Peiter Zatko

Experto estadounidense en seguridad informática

Peiter C. Zatko , más conocido como Mudge , es un experto en seguridad de redes, programador de código abierto , escritor y hacker estadounidense . Actualmente es el director de información de DARPA . ^{[2] Fue el miembro más destacado del} grupo de expertos en hackers de alto perfil L0pht ^[3], así como de la cooperativa de hackers informáticos y culturales Cult of the Dead Cow .

Mientras estuvo involucrado con L0pht , Mudge contribuyó a la divulgación y educación sobre vulnerabilidades de seguridad e información. Además de ser pionero en el trabajo sobre desbordamiento de búfer , los avisos de seguridad que publicó contenían ejemplos tempranos de fallas en las siguientes áreas: inyección de código , condición de carrera , ataque de canal lateral , explotación de sistemas integrados y criptoanálisis de sistemas comerciales. Fue el autor original del software de descifrado de contraseñas L0phtCrack . ^[4]

En 2010, Mudge aceptó un puesto como director de programas en DARPA, donde supervisó la investigación en materia de ciberseguridad. ^[5] En 2013, Mudge empezó a trabajar para Google en su división de Tecnología Avanzada y Proyectos . ^{[6] [7]} En 2020, fue contratado como jefe de seguridad en Twitter . ^[8] En 2023 empezó a trabajar en la consultora de seguridad Rapid7 que desarrolla Metasploit . ^[9]

Biografía

Nacido en diciembre de 1970, Mudge se graduó en el Berklee College of Music con la mejor nota de su clase ^[10] y es un hábil guitarrista .

Mudge fue responsable de las primeras investigaciones sobre un tipo de vulnerabilidad de seguridad conocida como desbordamiento de búfer . En 1995 publicó "Cómo escribir desbordamientos de búfer", uno de los primeros artículos sobre el tema. ^[11] Publicó algunos de los primeros avisos de seguridad e investigaciones que demostraban las primeras vulnerabilidades en Unix, como la inyección de código, los ataques de canal lateral y las fugas de información, y fue un líder en el movimiento de divulgación completa . Fue el autor inicial de las herramientas de seguridad L0phtCrack , AntiSniff y l0phtwatch. ^{[12] [13]}

Mudge fue una de las primeras personas de la comunidad hacker en acercarse y construir relaciones con el gobierno y la industria. Fue muy solicitado como orador público y habló en conferencias de hackers como DEF CON ^[14] y conferencias académicas como USENIX . ^[15] Mudge también ha sido miembro de Cult of the Dead Cow desde 1996. ^{[16] [12]} Fue uno de los siete miembros de L0pht que testificaron ante un comité del Senado en 1998 sobre las graves vulnerabilidades de Internet en ese momento. ^[17] L0pht se convirtió en la consultora de seguridad informática @stake en 1999, y Mudge se convirtió en vicepresidente de investigación y desarrollo y más tarde en científico jefe. ^{[18] [19]}

En 2000, después de los primeros ataques de denegación de servicio distribuidos por Internet , fue invitado a reunirse con el presidente Bill Clinton en una cumbre de seguridad junto con miembros del gabinete y ejecutivos de la industria. ^[20]

Carrera

En 2004, Zatko se convirtió en científico de división en el contratista gubernamental BBN Technologies , ^[21] donde trabajó originalmente en la década de 1990, y también se unió al consejo asesor técnico de NFR Security. ^[22] En 2010, se anunció que sería gerente de proyecto de un proyecto de DARPA centrado en dirigir la investigación en ciberseguridad. ^[5] En 2013 anunció que dejaría DARPA para ocupar un puesto en Google ATAP. ^{[7] [23]} En 2015, Zatko anunció en Twitter que se uniría a un proyecto llamado #CyberUL, una organización de pruebas para la seguridad informática inspirada en Underwriters Laboratories , ordenada por la Casa Blanca. ^[24]

Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA)

En DARPA creó el Cyber ​​Analytical Framework que la agencia utiliza para evaluar las inversiones del Departamento de Defensa en ciberseguridad ofensiva y defensiva. Durante su mandato dirigió al menos tres programas del Departamento de Defensa (DoD) conocidos como Military Networking Protocol (MNP), Cyber-Insider Threat (CINDER) y Cyber ​​Fast Track (CFT).

