Это не официальный сайт wikipedia.org 01.01.2023

Камкар, Сами — Википедия

Камкар, Сами

(перенаправлено с «Сами Камкар»)

Сами Камкар (англ. Samy Kamkar; 10 декабря 1985 (1985-12-10))[1] — американский исследователь инфобезопасности, хакер, разоблачитель и предприниматель. В 16 лет Камкар бросил учёбу в школе[2] и через год принял участие в создании компании Fonality, предлагающей решения VoIP на основе программного обеспечения с открытым исходным кодом, которая должна была привлечь более 46 мил. долларов частного финансирования.[3] Сами Камкар известен созданием и распространением в 2005 г. в MySpace червя Samy,[4] который за сутки стал самым быстрым вирусом всех времен и привел к его аресту секретной службой США в соответствии с патриотическим актом.[5] Он также известен различными проектами, демонстрирующими уязвимости, такими как SkyJack, — пользовательским дроном для управления другими дронами Parrot,[6] и Evercookie, упомянутым в одном из секретных документов Агентства национальной безопасности,[7] раскрытых Эдвардом Сноуденом и передовицей The New York Times.[8] Сами Камкар стоит за несколькими открытиями, касающимися незаконного сбора данных с помощью операционных систем мобильных телефонов iOS, Android и Windows Phone. Его исследование в этой области привело к серии групповых исков и слушаний по делу о конфиденциальности на Капитолийском холме.[9]

Сами Камкар
англ. Samy Kamkar
Камкар выступает на Black Hat Briefings в 2010 г.
Камкар выступает на Black Hat Briefings в 2010 г.
Дата рождения 10 декабря 1985(1985-12-10) (37 лет)
Место рождения США
Гражданство  США
Род деятельности Американский исследователь конфиденциальности и безопасности, компьютерный хакер, разоблачитель и предприниматель
Сайт samy.pl

РаботаПравить

Samy (компьютерный червь)Править

В 2005 г. Камкар запустил на MySpace червя Samy, первый публичный XSS-скрипт, способный к самораспространению.[10] Червь отображал сообщение «но, прежде всего, Сами — мой герой» в профиле жертвы и заставлял автоматически отправить запрос в друзья Камкару. Когда пользователь просматривал этот профиль, вирус передавался. Всего за 20 часов его действия[11] 4 октября 2005 г. более миллиона пользователей были поражены, что сделало Samy самым быстрораспространяющимся вирусом.[12] Команда MySpace временно закрыла портал, чтобы устранить возможность работать червю.[4]

Из за этого проступка до Камкара в 2006 г. добрались спецслужбы США и оперативная группа по борьбе с электронными преступлениями.[5] После того, как ему предложили согласовать приговор, позволяющий ему избежать тюрьмы в обмен на штраф в размере 20 000 долларов, три года условно и 720 часов общественных работ, Камкар признал себя виновным по обвинению во взломе в Верховном суде Лос-Анджелеса.[13] Во время отбывания наказания Камкару было разрешено держать один компьютер без сети, но запрещено выходить в Интернет.[14] С 2008 г. Камкар проводит независимые исследования и консультирует по вопросам ИТ-безопасности и конфиденциальности.[15]

Выдающиеся работыПравить

После окончания своего наказания в 2008 г. Камкар занялся научными исследованиями и продемонстрировал уязвимость Visa, MasterCard и Europay кредитных карт, оснащенных ближней связью (NFC) и радио-идентификационными чипами (RFID).[16][17] Он опубликовал программное обеспечение, свидетельствующее о возможности кражи информации (имя владельца, номер и срок действия кредитной карты) — и все это без прямого контакта.[18] Камкар также опубликовал демонстрации кражи личных данных карт контроля физического доступа с использованием RFID, устройством размером с кредитную карту, тем самым устраняя необходимость входа в систему на компьютере.[19]

В 2010 г. Камкар побывал в более чем 12 странах, чтобы рассказать о своих исследованиях в области безопасности мобильных устройств и о слабостях, обнаруженных им в ходе криптоанализа языка программирования PHP,[20] в том числе выступая на крупнейших конвенциях этой области, таких как DEF CON, Black Hat брифинги и ToorCon.[21][22] В конце 2010 г. Камкар посетил Братиславу участвуя в Faraday Hack Day, чтобы обличить коррупцию словацкого правительства.[23][нет в источнике]

