Przemysław Frasunek, urodzony 6 maja 1983 roku w Lublinie, to wybitny polski haker, który zdobył uznanie jako specjalista w zakresie bezpieczeństwa systemów oraz kryminalistyki cyfrowej. Jego kariera rozpoczęła się pod koniec lat 90., kiedy to aktywnie uczestniczył w dyskusjach na listach związanych z bezpieczeństwem teleinformatycznym, takich jak Bugtraq. Na platformach tych regularnie dzielił się swoimi spostrzeżeniami i raportami dotyczącymi zagrożeń związanych z oprogramowaniem, co przyczyniło się do jego rozwoju jako uznawanego eksperta w dziedzinie.
W roku 2000, Frasunek wprowadził innowację, udostępniając kod źródłowy eksploita, który demonstrował wykorzystanie poważnego błędu typu format bug. Technika ta, wykorzystywana do przejęcia kontroli nad powszechnie stosowanym oprogramowaniem serwera FTP, zmieniła dotychczasowe postrzeganie tego rodzaju luk programistycznych. Do tego momentu była ona traktowana jako relatywnie niegroźna, jednakże po jego interwencji rozpoczęto masową analizę aplikacji pod kątem podobnych błędów.
Jego badania zaowocowały licznymi raportami oraz dalszymi kodami źródłowymi eksploitów wykorzystujących format string attack, co zdecydowanie wpłynęło na bezpieczeństwo oprogramowania. Poza działalnością w obszarze zabezpieczeń, Frasunek jest również krótkofalowcem z znakiem SQ5JIV. W internecie funkcjonuje pod pseudonimem venglin, co dodaje mu jeszcze większej rozpoznawalności wśród specjalistów z branży.
Od 2017 roku pełni rolę eksperta ds. cyberbezpieczeństwa w Business Centre Club, organizacji, z którą współpracuje na rzecz podnoszenia standardów bezpieczeństwa w polskich firmach. Dodatkowo, jest członkiem zarządu Redge Technologies Sp. z o.o., firmy dostarczającej nowoczesne technologie dla streamingu oraz telewizji internetowej, co świadczy o jego znaczącym wpływie w rozwijających się branżach technologicznych.
Odnalezione podatności
Przemysław Frasunek zidentyfikował kilka istotnych podatności, które mogą wpłynąć na bezpieczeństwo różnych systemów i aplikacji. Wśród nich znajdują się:
- CVE-2000-0573, dotyczący wykorzystania błędu formatu w WU-FTPD,
- CVE-2001-0414, to przypadek przepełnienia bufora w serwerze protokołu NTP, często stosowanym w różnych systemach operacyjnych oraz urządzeniach,
- CVE-2004-0794, dotyczący problemów z czasem w serwerze FTP, który jest standardowym rozwiązaniem dla systemów NetBSD i OS X,
- CVE-2005-2072, wskazujący na wadę konstrukcyjną w konsolidatorze dynamicznym ld.so w systemie Solaris, obejmującą wersje 8, 9 i 10, a także OpenSolaris,
- problem w bibliotekach systemowych FreeBSD 4.4, umożliwiający dostęp do dowolnych plików systemowych,
- hazard czasowy w jądrze FreeBSD 6.4,
- hazard czasowy w jądrze FreeBSD 7.0,
- przypadek odwołania do strony zerowej w jądrze FreeBSD 7.0 do 7.2.
Przypisy
- FreeBSD Login Capabilities Privileged File Reading Vulnerability [online], www.securityfocus.com [dostęp 26.11.2017 r.]
- BCC: Profil eksperta [online], www.bcc.org.pl [dostęp 26.11.2017 r.]
- Mark Dowd, John McDonald: The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities. 2007. Brak numerów stron w książce
- Sygnatury CVE błędów związanych z format stringami
- Pierwszy, publiczny kod eksploita wykorzystującego błąd typu format bug
Pozostali ludzie w kategorii "Inżynieria i technologie":
Henryk Jensz | Marek Łagoda | Stanisław Grzybowski (cukrownik) | Maria Zachwatowicz | Janusz Tymowski | Zdzisław Hryniak | Józef Szanajca | Alina Scholtz | Fryderyk Bluemke | Tadeusz Balicki | Bronisław Michelis | Franciszek Ksawery Kowalski | Jerzy Szczepanik-Dzikowski | Henryk Hawrylak | Stanisław Doborzyński | Feliks Sauter | Zygmunt Puławski | Władysław Strumiłło | Tadeusz Baniewicz | Andrzej M. ChołdzyńskiOceń: Przemysław Frasunek