Эли Бурштейн (родился 1 июня 1980 г.) возглавляет исследовательскую группу по борьбе с злоупотреблениями в Google . [r 1] Он наиболее известен своими исследованиями по борьбе с мошенничеством и злоупотреблениями, [r 2] своими новыми атаками на веб-сервисы и видеоигры, а также своими работами по прикладной криптографии. [p 1] [p 2] До Google Бурштейн работал докторантом в области компьютерных наук в Стэнфордском университете , где он сосредоточился на безопасности CAPTCHA [стр. 3] [стр. 4] и удобстве использования. [стр. 5] [стр. 6]
Эли Бурштейн | |
---|---|
Родившийся | |
Национальность | Французский |
Гражданство | Французский |
Альма-матер | Высшая нормальная школа Кашана , 2008 EPITA , 2004 |
Известен | Безопасность CAPTCHA Прикладная криптография Защита от мошенничества и злоупотреблений Безопасность в играх Веб-безопасность |
Научная карьера | |
Поля | Компьютерная безопасность |
Учреждения | Google Стэнфордский университет |
Докторант | Жан Губо-Ларрек |
Образование
Эли Бурштейн получил степень компьютерной инженерии в EPITA [r 3] в 2004 году, степень магистра компьютерных наук в Paris 7 / ENS в 2004 году (под руководством Патрика Кузо ) и докторскую степень по информатике в École Normale Supérieure de Cachan. в 2008 году (под руководством Жана Губо-Ларрека ). Его докторская диссертация была посвящена теме «Игры с предвкушением. Théorie des jeux appliqués à la sécurité réseau» (Игра с предвкушением. Теория игр в применении к сетевой безопасности) показала, как объединить проверку моделей, временную логику и теорию игр, чтобы найти оптимальные ответы на сетевые атаки. В Стэнфордском университете он был научным сотрудником Стэнфордской лаборатории безопасности, подразделения факультета компьютерных наук, специализирующегося на сетевой и компьютерной безопасности.
Исследовать
Борьба с мошенничеством и злоупотреблениями
В 2014 году Бурштейн опубликовал первое исследование о взломщиках учетных записей вручную. [стр. 7] [r 2] Совместно с Куртом Томасом и др. он опубликовал, как Google пытается уменьшить количество случаев мошенничества с телефонными подтверждениями. [стр. 8] В 2015 году Курт Томас и др. он получил награду S&P за лучший практический опыт за исследование вредоносных инжекторов рекламы. [p 9] [r 4] Совместно с Джозефом Бонно и др. он получил награду WWW'15 за лучшую студенческую работу [r 5] за публикацию первого практического исследования по безопасности и удобству использования секретных вопросов с использованием данных Google. [стр. 10] [стр. 6]
Прикладная криптография
В 2009 году Бурштейн представил первый полный анализ Microsoft DPAPI (интерфейс программирования приложений для защиты данных) с Жаном Мишелем Пико. [p 2] В 2011 году с J. Lagarenne, M. Hamburg и D. Boneh он использовал протоколы пересечения частных наборов для защиты от взлома игровых карт. [p 1] В 2014 году вместе с Адамом Лэнгли он сделал Chrome для мобильных устройств примерно в три раза быстрее, реализовав новый набор шифров TLS, который использует алгоритмы ChaCha20 и Poly1305 . [r 7]
CAPTCHA
Исследование Бурштейна о CAPTCHA направлено на то, чтобы сделать головоломки проще для людей и сложнее для компьютеров. Его основной вклад - более простая капча для Human, используемая Recaptcha [стр. 5], и общий алгоритм для взлома текстовой капчи. [стр. 3]