В начале 2011 г. Камкар вошел в совет директоров некоммерческой организации Brave New Software,[24] первоначально финансируемой за счет многомиллионного гранта Государственного департамента США.[25] Организация отвечает за создание uProxy Вашингтонским университетом и Google Ideas. Ассоциация также создала Lantern — сеть предназначенную для обхода цензуры в Интернете, предотвращения блокировки цифровой информации и подавления свободы слова.[26]

Помимо выпуска Evercookie, как бесплатного программного обеспечения с открытым исходным кодом, и разоблачения незаконного сбора данных, проводимого Apple, Google и Microsoft[27] в 2011 г., Камкар также раскрыл методы преследования пользователей KISSmetrics и Hulu. Идентификационные файлы cookie, используемые предприятиями, были воссоздаваемы сразу после удаления с помощью файлов локального хранилища Flash и HTML5,[28][29] которые не удалялись автоматически, когда потребители удаляли файлы cookie своего браузера. Несколько компаний, которые были уличены как осуществляющие повторное использование файлов cookie, впоследствии были поданы в суд юристами по коллективным искам. В январе 2013 г. рекламная сеть в Интернете KISSmetrics урегулировала иск, связанный с восстановлением файлов cookie, на сумму 500 000 долларов.[30]

Ошибка в PHPПравить

В начале 2010 г. Камкар обнаружил серьёзную ошибку во всех версиях языка программирования PHP, в частности в генераторе псевдослучайных чисел, что позволило украсть идентификатор сеанса пользователя и таким образом получить контроль над его сессией.[31] Камкар выпустил патч,[32] а затем продемонстрировал, что атака возможна в крупных банках, социальных сетях и форумах.[33][34][35]

EvercookieПравить

В 2010 г. Камкар представил Evercookie — файл cookie, который «не может быть удален», что впоследствии было описано на первой странице New York Times.[8][36][37] В 2013 г. было обнаружено, что в одном из сверхсекретных документов АНБ, оглашенных Эдвардом Сноуденом, Evercookie упоминается как метод отслеживания пользователей Tor.

Мобильная слежкаПравить

В 2011 г. Камкар обнаружил, что мобильные телефоны под управлением iOS, Android и Windows Phone постоянно отправляют информацию в Apple, Google и Microsoft, чтобы сопоставить координаты GPS с MAC-адресами маршрутизаторов Wi-Fi. Его исследования по этому вопросу опубликованы в нескольких статьях на первой странице Wall Street Journal.[27][38][39] IPhone продолжал отправлять данные о местоположении «даже если службы определения местоположения были отключены».[38] Windows Phone также продолжал отправлять данные о местоположении «даже если пользователь не дал приложению разрешение на это». Он обнаружил, что некоторые из этих данных стали доступны в Google, и выпустил Androidmap — инструмент, позволяющий раскрыть базу данных Google с MAC адресами Wi-Fi, сопоставимыми с физическими координатами телефонов Android.[40]

Parrot AR DroneПравить

В 2013 г. Камкар создал SkyJack — проект с открытым исходным кодом, направленный на создание дронов, способных «удаленно искать, взламывать и управлять другими дронами Parrot, создавая таким образом армию дронов-зомби».[6][41] Полная спецификация аппаратного и программного обеспечения была опубликована и подробно описана на его веб-сайте[41][42] через день после того, как Amazon объявила о своем будущем сервисе доставки дронов Amazon Prime Air.[43]

Исследование автомобильной безопасностиПравить

30 июля 2015 г. Камкар представил OwnStar — небольшое устройство, которое можно спрятать возле автомобиля General Motors и так встать между системой связи OnStar автомобиля и программой RemoteLink на телефоне его владельца. Эта атака «человек посередине» позволяет любому неавторизованному пользователю использовать элементы управления OnStar для обнаружения, разблокировки или запуска автомобиля. 11 августа General Motors обновил сервер OnStar и приложение RemoteLink, чтобы предотвратить эти атаки.[44]

Сообщается, что в 2015 г. Камкар разработал недорогое электронное устройство размером с кошелек, способное захватывать удаленный код разблокировки дверей автомобиля для последующего использования. Устройство издает сигнал глушения, чтобы блокировать его прием автомобилем во время записи. После двух попыток пользователя устройство сохраняет код и передает его транспортному средству только после получения второй попытки, сохраняя дополнительный код для использования в будущем. По словам Камкара, эта уязвимость была известна в течение многих лет и затрагивала многие типы транспортных средств,[45] но до него демонстрации не проводились.[46]

Устройство эмуляции магнитной полосы и кредитной картыПравить

24 ноября 2015 г. Сами Камкар издал MagSpoof[47] — портативное устройство, которое может беспроводным способом имитировать любую магнитную полосу или кредитную карту, даже на стандартных считывателях, путем создания сильного электромагнитного поля.

