Дж. Алекс Холдерман
Американский учёный-компьютерщик
Джон Александр Холдерман
Рожденныйок. Январь 1981 г. (43–44 года)
Пенсильвания , США
Альма-матерПринстонский университет
ИзвестныйПересчет голосов на президентских выборах в США в 2016 году
НаградыИсследовательская стипендия Слоуна , премия Pwnie
Научная карьера
ПоляИнформатика
УчрежденияМичиганский университет
ТезисИсследование сбоев безопасности и их причин: аналитический подход к компьютерной безопасности  (2009)
научный руководительЭдвард Фелтен
Веб-сайтjhalderm.com

Джон Александр Халдерман [1] (родился около января 1981 года) — американский учёный-компьютерщик. В настоящее время он является профессором компьютерных наук и инженерии в Мичиганском университете , а также директором Центра компьютерной безопасности и общества в Мичиганском инженерном институте . Его исследования сосредоточены на компьютерной безопасности и конфиденциальности , с упором на проблемы, которые в целом влияют на общество и государственную политику.

Образование

В июне 2003 года в Принстонском университете Холдерман получил степень бакалавра искусств с отличием , в июне 2005 года — степень магистра искусств , а в июне 2009 года — степень доктора философии , все по специальности «компьютерные науки». [2]

Карьера и исследования

Будучи студентом Принстона, Халдерман сыграл значительную роль в разоблачении недостатков программного обеспечения управления цифровыми правами (DRM), используемого на компакт-дисках . В 2004 году он обнаружил, что систему DRM под названием MediaMax CD-3 можно обойти, просто удерживая клавишу Shift при вставке компакт-диска. [ требуется цитата ] Компания, стоящая за этой системой, на короткое время пригрозила ему иском на 10 миллионов долларов, из-за чего он оказался на первой странице USA Today . [3] Позже, в 2005 году, он помог показать, что система DRM под названием Extended Copy Protection функционирует идентично руткиту и ослабляет безопасность компьютеров, на которых воспроизводятся аудио-CD. [ требуется цитата ] Последовавший за этим скандал с руткитом для защиты от копирования Sony BMG привел к отзыву миллионов компакт-дисков, коллективным искам и принудительным мерам со стороны Федеральной торговой комиссии США . [ требуется цитата ]

В 2008 году Халдерман возглавил команду, которая обнаружила атаку холодной загрузки против шифрования диска , которая позволяет злоумышленнику с физическим доступом к компьютерному устройству извлекать ключи шифрования или другие секреты из его памяти. Метод, который изначально был эффективен против почти всех продуктов полного шифрования диска на рынке, использует остаточную намагниченность данных DRAM для извлечения содержимого памяти даже после того, как устройство было кратковременно выключено. [4] Одна из версий метода включает охлаждение модулей DRAM замораживающим спреем для замедления распада данных, а затем их извлечение из компьютера и считывание с внешнего устройства. Он стал важной частью практики компьютерной криминалистики , а также вдохновил на широкий спектр оборонительных исследований, таких как устойчивая к утечкам криптография и аппаратные реализации зашифрованной оперативной памяти. За свою работу по разработке атаки Халдерман и его соавторы получили премию Pwnie Award за самое инновационное исследование и премию за лучшую студенческую работу от симпозиума по безопасности USENIX .

В Мичиганском университете Халдерман и соавторы провели некоторые из первых всесторонних исследований интернет-цензуры в Китае [5] и Иране [6] , а также подпольных « уличных сетей » на Кубе. [7] В 2009 году он возглавил группу, которая обнаружила проблемы безопасности и нарушения авторских прав в клиентском программном обеспечении для цензуры, предписанном китайским правительством. [8] Результаты помогли стимулировать народный протест против программы, что привело к тому, что Китай изменил свою политику, требующую ее установки на новых ПК. В 2011 году Халдерман и его студенты изобрели Telex , новый подход к обходу интернет-цензуры, частично путем размещения антицензурной технологии в базовой сетевой инфраструктуре за пределами страны, осуществляющей цензуру. При поддержке Государственного департамента США , который назвал эту технологию «прыжком вперед на поколение» в сопротивлении цензуре, [9] Халдерман возглавил многоинституциональное сотрудничество, которое в дальнейшем развило технологию и внедрило ее в масштабах интернет-провайдеров под названием Refraction Networking. [10] В 2015 году посол США в ООН Саманта Пауэр привезла его в Нью-Йорк, чтобы продемонстрировать технологию на встрече с Генеральной Ассамблеей . [9]

