Przejdź do zawartości

Adam Ziaja

Z Wikipedii, wolnej encyklopedii
Adam Ziaja
Data urodzenia

27 września 1986

Zawód, zajęcie

inżynier, ekspert bezpieczeństwa teleinformatycznego i kryminalistyki cyfrowej

Strona internetowa

Adam Ziaja (ur. 27 września 1986) – polski inżynier, ekspert cyberbezpieczeństwa[1][2] i kryminalistyki cyfrowej, biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie ze szczególnym uwzględnieniem specjalizacji takich jak informatyka śledcza, analiza powłamaniowa, hacking i cyberprzestępczość[3], prezes zarządu polskiej spółki RED TEAM[4][5] zajmującej się cyberbezpieczeństwem.

Życiorys

[edytuj | edytuj kod]

W 2008 roku opublikował w nieistniejącym już magazynie Xploit wydawnictwa Linux New Media AG swój pierwszy artykuł poświęcony cyberbezpieczeństwu pt. Niebezpieczny Livebox[6][7][8], w którym opisał pełny scenariusz możliwości zdalnego włamania do routerów Livebox Neostrady.

Od 2012 roku odkrył wiele błędów w oprogramowaniu powszechnie znanych międzynarodowych podmiotów i odpowiedzialnie zgłosił, za co otrzymał podziękowania na oficjalnych witrynach, m.in.: Acquia[9], Adobe (2014[10]), Apple (2012[11]), Base CRM (2013[12]), BlackBerry (2013[13]), Deutsche Telekom[14], GitLab (2013[15]), iFixit (2012[16]), LastPass[17], Netflix (2013[18]), Nokia (2013[19]), Prezi[20], ShareLaTeX[21], SoundCloud[22], Uniwersytet Harvarda[23], Yandex (2013[24]), Zynga (2012[25]), również w polskich firmach m.in.: Onet.pl (2013[26]), interia.pl (2014[27]), Wirtualna Polska (2013[28]), Empik (2013[29]) oraz Home.pl (2013[30]). Zarazem był jednym z pierwszych bug hunterów[31], którzy zgłaszali błędy bezpieczeństwa zgodnie z polityką responsible disclosure (będącą przeciwieństwem full disclosure, gdzie haker publicznie ujawnia szczegóły występującej podatności).

Od 2013 roku jest członkiem organizacji non-profit MalwareMustDie[32] zwalczającej międzynarodową cyberprzestępczość.

W latach 2013–2014 był współautorem licznych materiałów dydaktycznych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA)[33] przeznaczonych dla zespołów CSIRT.

W 2014 roku był członkiem zespołu ComCERT SA, który zajął pierwsze miejsce na największych cywilnych ćwiczeniach z zakresu ochrony cyberprzestrzeni ENISA Cyber Europe[2][34].

W 2017 roku została wydana przez Wydawnictwo Naukowe PWN książka jego autorstwa pt. Praktyczna analiza powłamaniowa[35], która wywołała szeroki oddźwięk w środowisku związanym z bezpieczeństwem cybernetycznym[36][37][38][39]. Publikacja poświęcona jest informatyce śledczej i reagowaniu na incydenty cybernetyczne.

W 2019 roku opublikował serię artykułów z analizą wykrytego przez niego ataku badWPAD na szeroką skalę[40][41][42][43], który w dużej mierze dotyczył również Polski[44][45]. Pomógł także w przejęciu domen WPAD[46] umożliwiających ten atak przy pomocy kolizji DNS[47]. Otrzymał za to podziękowania od europejskich narodowych zespołów reagowania na incydenty m.in. od CERT Polska[46], estońskiego CERT-EE[48] i łotewskiego CERT.LV[49]. Badanie zostało również wyróżnione przez amerykański Instytut SANS[47] oraz CERT Orange[50].

Jest współautorem licznych badań[44][51][52] i publikacji poświęconych technicznym aspektom cyberbezpieczeństwa[53], w tym autorem rozdziału Bezpieczeństwo aplikacji webowych[54] w książce Przestępczość teleinformatyczna 2014[55] wydawnictwa Wyższej Szkoły Policji w Szczytnie oraz współautorem poradnika „Bezpieczeństwo IT w kancelarii”[56] opublikowanego przez stowarzyszenie ISSA Polska pod patronatem Naczelnej Rady Adwokackiej.

