Black Hat-deltagare: Sponsrad session var ‘Snake Oil Crypto’

Black Hat-deltagare: Sponsrad session var 'Snake Oil Crypto'

LAS VEGAS — SĂ€kerhetskonferensen i Black Hat Ă€r inte frĂ€mmande för kontroverser, men det Ă€r vanligtvis begrĂ€nsat till djĂ€rva hack eller uppvĂ€rmda debatter om integritet. I Ă„r drog en sponsrad session hĂ„n frĂ„n deltagare som hĂ€vdar att det var lite mer Ă€n pseudovetenskap, och upproret fick Black Hat-arrangörerna att ta bort innehĂ„llet frĂ„n webbplatsen.

Black Hat Bug Art

Black Hat rĂ€knar ut sig sjĂ€lv som en ledande samling av sĂ€kerhetsforskare och industrin och erbjuder utbildningar och omfattande samtal om sĂ€kerhetsfrĂ„gor; Vi har skrivit om flera under den senaste veckan. Black Hat erbjuder ocksĂ„ sponsrade sessioner. Det hĂ€r Ă€r samtal som hĂ„lls av företag i sĂ€kerhetsbranschen – vanligtvis stora namn som RSA, AWS, Bitdefender och andra – och listas separat frĂ„n de sessioner som presenteras av forskare.

Regelbundna sessioner pÄ Black Hat mÄste samlas med organisationens granskningskommitté, men det verkar inte vara fallet för sponsrade sessioner.

Namnet pĂ„ den sponsrade sessionen i frĂ„ga Ă€r ganska munfull: “The Discovery of Quasi-Prime Numbers 2019: What Does This Mean For Encryption?” Det presenterades av Robert E. Grant, och företaget noterades som Crown Sterling. Enligt Crown Sterling-webbplatsen Ă€r Grant “grundare, styrelseordförande och verkstĂ€llande partner för Strathspey Crown LLC, ett tillvĂ€xtaktiebolag med sĂ€te i Newport Beach, Kalifornien med en bred portfölj av företags- och tillgĂ„ngsinnehav som omfattar sjukvĂ„rd, ren energi, social media och finansiell teknik. ” Webbplatsen noterar ocksĂ„ att han Ă€r “en skicklig skulptör.”

Den hÀr reportern kunde inte delta i sessionen, men om det Àr nÄgot som den hÀr videon frÄn Crown Sterlings YouTube-konto, Àr det verkligen mind-bending.

Denna reporter har inte heller en bakgrund inom avancerad matematik, men pÄstÄendena i videon Àr förvirrande.

En av publiken för Grants föredrag var Jean-Philippe Aumasson, som har en doktorsexamen. inom kryptografi och Àr grundaren av Teserakt.

Aumasson mötte Crown Sterling först nĂ€r han sĂ„g ovanstĂ„ende video för nĂ„gra veckor sedan. Efter att ha undersökt företagets webbplats beskrev han att den hade “alla tecken pĂ„” ormolja “-krypto: extravaganta pĂ„stĂ„enden, total brist pĂ„ erfarenhet inom domĂ€nen, ingen teknisk dokumentation, ingen testbar programvara, inga referenser.”

“InnehĂ„llet i tidningen och de sĂ„ kallade upptĂ€ckterna Ă€r antingen 1) uppenbara, vĂ€lkĂ€nda matematiska egenskaper som alla gymnasieelever lĂ€tt skulle kunna hitta, eller 2) helt felaktiga”, sĂ€ger Aumasson. Till exempel berĂ€ttade Aumasson för PCMag att under Black Hat-samtalet tog Grant kredit för en upptĂ€ckt som först tillskrevs den grekiska matematikern Eratosthenes.

Sammanfattningen för Grants sponsrade session nĂ€mner att hans “matematiska upptĂ€ckt nyligen publicerades genom Cornell University.” Ett pressmeddelande frĂ„n Crown Sterling förtydligar att artikeln publicerades pĂ„ arXiv.org, ett arkiv för akademiska artiklar som förvaltas av Cornell University. Papper om arXiv Ă€r inte peer-reviewed.

Senior sĂ€kerhetsforskare Mark Carney kom ocksĂ„ över Grants tidning i april och var förbryllad. En doktorsexamen student skrev Carney upp ett kritiskt svar. Även om det inte Ă€r peer-reviewed, Ă€r Carney sĂ€ker pĂ„ sin analys. “Jag visste att om jag hade fel sĂ„ var det mycket, mycket osannolikt att det skulle bero pĂ„ att Grant hade rĂ€tt.”

Carney var djupt skeptisk till Grants pĂ„stĂ„ende att ha revolutionerat faktureringsprocessen. “Att sĂ€ga att du har en algoritm som dramatiskt pĂ„skyndar denna process Ă€r ett massivt pĂ„stĂ„ende!” Carney berĂ€ttade för PCMag. “Det Ă€r en sĂ„dan sak som professorer, postdoktorer och doktorander drömmer om.”

Med tanke pĂ„ PCMag sa Carney att Grants arbete Ă€r “saknar nĂ„gon noggrannhet som skulle höja den frĂ„n numerologi.”