El Protocolo de Redes Militares (MNP) proporcionó priorización de red con atribución completa a nivel de usuario para redes informáticas militares. ^[25]

CINDER se centró en identificar el espionaje cibernético llevado a cabo por amenazas internas virtuales como las futuras variantes de Stuxnet o Duqu . A menudo, en los medios de comunicación, se asocia a CINDER por error con WikiLeaks . ^{[26] [27]} Esto posiblemente se deba a la confusión entre los programas de DARPA centrados en la identificación de amenazas internas humanas como ADAMS ^[28] y la identificación del espionaje de software planteado por malware en el programa CINDER. ^[29] Esta cuestión fue aclarada por Mudge en su discurso de apertura en Defcon 2011 a los 46 minutos y 11 segundos de la charla. ^[30]

Cyber ​​Fast Track (CFT) proporcionó recursos y financiación a la investigación en seguridad, incluidos programas dirigidos por hackers , hackerspaces y makerlabs. El programa proporcionó una alternativa a los vehículos de contratación gubernamentales tradicionales a la que podían acceder personas y pequeñas empresas que anteriormente no podían trabajar dentro del engorroso y complicado proceso de la DARPA . El novedoso esfuerzo de contratación tuvo un tiempo promedio de 7 días desde la recepción de la propuesta hasta que se proporcionaba la financiación a la organización de investigación proponente. ^[31] El programa se anunció inicialmente en Shmoocon durante su discurso de apertura de 2011.

El 7 de agosto de 2024, anunció en X.com (Twitter) que había regresado a DARPA como parte del equipo de liderazgo, como Director de Información (CIO) de DARPA. ^{[2] [32] [33]}

Gorjeo

Zatko fue contratado por Jack Dorsey  , el director ejecutivo de Twitter , en noviembre de 2020 para liderar el enfoque de seguridad de la información de la empresa, después de un ataque informático en julio de 2020 que comprometió varias cuentas de alto perfil. ^{[34] [35]} La empresa lo despidió en enero de 2022, ^[36] y Twitter afirmó que fue después de "una evaluación de cómo se dirigía la organización y el impacto en el trabajo de máxima prioridad".

El 23 de agosto de 2022, se publicó el contenido de una denuncia de un denunciante presentada por Zatko ante el Congreso de los Estados Unidos . ^[34] La denuncia alega que Twitter cometió múltiples violaciones de las regulaciones de valores de los Estados Unidos , la Ley de la Comisión Federal de Comercio de 1914 y un decreto de consentimiento ejecutable de 2011 alcanzado con la Comisión Federal de Comercio después de varios problemas entre 2007 y 2010. ^[37] También acusó a Twitter de "deficiencias extremas y atroces" en su manejo de la información de los usuarios y los bots de spam. ^[38] Zatko acusó a varios ejecutivos de Twitter, incluido Parag Agrawal y ciertos miembros de la junta, de hacer declaraciones falsas o engañosas sobre la privacidad, la seguridad y la moderación de contenido en la plataforma en violación de la Ley de la Comisión Federal de Comercio de 1914 y las reglas de divulgación de la SEC. Estos incluyeron tergiversaciones a Elon Musk hechas durante el curso de su oferta de adquisición , y la denuncia calificó específicamente como engañoso el hilo del 16 de mayo de Agrawal. ^{[39] [40] [41]} El Wall Street Journal  informó que Twitter llegó a un acuerdo confidencial de 7 millones de dólares con Zatko en junio, tras su despido. ^[42] El acuerdo prohíbe a Zatko hablar públicamente sobre su tiempo en Twitter o menospreciar a la empresa, con la excepción de las audiencias del Congreso y las denuncias de denunciantes gubernamentales. ^[42] El 13 de septiembre de 2022, Zatko testificó ante el Comité Judicial del Senado . ^{[43] [44]}

