Przemysław Frasunek

Przemysław Frasunek
venglin
Data i miejsce urodzenia	6 maja 1983 ; Lublin
Zawód, zajęcie	informatyk
Miejsce zamieszkania	Warszawa
	Strona internetowa

Przemysław Frasunek (ur. 6 maja 1983 w Lublinie) – polski haker, specjalista z zakresu bezpieczeństwa systemów i kryminalistyki cyfrowej. Od końca lat 90. aktywny uczestnik list związanych z bezpieczeństwem teleinformatycznym, m.in. Bugtraq, na których regularnie publikuje raporty dotyczące zagrożeń związanych z oprogramowaniem. Jeden z nielicznych polskich hakerów znanych i aktywnych w międzynarodowym środowisku specjalistów zajmujących się bezpieczeństwem informatycznym.

W roku 2000, jako jeden z pierwszych, udostępnił kod źródłowy eksploita, który w praktyce demonstrował wykorzystanie błędu typu format bug do przejęcia kontroli nad wówczas powszechnie stosowanym oprogramowaniem serwera FTP^[1]. Ten rodzaj błędu programistycznego był do tego czasu uznawany za relatywnie niegroźny w skutkach. Przedstawiona przez Frasunka technika zapoczątkowała masową analizę istniejących aplikacji pod kątem występowania błędu. W wyniku badań powstały liczne raporty oraz udostępniono dalsze kody źródłowe eksploitów wykorzystujących format string attack^[2].

Krótkofalowiec (znak: SQ5JIV). W Internecie posługuje się pseudonimem venglin. Od 2017 r. pełni funkcję eksperta ds. cyberbezpieczeństwa Business Centre Club^[3].

Członek zarządu firmy Redge Technologies Sp. z o.o. dostarczającej technologię dla streamingu i telewizji internetowej.

Odnalezione podatności[edytuj | edytuj kod]

Istotne podatności odnalezione przez Przemysława Frasunka:

CVE-2000-0573, eksploit wykorzystujący błąd typu format bug w WU-FTPD.
CVE-2001-0414, przepełnienie bufora w serwerze protokołu NTP, wykorzystywanym w wielu systemach operacyjnych i urządzeniach^[4]^[5]^[6].
CVE-2004-0794, hazard czasowy w serwerze FTP, domyślnym dla systemów NetBSD i OS X^[7].
CVE-2005-2072, błąd projektowy w konsolidatorze dynamicznym ld.so w systemie operacyjnym Solaris wersje: 8, 9, 10 oraz OpenSolaris^[8].
Błąd w bibliotekach systemowych FreeBSD 4.4 pozwalający na odczytanie dowolnego pliku systemowego^[9]^[10].
Hazard czasowy w jądrze systemu operacyjnego FreeBSD 6.4.^[11]^[12]
Hazard czasowy w jądrze systemu operacyjnego FreeBSD 7.0.^[13]
Odwołanie do strony zerowej w jądrze systemu operacyjnego FreeBSD 7.0 do 7.2.^[14]

Zobacz też[edytuj | edytuj kod]

Format string attack

Linki zewnętrzne[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

↑ Pierwszy, publiczny kod eksploita wykorzystującego błąd typu format bug
↑ Sygnatury CVE błędów związanych z format stringami
↑ BCC: Profil eksperta [online], www.bcc.org.pl [dostęp 2017-11-26] [zarchiwizowane z adresu 2017-11-07] (ang.).
↑ [1], Cisco
↑ [2], Securityfocus
↑ [3], US-CERT
↑ [4], Secunia
↑ [5], Secunia
↑ Mark Dowd, John McDonald: The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities. 2007.
↑ FreeBSD Login Capabilities Privileged File Reading Vulnerability [online], www.securityfocus.com [dostęp 2017-11-26] .
↑ [6], The Register
↑ [7], FreeBSD
↑ [8], FreeBSD
↑ [9], FreeBSD

[1] Pierwszy, publiczny kod eksploita wykorzystującego błąd typu format bug

[2] Sygnatury CVE błędów związanych z format stringami

[3] BCC: Profil eksperta [online], www.bcc.org.pl [dostęp 2017-11-26] [zarchiwizowane z adresu 2017-11-07] (ang.).

[4] [1], Cisco

[5] [2], Securityfocus

[6] [3], US-CERT

[7] [4], Secunia

[8] [5], Secunia

[9] Mark Dowd, John McDonald: The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities. 2007.

[10] FreeBSD Login Capabilities Privileged File Reading Vulnerability [online], www.securityfocus.com [dostęp 2017-11-26] .

[11] [6], The Register

[12] [7], FreeBSD

[13] [8], FreeBSD

[14] [9], FreeBSD

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]