Peter Zatko

Experto estadounidense en seguridad informática.

Peiter C. Zatko , más conocido como Mudge , es un experto en seguridad de redes, programador, escritor y hacker de código abierto estadounidense . Fue el miembro más destacado del destacado grupo de expertos sobre hackers L0pht ^[2], así como de la cooperativa de piratería informática y cultural Cult of the Dead Cow .

Mientras estuvo involucrado con L0pht , Mudge contribuyó a la divulgación y educación sobre información y vulnerabilidades de seguridad. Además de ser pionero en el trabajo de desbordamiento de búfer , los avisos de seguridad que publicó contenían ejemplos tempranos de fallas en las siguientes áreas: inyección de código , condición de carrera , ataque de canal lateral , explotación de sistemas integrados y criptoanálisis de sistemas comerciales. Fue el autor original del software para descifrar contraseñas L0phtCrack . ^[3]

En 2010, Mudge aceptó un puesto como director de programas en DARPA , donde supervisó la investigación sobre seguridad cibernética. ^[4] En 2013, Mudge empezó a trabajar para Google en su división de Proyectos y Tecnología Avanzada . ^{[5] [6]} En 2020, fue contratado como jefe de seguridad en Twitter . ^[7] Actualmente trabaja en la firma consultora de seguridad Rapid7 que desarrolla Metasploit . ^[8]

Biografía

Nacido en diciembre de 1970, Mudge se graduó en el Berklee College of Music como el mejor de su clase ^[9] y es un experto guitarrista .

Mudge fue responsable de las primeras investigaciones sobre un tipo de vulnerabilidad de seguridad conocida como desbordamiento del buffer . En 1995 publicó "Cómo escribir desbordamientos de búfer", uno de los primeros artículos sobre el tema. ^[10] Publicó algunos de los primeros avisos de seguridad e investigaciones que demuestran las primeras vulnerabilidades en Unix, como inyección de código, ataques de canal lateral y fugas de información, y fue un líder en el movimiento de divulgación total . Fue el autor inicial de las herramientas de seguridad L0phtCrack , AntiSniff y l0phtwatch. ^{[11] [12]}

Mudge fue una de las primeras personas de la comunidad de hackers en establecer relaciones con el gobierno y la industria. Muy solicitado como orador público, habló en conferencias de hackers como DEF CON ^[13] y conferencias académicas como USENIX . ^[14] Mudge también ha sido miembro de Cult of the Dead Cow desde 1996. ^{[15] [11]} Fue uno de los siete miembros de L0pht que testificaron ante un comité del Senado en 1998 sobre las graves vulnerabilidades de Internet en ese momento. . ^[16] L0pht se convirtió en la consultora de seguridad informática @stake en 1999, y Mudge se convirtió en vicepresidente de investigación y desarrollo y más tarde en científico jefe. ^{[17] [18]}

En 2000, después de los primeros ataques devastadores de denegación de servicio distribuidos en Internet , fue invitado a reunirse con el presidente Bill Clinton en una cumbre de seguridad junto con miembros del gabinete y ejecutivos de la industria. ^[19]

En 2004 se convirtió en científico de la división del contratista gubernamental BBN Technologies , ^[20] donde trabajó originalmente en la década de 1990, y también se unió al consejo asesor técnico de NFR Security. ^[21] En 2010, se anunció que sería director de proyecto de un proyecto DARPA centrado en dirigir la investigación en seguridad cibernética. ^[4] En 2013 anunció que dejaría DARPA para ocupar un puesto en Google ATAP. ^{[6] [22]} En 2015, Zatko anunció en Twitter que se uniría a un proyecto llamado #CyberUL, una organización de pruebas de seguridad informática inspirada en Underwriters Laboratories , por mandato de la Casa Blanca. ^[23]

Carrera

DARPA

En DARPA, creó el Marco Analítico Cibernético que la agencia utilizó para evaluar las inversiones del Departamento de Defensa en ciberseguridad ofensiva y defensiva. Durante su mandato, dirigió al menos tres programas del Departamento de Defensa (DoD) conocidos como Military Networking Protocol (MNP), Cyber-Insider Threat (CINDER) y Cyber ​​Fast Track (CFT).

