Elie Bursztein - Elie Bursztein - Wikipedia

Elie Bursztein
Elie Bursztein.jpg
Elie Bursztein
narozený
Francie
Národnostfrancouzština
Státní občanstvífrancouzština
Alma materÉcole Normale Supérieure de Cachan, 2008
EPITA, 2004
Známý jakoCAPTCHA bezpečnostní
Aplikovaná kryptografie
Boj proti podvodům a zneužívání
Zabezpečení hry
Zabezpečení webu
Vědecká kariéra
PoleZabezpečení počítače
InstituceGoogle
Stanfordská Univerzita
Doktorský poradceJean Goubault-Larrecq

Elie Bursztein (narozen 1. června 1980) vede výzkumný tým proti zneužívání v Google.[r 1] On je nejlépe známý pro jeho výzkum v oblasti boje proti podvodům a zneužívání,[r 2] jeho nové útoky na webové služby a videohry a jeho práce na aplikované kryptografii.[p 1][str. 2] Před Google byl Bursztein postdoktorandem počítačová věda na Stanfordská Univerzita, kde se soustředil CAPTCHA bezpečnostní[str. 3][str. 4] a použitelnost.[str. 5][str. 6]

Vzdělávání

Elie Bursztein získal titul v oboru počítačového inženýrství EPITA[r 3] v roce 2004 magisterský titul v oboru počítačových věd na Paris 7 / ENS, v roce 2004 (pod vedením Patrick Cousot ) a jeho PhD v oboru počítačových věd z École Normale Supérieure de Cachan v roce 2008 (pod dohledem Jean Goubault-Larrecq ). Jeho disertační práce naklonila „Anticipační hry. Théorie des jeux appliqués à la sécurité réseau“ (Anticipační hra. Teorie her aplikovaná na zabezpečení sítě) ukázala, jak kombinovat kontrolu modelu, časovou logiku a teorii her, aby se našly optimální reakce na síťové útoky. Na Stanfordské univerzitě pracoval jako doktorand ve Stanfordské bezpečnostní laboratoři, oddělení oddělení informatiky, které se zaměřuje na síťovou a počítačovou bezpečnost.

Výzkum

Boj proti podvodům a zneužívání

V roce 2014 společnost Bursztein zveřejnila první studii týkající se ručních únosců účtů.[str. 7][r 2] S Kurtem Thomasem a spol. publikoval, jak se Google pokouší omezit podvody s ověřeným telefonem.[str. 8] V roce 2015 spolu s Kurtem Thomasem a spol. získal S&P za nejlepší praktickou cenu za studium injektorů škodlivých reklam.[str. 9][r 4] S Josephem Bonneauem a spol. získal cenu WWW'15 za nejlepší studentskou práci[r 5] za zveřejnění první praktické studie o zabezpečení a použitelnosti tajných otázek pomocí dat Google.[str. 10][r 6]

Aplikovaná kryptografie

V roce 2009 představila společnost Bursztein první úplnou analýzu společnosti Microsoft DPAPI (Data Protection Application Programming Interface) s Jeanem Michelem Picodem.[str. 2] V roce 2011 spolu s J. Lagarennem, M. Hamburkem a D. Bonehem používal soukromé sady křižovatkových protokolů k obraně proti hackerům herních map.[p 1] V roce 2014 vytvořil s Adamem Langleym Chrome na mobilu zhruba třikrát rychleji implementací nové šifrovací sady TLS, která využívá algoritmy ChaCha20 a Poly1305.[r 7]

CAPTCHA

Burszteinův výzkum o CAPTCHA si klade za cíl usnadnit řešení hádanek lidem a ztížit jejich rozbití. Jeho hlavní příspěvky jsou snazší captcha pro člověka, kterou používá Recaptcha[str. 5] a obecný algoritmus prolomení textové captcha.[str. 3]

