Alexander Sotirov
Alexander Sotirov est un chercheur en sécurité informatique, co-fondateur de Trail of Bits, et pionnier des techniques d'exploitation de navigateurs, notamment le Heap Feng Shui.
- Nationalité
- États-Unis
Alexander Sotirov est un chercheur en sécurité informatique connu pour avoir découvert la vulnérabilité ANI dans les navigateurs et développé la technique Heap Feng Shui pour exploiter les débordements de tampon dans le tas des navigateurs. Il a co-fondé Trail of Bits en 2012 aux côtés de Dino Dai Zovi et Dan Guido, et en est co-PDG. Sotirov a apporté des contributions significatives à la recherche sur les vulnérabilités, à la sécurité cryptographique et à la communauté de la sécurité au sens large, notamment à travers la direction de conférences et les Pwnie Awards.
Carrière
Alexander Sotirov est un chercheur en sécurité informatique dont la carrière professionnelle a inclus des postes chez Determina et VMware. En 2012, il a co-fondé Trail of Bits, une société de recherche et de conseil en sécurité basée à New York, aux côtés de Dino Dai Zovi et Dan Guido. Il occupe actuellement le poste de co-PDG de l'organisation.
Travaux notables
Sotirov est largement reconnu pour sa découverte de la vulnérabilité ANI dans les navigateurs, une faille qui a attiré une attention considérable de la part de la communauté de la sécurité. Il a également développé la technique connue sous le nom de Heap Feng Shui, une méthode permettant d'exploiter les débordements de tampon dans le tas des navigateurs web en manipulant soigneusement la disposition de la mémoire du tas afin de rendre l'exploitation fiable.
En 2008, Sotirov a présenté des recherches lors de la conférence Black Hat démontrant des méthodes pour contourner les protections mémoire intégrées à Windows Vista, une présentation qui a contribué de manière significative à la compréhension des mécanismes d'atténuation des exploits au niveau du système d'exploitation.
Toujours en décembre 2008, Sotirov a collaboré avec une équipe de chercheurs en sécurité de l'industrie et de cryptographes académiques pour publier des recherches sur la création d'une autorité de certification frauduleuse. Ces travaux exploitaient des vulnérabilités de collision dans la fonction de hachage cryptographique MD5, illustrant les faiblesses pratiques de l'infrastructure à clé publique de l'époque et accélérant la dépréciation de MD5 dans la signature des certificats.
Implication dans la communauté
Au-delà de ses travaux de recherche, Sotirov a été un contributeur actif à la communauté de la sécurité dans un rôle organisationnel. Il est fondateur et organisateur des Pwnie Awards, un programme annuel de reconnaissance au sein de l'industrie de la sécurité de l'information. Il a siégé au comité de programme du Workshop on Offensive Technologies 2008 (WOOT '08) et est membre du Black Hat Review Board depuis 2011.
Distinctions
Sotirov a été classé sixième dans la liste des « Top 10 Sexy Geeks de 2009 » établie par Violet Blue.
§Entrées associées
Adrian Lamo
Informaticien américain
1981 – 2018 · États-Unis
Albert Gonzalez
Hacker américain
1981 – présent · États-Unis
Alec Muffett
Expert en sécurité anglo-américain et ingénieur logiciel, connu pour avoir créé Crack, le premier outil de déchiffrement de mots de passe Unix, et pour avoir été pionnier dans le déploiement de…
1968 – présent · États-Unis
Ashkan Soltani
Chercheur en vie privée et en sécurité, ancien Chief Technologist de la FTC et directeur exécutif de la California Privacy Protection Agency.
États-Unis
Bill Woodcock
Bill Woodcock est un ingénieur Internet pionnier, chercheur en sécurité et acteur des politiques publiques, surtout connu pour avoir inventé le routage anycast en 1989.
1971 – présent · États-Unis