В 2009 году Бурштейн вместе со Стивеном Бетхардом показал, что аудиокапчи на eBay не работают. [стр. 11] В 2010 году он изучал с С. Бетардом, К. Фабри, Д. Джурафски и Дж. К. Митчеллом, как люди работают с CAPTCHAS в реальном мире, запустив крупномасштабное исследование. [стр. 6] В 2011 году он продемонстрировал с Р. Боксисом, Х. Пасковым, Д. Перито, К. Фабри и Дж. Митчеллом, что прерывистая звуковая CAPTCHA неэффективна. [стр. 4] Бурштейн был частью команды исследователей из Стэнфорда, которые взломали систему безопасности NuCaptcha, несмотря на заявления компании о том, что она является «новым поколением» средств защиты CAPTCHA на основе видео . В 2012 году он сказал CNET News, что «мы можем взломать видеосхему NuCaptcha с успехом более 90 процентов». [r 8]
Безопасность игры
В 2010 году в Defcon он показал, как создать универсальное программное обеспечение для взлома карт. [стр. 12] В 2012 году на Defcon он продемонстрировал, как фаззить онлайн-игры, включая Diablo 3 и League of Legends. [r 9] В 2014 году на Defcon он показал, как использовать машинное обучение, чтобы предсказать, во что будет играть противник, в карточной игре Hearthstone. [стр. 13] По запросу Blizzard инструмент так и не был опубликован. [r 10]
Веб-безопасность
Некоторые из его заметных достижений в области веб-безопасности и безопасности мобильных устройств включают:
- 2013 Сообщается об ошибке, побудившей Apple исправить брешь в системе безопасности в своем магазине приложений, которая полагалась на незашифрованные соединения, что потенциально позволяло злоумышленникам украсть пароли. [r 11]
- 2011 Выпущен инструмент, позволяющий общественности запрашивать общедоступную базу данных Wi-Fi Microsoft о местонахождении беспроводных устройств. [r 12] Это раскрытие побудило компанию через несколько дней принять более строгие меры защиты конфиденциальности. [r 13]
- 2011 Создан инструмент под названием OWADE, что означает автономный анализ и извлечение данных Windows, который обходит шифрование на жестком диске ПК с Windows в целях криминалистики. [r 14]
- 2010 Продемонстрировано, как выполнить атаку кэширования HTTPS на Internet Explorer 8 и Firefox 3.6. [стр. 14] Этот новый метод занимает четвертое место в десятке лучших методов взлома Интернета в 2010 году.
- 2010 Анализируется в частных режимах браузеров Гаурав Аггарвал, Коллин Джексон и Дэн Боне . [стр. 15] [стр. 15]
- 2010 Совместно с Густавом Ридстедтом, Батистом Гурденом и Дэном Боне изобретена атака с отводом, которая использует слабые места мобильного телефона для повышения эффективности кликджекинга. [r 16]
- 2010 Изучал защиту от кликджекинга с Густавом Ридштедтом, Дэном Боне и Коллином Джексоном. [стр. 16] [стр. 17]
- 2009 Изобрел XCS-атаки с Христо Божиновым и Дэном Боне. [стр. 17] [18]
- 2009 Обнаружено более 40 уязвимостей во встроенных веб-интерфейсах с Христо Божиновым, Эриком Ловлеттом и Дэном Боне.
Награды
Известные награды:
- 2015: Премия WWW за лучшую студенческую работу [r 5] за статью «Секреты, ложь и восстановление учетной записи: уроки использования вопросов личного знания в Google». [стр. 10]
- 2015: Премия S&P «Выдающийся практический документ» [r 19] за статью «Внедрение рекламы в масштабе: оценка модификаций обманчивой рекламы». [стр. 9]
- 2011: Премия S&P за лучшую студенческую работу [r 20] за статью OpenConflict: Предотвращение взлома карт в реальном времени в онлайн-играх. [стр. 1]
- 2010: 4-е место из десяти лучших методов веб-взлома [r 21] для его техники атаки кэширования HTTPS. [стр. 14]
- 2008: Премия WISPT за лучшую работу за работу «Вероятностная идентификация протокола для трудно классифицируемого протокола». [стр. 18]
Публикации исследований
- ^ a b c Э. Бурштейн; М. Гамбург; Дж. Лагаренн; Д. Бонех (2011). «OpenConflict: предотвращение взлома карт в реальном времени в онлайн-играх» . S&P'11 - Симпозиум по безопасности и конфиденциальности . IEEE.