Wieloletni prelegent konferencji poświęconych cyberbezpieczeństwu m.in. naukowej konferencji Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT)[57][58][59][60] Wyższej Szkoły Policji w Szczytnie, Security Case Study[61][62][63] Fundacji Bezpieczna Cyberprzestrzeń, Sekurak Hacking Party[64], PolCAAT[65] Instytutu Audytorów Wewnętrznych IIA Polska, Wymiana Doświadczeń w Zakresie Bezpieczeństwa Informacji[66] TÜV NORD Polska, oraz CSO Council[67].

Obecnie jest prezesem zarządu i konsultantem polskiej spółki RED TEAM[4][5], zajmującej się cyberbezpieczeństwem[68][69][70].

Publicznie zgłoszone podatności

[edytuj | edytuj kod]

Przypisy

[edytuj | edytuj kod]
  1. Specjalista ds. cyberbezpieczeństwa potrzebny od zaraz. To jedna z najlepiej opłacanych branż [online], (komentarz A. Ziaja) Forsal.pl [dostęp 2018-06-24].
  2. a b Prelegenci SCS 2018 (sylwetka Adama Ziaji) [online], Konferencja SCS organizowana przez Fundację Bezpieczna Cyberprzestrzeń [dostęp 2018-06-24] [zarchiwizowane z adresu 2018-06-24].
  3. Lista biegłych sądowych Sądu Okręgowego w Warszawie [online], Sąd Okręgowy w Warszawie [dostęp 2018-06-18] [zarchiwizowane z adresu 2018-06-18].
  4. a b Red Team Sp. z o.o. Sp. k. KRS 0000720860; Red Team Sp. z o.o. KRS 0000718490 [online], Krajowy Rejestr Sądowy [dostęp 2018-06-27].
  5. a b RED TEAM [online], RED TEAM [dostęp 2019-06-15].
  6. Xploit: poznaj swojego wroga : bezpieczeństwo IT, Biblioteka Narodowa, OCLC 839226671 [dostęp 2018-06-24].
  7. "Niebezpieczny Livebox" (1/2), Xploit 3/2008 [online], Adam Ziaja [dostęp 2018-06-24].
  8. "Niebezpieczny Livebox" (2/2), Xploit 3/2008 [online], Adam Ziaja [dostęp 2018-06-24].
  9. How to responsibly report a security issue [online], Acquia [dostęp 2018-06-25] [zarchiwizowane z adresu 2018-06-25] (ang.).
  10. Acknowledgments [online], Adobe [dostęp 2018-06-15] (ang.).
  11. Apple Web Server notifications, 2012 [online], Apple [dostęp 2018-06-15] (ang.).
  12. Base Responsible Disclosure [online], Base CRM [dostęp 2018-06-25] (ang.).
  13. Acknowledgements 2013 [online], BlackBerry [dostęp 2018-06-15] (ang.).
  14. Acknowledgements [online], Deutsche Telekom [dostęp 2018-06-15] (ang.).
  15. Security Researcher Acknowledgments [online], GitLab [dostęp 2018-06-25] (ang.).
  16. Responsible Disclosure of Security Vulnerabilities [online], iFixit [dostęp 2018-06-25] (ang.).
  17. LastPass Security [online], LastPass (via Wayback Machine) [dostęp 2018-06-25] (ang.).
  18. Responsible Vulnerability Disclosure [online], Netflix [dostęp 2018-06-15] (ang.).
  19. Responsible disclosure [online], Nokia [dostęp 2018-06-15] [zarchiwizowane z adresu 2018-06-15] (ang.).
  20. Podziękowania Prezi [online], (autor Prezi) Adam Ziaja [dostęp 2018-06-24] (ang.).
  21. Security, Responsible disclosure [online], ShareLaTeX [dostęp 2018-06-25] (ang.).
  22. Reporting a security vulnerability [online], SoundCloud [dostęp 2018-06-15] (ang.).
  23. Sponsors [online], Harvard University [dostęp 2018-06-15] (ang.).
  24. Hall of Fame [online], Yandex [dostęp 2018-06-15] [zarchiwizowane z adresu 2018-06-15] (ang.).
  25. Whitehats [online], Zynga [dostęp 2018-06-24] (ang.).
  26. Podziękowania Onet [online], (autor Onet.pl) Adam Ziaja [dostęp 2018-06-24].