В 2012 году Халдерман и соавторы обнаружили серьезные недостатки в генераторах случайных чисел , которые ослабили криптографию с открытым ключом, используемую для серверов HTTPS и SSH в миллионах устройств Интернета вещей . Они раскрыли уязвимости 60 производителям устройств и подтолкнули к изменениям в ядре Linux . [11] Их работа получила премию за лучшую статью на симпозиуме по безопасности USENIX и была названа одной из заметных компьютерных статей года по версии ACM Computing Reviews . [12] Халдерман сыграл значительную роль в устранении нескольких серьезных уязвимостей в протоколе TLS . Он был одним из первооткрывателей атак Logjam [13] и DROWN [14] и провел первую оценку воздействия атаки FREAK . [15] Три недостатка поставили под угрозу безопасность десятков миллионов веб-сайтов HTTPS и привели к изменениям в программном обеспечении сервера HTTPS, веб-браузерах и протоколе TLS. Поскольку они работали, эксплуатируя остатки способов, с помощью которых старые версии протокола были намеренно ослаблены из-за ограничений 1990-х годов на экспорт криптографии из Соединенных Штатов , [16] они вынесли уроки для продолжающихся дебатов о государственной политике в отношении криптографических бэкдоров для правоохранительных органов . [17]

Работа Холдермана Logjam также предоставила правдоподобное объяснение важного вопроса, поднятого разоблачениями Эдварда Сноудена : как Агентство национальной безопасности могло расшифровывать большие объемы зашифрованного сетевого трафика. Экстраполируя свои результаты на ресурсы крупного правительства, исследователи пришли к выводу, что злоумышленники из национальных государств могли бы правдоподобно взломать 1024-битный обмен ключами Диффи-Хеллмана , используя специально созданный суперкомпьютер . [18] За сумму порядка ста миллионов долларов разведывательное агентство могло бы взломать криптографию, используемую примерно двумя третями всех виртуальных частных сетей . [19] Сноуден публично ответил, что он разделяет подозрения исследователей, и обвинил правительство США в том, что оно не закрыло уязвимость, из-за которой так много людей подвергалось риску. [20] Работа получила премию Pwnie Award 2015 за самое инновационное исследование и была названа лучшей статьей на конференции ACM по безопасности компьютеров и коммуникаций.

В 2013 году Халдерман и его аспиранты создали ZMap , бесплатный и открытый исходный код сканирования безопасности, разработанный для исследования информационной безопасности. [21] Эффективно используя пропускную способность сети , ZMap может сканировать все адресное пространство IPv4 Интернета менее чем за час, что позволяет исследователям количественно оценивать уязвимые системы, отслеживать принятие исправлений безопасности и даже измерять влияние стихийных бедствий , которые нарушают доступ в Интернет. [22] Халдерман и его коллеги использовали его для отслеживания уязвимости OpenSSL Heartbleed [23] и повысили глобальный уровень исправлений на 50%, предупредив операторов неисправленных веб-серверов. [24] Их работа получила награду за лучшую статью на конференции ACM Internet Measurement Conference. В партнерстве с Google исследовательская группа Халдермана использовала ZMap для изучения безопасности доставки электронной почты , [25] выделив семь стран, где более 20% входящих сообщений Gmail приходили незашифрованными из-за сетевых злоумышленников . [26] Чтобы смягчить проблему, Gmail добавил индикатор, сообщающий пользователям о получении сообщения, которое не было доставлено с использованием шифрования, что привело к 25%-ному увеличению количества входящих сообщений, отправленных через зашифрованное соединение. [27] Халдерман и его коллеги были отмечены премией IRTF Applied Networking Research Prize 2015 года .

Чтобы ускорить принятие шифрования веб-серверами, в 2012 году Халдерман в партнерстве с Mozilla и Electronic Frontier Foundation основал центр сертификации HTTPS Let's Encrypt . Let's Encrypt предоставляет сертификаты HTTPS бесплатно через автоматизированный протокол, что значительно снижает сложность настройки и поддержки шифрования TLS. С момента своего запуска в 2016 году Let's Encrypt разросся до защиты более 150 миллионов веб-сайтов. [28] Халдерман и его студенты заложили основу для протокола стандарта IETF , который клиенты используют для взаимодействия с CA, средой автоматизированного управления сертификатами . [29] Он входит в совет директоров Internet Security Research Group , некоммерческой организации, которая управляет Let's Encrypt. [30] Он также является соучредителем и главным научным сотрудником Censys, [31] компании по сетевой безопасности, которая, по его словам, стремится «изменить способ работы безопасности, сделав ее более количественной, более точной и более аккуратной». [32]

