей, [ 17 ] ПОК х Зер0кон, [ 18 ] Конгресс Хаос-коммуникаций. [ 19 ]

Ее работы были представлены в различных профессиональных изданиях в области безопасности, таких как Virus Bulletin, Secure List и Phrack Magazine. [ нужна ссылка ]

Pwn2Own

[ редактировать ]

8 апреля 2021 года Esage стала первой женщиной, победившей в Pwn2Own — соревновании продвинутых хакеров, проводимом с 2007 года. [ 20 ] В рамках своего участия в конкурсе Pwn2Own Vancouver 2021 Esage нацелилась на Parallels Desktop для Mac версии 16.1.3 с эксплойтом нулевого дня, разработанным ею самой, и смогла продемонстрировать переход от гостевой виртуальной машины к хосту с выполнением произвольного кода на MacOS. на полностью исправленной системе. [ 21 ] Заявка была объявлена ​​частичной победой в конкурсе, поскольку целевой поставщик программного обеспечения знал об ошибке нулевого дня, которая была использована в эксплойте Esage.

Споры

[ редактировать ]

Название организаторами эксплойта Esage Pwn2Own Vancouver 2021 «частичной победой» вызвало разногласия в мировом сообществе информационной безопасности: комментаторы в Твиттере потребовали изменить правила конкурса, чтобы попытку можно было объявить полной победой. [ 22 ] [ нужна ссылка ] Согласно правилам Pwn2Own от 2021 года, [ 23 ] Успешная конкурсная заявка может быть дисквалифицирована или понижена в рейтинге конкурса, если целевой поставщик программного обеспечения внутренне знал о соответствующей уязвимости (еще не исправленной) в день конкурса. Участие Esage привлекло внимание к этому пункту правил: видные деятели сообщества компьютерной безопасности опубликовали в Твиттере многочисленные аргументы в поддержку изменения правил. [ 24 ]

Статус Esage как первой женщины в истории Pwn2Own также был поставлен под сомнение, хотя и в меньшей степени. Во время записи прямой трансляции соревнований [ 25 ] В этом вопросе все ясно: рассказчик в 05:08 говорит: «Алиса — наша первая участница женского пола», а основатель Pwn2Own вмешался в Твиттере: [ 26 ] Официальный твит конкурса содержал пометку: «первая женщина, участвующая индивидуально». Вероятно, это связано с тем, что участник Pwn2Own 2018 команды Systems Ret2 [ 27 ] в последующие годы изменили свое имя и гендерную идентичность. [ нужна ссылка ] Факты: публичные записи соревнований Pwn2Own в официальных сообщениях в блоге. [ 28 ] и записи прямых трансляций [ 29 ] не содержит упоминаний об участии женщин до появления Esage в 2021 году.

Мотивация и личность

[ редактировать ]

Эсаж цитирует своего отца как главного вдохновителя, вдохновившего ее на выбор профессии и карьеры: «Думаю, он научил меня паять, когда мне было 5 лет. Поэтому я начала читать книги о компьютерах и программировании еще в школе и научилась программировать. на языке ассемблера C++ и x86, как только у меня появился компьютер в 15 лет». [ 30 ]

О своем участии в конкурсе Pwn2Own: «Это важная веха в карьере профессионального хакера и главная цель лично. Я в восторге! И с облегчением» [ 31 ]

