denez сказал(а):

Интересное повествование, но хотелось бы ссылки на ресурсы, например в абзаце "рецензируемые статьи". А в целом - интересно. Да и к тому же, как в тему к новостям

Strife сказал(а):

Доброго времени суток, уважаемые форумчане. Представляю вашему вниманию Пилотный выпуск “Истории Хакера”. Здесь я буду рассказывать о жизни людей так или иначе связанных с информационной безопасностью.
Пейтер Затко, более известный как Mudge. Родился 1 декабря 1970 года(на данный момент 49 лет), закончил музыкальный колледж в Беркли.
Работая с L0pht(Хакерский коллектив, действовавший между 1992 и 2000 годами), Мадж исследовал новую уязвимость, известную как “Буферное переполнение”. Он является автором инструментов безопасностиL0ftCrack, AntiSniff и L0phtWatch.
Также Затко был одним из ключевых членов хакерской медиа группировки “Культ мёртвой коровы”, однако информации о том чем конкретно он там занимался нет.
Mudge был одним из первых хакеров, которые работали с правительством. Он пользовался спросом как спикер, он вещал на конференциях связанных с обороноспособностью, и на научных конференциях по типу USENIX.

Он и еще 6 участников L0pht рассказывали комитету Сената в 1998 о серьёзных уязвимостях интернета в то время.

• В 2000 году Мадж был приглашён на встречу с 42 президентом Биллом Клинтоном на саммите безопасности рядом с членами правительства и промышленными руководителями.
  
• В 2004 году он стал учёным подразделения из BBN Technologies и присоединился к техническому совету безопасности NFR.
  
• В 2010 году было объявлено, что он будет руководителем проекта DARPA, направленного на руководство исследованиями в области кибербезопасности.
  
• В 2013 году он объявил что покидает DARPA и переходит на работу в Google ATAP.
  
• В 2015 году Затко объявил в Твиттере, что присоединяется к проекту #CyberUL, организации по тестированию компьютерной безопасности, санкционированной Белым домом.
  
• В 2020 году Пейтера приняли на должность главы службы безопасности в Twitter.

В DARPA Пейтер создал Cyber Analytical Framework, который позже был использован для оценки инвестиций Министерства обороны в наступательную и оборонительную кибербезопасность. За время пребывания в DARPA он запустил 3 программы, известные как Military Networking Protocol (MNP), Cyber-Insider Threat (CINDER) и Cyber Fast Track (CFT).

Cyber Fast Track (CFT) - это программа министерства обороны США, которая завязана на предоставлении ресурсов и финансирования различных исследований в области информационной безопасности. CFT предоставила альтернативу традиционным подрядчикам, которые ранее не могли работать в слишком сложном процессе DARPA. В среднем заключение такого контракта составляло около 7 дней с момента получения заявки до предоставления финансирования. Программа была анонсирована на Shmoocon в 2011 году.

Military Networking Protocol (MNP)- это протокол созданный для обеспечения приоритезации сети на уровне пользователя для военных компьютерных сетей.

Cyber-Insider Threat (CINDER) - это программа министерства обороны США, которая направлена на выявления кибершпионажа, осуществляемого внутренними угрозами. CINDER в сми часто по ошибке связывают с WikiLeaks. Не исключено что это связано с путаницей между программами DARPA, направленными на выявление угрозы со стороны человека, такой как ADAMS, и выявлением программного шпионажа, создаваемого вредоносным ПО в программе CINDER. Об этом рассказал Мадж в своём выступлении на Defcon 2011 на 46 минуте выступления.
Мадж опубликовал множество статей и различных рекомендаций, в которых подробно описаны проблемы безопасности в различных операционных системах и приложениях.
Расположено в хронологической последовательности.

• MONKey: Атака на систему одноразового пароля s/key, 1995 г.
  
• Слабые места в конструкции системы аутентификация SecurID, 1996 г.
  
• Уязвимости синтаксического анализа cgi-bin / test-cgi позволяют удалённый обход каталога, апрель 1996 г.
  
• Повышение привилегий с помощью уязвимости переполнения буфера Sendmail 8.7.5 GECOS, ноябрь 1996 г.
  
• Утечки памяти Kerberos 4 предоставляют конфиденциальную учетную информацию посредством удаленных атак, ноябрь 1996 г.
  
• BSD-дистрибутивы modstat позволяют взломать ключи DES, пароли и управление кольцом, декабрь 1996 г.
  
• Компрометация корня через Solaris libc_getopt, январь 1997 г.
  
• L0phtCrack: Техническая разглагольствования об уязвимостях шифрования и паролей Microsoft, июль 1997 г.
  
• Imap 4.1 удаленный дам памяти и извлечение конфиденциальной информации, октябрь 1997 г.
  
• Состояние гонки в системе управления версиями Rational Systems ClearCase, январь 1998 г.
  
• Embedded FORTH Hacking on Sparc Hardware, Phrack Magazine, том 8, выпуск 53, июль 1998 г.
  
• Атака повышения привилегий suGuard, январь 1999 г.
  
• Уязвимость раскрытия хэша в Quakenbush Windows NT Password Appraiser, январь 1999 г.
  
• L0pht Watch: Инструмент для атак на состояние гонок файловой системы, январь 1999 г.
  
• Атака по побочному каналу Solaris/bin/su, июнь 1999 г.
  
• Обратное проектирование методов обфускации оболочки Cactus Software, октябрь 1999 г.
  
• Условия гонки в сценариях инициализации RedHat Linux, декабрь 2000 г.
  
• AntiSniff: идентификация удаленных систем в неразборчивом режиме, май 2000 г.
  
• Первоначальных криптоанализ алгоритма RSA SecurID январь 2001 г.
  
• Уязвимости переполнения буфера Crontab, октябрь 2001 г.
  
  
  
  
  Twitter
  Twitter Назначил главой службы безопасности Пейтера Затко. Компания предоставит ему широкие возможности, он сможет рекомендовать различные изменения структуры компании, методов работы и т. д. Начальником Маджа будет главный исполнительный директор компании Джек Дорси.

• Анализ безопасности операционной системы Palm и ее слабых сторон против угроз вредоносного кода, Джо Гранд и Мадж, 10-й симпозиум по безопасности Usenix, Вашингтон, август 2001 г.
  
• Архитектура для масштабируемой сетевой защиты, материалы 34-й ежегодной конференции IEEE по локальным сетям, октябрь 2009
  
  
  
  
  Награды
• 2007 Boston Business Journal от 40 до 40 лет.
  
• 2011 SC Magazine Топ-5 влиятельных мыслителей года в области IT-Безопасности.
  
• Премия Канцелярии министра обороны за выдающиеся заслгуи в 2013 году.