  27. Podziękowania Interia [online], (autor interia.pl) Adam Ziaja [dostęp 2018-06-24].
  28. Podziękowania Wirtualna Polska [online], (autor Wirtualna Polska) Adam Ziaja [dostęp 2018-06-24].
  29. Podziękowania Empik [online], (autor Empik) Adam Ziaja [dostęp 2018-06-24].
  30. Podziękowania Home.pl [online], (autor Home.pl) Adam Ziaja [dostęp 2018-06-24].
  31. Gift [online], Adam Ziaja [dostęp 2018-06-24].
  32. MMD-0059-2016 – Linux/IRCTelnet (new Aidra) – A DDoS botnet aims IoT w/ IPv6 ready [online], MalwareMustDie [dostęp 2018-06-23] (ang.).
  33. Digital forensics, Identifying and handling cybercrime traces, Advanced artifact analysis, Processing and storing artifacts, Building artifact handling and analysis environment, Common Framework for Artifact Analysis Activities, Developing countermeasures (signatures, indicators of compromise), Artifact analysis fundamentals [online], Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) [dostęp 2018-06-23] (ang.).
  34. Cyber Europe 2014 [online], Rządowe Centrum Bezpieczeństwa [dostęp 2018-06-15].
  35. Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux, Wydawnictwo Naukowe PWN, ISBN 978-83-01-19347-8, OCLC 1000021213 [dostęp 2018-06-15].
  36. Recenzja: Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux [online], (autor mł. insp. dr hab. inż. Jerzy Kosiński, profesor Wyższej Szkoły Policji w Szczytnie) Adam Ziaja [dostęp 2018-06-23].
  37. Recenzja: Praktyczna analiza powłamaniowa: Aplikacja webowa w środowisku Linux – Adam Ziaja [online], NF.sec [dostęp 2018-06-24].
  38. Patronat: Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux [online], Fundacja Bezpieczna Cyberprzestrzeń [dostęp 2018-06-23].
  39. Patronat: Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux [online], Stowarzyszenie Instytut Informatyki Śledczej [dostęp 2018-06-23].
  40. Krajobraz bezpieczeństwa polskiego internetu. Raport roczny 2019 z działalności CERT Polska [online], CERT Polska [dostęp 2021-05-25].
  41. BadWPAD, DNS suffix and wpad.pl / wpadblocking.com case [online], RED TEAM [dostęp 2019-06-15].
  42. BadWPAD and wpad.pl / wpadblocking.com case (part 2) [online], RED TEAM [dostęp 2019-06-15].
  43. Sinkholing BadWPAD infrastructure - wpad.pl / wpadblocking.com case (part 4) [online], RED TEAM [dostęp 2019-06-15].
  44. a b Przejęcie domen .pl związanych z atakiem BadWPAD [online], CERT Polska [dostęp 2019-06-15].
  45. Jak pewien Polak mógł latami przejmować ruch milionów komputerów [online], Zaufana Trzecia Strona [dostęp 2019-07-24].
  46. a b @CERT_Polska [online], CERT Polska [dostęp 2019-06-15].
  47. a b SANS Daily Network Security Podcast (Stormcast) for Monday, May 6th 2019; Malicious WPAD Domains [online], SANS Internet Storm Center [dostęp 2019-06-15].
  48. Podziękowania CERT-EE [online], (autor Narodowy Zespół Reagowania na Incydenty Estonii) Adam Ziaja [dostęp 2019-06-15].
  49. Podziękowania CERT-LV [online], (autor Narodowy Zespół Reagowania na Incydenty Łotwy) Adam Ziaja [dostęp 2019-06-15].
  50. Jak WPADnąć w pułapkę [online], CERT Orange [dostęp 2021-09-11].
  51. Black Kingdom ransomware hacks networks with Pulse VPN flaws [online], BleepingComputer [dostęp 2020-06-13].
  52. Staff Picks for Splunk Security Reading April 2019 [online], Splunk [dostęp 2021-05-25].