Публикации и подвиги

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Shevchenko, Alisa [@alisaesage] (19 May 2018). "С днём рождения, Алиса! Мы тебя любим. Самые лучшие пожелания ⭐️ Happy Birthday, Alisa! Best wishes, Love, may God bless. 🎂 https://t.co/8C0Tuy21cU" ( Tweet ). Archived from the original on 19 May 2021 . Retrieved 14 June 2021 – via Twitter .
  2. ^ «Алиса Эсаж Шевченко» . Архивировано из оригинала 31 июля 2013 года.
  3. ^ Твиттер https://twitter.com/alisaesage/status/1496819857442361347 . Проверено 1 августа 2022 г. {{cite web}}: Отсутствует или пусто |title= ( помощь )
  4. ^ Фокс-Брюстер, Томас (30 декабря 2016 г.). «Знакомьтесь, российский хакер, утверждающий, что она — козел отпущения в шпионской атаке на выборах в США» . Форбс .
  5. ^ Седаков, Павел (11 December 2014). "Контракт со взломом: как хакер построила бизнес за счет банков и корпораций" . Forbes Russia (in Russian).
  6. ^ «Молодая россиянка отрицает, что помогала хакерам на выборах: «Я никогда не работаю с придурками» » . Хранитель . 6 января 2017 года . Проверено 6 января 2017 г.
  7. ^ Поулсен, Кевин (4 августа 2018 г.). «Эта хакерская партия является эпицентром деятельности российских кибершпионов» . Ежедневный зверь . Проверено 5 марта 2021 г.
  8. ^ Шевченко, Алиса [@alisaesage] (3 февраля 2021 г.). «Итак, это мой новый личный бизнес-сайт: https://t.co/UpHbrZri9h. Zero Day Engineering – проект, который подытожит и продолжит около двух десятилетий моей жизни и работы. Все еще немного грубо, но это Время еще впереди. /cc @zerodaytraining https://t.co/Y6ilpKMs7e» ( твит ). Архивировано из оригинала 3 февраля 2021 года . Проверено 14 июня 2021 г. - через Twitter .
  9. ^ «Дни позитивного взлома: взломан умный город» . Позитивные хакерские дни . Архивировано из оригинала 23 декабря 2014 года . Проверено 24 января 2017 г.
  10. ^ «Уязвимости Schneider Electric InduSoft Web Studio и InTouch Machine Edition 2014 (обновление A) | CISA» . us-cert.cisa.gov . 27 августа 2018 г. Проверено 5 марта 2021 г.
  11. ^ «Уязвимость Microsoft XML Core Services CVE-2014-4118, связанная с удаленным выполнением кода» . www.securityfocus.com . Проверено 5 марта 2021 г.
  12. ^ «1443891 — (CVE-2018-5178) Целочисленное переполнение в nsScriptableUnicodeConverter::ConvertFromByteArray может вызвать переполнение буфера кучи» . bugzilla.mozilla.org . Проверено 5 марта 2021 г.
  13. ^ «825503 — хром — проект с открытым исходным кодом, способствующий развитию Интернета. — Монорельс» . bugs.chromium.org . Проверено 5 марта 2021 г.
  14. ^ «ЗДИ-15-052» . Zerodayinitiative.com . Проверено 5 марта 2021 г.
  15. ^ «Инициатива нулевого дня — 3D-ускорение VirtualBox: ускоренная поверхность атаки» . Инициатива нулевого дня . Проверено 5 марта 2021 г.
  16. ^ «Positive Hack Days 2014, Алиса Эсадж: «Мой путь к обнаружению нулевых двоичных уязвимостей в 2014 году» » . Архивировано из оригинала 15 марта 2016 года.
  17. ^ «Спикеры. Конференция ZeroNights» . 2012.zeronights.org . Проверено 5 марта 2021 г.
  18. ^ «Сила сообщества» . www.powerofcommunity.net (на корейском языке) . Проверено 5 марта 2021 г.
  19. ^ Esage, Алиса (29 декабря 2020 г.), Advanced Hexagon Day , получено 5 марта.
  20. ^ «Windows, Ubuntu, Zoom, Safari, MS Exchange взломаны на Pwn2Own 2021» . Хакерские новости . Проверено 17 апреля 2021 г.
  21. ^ Шевченко, Алиса [@alisaesage] (8 апреля 2021 г.). «Объясняю неспециалистам: это эксплойт Hypervisor VM Escape нулевого дня на Mac, я думаю, один из первых в мире. Разработан мной. Должно также затронуть Parallels на Apple Silicone https://t.co/4GQrlrvoPo» ( Твиттер ). Архивировано из оригинала 8 апреля 2021 года . Проверено 14 июня 2021 г. - через Twitter .
  22. ^ Шевченко, Алиса [@alisaesage] (9 апреля 2021 г.). «Я плачу. Для меня ничего не значит, как именно ZDI называет мою успешную демонстрацию эксплойта – я занимаюсь этим не ради денег или проверки удачи в лотерее – но, видимо, для вас это важно. Pwn2Own – это важное событие сообщества. Пусть люди решают, что справедливо, а что нет https://t.co/Iaq8SLirI3» ( твит ). Архивировано из оригинала 11 июня 2021 года . Проверено 14 июня 2021 г. - через Twitter .
  23. ^ «Архивная копия» . www.zerodayinitiative.com . Архивировано из оригинала 4 апреля 2021 года . Проверено 17 апреля 2021 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  24. ^ Варгезе, Сэм. «iTWire — гнев, когда женщина-исследователь уходит с конкурса хакеров с пустыми руками» . itwire.com . Проверено 17 апреля 2021 г.
  25. ^ Pwn2Own 2021 — прямая трансляция третьего дня , получено 17 апреля 2021 г.
  26. ^ dragosr [@dragosr] (8 апреля 2021 г.). «От всей души поздравляю @alisaesage с тем, что победители PWN2OWN больше не являются клубом только мальчиков. Отлично сделано» ( твит ). Архивировано из оригинала 8 апреля 2021 года . Проверено 14 июня 2021 г. - через Twitter .
  27. ^ ДОБРО ПОЖАЛОВАТЬ НА PWN2OWN 2018: РАСПИСАНИЕ , получено 27 июля 2022 г.
  28. ^ «pwn2own site:zerodayinitiative.com – Поиск в Google» . www.google.com . Проверено 17 апреля 2021 г.
  29. ^ «Инициатива нулевого дня – YouTube» . www.youtube.com . Проверено 17 апреля 2021 г.
  30. ^ «Разговор с Алисой Эсейдж, российской хакершей, чья компания попала под санкции после выборов 2016 года» . Запись от Recorded Future . 1 марта 2021 г. Проверено 5 марта 2021 г. [ постоянная мертвая ссылка ]
  31. ^ Шевченко, Алиса [@alisaesage] (8 апреля 2021 г.). «Официально: я выиграл конкурс Pwn2Own в категории «Виртуализация». Это важная веха в карьере профессионального хакера и главная цель лично. Я в восторге! И испытал облегчение. Подробности разработанного мной эксплоита теперь находятся под запретом на ответственное раскрытие» ( Твиттер ). Архивировано из оригинала 17 апреля 2021 года . Проверено 14 июня 2021 г. - через Twitter .


[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Alisa_Esage&oldid=1231411851"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 373c21c02a6906f5323f8b30dbf1798b__1719537060
URL1:https://arc.ask3.ru/arc/aa/37/8b/373c21c02a6906f5323f8b30dbf1798b.html
Заголовок, (Title) документа по адресу, URL1:
Alisa Esage - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)