В 2015 году Халдерман был частью команды сторонников, в которую входили Стивен М. Белловин , Мэтт Блейз , Надя Хенингер и Андреа М. Матвишин , которые успешно предложили исключение для исследований в области безопасности из раздела 1201 Закона об авторском праве в цифровую эпоху. [33]

В 2015 году Холдерман получил стипендию Sloan Research Fellowship от Фонда Альфреда П. Слоуна , а в 2019 году Корпорация Карнеги в Нью-Йорке назвала его стипендиатом Эндрю Карнеги . [34] О нем писали в выпуске Playboy за ноябрь 2016 года . [9]

Электронное голосование

После президентских выборов в США 2016 года специалисты по информатике, включая Холдермана, настоятельно рекомендовали предвыборной кампании Клинтон запросить пересчет голосов в Висконсине, Мичигане и Пенсильвании (трех колеблющихся штатах, где Трамп победил с небольшим перевесом, а Клинтон с небольшим перевесом победила в Нью-Гемпшире и Мэне) с целью исключения возможности того, что взлом электронных машин для голосования повлиял на зафиксированный результат. [35] [36] [37]

21 июня 2017 года Халдерман дал показания перед Комитетом по разведке Сената США . [38] [39] [40] Слушание под названием « Вмешательство России в выборы в США 2016 года » было сосредоточено на роли федерального правительства в защите выборов в США от внешнего вмешательства. Халдерман рассказал о своих собственных исследованиях в области компьютерных наук и кибербезопасности. Он рассказал об одном случае, когда он вмешался в работу машины для голосования и продемонстрировал способность изменить исход выборов . Он также дал три политические рекомендации по защите выборов в США: модернизация и замена устаревших и уязвимых машин для голосования; последовательная и регулярная проверка точности результатов американских выборов; и применение передовых методов кибербезопасности к проектированию оборудования для голосования и управлению выборами. Халдерман ответил на вопросы сенаторов о своих исследованиях и политических рекомендациях. В конце слушания председатель Берр похвалил Халдермана за его работу и отметил, насколько важны его исследования. [ необходима цитата ]

После президентских выборов в США 2020 года Холдерман заявил, что сбой программного обеспечения во время неофициального подсчета голосов был вызван не мошенничеством, а человеческой ошибкой [41] , и сказал, что теория заговора о том, что для передачи голосов от Трампа к Байдену использовался суперкомпьютер, является «чушью» [42] .

Его экспертный отчет об уязвимостях машин для голосования был подан в закрытом порядке по делу в Джорджии , но его запрашивают истцы по другому делу и должностное лицо, ответственное за выборы в Луизиане. [43]

В 2022 году CISA выпустила рекомендацию «Уязвимости, влияющие на системы голосования Dominion ImageCast X», основанную на исследовании Халдермана. [44]