El Protocolo de redes militares (MNP) proporcionó priorización de red con atribución completa a nivel de usuario para redes informáticas militares. ^[24]

CINDER se centró en identificar el ciberespionaje realizado por amenazas internas virtuales, como futuras variantes de Stuxnet o Duqu . CINDER a menudo se asocia erróneamente con WikiLeaks en los medios. ^{[25] [26]} Esto posiblemente se deba a la confusión entre los programas DARPA centrados en identificar amenazas internas humanas como ADAMS ^[27] y la identificación de software de espionaje planteado por malware en el programa CINDER. ^[28] Esta cuestión fue aclarada por Mudge en su discurso de apertura de Defcon 2011 a los 46 minutos y 11 segundos de la charla. ^[29]

Cyber ​​Fast Track (CFT) proporcionó recursos y financiación para la investigación de seguridad, incluidos programas ejecutados por hackers , hackerspaces y makerlabs. El programa proporcionó una alternativa a los vehículos tradicionales de contratación gubernamental a la que podían acceder personas y pequeñas empresas que antes no podían trabajar dentro del engorroso y complicado proceso DARPA . El nuevo esfuerzo de contratación tuvo un tiempo promedio de 7 días desde la recepción de la propuesta hasta que se proporcionó el financiamiento a la organización de investigación proponente. ^[30] El programa se anunció inicialmente en Shmoocon durante su discurso de apertura de 2011.

Gorjeo

Zatko fue contratado por Jack Dorsey  , director ejecutivo de Twitter , en noviembre de 2020 para liderar el enfoque de seguridad de la información de la empresa, después de un pirateo en julio de 2020 que comprometió varias cuentas de alto perfil. ^{[31] [32]} La empresa lo despidió en enero de 2022, ^[33] y Twitter afirmó que fue después de "una evaluación de cómo se estaba dirigiendo la organización y el impacto en el trabajo de máxima prioridad".

El 23 de agosto de 2022 se publicó el contenido de una denuncia presentada por Zatko ante el Congreso de los Estados Unidos . ^[31] La denuncia alega que Twitter cometió múltiples violaciones de las regulaciones de valores de los Estados Unidos , la Ley de la Comisión Federal de Comercio de 1914 y un decreto de consentimiento ejecutable de 2011 alcanzado con la Comisión Federal de Comercio después de varios problemas entre 2007 y 2010. ^[34] También acusó Twitter de "deficiencias extremas y atroces" en su manejo de la información de los usuarios y de los robots de spam. ^[35] Zatko acusó a varios ejecutivos de Twitter, incluido Parag Agrawal y ciertos miembros de la junta directiva, de hacer declaraciones falsas o engañosas sobre privacidad, seguridad y moderación de contenido en la plataforma en violación de la Ley de la Comisión Federal de Comercio de 1914 y las reglas de divulgación de la SEC. Estos incluyeron tergiversaciones hechas a Elon Musk durante el curso de su oferta de adquisición , y la denuncia calificó específicamente de engañoso el hilo de Agrawal del 16 de mayo. ^{[36] [37] [38]} El Wall Street Journal informó que Twitter llegó a un acuerdo confidencial de 7  millones de dólares con Zatko en junio, tras su despido. ^[39] El acuerdo prohíbe a Zatko hablar públicamente sobre su tiempo en Twitter o menospreciar a la empresa, con la excepción de audiencias en el Congreso y quejas de denunciantes gubernamentales. ^[39] El 13 de septiembre de 2022, Zatko testificó ante el Comité Judicial del Senado . ^{[40] [41]}

Vida personal

El 11 de agosto de 2007 se casó con Sarah Lieberman, compañera de trabajo de BBN y ex matemática de la Agencia de Seguridad Nacional . Al comentar sobre el tiempo que su esposo pasó en Twitter en un artículo de la revista Time, dijo: "La deshonestidad es definitivamente algo que lo frustra". ^[42]

Premios

• Premio al Servicio Público Excepcional de la Oficina del Secretario de Defensa 2013 ^[43]
• 2011 Revista SC Los 5 pensadores más influyentes en seguridad de TI del año ^[44]
• 2007 Boston Business Journal 40 menores de 40 ^[45]