- ^ а б JM Picod; Э. Бурштейн (2010). «Обращение вспять DPAPI и кража секретов Windows в автономном режиме» . Блэкхат, округ Колумбия, 2010 год . Черная шляпа.
- ^ а б Э. Бурштейн; Дж. Айгрейн; А. Москики; Дж. К. Митчелл (2014). «Конец близок: общее решение текстовых CAPTCHA» . WoOT'14 - Мастерская по наступательной технике . Usenix.
- ^ а б Э. Бурштейн; Р. Боксис; Х. Пасков; Д. Перито; К. Фабри; Дж. К. Митчелл (2011). «Отказ прерывистых звуковых капч на основе шума» . S&P'11 - Симпозиум по безопасности и конфиденциальности . IEEE. С. 19–31. DOI : 10,1109 / SP.2011.14 .
- ^ а б Э. Бурштейн; А. Москицки; К. Фабри; С. Бетард; JC Mitchell; Д. Джурафски (2014). «Легко сделать это: более удобные капчи» . CHI'14 - Конференция SIGCHI по человеческому фактору в вычислительных системах . ACM. С. 2637–2646. DOI : 10.1145 / 2556288.2557322 .
- ^ а б Э. Бурштейн; С. Бетард; К. Фабри; Д. Джурафски; Дж. К. Митчелл (2010). «Насколько хорошо люди решают CAPTCHA? Крупномасштабная оценка» . Симпозиум по безопасности и конфиденциальности (S & P), 2010 . IEEE. С. 399–413. DOI : 10,1109 / SP.2010.31 .
- ^ Э. Бурштейн; Б. Бенко; Д. Марголис; Т. Пьетрашек; А. Арчер; А. Акино; A. Pitsillidis; С. Сэвидж (2014). «Ручное мошенничество и вымогательство: ручной взлом аккаунта в дикой природе» . IMC '14 - Конференция по Интернет-измерениям . ACM. С. 347–358. DOI : 10.1145 / 2663716.2663749 .
- ^ К. Томас; Д. Яцкив; Э. Бурштейн; Т. Пьетрашек; К. Гриер; Д. Маккой (2014). «Обратный вызов злоупотреблений на телефонных подтвержденных счетах» . CCS '14 - Конференция SIGSAC по компьютерной и коммуникационной безопасности . ACM. С. 465–476. DOI : 10.1145 / 2660267.2660321 .
- ^ а б К. Томас; Э. Бурштейн; К. Гриер; Г. Хо; Н. Джагпал; А. Каправелос; Д. Маккой; А. Наппа; В. Паксон; П. Пирс; Н. Провос; М.А. Раджаб (2015). «Масштабное внедрение рекламы: оценка модификаций обманчивой рекламы» . S&P'15 - Симпозиум по безопасности и конфиденциальности . IEEE.
- ^ а б J Bonneau; E Bursztein; Я Карон; Р. Джексон; М. Уильямсон (2015). «Секреты, ложь и восстановление учетной записи: уроки использования вопросов о личных знаниях в Google» . WWW'15 - Международная конференция по всемирной паутине . Всемирная сеть.
- ^ Э. Бурштейн; С. Бетард (2009). «Декапча: устранение 75% капчи аудио на eBay» . WoOT'09 - Семинар USENIX по наступательным технологиям . Usenix.
- ^ Э. Бурштейн; Дж. Лагаренн (2010). «Картограф» . Дефкон 18 . Defcon.
- ^ Э. Бурштейн; К. Бурштейн (2014). «Картограф» . Дефкон 23 . Defcon.
- ^ а б Э. Бурштейн; Б. Гурден; Д. Бонех (2009). «Плохие воспоминания» . Blackhat USA 2010 . Черная шляпа.
- ^ Г. Аггарвал; Э. Бурштейн Э .; К. Джексон; Д. Бонех (2010). «Анализ режимов приватного просмотра в современных браузерах» . 19-й симпозиум по безопасности Usenix . Usenix.