Ссылки

  1. ^ «Исследование сбоев безопасности и их причин: аналитический подход к компьютерной безопасности — ProQuest». www.proquest.com . Получено 19 ноября 2024 г.
  2. ^ "J. Alex Halderman". jhalderm.com . Получено 2022-05-08 .
  3. ^ Ноден, Меррелл (2006-03-22). «Кто боится Алекса Халдермана '03?». Princeton Alumni Weekly . Получено 2019-06-09 .
  4. ^ Halderman, J. Alex; Schoen, Seth D.; Heninger, Nadia; Clarkson, William; Paul, William; Calandrino, Joseph A.; Feldman, Ariel J.; Appelbaum, Jacob; Felten, Edward W. (2009). «Чтобы мы не забывали: атаки с холодной загрузкой на ключи шифрования» (PDF) . Communications of the ACM . 52 (5): 91– 98. doi :10.1145/1506409.1506429. ISSN  0001-0782. S2CID  7770695.
  5. ^ Сюй, Сюэян; Мао, З. Морли ; Халдерман, Дж. Алекс (2011). «Интернет-цензура в Китае: где происходит фильтрация?» (PDF) . Пассивное и активное измерение . Конспект лекций по информатике. 6579. Springer: 133– 142. Bibcode : 2011LNCS.6579..133X. doi : 10.1007/978-3-642-19260-9_14. ISBN 978-3-642-19259-3.
  6. ^ Ариан, Симург; Ариан, Хома; Халдерман, Дж. Алекс (2013). «Интернет-цензура в Иране: первый взгляд» (PDF) . Третий семинар USENIX по свободным и открытым коммуникациям в Интернете (FOCI) .
  7. ^ Пуйоль, Эдуардо; Скотт, Уилл; Вустров, Эрик; Халдерман, Дж. Алекс (2017). «Первоначальные измерения уличной сети Кубы» (PDF) . Конференция ACM по измерению Интернета .
  8. ^ Wolchok, Scott; Yao, Randy; Halderman, J. Alex (2009-06-18). "Анализ системы цензурирования Green Dam" . Получено 2019-06-09 .
  9. ^ abc Friess, Steve (29 сентября 2016 г.). «Технологии уничтожат демократию, если этот человек ее не остановит». Playboy . Архивировано из оригинала 25 ноября 2016 г. Получено 24 ноября 2016 г.
  10. ^ Фролов, Сергей; Дуглас, Фред; Скотт, Уилл; Макдональд, Эллисон; ВандерСлут, Бенджамин; Хайнс, Род; Крюгер, Адам; Каллитсис, Михалис; Робинсон, Дэвид Г.; Борисов, Никита; Халдерман, Дж. Алекс; Вустров, Эрик (2017). «Развертывание TapDance в масштабе ISP» (PDF) . 7-й семинар USENIX по свободным и открытым коммуникациям в Интернете .
  11. ^ Хенингер, Надя; Дурумерик, Закир; Вустров, Эрик; Халдерман, Дж. Алекс (2012). «Майнинг ваших P и Q: обнаружение широко распространенных слабых ключей в сетевых устройствах» (PDF) . 21-й симпозиум по безопасности USENIX .
  12. ^ Кондон, Анджела. «Известные компьютерные книги и статьи 2012 года». ACM Computing Reviews .
  13. ^ Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Хальдерман, Дж. Алекс; Хенингер, Надя; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; ВандерСлут, Бенджамин; Вустров, Эрик; Занелла-Бегелин, Сантьяго; Циммерман, Пол (2019). «Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике» (PDF) . Сообщения ACM . 61 (1): 106– 114. doi :10.1145/3292035. S2CID  56894427.
  14. ^ Авирам, Нимрод; Шинцель, Себастьян; Соморовский, Юрай; Хенингер, Надя; Данкель, Майк; Штойбе, Йенс; Валента, Люк; Адриан, Дэвид; Халдерман, Дж. Алекс; Духовный Виктор; Кеспер, Эмилия; Кохни, Шаанан; Энгельс, Сюзанна; Паар, Кристоф; Шавитт, Юваль (2016). «DROWN: Взлом TLS с использованием SSLv2» (PDF) . 25-й симпозиум USENIX по безопасности .
  15. ^ "Атака FREAK". 2015-03-03 . Получено 2019-06-10 .
  16. ^ «Какие факторы способствовали DROWN?». Атака DROWN . 2016.
  17. ^ Гудин, Дэн (01.03.2016). «Более 11 миллионов HTTPS-сайтов подверглись опасности из-за новой атаки дешифрования». Ars Technica . Получено 10.06.2019 .
  18. ^ Милгром, Рэнди (2017). «Мужество сопротивления: приключения Дж. Алекса Халдермана с высокими ставками». Инженер из Мичигана .
  19. ^ Halderman, J. Alex; Heninger, Nadia (2015-10-14). «Как АНБ взламывает так много крипто?». Freedom-to-Tinker . Получено 2019-06-10 .
  20. ^ Гатри Вайсман, Кейл (21.05.2015). «Эдвард Сноуден взвешивает огромную интернет-уязвимость, которая могла бы помочь США шпионить за гражданами». Business Insider . Получено 10.06.2019 .
  21. ^ Дурумерик, Закир; Вустров, Эрик; Халдерман, Дж. Алекс (2013). «ZMap: быстрое сканирование по всему Интернету и его приложения безопасности» (PDF) . 22-й симпозиум по безопасности USENIX .
  22. ^ Ли, Тимоти Б. (13 августа 2013 г.). «Вот что вы обнаружите, если просканируете весь Интернет за час». The Washington Post . Получено 11 июня 2019 г.