Vida personal

El 11 de agosto de 2007 se casó con Sarah Lieberman, compañera de trabajo en BBN y ex matemática de la Agencia de Seguridad Nacional . En un artículo de la revista Time, al comentar el tiempo que su marido pasó en Twitter, dijo que "la deshonestidad es definitivamente algo que lo frustra". ^[45]

Premios

• Premio al Servicio Público Excepcional de la Oficina del Secretario de Defensa de 2013 ^[46]
• Los 5 pensadores más influyentes en seguridad informática del año 2011 según la revista SC ^[47]
• Boston Business Journal 2007 40 menores de 40 ^[48]

Artículos arbitrados

• Una arquitectura para la defensa de red escalable, Actas de la 34.ª Conferencia anual del IEEE sobre redes informáticas locales (LCN), Strayer, Miliken, Watro, Heimerdinger, Harp, Goldman, Spicuzza, Schwartz, Mankins, Kong y Zatko., Actas de la 34.ª Conferencia anual del IEEE sobre redes informáticas locales (LCN), octubre de 2009.
• SLINGbot: Un sistema para la investigación en vivo de botnets de próxima generación, Alden Jackson, David Lapsley, Christine Jones, Mudge Zatko, Chaos Golubitsky y W. Timothy Strayer, Actas de la Conferencia sobre aplicaciones y tecnologías de ciberseguridad para la seguridad nacional (CATCH), Washington, DC, marzo de 2009.
• Análisis de seguridad del sistema operativo Palm y sus debilidades frente a amenazas de código malicioso, Joe Grand y Mudge, 10º Simposio de Seguridad de Usenix, Washington, DC, agosto de 2001.
• Criptoanálisis de las extensiones de autenticación PPTP de Microsoft (MSCHAPv2), Bruce Schneier , Mudge y David A. Wagner , Secure Networking CQRE [Secure] 1999, Exposición y Congreso Internacional, Springer Lecture Notes in Computer Science, n.º 1740, págs. 192-203, noviembre/diciembre de 1999.
• Criptoanálisis del Protocolo de túnel punto a punto (PPTP) de Microsoft, Bruce Schneier y Mudge, Quinta Conferencia ACM sobre Comunicaciones y Seguridad Informática, páginas 132–141, marzo de 1998.

Avisos de seguridad y software de L0pht

Mudge publicó numerosos artículos y avisos que detallaban problemas de seguridad en diferentes aplicaciones y sistemas operativos y fue un pionero en la defensa de la divulgación completa .

• Vulnerabilidades de desbordamiento de búfer en Crontab, octubre de 2001 ^[49]
• Análisis criptográfico inicial del algoritmo RSA SecurID, enero de 2001 ^[50]
• AntiSniff: Identificación de sistemas remotos en modo promiscuo, mayo de 2000 ^[51]
• Condiciones de carrera en los scripts de inicio de RedHat Linux, diciembre de 2000 ^[52]
• Ingeniería inversa de técnicas de ofuscación de shelllock en el software Cactus, octubre de 1999 ^[53]
• Ataque de canal lateral /bin/su de Solaris, junio de 1999 ^[54]
• L0pht Watch: una herramienta para ataques de condición de carrera del sistema de archivos, enero de 1999 ^[55]
• Vulnerabilidades de divulgación de hash en Quakenbush Windows NT Password Appraiser, enero de 1999 ^[56]
• Ataque de escalada de privilegios de suGuard, enero de 1999 ^[57]
• Hacking de FORTH integrado en hardware Sparc, Phrack Magazine, volumen 8, número 53, julio de 1998 ^[58]
• Condición de carrera en sistemas racionales Sistema de control de código fuente ClearCase, enero de 1998 ^[59]
• Volcado de memoria remota y recuperación de información confidencial en Imap 4.1, octubre de 1997 ^[60]
• L0phtCrack: Denuncia técnica sobre las vulnerabilidades en el cifrado y las contraseñas de Microsoft, julio de 1997 ^[61]
• Compromiso de raíz a través de Solaris libc_getopt(3), enero de 1997 ^[62]
• Las distribuciones BSD de modstat permiten el compromiso de claves DES, contraseñas y control del anillo 0, diciembre de 1996 ^[63]
• Las fugas de memoria de Kerberos 4 proporcionan información confidencial sobre credenciales mediante ataques remotos, noviembre de 1996 ^[64]
• Escalada de privilegios a través de la vulnerabilidad de desbordamiento de búfer GECOS en Sendmail 8.7.5, noviembre de 1996 ^[65]
• Vulnerabilidades de análisis de cgi-bin/test-cgi que permiten el recorrido remoto de directorios, abril de 1996 ^[66]
• Debilidades de diseño en el sistema de autenticación SecurID, 1996 ^[67]
• MONKey: Un ataque al sistema de contraseñas de un solo uso s/key, 1995 ^[68]