Artículos arbitrados

• Una arquitectura para la defensa de redes escalables, Actas de la 34.ª Conferencia Anual del IEEE sobre redes informáticas locales (LCN), Strayer, Miliken, Watro, Heimerdinger, Harp, Goldman, Spicuzza, Schwartz, Mankins, Kong y Zatko., Actas de la 34.ª Conferencia anual del IEEE sobre redes informáticas locales (LCN), octubre de 2009.
• SLINGbot: un sistema para la investigación en vivo de botnets de próxima generación, Alden Jackson, David Lapsley, Christine Jones, Mudge Zatko, Chaos Golubitsky y W. Timothy Strayer, Actas de la Conferencia sobre aplicaciones y tecnologías de ciberseguridad para la seguridad nacional (CATCH), Washington, DC , marzo de 2009.
• Análisis de seguridad del sistema operativo Palm y sus debilidades frente a amenazas de códigos maliciosos, Joe Grand y Mudge, décimo simposio de seguridad de Usenix, Washington, DC, agosto de 2001.
• Criptoanálisis de las extensiones de autenticación PPTP de Microsoft (MSCHAPv2), Bruce Schneier , Mudge y David A. Wagner , Secure Networking CQRE [Secure] 1999, Exposición y Congreso Internacional, Springer Lecture Notes in Computer Science, no. 1740, págs. 192-203, noviembre/diciembre de 1999.
• Criptoanálisis del protocolo de túnel punto a punto (PPTP) de Microsoft, Bruce Schneier y Mudge, Quinta Conferencia ACM sobre Comunicaciones y Seguridad Informática, páginas 132–141, marzo de 1998.

L0pht Avisos de seguridad y software

Mudge publicó numerosos artículos y avisos que detallan los problemas de seguridad en diferentes aplicaciones y sistemas operativos y fue un defensor pionero de la divulgación completa .

• Vulnerabilidades de desbordamiento del buffer de Crontab, octubre de 2001 ^[46]
• Criptoanálisis inicial del algoritmo RSA SecurID, enero de 2001 ^[47]
• AntiSniff: Identificación de sistemas remotos en modo promiscuo, mayo de 2000 ^[48]
• Condiciones de carrera dentro de los scripts de inicio de RedHat Linux, diciembre de 2000 ^[49]
• Técnicas de ofuscación de bloqueo de shell de Cactus Software de ingeniería inversa, octubre de 1999 ^[50]
• Ataque al canal lateral Solaris /bin/su, junio de 1999 ^[51]
• L0pht Watch: una herramienta para ataques de condiciones de carrera del sistema de archivos, enero de 1999 ^[52]
• Vulnerabilidades de divulgación de hash en Quakenbush Windows NT Password Appraiser, enero de 1999 ^[53]
• Ataque de escalada de privilegios de suGuard, enero de 1999 ^[54]
• Embedded FORTH Hacking on Sparc Hardware, Phrack Magazine, volumen 8, número 53, julio de 1998 ^[55]
• Condición de carrera en el sistema de control de fuente ClearCase de Rational Systems, enero de 1998 ^[56]
• Volcado de memoria remota y recuperación de información confidencial de Imap 4.1, octubre de 1997 ^[57]
• L0phtCrack: Diatriba técnica sobre las vulnerabilidades en el cifrado y las contraseñas de Microsoft, julio de 1997 ^[58]
• Compromiso de raíz a través de Solaris libc_getopt(3), enero de 1997 ^[59]
• Las distribuciones BSD de modstat permiten comprometer claves DES, contraseñas y control de anillo 0, diciembre de 1996 ^[60]
• Las pérdidas de memoria de Kerberos 4 proporcionan información confidencial de credenciales mediante ataques remotos, noviembre de 1996 ^[61]
• Escalada de privilegios a través de la vulnerabilidad de desbordamiento del buffer de Sendmail 8.7.5 GECOS, noviembre de 1996 ^[62]
• Las vulnerabilidades de análisis cgi-bin/test-cgi permiten el recorrido remoto del directorio, abril de 1996 ^[63]
• Debilidades de diseño en el sistema de autenticación SecurID, 1996 ^[64]
• MONKey: Un ataque al sistema de contraseña de un solo uso s/key, 1995 ^[65]