Сам по себе MagSpoof можно использовать как традиционную кредитную карту и хранить несколько карт (также технически возможно отключить требования к чипу с помощью модификации). Устройство может быть полезно в исследованиях безопасности, связанных с считыванием магнитных полос, таких как устройства чтения кредитных карт, ключи от номеров в отелях, парковочные талоны и т. д.

Перехват интернет-трафикаПравить

16 ноября 2016 г. Сами Камкар выпустил PoisonTap[48] — USB адаптер Ethernet, который может перехватывать весь интернет-трафик с целевой машины, даже защищенный паролем и заблокированный. Таким образом целевое устройство может быть вынуждено отправить запрос, содержащий файлы cookie своего пользователя, на незащищенный сайт, что позволяет хакеру присвоить его личность.

2 мая 2022 г. подозреваемый северокорейский шпион завербовал 38-летнего руководителя южнокорейской криптовалютной биржи и 29-летнего военного офицера для взлома Корейской объединённой системы управления и контроля (KJCCS) используя PoisonTap.[49]

ПримечанияПравить

  1. Twitter / samykamkar  (неопр.). Twitter. Дата обращения: 1 сентября 2022. Архивировано 5 марта 2016 года.
  2. Samy Kamkar got 3-year computer ban now he's a hacker hero  (неопр.). Fusion (TV channel) (28 сентября 2015). Дата обращения: 28 сентября 2015. Архивировано 21 сентября 2015 года.
  3. Open Source – Fonality  (неопр.). Intel. Дата обращения: 1 сентября 2022. Архивировано 3 декабря 2019 года.
  4. 1 2 Jeremiah Grossman. Cross-Side Scripting Worms and Viruses: The Impending Thread and the Best Defense  (неопр.). Whitehat Security (апрель 2006). Архивировано 4 января 2011 года.
  5. 1 2 [Owasp-losangeles] OWASP LA  (неопр.). Дата обращения: 25 декабря 2015. Архивировано 3 июня 2016 года.
  6. 1 2 Goodin, Dan. Flying hacker contraption hunts other drones, turns them into zombies, Ars Technica (8 декабря 2013). Архивировано 14 марта 2017 года. Дата обращения: 1 сентября 2022.
  7. 'Tor Stinks' presentation, The Guardian. Архивировано 29 августа 2014 года. Дата обращения: 1 сентября 2022.
  8. 1 2 New Web Code Draws Concern Over Privacy Risks  (неопр.). The New York Times (10 октября 2010). Дата обращения: 19 мая 2011. Архивировано 10 августа 2022 года.
  9. Google and Apple on Capitol Hill for high-tech privacy hearing  (неопр.). CNN. Дата обращения: 1 сентября 2022. Архивировано 3 декабря 2019 года.
  10. Cross-Site Scripting Worm Hits MySpace  (неопр.). Betanews (13 октября 2005).
  11. MySpace Worm Explanation  (неопр.). Дата обращения: 25 декабря 2015. Архивировано 24 сентября 2015 года.
  12. Cross-Site Scripting Worm Floods MySpace  (неопр.). Slashdot. Дата обращения: 1 сентября 2022. Архивировано 24 июня 2009 года.
  13. MySpace speaks about Samy Kamkar's sentencing (англ.), TechSpot. Архивировано 15 сентября 2018 года. Дата обращения: 1 сентября 2022.
  14. Greatest Moments In Hacking History: Samy Kamkar Takes Down Myspace (англ.). Vice-videos. Дата обращения: 15 июля 2017. Архивировано 15 августа 2017 года.
  15. Background Data  (неопр.). The Wall Street Journal (22 апреля 2011). Дата обращения: 1 сентября 2022. Архивировано 1 сентября 2022 года.
  16. chap.py  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 4 марта 2016 года.
  17. RFIDiot Documentation  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 23 июля 2022 года.
  18. SpiderLabs – Getting in with the Proxmark3  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 1 октября 2012 года.
  19. Proxmark3 Code  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 26 ноября 2015 года.
  20. Samy Kamkar Talks  (неопр.). Дата обращения: 28 апреля 2013.
  21. DEF CON 18 Speakers  (неопр.). Дата обращения: 28 апреля 2013. Архивировано 20 октября 2010 года.