Referencias

1. Lyngaas, Sean (24 de agosto de 2022). "Conoce al ex ejecutivo de Twitter que denunció a la empresa". CNN Business . Archivado desde el original el 31 de agosto de 2022. Consultado el 31 de agosto de 2022 .
2. Dille, Grace (7 de agosto de 2024). "DARPA nombra a Peiter 'Mudge' Zatko CIO". MeriTalk.
3. Erratas de la escena de seguridad Archivado el 2 de mayo de 2005 en Wayback Machine.
4. "LOPH-TCRACK". 2009. Archivado desde el original el 4 de marzo de 2012.
5. "El hacker 'Mudge' consigue trabajo en DARPA". 10 de febrero de 2010. Archivado desde el original el 9 de enero de 2011. Consultado el 12 de febrero de 2010 .
6. "Peiter "Mudge" Zatko se unirá al equipo de Tecnología y Proyectos Avanzados (ATAP) de Motorola Mobility". Archivado desde el original el 5 de diciembre de 2013 . Consultado el 9 de septiembre de 2013 .
7. "Mudge va a Google". Twitter . 12 de abril de 2013. Archivado desde el original el 1 de febrero de 2015.
8. Menn, Joseph (16 de noviembre de 2020). «Twitter nombra al famoso hacker 'Mudge' como jefe de seguridad». Reuters . Archivado desde el original el 16 de noviembre de 2020. Consultado el 16 de noviembre de 2020 .
9. Menn, Joseph (4 de enero de 2023). «Zatko, denunciante de Twitter, consigue un nuevo trabajo en una empresa de consultoría de seguridad». The Washington Post . Archivado desde el original el 5 de enero de 2023. Consultado el 4 de enero de 2023 .
10. "Otros caminos - Berklee College of Music". Berklee.edu . Archivado desde el original el 10 de octubre de 2014. Consultado el 1 de octubre de 2014 .
11. "L0pht Heavy Industries Services". insecure.org . Archivado desde el original el 3 de septiembre de 2006. Consultado el 24 de agosto de 2006 .
12. Perrigo, Billy; Chow, Andrew R.; Bergengruen, Vera (25 de agosto de 2022). "El denunciante de Twitter necesita que confíes en él". Time . Archivado del original el 31 de enero de 2023. Consultado el 31 de enero de 2023. Después de graduarse, dividió su tiempo entre tocar en clubes con su banda de metal progresivo Raymaker, trabajo de soporte técnico a tiempo parcial y trabajar con un "think tank" de hackers de alto perfil llamado L0pht (pronunciado Loft) para exponer fallas de seguridad corporativas. Pronto se convertiría en su miembro más destacado y se unió a una cooperativa de hackers conocida como Cult of the Dead Cow.
13. Kovacs, Eduard (18 de octubre de 2021). "La herramienta de auditoría de contraseñas L0phtCrack se lanzó como código abierto". SecurityWeek . Archivado desde el original el 31 de enero de 2023 . Consultado el 31 de enero de 2023 . L0phtCrack fue desarrollado originalmente por Peiter Zatko, también conocido como Mudge, del grupo de expertos en hackers L0pht.
14. "Archivos de DEF CON V". www.defcon.org . Archivado desde el original el 14 de junio de 2006. Consultado el 18 de abril de 2006 .
15. "USENIX - The Advanced Computing Systems Association" (Asociación de sistemas informáticos avanzados). www.usenix.org . Archivado desde el original el 24 de septiembre de 2006. Consultado el 18 de abril de 2006 .
16. "CULTO A LA VACA MUERTA: CULTO A LA VACA MUERTA". Culto a la Vaca Muerta . Archivado desde el original el 17 de abril de 2006. Consultado el 18 de abril de 2006 .