Referencias

1. Lyngaas, Sean (24 de agosto de 2022). "Conozca al ex ejecutivo de Twitter que denuncia a la empresa". Negocios CNN .
2. Erratas de la escena de seguridad Archivada el 2 de mayo de 2005 en la Wayback Machine.
3. "LOPH-TCRACK". 2009. Archivado desde el original el 4 de marzo de 2012.
4. "El hacker 'Mudge' consigue trabajo en DARPA". 10 de febrero de 2010. Archivado desde el original el 9 de enero de 2011 . Consultado el 12 de febrero de 2010 .
5. "Peiter" Mudge "Zatko se unirá a proyectos y tecnología avanzada (ATAP) de Motorola Mobility". Archivado desde el original el 5 de diciembre de 2013 . Consultado el 9 de septiembre de 2013 .
6. "Mudge va a Google". Gorjeo . 12 de abril de 2013. Archivado desde el original el 1 de febrero de 2015.
7. Menn, Joseph (16 de noviembre de 2020). "Twitter nombra al famoso hacker 'Mudge' como jefe de seguridad". Reuters . Consultado el 16 de noviembre de 2020 .
8. Menn, Joseph (4 de enero de 2023). "Zatko, denunciante de Twitter, consigue un nuevo trabajo en una empresa de consultoría de seguridad". El Washington Post . Consultado el 4 de enero de 2023 .
9. "Otros caminos - Berklee College of Music". Berklee.edu . Archivado desde el original el 10 de octubre de 2014 . Consultado el 1 de octubre de 2014 .
10. "Servicios de industrias pesadas L0pht". inseguro.org . Archivado desde el original el 3 de septiembre de 2006 . Consultado el 24 de agosto de 2006 .
11. Perrigo, Billy; Chow, Andrew R.; Bergengruen, Vera (25 de agosto de 2022). "El denunciante de Twitter necesita que confíes en él". Tiempo . Consultado el 31 de enero de 2023 . Después de graduarse, dividió su tiempo entre tocar en clubes con su banda de metal progresivo Raymaker, trabajo de soporte técnico a tiempo parcial y trabajar con un "grupo de expertos" de hackers de alto perfil llamado L0pht (pronunciado Loft) para exponer fallas de seguridad corporativas. . Pronto se convertiría en su miembro más destacado y se uniría a una cooperativa de hackers conocida como el Culto de la Vaca Muerta.
12. Kovacs, Eduard (18 de octubre de 2021). "Herramienta de auditoría de contraseñas L0phtCrack lanzada como código abierto". Semana de la seguridad . Consultado el 31 de enero de 2023 . L0phtCrack fue desarrollado originalmente por Peiter Zatko, también conocido como Mudge, del grupo de expertos sobre hackers L0pht.
13. "Archivos DEF CON V". www.defcon.org . Archivado desde el original el 14 de junio de 2006 . Consultado el 18 de abril de 2006 .
14. "USENIX - Asociación de sistemas informáticos avanzados". www.usenix.org . Archivado desde el original el 24 de septiembre de 2006 . Consultado el 18 de abril de 2006 .
15. "CULTO A LA VACA MUERTA: CULTO A LA VACA MUERTA". Culto a la Vaca Muerta . Archivado desde el original el 17 de abril de 2006 . Consultado el 18 de abril de 2006 .
16. "Comunicados de prensa". 31 de marzo de 2005. Archivado desde el original el 31 de marzo de 2005.
17. "El L0pht, reconocido 'grupo de expertos sobre hackers', se convierte en @stake". Archivado desde el original el 30 de junio de 2004 . Consultado el 7 de septiembre de 2018 .
18. Lyngaas, Sean (24 de agosto de 2022). "Conozca al ex ejecutivo de Twitter que denuncia a la empresa | CNN Business". CNN . Consultado el 31 de enero de 2023 . Thomas, quien, como Zatko, usa profesionalmente su nombre de hacker "Space Rogue", dijo que él y Zatko "han tenido nuestras diferencias en el pasado", y agregó que fue despedido de @stake, la consultora de ciberseguridad donde Zatko era científico jefe, en 2000.
19. Clinton lucha contra los piratas informáticos, con un hacker. Archivado el 10 de septiembre de 2005 en Wayback Machine.
20. "El hacker 'Mudge' regresa a BBN". Archivado desde el original el 28 de septiembre de 2007 . Consultado el 6 de julio de 2007 .