- ^ Г. Ридштедт; Э. Бурштейн; Д. Бонех; К. Джексон (2010). «Busting Frame Busting: исследование уязвимостей, связанных с кликджекингом на популярных сайтах» . 3-й семинар по безопасности и конфиденциальности Web 2.0 . IEEE.
- ^ Х. Божинов; Э. Бурштейн; Д. Бонех (2009). «XCS: межканальные сценарии и его влияние на веб-приложения» . CCS'09 - конференция SIGSAC по компьютерной и коммуникационной безопасности . ACM. С. 420–431.
- ^ Э. Бурштейн (2008). «Вероятностная идентификация протокола для трудно классифицируемого протокола» . Теория и практика информационной безопасности. Интеллектуальные устройства, конвергенция и сети нового поколения . Springer. С. 49–63. DOI : 10.1007 / 978-3-540-79966-5_4 .
Прочие ссылки
- ^ "Страница исследования Google Эли Бурштейн" . Исследования в Google . Проверено 15 июня 2015 года .
- ^ а б Андреа Петерсон. «В мире профессиональных угонщиков электронной почты» . Вашингтон Пост . Проверено 15 июня 2015 года .
- ^ «Эли Буршштейн, руководитель отдела исследований по борьбе с мошенничеством и злоупотреблениями в Google» .
- ^ Рассел Брэндом. «Опрос Google обнаружил, что более пяти миллионов пользователей заражены рекламным ПО» . Грань . Проверено 15 июня 2015 года .
- ^ а б "WWW - список наград конференции World Wide Web 2015" . WWW . Проверено 15 июня 2015 года .
- ^ Виктор Лакерсон. «Прекратите использовать этот до боли очевидный ответ на свои вопросы безопасности» . Время . Проверено 15 июня 2015 года .
- ^ Стивен Шенкленд. «Новые алгоритмы ускоряют безопасную связь для Chrome на Android» . Cnet . Проверено 15 июня 2015 года .
- ^ Маккаллах, Деклан (12 февраля 2012 г.). «Исследователи Стэнфордского университета взламывают видеобезопасность NuCaptcha» . CNET .
- ^ «Конференция по взлому Defcon 20» . Defcon.
- ^ «Я легенда: взлом Hearthstone с помощью машинного обучения, итоги выступления Defcon» . Эли Бурштейн . Проверено 15 июня 2015 года .
- ^ Онороф, Маршалл (11 марта 2013 г.). «Apple устраняет угрозу безопасности App Store» . NBC News .
- ^ МакКаллаг, Деклан (29 июля 2011 г.). «Исследователь из Стэнфорда раскрывает базу данных Microsoft по Wi-Fi» . CNET .
- ^ Маккаллах, Деклан (1 августа 2011 г.). «Microsoft ограничивает базу данных о местоположении Wi-Fi» . CNET .
- ^ «Автономный анализ и извлечение данных Windows (OWADE) - криминалистика тоже, чтобы раскрыть всю вашу онлайн-активность» .
- ^ Уорд, Марк (6 августа 2010 г.). «В режимах приватного просмотра утечка данных» . BBC News . Лондон.
- ^ Лемос, Роберт (11 августа 2010 г.). «Мобильная ошибка может скрывать клики» . Обзор технологий . Бостон.
- ^ «Список участников безопасности Twitter» . Архивировано из оригинального 18 февраля 2011 года.
- ^ «XCS-атаки на BlackHat09» .
- ^ «Список наград S&P - Симпозиум по безопасности и конфиденциальности 2015 года» . IEEE . Проверено 15 июня 2015 года .
- ^ «Список наград S&P - Симпозиум по безопасности и конфиденциальности 2011 года» . IEEE . Проверено 15 июня 2015 года .
- ^ Гроссман, Иеремия. «Десять лучших методов веб-взлома 2010 года (официальный)» .
Внешние ссылки
- Домашняя страница Эли Бурштейн
- Эли Бурштейн на Twitter
- Эли Бурштейн в Google+
- Эли Бурштейн в Google Scholar