  22. Black Hat USA 2010 Speakers  (неопр.). Дата обращения: 28 апреля 2013. Архивировано 3 марта 2013 года.
  23. Faraday Hack Day  (неопр.). Дата обращения: 28 апреля 2013. Архивировано 19 июня 2013 года.
  24. Brave New Software  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 19 сентября 2022 года.
  25. Brave New Software  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 31 октября 2013 года.
  26. Lantern  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 1 сентября 2022 года.
  27. 1 2 Apple, Google Collect User Data  (неопр.). The Wall Street Journal (22 апреля 2011). Дата обращения: 19 мая 2011. Архивировано 23 декабря 2014 года.
  28. Respawn Redux by Ashkan Soltani  (неопр.) (11 августа 2011). Дата обращения: 1 сентября 2022. Архивировано 9 июля 2013 года.
  29. Samy Kamkar KISSmetrics Research  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 22 января 2022 года.
  30. Davis, Wendy. KISSmetrics Finalizes Supercookies Settlement, MediaPost New (23 января 2013). Архивировано 21 января 2013 года. Дата обращения: 18 января 2013.
  31. PHP blunders with random numbers  (неопр.). Архивировано 7 ноября 2021 года.
  32. PHP 5.3.2 Release Announcement  (неопр.). Архивировано 2 сентября 2022 года.
  33. Baldoni, Roberto. Collaborative Financial Infrastructure Protection / Roberto Baldoni, Gregory Chockler. — 2012.
  34. Attack on PHP sessions and random numbers  (неопр.). Архивировано 18 августа 2022 года.
  35. Advisory: Weak RNG in PHP session ID generation leads to session hijacking  (неопр.). Архивировано 29 августа 2021 года.
  36. 'Evercookie' is one cookie you don't want to bite  (неопр.). MSNBC (22 сентября 2010). Дата обращения: 19 мая 2011. Архивировано 24 сентября 2010 года.
  37. Q&A: Evercookie Creator Samy Kamkar  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 6 декабря 2012 года.
  38. 1 2 Jobs Tries to Calm iPhone Imbroglio  (неопр.). The Wall Street Journal (28 апреля 2011). Дата обращения: 19 мая 2011. Архивировано 18 января 2015 года.
  39. Microsoft collects phone location data without permission  (неопр.). CNET Networks (2 сентября 2011). Дата обращения: 19 мая 2011. Архивировано 11 ноября 2011 года.
  40. Google's Wi-Fi Database May Know Your Router's Physical Location  (неопр.). Huffington Post (25 апреля 2011). Дата обращения: 19 мая 2011. Архивировано 4 мая 2011 года.
  41. 1 2 Samy Kamkar – SkyJack  (неопр.). Дата обращения: 1 сентября 2022. Архивировано 1 сентября 2022 года.
  42. SkyJack source code  (неопр.). GitHub (8 декабря 2013). Дата обращения: 8 декабря 2013. Архивировано 31 мая 2019 года.
  43. Strange, Adario Amazon Unveils Flying Delivery Drones on '60 Minutes'  (неопр.). Mashable. Дата обращения: 1 декабря 2013. Архивировано 28 мая 2020 года.
  44. Woodcock, Glen. OnStar Plugs Hacker Attacks, Autonet (11 августа 2015). Архивировано 9 января 2016 года. Дата обращения: 11 августа 2015.
  45. Thompson, Cadie. A hacker made a $30 gadget that can unlock many cars that have keyless entry, Tech Insider (6 августа 2015). Архивировано 9 августа 2015 года. Дата обращения: 11 августа 2015.
  46. Kamkar, Samy Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars  (неопр.). DEF CON 23 (7 августа 2015). Дата обращения: 11 августа 2015. Архивировано 20 августа 2015 года.
  47. samyk/magspoof  (неопр.). GitHub. Дата обращения: 25 декабря 2015. Архивировано 29 августа 2022 года.
  48. samyk/poisontap  (неопр.). GitHub. Дата обращения: 16 ноября 2016. Архивировано 26 августа 2022 года.
  49. Two South Koreans arrested for helping Pyongyang steal 'military secrets' | NK News  (неопр.). www.nknews.org. Дата обращения: 15 мая 2022. Архивировано 3 мая 2022 года.

СсылкиПравить