  23. ^ Дурумерик, Закир; Ли, Фрэнк; Кастен, Джеймс; Аманн, Йоханна; Бикман, Джетро; Пайер, Матиас; Уивер, Николас; Адриан, Дэвид; Пэксон, Верн; Бейли, Майкл; Халдерман, Дж. Алекс (2014). «Вопрос о сердечном кровотечении». Труды конференции 2014 года по измерению Интернета . С.  475–488 . doi : 10.1145/2663716.2663755 . ISBN 9781450332132. S2CID  142767.{{cite book}}: CS1 maint: дата и год ( ссылка )
  24. ^ Галлахер, Шон (10.04.2014). «Исследователи обнаружили тысячи потенциальных целей для ошибки Heartbleed OpenSSL». Ars Technica . Получено 10.06.2019 .
  25. ^ Дурумерик, Закир; Адриан, Дэвид; Мириан, Ариана; Кастен, Джеймс; Бурштейн, Эли; Лидзборски, Николас; Томас, Курт; Эранти, Виджай; Бейли, Майкл; Халдерман, Дж. Алекс (2015). «Ни снег, ни дождь, ни MITM: эмпирический анализ безопасности доставки электронной почты». 15-я конференция ACM по измерению Интернета .
  26. ^ Бурштейн, Эли; Лидзборски, Николас (2015-11-12). «Новые исследования: обнадеживающие тенденции и возникающие угрозы в безопасности электронной почты». Блог безопасности Google . Получено 2019-06-11 .
  27. ^ Лидзборски, Николас; Певарнек, Джонатан (2016-03-24). «Больше шифрования, больше уведомлений, больше безопасности электронной почты». Блог безопасности Google . Получено 11 июня 2019 г.
  28. ^ Аас, Джош (2018-12-31). «С нетерпением ждем 2019». Блог Let's Encrypt . Получено 2019-06-11 .
  29. ^ Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (12.03.2019). Среда автоматического управления сертификатами (ACME). IETF . doi : 10.17487/RFC8555 . RFC 8555 . Получено 13.03.2019 .
  30. ^ "О группе исследований безопасности Интернета". Группа исследований безопасности Интернета . Получено 11 июня 2019 г.
  31. ^ "О нас - Censys" . Получено 2019-06-09 .
  32. ^ "2018 Tech Transfer Annual Report" (PDF) . Мичиганский университет . 2019 . Получено 2019-06-10 .
  33. ^ «Раздел 1201: нормотворчество: шестое трехгодичное разбирательство по определению исключений из запрета на обход» (PDF) .
  34. ^ "Два профессора UM получили стипендии Карнеги". Michigan News. 2019-04-23 . Получено 2019-06-09 .
  35. ^ Дэн Мерика (23 ноября 2016 г.). «Ученые-компьютерщики в кампании Клинтон: оспаривают результаты выборов». CNN . Получено 23 ноября 2016 г.
  36. ^ Габриэль, Трип; Сэнгер, Дэвид Э. (2016-11-23). ​​«Сторонники Хиллари Клинтон призывают к пересчету голосов в спорных штатах». The New York Times . Получено 26 июня 2017 г.
  37. ^ Halderman, J. Alex (2016-11-24). «Хотите узнать, были ли выборы взломаны? Посмотрите на бюллетени». Medium . Получено 2016-11-24 .
  38. ^ Нейлор, Брайан (2017-06-21). «Системы выборов в США уязвимы, заявили законодатели на слушаниях». National Public Radio . Получено 2017-06-26 . Я пришел к выводу, что наша высококомпьютеризированная избирательная инфраструктура уязвима для саботажа и даже для кибератак, которые могут изменить голоса. Эти реалии рискуют сделать результаты наших выборов более затруднительными для доверия американского народа. Я знаю, что американские машины для голосования уязвимы, потому что мои коллеги и я взламывали их.
  39. ^ "Слушания | Комитет по разведке". Сенат США . Получено 26.06.2017 .
  40. ^ "Экспертные показания Дж. Алекса Халдермана" (PDF) . Сенат США. 2017-06-21 . Получено 2017-06-26 .
  41. ^ «Проверка фактов о выборах в США: голосование мертво?». 10 ноября 2020 г. Получено 4 декабря 2020 г.
  42. ^ Фикера, Анджело; Спенсер, Саранак (13 ноября 2020 г.). «Поддельная теория утверждает, что суперкомпьютер подменил голоса на выборах» . Получено 4 декабря 2020 г. Аналогичным образом, Дж. Алекс Халдерман, профессор компьютерных наук и инженерии в Мичиганском университете, сказал нам, что теория заговора — «чушь».
  43. ^ Кейт Брамбэк. Associated Press. (13 января 2022 г.) «Fox News и другие стремятся получить доступ к отчету о машинах для голосования». Веб-сайт USNews Получено 12 марта 2022 г.
  44. ^ «Уязвимости, влияющие на системы голосования Dominion ImageCast X | CISA». www.cisa.gov . 3 июня 2022 г.
  • Домашняя страница Дж. Алекса Холдермана
Взято с "https://en.wikipedia.org/w/index.php?title=J._Alex_Halderman&oldid=1258471949"