Tja, jag antydde ett utkast till förtryck av nÄgra argument som pekade pÄ de stora problemen med Grants papper som han presenterar pÄ @BlackHatEvents. HÀr Àr det utkastet:
Granska senaste Prime Generation-metoder för att bryta kryptografiska nycklarhttps: //t.co/LBohVHuEOK https://t.co/FjTHBioi0Y

– Mark C. (@LargeCardinal) 7 augusti 2019

Aumasson gav flera exempel pĂ„ felaktiga uttalanden frĂ„n Grant under den sponsrade sessionen. Till exempel sa Grant enligt uppgift att all kryptering baseras pĂ„ faktorisering, medan Aumasson förklarade att faktorisering Ă€r “bara kĂ€rnproblemet med RSA [encryption]. “

Aumasson sa ocksĂ„ att Grant hĂ€vdade att han hade en effektiv metod för att kĂ€nna igen primtal, men verkade inte vara medveten om AKS primality-test, en accepterad algoritm för testning av primtal, nĂ€r han frĂ„gades hur hans metod jĂ€mfördes. Grant frĂ„gades enligt uppgift ocksĂ„ varför han inte har lĂ€mnat in sin metod för en akademisk konferens “Han svarade att han tror att han inte behöver”, sĂ€ger Aumasson.

Grant sa ocksĂ„ att elektroner Ă€r frĂ„n det förflutna, positroner Ă€r frĂ„n framtiden. “SĂ„, för att sammanfatta, det Ă€r kryptos platta jordare,” sa Aumasson och hĂ€nvisade till mĂ€nniskor som trots alla tillgĂ€ngliga bevis tror att vĂ„r planet Ă€r platt.

Dan Guido, VD för Trail of Bits, deltog ocksĂ„ vid Grants sponsrade session. I videon nedan kan han höras konfrontera Grant. Guido sa till PCMag att presentationen uppgick till “ordsoppa”.

“De lurar mĂ€nniskor. De Ă€r hĂ€r för att anvĂ€nda Black Hat för att lura folk att ge dem pengar”, sa Guido till PCMag. “Andra mĂ€nniskor i publiken försökte resonera med dem, att matematiken inte stĂ€mmer, etc., men de bryr sig inte om det. Det Ă€r stötande och de borde inte fĂ„ nytta av att anvĂ€nda vĂ„ra namn och vĂ„rt evenemang. att begĂ„ bedrĂ€geri.

“De Ă€r inte hĂ€r för att prata med nĂ„gon i en Ă€rlig konversation. De mĂ„ste jagas ut ur evenemanget och utsĂ€ttas för vad de Ă€r.”

Jag skrek Ät Time AI-killen. Det Àr ok att bli arg pÄ nÄgon som försöker skada mÀnniskor. Jag blev chockad över att fler inte har gjort detsamma. https://t.co/Mwe7yrihgk

– Dan Guido (@dguido) 8 augusti 2019

“Jag vill att det lĂ€tt kan upptĂ€ckas pĂ„ Google att detta företag Ă€r ett bedrĂ€geri”, sa Guido till PCMag. “Jag hoppas ocksĂ„ att Black Hat skĂ€rmar sina sponsorer för tydliga tecken pĂ„ bedrĂ€geri.”

Detta företag kommer att anvÀnda foton och video frÄn @BlackHatEvents för att legitimera sig i flera mÄnader. Blackhat bör utöva upphovsrÀtt över sin logotyp för att ta ner allt. https://t.co/GKrNIjoolZ

– Dan Guido (@dguido) 8 augusti 2019

Crown Sterling och Robert Grant svarade inte omedelbart pÄ PCMags begÀran om kommentarer.

Medan Aumasson ansĂ„g att den sponsrade sessionen var utan rigorös, vetenskaplig merit, tror han inte att Black Hat-arrangörerna Ă€r skyldiga. “Det Ă€r olyckligt att fĂ„ sĂ„dana clowner att fĂ„ en mikrofon”, sa Aumasson. Han betonade att det inte Ă€r ovanligt att konferenser erbjuder tid till företag som sponsrar dem, och Black Hat markerade tydligt Grants talade som en sponsrad session.

“Jag klandrar inte [Black Hat] alls för det, och det Ă€r ett marginellt fall, sĂ„ Ă„terigen inte sĂ€ker pĂ„ att de behöver vidta Ă„tgĂ€rder, “sa han.” Och ja, det var ett gott skratt. “

Black Hat-arrangörerna sa till PCMag: “Vi Ă€r medvetna om situationen med Crown Sterling-samtalet och kommer att ta bort det frĂ„n vĂ„r webbplats sĂ„ snart som möjligt. InnehĂ„ll som diskuteras i Black Hat-sponsrade sessioner bestĂ€ms av den enskilda sponsorn, men vi arbetar att genomföra en starkare kontrollprocess framĂ„t för att undvika att detta hĂ€nder i framtiden. “

I skrivande stund har Crown Sterling-material tagits bort frÄn Black Hat-webbplatsen.