17. "Comunicados de prensa". 31 de marzo de 2005. Archivado desde el original el 31 de marzo de 2005.
18. "El conocido 'think tank de hackers' L0pht se convierte en @stake". Archivado desde el original el 30 de junio de 2004. Consultado el 7 de septiembre de 2018 .
19. Lyngaas, Sean (24 de agosto de 2022). "Conoce al ex ejecutivo de Twitter que denuncia a la empresa | CNN Business". CNN . Archivado del original el 31 de enero de 2023 . Consultado el 31 de enero de 2023 . Thomas, quien, como Zatko, usa su nombre de hacker "Space Rogue" profesionalmente, dijo que él y Zatko "han tenido nuestras diferencias en el pasado", y agregó que fue despedido de @stake, la consultora de ciberseguridad donde Zatko era científico jefe, en 2000.
20. Clinton lucha contra los piratas informáticos con un pirata informático. Archivado el 10 de septiembre de 2005 en Wayback Machine.
21. "El hacker 'Mudge' regresa a BBN". Archivado desde el original el 28 de septiembre de 2007. Consultado el 6 de julio de 2007 .
22. "NFR Security incorpora a los principales expertos de la industria de la seguridad a su consejo asesor tecnológico". Archivado desde el original el 26 de septiembre de 2006 . Consultado el 12 de julio de 2006 .
23. "Google se une a DARPA". Revista Fortune . 14 de agosto de 2014. Archivado desde el original el 1 de octubre de 2014. Consultado el 27 de septiembre de 2014 .
24. "El famoso investigador de seguridad Mudge abandona Google". Recode . 29 de junio de 2015. Archivado desde el original el 3 de julio de 2015 . Consultado el 2 de julio de 2015 .
25. "Military Networking Protocol". 16 de octubre de 2011. Archivado desde el original el 17 de diciembre de 2011. Consultado el 12 de febrero de 2012 .
26. Ackerman, Spencer (31 de agosto de 2010). "El hacker estrella de Darpa busca un Pentágono a prueba de WikiLeaks". Wired . Archivado desde el original el 1 de diciembre de 2013. Consultado el 12 de febrero de 2012 .
27. Entrevista con Julian Assange de WikiLeaks Archivado el 16 de agosto de 2011 en Wayback Machine , Andy Greenberg, Forbes, 29 de noviembre de 2010
28. "Detección de anomalías en múltiples escalas". 16 de octubre de 2011. Archivado desde el original el 21 de enero de 2012. Consultado el 12 de febrero de 2012 .
29. "Amenaza cibernética interna". 27 de agosto de 2011. Archivado desde el original el 11 de enero de 2012. Consultado el 12 de febrero de 2012 .
30. "Conferencia magistral de BlackHat USA 2011". Archivado desde el original el 21 de enero de 2012. Consultado el 12 de febrero de 2012 .
31. Lim, Dawn (14 de noviembre de 2011). «Nuevo programa Fast Track aprueba proyectos de hackers en solo siete días». Revista Wired . Archivado desde el original el 15 de marzo de 2014. Consultado el 12 de febrero de 2012 .
32. Zatko, Peiter. "Mudge vuelve a DARPA como CIO". X.cpm . Consultado el 7 de agosto de 2024 .
33. Moss, Sebastian (7 de agosto de 2024). "El denunciante de Twitter Peiter 'Mudge' Zatko nombrado director de TI de DARPA". Data Centre Dynamics Ltd.
34. Vincent, James (23 de agosto de 2022). «El exjefe de seguridad de Twitter dice que la empresa mintió sobre los bots y la seguridad». The Verge . Archivado desde el original el 25 de agosto de 2022. Consultado el 23 de agosto de 2022 .