V roce 2009 Bursztein spolu se Stevenem Bethardem ukázal, že zvukové captcha eBay byla porušena.[str. 11] V roce 2010 studoval u S. Betharda, C. Fabryho, D. Jurafského a J. C. Mitchella, jak lidé provádějí na CAPTCHAS v reálném světě provedením rozsáhlé studie.[str. 6] V roce 2011 demonstroval spolu s R. Beauxisem, H. Paskovem, D. Peritem, C. Fabrym a J. Mitchellem, že nekontinuální zvukové CAPTCHA jsou neúčinné.[str. 4] Bursztein byl součástí týmu stanfordských vědců, který narušil zabezpečení společnosti NuCaptcha, a to navzdory tvrzení společnosti, že je „novou generací“ video CAPTCHA bezpečnostní. V roce 2012 pro CNET News uvedl, že „jsme schopni rozbít video schéma NuCaptcha s více než 90 procentním úspěchem.“[r 8]

Zabezpečení hry

V roce 2010 v Defconu ukázal, jak vytvořit obecný software pro hackování map.[str. 12] V roce 2012 na Defconu předvedl, jak fuzzovat online hry včetně Diablo 3 a League of Legends.[r 9] V roce 2014 na Defconu ukázal, jak pomocí strojového učení předvídat, co bude soupeř hrát pro karetní hru Hearthstone.[str. 13] Na žádost Blizzardu nebyl tento nástroj nikdy zveřejněn.[r 10]

Zabezpečení webu

Mezi jeho významné úspěchy v zabezpečení webu a mobilních zařízení patří:

  • 2013 Ohlášena chyba, která Apple přiměla opravit bezpečnostní chybu v obchodě s aplikacemi, která se spoléhala na nešifrovaná připojení, což potenciálně umožnilo útočníkům krást hesla.[r 11]
  • 2011 Vydal nástroj, který veřejnosti umožnil dotazovat se ve veřejné databázi Wi-Fi společnosti Microsoft na umístění bezdrátových zařízení.[r 12] Toto zveřejnění vedlo společnost k tomu, aby o několik dní později zavedla lepší ochranu soukromí.[r 13]
  • 2011 Vytvořil nástroj s názvem OWADE, což znamená Offline Windows Analysis and Data Extraction, který pro forenzní účely obešel šifrování na pevném disku počítače se systémem Windows.[r 14]
  • 2010 Ukázal, jak provést útok HTTPS do mezipaměti proti Internet Explorer 8 a Firefox 3.6.[str. 14] Tato nová technika je číslo 4 z deseti nejlepších technik hackování webu v roce 2010.
  • 2010 Analyzováno Gauravem Aggarwalem, Collinem Jacksonem a Dan Boneh soukromé režimy prohlížečů.[str. 15][r 15]
  • 2010 Vynalezli Gustav Rydstedt, Baptiste Gourdin a Dan Boneh útok typu jack-jacking, který využívá slabost mobilního telefonu k zefektivnění funkce jack-jacking.[r 16]
  • 2010 Studoval obranu clickjackingu u Gustava Rydstedta, Dan Boneh a Collin Jackson.[str. 16][r 17]
  • 2009 Vynalezl útoky XCS s Hristo Bojinovem a Danem Bonehem.[str. 17][r 18]
  • 2009 Objevili jsme více než 40 zranitelných míst ve vestavěných webových rozhraních s Hristo Bojinov, Eric Lovelett a Dan Boneh

Ocenění

Pozoruhodné ceny:

  • 2015: Cena WWW za nejlepší studentský papír[r 5] pro článek Tajemství, lži a obnovení účtu: Poučení z používání otázek týkajících se osobních znalostí ve společnosti Google.[str. 10]
  • 2015: Ocenění S&P Distinguished Practical Paper[r 19] pro příspěvek Ad Injection at Scale: Assessing Deceptive Advertising Modifications.[str. 9]
  • 2011: Cena S&P za nejlepší studentskou práci[r 20] pro příspěvek OpenConflict: Prevence hackování map v reálném čase v online hrách.[p 1]
  • 2010: 4. z deseti nejlepších technik hackování webu[r 21] pro jeho techniku ​​útoku HTTPS do mezipaměti.[str. 14]
  • 2008: Cena WISPT za nejlepší dokument za papír Probabilistic Protocol Identification for Hard to Classify Protocol.[str. 18]