  53. BLOG.REDTEAM.PL [online], RED TEAM [dostęp 2020-06-02].
  54. Bezpieczeństwo aplikacji webowych, Biblioteka Narodowa, OCLC 998638539 [dostęp 2018-06-23].
  55. Jerzy Kosiński (red.), Przestępczość teleinformatyczna 2014 [online], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji [dostęp 2018-06-23].
  56. Bezpieczeństwo IT w kancelarii [online], (poradnik pod patronatem honorowym Naczelnej Rady Adwokackiej) Stowarzyszenie ISSA Polska [dostęp 2018-06-24].
  57. Podziękowania konferencja TAPT 2016 [online], (autor Wyższa Szkoła Policji w Szczytnie) Adam Ziaja [dostęp 2018-06-24] [zarchiwizowane z adresu 2018-06-24].
  58. Podziękowania konferencja TAPT 2017 [online], (autor Wyższa Szkoła Policji w Szczytnie) Adam Ziaja [dostęp 2018-06-24] [zarchiwizowane z adresu 2018-06-24].
  59. Konferencja TAPT 2017, prelekcja Praktyczna analiza powłamaniowa [online], Wyższa Szkoła Policji w Szczytnie [dostęp 2018-06-24].
  60. Publikacje Adam Ziaja [online], Adam Ziaja [dostęp 2018-06-24].
  61. Konferencja Security Case Study, program 2017 [online], (autor Fundacja Bezpieczna Cyberprzestrzeń) [dostęp 2020-06-02].
  62. Konferencja Security Case Study, program 2018 [online], (autor Fundacja Bezpieczna Cyberprzestrzeń) [dostęp 2020-06-02].
  63. Konferencja Security Case Study, program 20189 [online], (autor Fundacja Bezpieczna Cyberprzestrzeń) [dostęp 2020-06-02].
  64. Lightning Sekurak Hacking Party [online], (autor Sekurak) [dostęp 2020-06-25].
  65. XV Jubileuszowa Konferencja PolCAAT IIA Polska [online], (autor Instytut Audytorów Wewnętrznych) [dostęp 2020-06-03].
  66. X WYMIANA DOŚWIADCZEŃ W ZAKRESIE BEZPIECZEŃSTWA INFORMACJI [online], TÜV NORD [dostęp 2021-10-17].
  67. CSO Council, prelegenci [online], (autor CSO Council) [dostęp 2020-06-02].
  68. CSIRTs in Europe [online], European Union Agency for Cybersecurity (ENISA) [dostęp 2021-05-25].
  69. REDTEAM.PL CERT [online], Trusted Introducer [dostęp 2021-05-25].
  70. Critical Infrastructure Security Showdown 2020 [online], iTrust SUTD [dostęp 2021-05-25].
  71. CVE-2019-10677 [online], National Vulnerability Database [dostęp 2019-09-07] (ang.).
  72. CVE-2019-10677 Multiple Cross-Site Scripting (XSS) in the web interface of DASAN Zhone ZNID (proof-of-concept) [online], RED TEAM [dostęp 2019-09-07] (ang.).
  73. CVE-2019-10677 – Multiple Cross-Site Scripting (XSS) in DASAN Zhone ZNID GPON 2426A EU (exploit) [online], RED TEAM [dostęp 2019-09-07] (ang.).
  74. CVE-2015-2149 [online], NIST [dostęp 2018-06-26] (ang.).
  75. CVE-2015-2149 PoC [online], Adam Ziaja [dostęp 2018-06-26] (ang.).
  76. MyBB 1.8.4 Released – Feature Update, Security & Maintenance Release [online], MyBB [dostęp 2018-06-19] (ang.).
  77. CVE-2014-1695 [online], NIST [dostęp 2018-06-18] (ang.).
  78. CVE-2014-1695 PoC [online], Adam Ziaja [dostęp 2018-06-26] (ang.).
  79. OTRS Help Desk CVE-2014-2554 Clickjacking Vulnerability [online], SecurityFocus [dostęp 2018-06-19] (ang.).
  80. Security Advisory 2014-03 – XSS Issue [online], OTRS [dostęp 2018-06-19] (ang.).
  81. Added Adam Ziaja to Contributors [online], GeoNode [dostęp 2018-06-23] (ang.).
  82. Security vulnerability with proxy view and csrf/sessionid cookie [online], GeoNode [dostęp 2018-06-23] (ang.).

Linki zewnętrzne

[edytuj | edytuj kod]