35. Liam Tung, "Peiter 'Mudge' Zatko: CSO-turned-whistleblower dice que la seguridad de Twitter estaba en ruinas", 24 de agosto de 2022, ZDnet https://www.zdnet.com/article/peiter-mudge-zatko-cso-turned-whistleblower-says-twitter-security-was-in-a-shambles/ Archivado el 29 de agosto de 2022 en Wayback Machine.
36. "Twitter reestructura su equipo de seguridad". The New York Times . 21 de enero de 2022. Archivado desde el original el 23 de agosto de 2022 . Consultado el 23 de agosto de 2022 .
37. Chow, Andrew R.; Bergengruen, Vera; Perrigo, Billy (23 de agosto de 2022). «'Deficiencias atroces', bots y agentes extranjeros: las mayores acusaciones del denunciante de Twitter». Time . Archivado desde el original el 24 de agosto de 2022 . Consultado el 24 de agosto de 2022 .
38. "Un denunciante de Twitter denuncia 'graves deficiencias' en las medidas de seguridad". The Guardian . 23 de agosto de 2022. Archivado desde el original el 27 de mayo de 2024 . Consultado el 23 de agosto de 2022 .
39. Menn, Joseph; Dwoskin, Elizabeth; Zakrzewski, Cat (23 de agosto de 2022). «Exjefe de seguridad afirma que Twitter ocultó 'deficiencias atroces'» . The Washington Post . Archivado desde el original el 23 de agosto de 2022 . Consultado el 23 de agosto de 2022 .
40. Siddiqui, Faiz; Dwoskin, Elizabeth (23 de agosto de 2022). «Nuevas acusaciones de denunciantes podrían ser un factor en el juicio entre Twitter y Musk» . The Washington Post . Archivado desde el original el 23 de agosto de 2022. Consultado el 23 de agosto de 2022 .
41. Bursztynsky, Jessica (16 de mayo de 2022). «El director ejecutivo de Twitter explica cómo la empresa lucha realmente contra los robots de spam en respuesta a Musk». CNBC . Archivado desde el original el 16 de mayo de 2022 . Consultado el 28 de mayo de 2022 .
42. Lombardo, Cara (8 de septiembre de 2022). "Twitter acordó pagarle a un denunciante aproximadamente 7 millones de dólares en el acuerdo de junio" . The Wall Street Journal . Archivado desde el original el 8 de septiembre de 2022.
43. Bond, Shannon; Dillion, Raquel Maria (13 de septiembre de 2022). "Twitter puede haber contratado a un espía chino y otras cuatro conclusiones de la audiencia del Senado". NPR . Archivado desde el original el 15 de septiembre de 2022.
44. Dang, Sheila; Shepardson, David (13 de septiembre de 2022). "Un denunciante de Twitter revela que los empleados están preocupados porque un agente chino podría recopilar datos de los usuarios". Reuters . Archivado desde el original el 15 de septiembre de 2022.
45. Perrigo, Billy; Chow, Andrew R.; Bergengruen, Vera (25 de agosto de 2022). "El denunciante de Twitter necesita que confíes en él". Time . Archivado desde el original el 26 de agosto de 2022. Consultado el 26 de agosto de 2022 .
46. "Mudge recibe el premio más alto otorgado por la Oficina del Secretario de Defensa a un civil que no es de carrera". Twitter . Archivado desde el original el 30 de enero de 2015 . Consultado el 28 de septiembre de 2014 .
47. Moscaritolo, Angela (1 de diciembre de 2011). «SC Magazine Top 5 Influential IT Security Thinkers of 2011» (Los 5 pensadores más influyentes en seguridad informática de 2011 según SC Magazine) . Archivado desde el original el 9 de marzo de 2012. Consultado el 12 de febrero de 2012 .