21. "NFR Security agrega a los principales expertos de la industria de la seguridad al consejo asesor de tecnología". Archivado desde el original el 26 de septiembre de 2006 . Consultado el 12 de julio de 2006 .
22. "Google se vuelve DARPA". Revista Fortuna . 14 de agosto de 2014. Archivado desde el original el 1 de octubre de 2014 . Consultado el 27 de septiembre de 2014 .
23. "El famoso investigador de seguridad Mudge deja Google". Recodificar . 29 de junio de 2015. Archivado desde el original el 3 de julio de 2015 . Consultado el 2 de julio de 2015 .
24. "Protocolo de redes militares". 16 de octubre de 2011. Archivado desde el original el 17 de diciembre de 2011 . Consultado el 12 de febrero de 2012 .
25. Ackerman, Spencer (31 de agosto de 2010). "El hacker estrella de Darpa mira al Pentágono a prueba de WikiLeaks". Cableado . Archivado desde el original el 1 de diciembre de 2013 . Consultado el 12 de febrero de 2012 .
26. Una entrevista con Julian Assange de WikiLeaks Archivado el 16 de agosto de 2011 en Wayback Machine , Andy Greenberg, Forbes, 29 de noviembre de 2010
27. "Detección de anomalías a múltiples escalas". 16 de octubre de 2011. Archivado desde el original el 21 de enero de 2012 . Consultado el 12 de febrero de 2012 .
28. "Amenaza cibernética interna". 27 de agosto de 2011. Archivado desde el original el 11 de enero de 2012 . Consultado el 12 de febrero de 2012 .
29. "Discurso principal de BlackHat USA 2011". Archivado desde el original el 21 de enero de 2012 . Consultado el 12 de febrero de 2012 .
30. Lim, Dawn (14 de noviembre de 2011). "El nuevo programa Fast Track aprueba proyectos de hackers en sólo siete días". Revista cableada . Archivado desde el original el 15 de marzo de 2014 . Consultado el 12 de febrero de 2012 .
31. Vincent, James (23 de agosto de 2022). "El exjefe de seguridad de Twitter dice que la empresa mintió sobre los bots y la seguridad". El borde .
32. Liam Tung, "Peiter 'Mudge' Zatko: OSC convertido en denunciante dice que la seguridad de Twitter estaba en ruinas", 24 de agosto de 2022, ZDnet https://www.zdnet.com/article/peiter-mudge-zatko- OSC-convertido-denunciante-dice-la-seguridad-de-twitter-estaba-en-un-caos/
33. "Twitter revoluciona su equipo de seguridad". Los New York Times . 21 de enero de 2022.
34. Chow, Andrew R.; Bergengruen, Vera; Perrigo, Billy (23 de agosto de 2022). "'Deficiencias atroces, 'bots y agentes extranjeros: las mayores acusaciones del denunciante de Twitter ". Tiempo . Archivado desde el original el 24 de agosto de 2022 . Consultado el 24 de agosto de 2022 .
35. "Un denunciante de Twitter alega 'deficiencias atroces' en las medidas de seguridad". El guardián . 23 de agosto de 2022 . Consultado el 23 de agosto de 2022 .
36. Menn, José; Dwoskin, Elizabeth; Zakrzewski, Cat (23 de agosto de 2022). "El exjefe de seguridad afirma que Twitter enterró 'deficiencias atroces'" . El Washington Post . Archivado desde el original el 23 de agosto de 2022 . Consultado el 23 de agosto de 2022 .
37. Siddiqui, Faiz; Dwoskin, Elizabeth (23 de agosto de 2022). "Nuevas acusaciones de denunciantes podrían influir en el juicio entre Twitter y Musk" . El Washington Post . Archivado desde el original el 23 de agosto de 2022 . Consultado el 23 de agosto de 2022 .
38. Bursztynsky, Jessica (16 de mayo de 2022). "El director ejecutivo de Twitter explica cómo la empresa lucha realmente contra los robots de spam en refutación a Musk". CNBC . Archivado desde el original el 16 de mayo de 2022 . Consultado el 28 de mayo de 2022 .
39. Lombardo, Cara (8 de septiembre de 2022). "Twitter acordó pagar al denunciante aproximadamente 7 millones de dólares en el acuerdo de junio" . El periodico de Wall Street . Archivado desde el original el 8 de septiembre de 2022.
40. Vínculo, Shannon; Dillion, Raquel María (13 de septiembre de 2022). "Es posible que Twitter haya contratado a un espía chino y otras cuatro conclusiones de la audiencia del Senado". NPR . Archivado desde el original el 15 de septiembre de 2022.