Výzkumné publikace

  1. ^ A b C E. Bursztein; M. Hamburg; J. Lagarenne; D. Boneh (2011). „OpenConflict: Prevence hackování map v reálném čase v online hrách“. S & P'11 - Symposium on Security and Privacy. IEEE.
  2. ^ A b J. M. Picod; E. Bursztein (2010). „Obrácení DPAPI a krádež Windows Secrets Offline“. Blackhat DC 2010. Černý klobouk.
  3. ^ A b E. Bursztein; J. Aigrain; A. Mosciki; J. C. Mitchell (2014). „Konec je blízko: obecné řešení textových CAPTCHA“. WoOT'14 - Workshop o útočné technologii. Usenix.
  4. ^ A b E. Bursztein; R. Beauxis; H. Paskov; D. Perito; C. Fabry; J. C. Mitchell (2011). „Výpadek nekontinuálních zvukových captcha založených na šumu“. S & P'11 - Symposium on Security and Privacy. IEEE. 19–31. doi:10.1109 / SP.2011.14.
  5. ^ A b E. Bursztein; A. Moscicki; C. Fabry; S. Bethard; J. C. Mitchell; D. Jurafsky (2014). „Snadné: více použitelných captchas“. CHI'14 - Konference SIGCHI o lidských faktorech ve výpočetních systémech. ACM. 2637–2646. doi:10.1145/2556288.2557322.
  6. ^ A b E. Bursztein; S. Bethard; C. Fabry; D. Jurafsky; J. C. Mitchell (2010). „Jak dobří jsou lidé při řešení CAPTCHA? Hodnocení ve velkém měřítku“. Symposium on Security and Privacy (S&P), 2010. IEEE. 399–413. doi:10.1109 / SP.2010.31.
  7. ^ E. Bursztein; B. Benko; D. Margolis; T. Pietraszek; A. Archer; A. Aquino; A. Pitsillidis; S. Savage (2014). „Ručně vyráběné podvody a vydírání: Ruční únos účtu ve volné přírodě“. IMC '14 - Conference on Internet Measurement Conference. ACM. 347–358. doi:10.1145/2663716.2663749.
  8. ^ K. Thomas; D. Iatskiv; E. Bursztein; T. Pietraszek; C. Grier; D. McCoy (2014). „Vytáčení zneužití na účtech ověřených telefonem“. CCS '14 - SIGSAC Conference on Computer and Communications Security. ACM. str. 465–476. doi:10.1145/2660267.2660321.
  9. ^ A b K. Thomas; E. Bursztein; C. Grier; G. Ho; N. Jagpal; A. Kapravelos; D. McCoy; A. Nappa; V. Paxson; P. Pearce; N. Provos; M. A. Rajab (2015). „Vkládání reklam v měřítku: Posuzování podvodných úprav reklamy“. S & P'15 - Symposium on Security and Privacy. IEEE.
  10. ^ A b J Bonneau; E Bursztein; I Caron; R Jackson; M Williamson (2015). „Tajemství, lži a obnovení účtu: Poučení z používání otázek týkajících se osobních znalostí ve společnosti Google“. WWW'15 - Mezinárodní konference o World Wide Web. Celosvětová Síť.
  11. ^ E. Bursztein; S. Bethard (2009). „Decaptcha: Breaking 75% of eBay Audio CAPTCHAs“. WoOT'09 - Workshop USENIX o útočných technologiích. Usenix.
  12. ^ E. Bursztein; J. Lagarenne (2010). "Kartograf". Defcon 18. Defcon.
  13. ^ E. Bursztein; C. Bursztein (2014). "Kartograf". Defcon 23. Defcon.
  14. ^ A b E. Bursztein; B. Gourdin; D. Boneh (2009). "Špatné vzpomínky". Blackhat USA 2010. Černý klobouk.
  15. ^ G. Aggarwal; E. Bursztein E .; C. Jackson; D. Boneh (2010). „Analýza režimů soukromého prohlížení v moderních prohlížečích“. 19. bezpečnostní symposium Usenix. Usenix.
  16. ^ G. Rydstedt; E. Bursztein; D. Boneh; C. Jackson (2010). „Busting Frame Busting: a Study of Clickjacking zranitelnosti na populárních webech“. 3. seminář Zabezpečení a ochrana soukromí na webu 2.0. IEEE.
  17. ^ H. Bojinov; E. Bursztein; D. Boneh (2009). „XCS: cross channel scripting and its impact on web applications“. CCS'09 - konference SIGSAC o počítačové a komunikační bezpečnosti. ACM. str. 420–431.
  18. ^ E. Bursztein (2008). „Pravděpodobnostní identifikace protokolu pro těžko klasifikovatelný protokol“. Teorie a praxe informační bezpečnosti. Inteligentní zařízení, konvergence a sítě nové generace. Springer. str. 49–63. doi:10.1007/978-3-540-79966-5_4.