48. "BBN Technologies' Peiter "Mudge" Zatko Honored With Boston Business Journal '40 Under 40' Award". Comunicado de prensa de BBN . 15 de octubre de 2007. Archivado desde el original el 5 de julio de 2014 . Consultado el 27 de septiembre de 2014 .
49. "Vulnerabilidades de desbordamiento de búfer en Crontab, octubre de 2001". Archivado desde el original el 3 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
50. "Criptoanálisis inicial del algoritmo RSA SecurID" (PDF) . Archivado (PDF) del original el 10 de octubre de 2015 . Consultado el 28 de septiembre de 2014 .
51. "Reseña del producto NMRC L0pht Antisniff". Archivado desde el original el 4 de marzo de 2015. Consultado el 28 de septiembre de 2014 .
52. "Seguridad OpenNET: Aviso L0pht: initscripts-4.48-1 RedHat Linux 6.1". www.opennet.ru . Archivado desde el original el 10 de enero de 2016. Consultado el 28 de septiembre de 2014 .
53. "Aviso de L0pht: Cactus Software desofusca y recupera código de shell". Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
54. "[email protected]: [10792] en bugtraq". diswww.mit.edu . Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
55. "Aviso de l0phtwatch". Archivado desde el original el 4 de marzo de 2016. Consultado el 28 de septiembre de 2014 .
56. "Revelación de hash de NT Password Appraiser". Archivado desde el original el 17 de abril de 2013. Consultado el 28 de septiembre de 2014 .
57. "Vulnerabilidad en la ruta del troyano IFS". Archivado desde el original el 4 de marzo de 2016. Consultado el 28 de septiembre de 2014 .
58. ".:: Revista Phrack ::". phrack.org . Archivado desde el original el 10 de octubre de 2014 . Consultado el 28 de septiembre de 2014 .
59. "BuddhaLabs/PacketStorm-Exploits". GitHub . Archivado desde el original el 10 de enero de 2016 . Consultado el 28 de septiembre de 2014 .
60. "Divulgación de información sobre volcado de memoria de IMAP". Archivado desde el original el 4 de marzo de 2016. Consultado el 28 de septiembre de 2014 .
61. "Vulnerabilidades en el cifrado de contraseñas de Microsoft". Archivado desde el original el 11 de febrero de 2017. Consultado el 28 de septiembre de 2014 .
62. "Explotación de la libc en Solaris 2.5". Archivado desde el original el 3 de abril de 2013. Consultado el 28 de septiembre de 2014 .
63. "Exploit de Modstat". insecure.org . Archivado desde el original el 23 de septiembre de 2015. Consultado el 28 de septiembre de 2014 .
64. "Fuga de memoria remota de Kerberos 4 en L0pht". Archivado desde el original el 10 de enero de 2016. Consultado el 28 de septiembre de 2014 .
65. "Vulnerabilidad de desbordamiento de búfer en GECOS en Sendmail 8.7.5". Archivado desde el original el 3 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
66. "vulnerabilidad en inventario remoto a través de test-cgi". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
67. "Debilidades en el sistema de autenticación SecurID (RSA Token)". Archivado desde el original el 4 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .
68. "Descifrador de contraseñas S/Key". Archivado desde el original el 3 de marzo de 2016 . Consultado el 28 de septiembre de 2014 .

Enlaces externos

• L0phtCrack, software para descifrar contraseñas