41. Maldita sea, Sheila; Shepardson, David (13 de septiembre de 2022). "Un denunciante de Twitter revela que a los empleados les preocupa que un agente de China pueda recopilar datos de los usuarios". Reuters . Archivado desde el original el 15 de septiembre de 2022.
42. Perrigo, Billy; Chow, Andrew R.; Bergengruen, Vera (25 de agosto de 2022). "El denunciante de Twitter necesita que confíes en él". Tiempo . Consultado el 26 de agosto de 2022 .
43. "Mudge recibe el premio civil no profesional más alto de la Oficina de SecDef". Gorjeo . Archivado desde el original el 30 de enero de 2015 . Consultado el 28 de septiembre de 2014 .
44. Moscaritolo, Ángela (1 de diciembre de 2011). "Los cinco pensadores más influyentes en seguridad de TI de la revista SC de 2011". Revista SC . Archivado desde el original el 9 de marzo de 2012 . Consultado el 12 de febrero de 2012 .
45. "Peiter" Mudge "Zatko de BBN Technologies honrado con el premio Boston Business Journal '40 Under 40'". Comunicado de prensa de BBN . 15 de octubre de 2007. Archivado desde el original el 5 de julio de 2014 . Consultado el 27 de septiembre de 2014 .
46. "Vulnerabilidades de desbordamiento del búfer de Crontab, octubre de 2001". Archivado desde el original el 3 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
47. "Criptoanálisis inicial del algoritmo RSA SecurID" (PDF) . Archivado (PDF) desde el original el 10 de octubre de 2015 . Consultado el 28 de septiembre de 2014 .
48. "Revisión del producto NMRC L0pht Antisniff". Archivado desde el original el 4 de marzo de 2015 . Consultado el 28 de septiembre de 2014 .
49. "Seguridad de OpenNET: Aviso de L0pht: initscripts-4.48-1 RedHat Linux 6.1". www.opennet.ru . Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
50. "Aviso de L0pht: Cactus Software desofusca y recupera el código de shell". Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
51. "[email protected]: [10792] en bugtraq". diswww.mit.edu . Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
52. "Aviso de l0phtwatch". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
53. "Divulgación de hash del tasador de contraseñas de NT". Archivado desde el original el 17 de abril de 2013 . Consultado el 28 de septiembre de 2014 .
54. "Vulnerabilidad de ruta del troyano IFS". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
55. ".:: Revista Phrack ::". phrack.org . Archivado desde el original el 10 de octubre de 2014 . Consultado el 28 de septiembre de 2014 .
56. "BuddhaLabs/PacketStorm-Exploits". GitHub . Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
57. "Divulgación de información del volcado de memoria de Imap". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
58. "Vulnerabilidades en el cifrado de contraseñas de Microsoft". Archivado desde el original el 11 de febrero de 2017 . Consultado el 28 de septiembre de 2014 .
59. "Explotación de Solaris 2.5 libc". Archivado desde el original el 3 de abril de 2013 . Consultado el 28 de septiembre de 2014 .
60. "Explotación de Modstat". inseguro.org . Archivado desde el original el 23 de septiembre de 2015 . Consultado el 28 de septiembre de 2014 .
61. "Pérdida de memoria remota de L0pht Kerberos 4". Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
62. "Vulnerabilidad de desbordamiento del búfer de Sendmail 8.7.5 GECOS". Archivado desde el original el 3 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
63. "inventario remoto mediante vulnerabilidad test-cgi". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
64. "Debilidades en el sistema de autenticación SecurID (RSA Token)". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
65. "Descifrador de contraseñas S/Key". Archivado desde el original el 3 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .

enlaces externos

• L0phtCrack, software para descifrar contraseñas