Další reference

  1. ^ „Stránka výzkumu Elie Burszteina na Googlu“. Výzkum ve společnosti Google. Citováno 15. června 2015.
  2. ^ A b Andrea Peterson. „Ve světě profesionálních únosců e-mailových účtů“. Washington Post. Citováno 15. června 2015.
  3. ^ „Elie Burszstein, vedoucí výzkumu proti podvodům a zneužívání @ Google“.
  4. ^ Russell Brandom. „Průzkum Google odhalil více než pět milionů uživatelů infikovaných adwarem“. The Verge. Citováno 15. června 2015.
  5. ^ A b „Seznam ocenění WWW - konference WWW 2015“. WWW. Citováno 15. června 2015.
  6. ^ Victor Luckerson. „Přestaňte používat tuto bolestivě zjevnou odpověď na vaše bezpečnostní otázky“. Čas. Citováno 15. června 2015.
  7. ^ Stephen Shankland. „Nové algoritmy urychlují bezpečnou komunikaci pro Chrome v systému Android“. Cnet. Citováno 15. června 2015.
  8. ^ McCullagh, Declan (12. února 2012). „Vědci ze Stanfordské univerzity porušují zabezpečení videa NuCaptcha“. CNET.
  9. ^ „Konference o hackování Defcon 20“. Defcon.
  10. ^ „Jsem legenda: Hacking Hearthstone se strojovým učením Defcon talk wrap-up“. Elie Bursztein. Citováno 15. června 2015.
  11. ^ Honorof, Marshall (11. března 2013). „Apple opravuje bezpečnostní riziko App Store“. Zprávy NBC.
  12. ^ McCullagh, Declan (29. července 2011). „Stanfordský výzkumník odhaluje databázi Wi-Fi společnosti Microsoft“. CNET.
  13. ^ McCullagh, Declan (1. srpna 2011). „Microsoft omezuje databázi lokací Wi-Fi“. CNET.
  14. ^ „Offline Windows Analysis and Data Extraction (OWADE) - Forensics too to expose all your online activity“.
  15. ^ Ward, Mark (6. srpna 2010). „Režimy soukromého prohlížení nevracejí data“. BBC novinky. Londýn.
  16. ^ Lemos, Robert (11. srpna 2010). „Mobilní chyba mohla zakrýt kliknutí“. Recenze technologie. Boston.
  17. ^ „Seznam přispěvatelů na zabezpečení Twitter“. Archivovány od originál dne 18. února 2011.
  18. ^ „XCS útoky na BlackHat09“.
  19. ^ „Seznam ocenění S&P - Security and Privacy Symposium 2015“. IEEE. Citováno 15. června 2015.
  20. ^ „Seznam ocenění S&P - Security and Privacy Symposium 2011“. IEEE. Citováno 15. června 2015.
  21. ^ Grossman, Jeremiah. „Top Ten Web Hacking Techniques of 2010 (Official)“.

externí odkazy