Adam Ziaja

Adam Ziaja

Adam Ziaja (urodzony 27 września 1986) to polski inżynier, specjalista w dziedzinie cyberbezpieczeństwa oraz kryminalistyki cyfrowej, a także biegły sądowy z zakresu informatyki wpisany na listę Sądu Okręgowego w Warszawie. Jego obszar specjalizacji obejmuje m.in. informatykę śledczą, analizę powłamaniową, hacking oraz cyberprzestępczość. Jest również prezesem zarządu polskiej firmy RED TEAM, która działa w dziedzinie cyberbezpieczeństwa.

Życiorys

W 2008 roku, w nieistniejącym już magazynie Xploit, wydawanym przez Linux New Media AG, opublikował swój pierwszy artykuł dotyczący cyberbezpieczeństwa pt. Niebezpieczny Livebox, w którym szczegółowo opisał możliwości zdalnego włamania do routerów Livebox Neostrady.

Od 2012 roku odkrył wiele podatności w oprogramowaniu znanych międzynarodowych firm, które odpowiedzialnie zgłosił, otrzymując podziękowania na oficjalnych stronach, m.in. od: Acquia, Adobe (2014), Apple (2012), Base CRM (2013), BlackBerry (2013), Deutsche Telekom, GitLab (2013), iFixit (2012), LastPass, Netflix (2013), Nokia (2013), Prezi, ShareLaTeX, SoundCloud, Uniwersytet Harvarda, Yandex (2013), Zynga (2012), a także w polskich firmach takich jak: Onet.pl (2013), interia.pl (2014), Wirtualna Polska (2013), Empik (2013) oraz Home.pl (2013). Był jednym z pierwszych bug hunterów, którzy zgłaszali błędy zgodnie z polityką responsible disclosure, różniącą się od full disclosure, gdzie haker publicznie ujawnia szczegóły podatności.

Od 2013 roku jest członkiem organizacji non-profit MalwareMustDie, która walczy z międzynarodową cyberprzestępczością.

W latach 2013–2014 był współautorem wielu materiałów edukacyjnych dla Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), skierowanych do zespołów CSIRT.

W 2014 roku brał udział w zespole ComCERT SA, który zdobył pierwsze miejsce podczas największych cywilnych ćwiczeń w zakresie ochrony cyberprzestrzeni, organizowanych przez ENISA w ramach Cyber Europe.

W 2017 roku ukazała się jego książka pt. Praktyczna analiza powłamaniowa, wydana przez Wydawnictwo Naukowe PWN, która wywołała duże zainteresowanie w środowisku związanym z cyberbezpieczeństwem. Publikacja ta koncentruje się na informatyce śledczej i reagowaniu na incydenty cybernetyczne.

W 2019 roku opublikował serię artykułów dotyczących ataku badWPAD, który miał miejsce na dużą skalę, w tym również w Polsce. Umożliwił przejęcie domen WPAD, co pozwoliło na przeprowadzenie ataku przy użyciu kolizji DNS. Otrzymał za to podziękowania od europejskich zespołów reagowania na incydenty, w tym od CERT Polska, estońskiego CERT-EE oraz łotewskiego CERT.LV. Badanie zostało także wyróżnione przez amerykański Instytut SANS oraz CERT Orange.

Jest współautorem wielu badań oraz publikacji dotyczących technicznych aspektów cyberbezpieczeństwa, w tym napisał rozdział Bezpieczeństwo aplikacji webowych w książce Przestępczość teleinformatyczna 2014, wydanej przez Wyższą Szkołę Policji w Szczytnie, oraz jest współautorem poradnika Bezpieczeństwo IT w kancelarii, opublikowanego przez stowarzyszenie ISSA Polska pod patronatem Naczelnej Rady Adwokackiej.

Od wielu lat jest prelegentem na konferencjach dotyczących cyberbezpieczeństwa, takich jak naukowa konferencja Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT), organizowana przez Wyższą Szkołę Policji w Szczytnie, Security Case Study Fundacji Bezpieczna Cyberprzestrzeń, Sekurak Hacking Party, PolCAAT Instytutu Audytorów Wewnętrznych IIA Polska, Wymiana Doświadczeń w Zakresie Bezpieczeństwa Informacji organizowana przez TÜV NORD Polska, a także CSO Council.

Obecnie pełni funkcję prezesa zarządu oraz konsultanta w polskiej firmie RED TEAM, która specjalizuje się w cyberbezpieczeństwie.

Publicznie zgłoszone podatności

  • CVE-2019-10677 – Reflected i Stored Cross-Site Scripting (XSS) we wszystkich modelach routerów DASAN Zhone ZNID
  • CVE-2015-2149 – Stored Cross-Site Scripting (XSS) w aplikacji MyBB
  • CVE-2014-1695, CVE-2014-2554 – Stored Cross-Site Scripting (XSS) oraz Clickjacking w aplikacji OTRS
  • Podatność Server-Side Request Forgery (SSRF) w oprogramowaniu GeoNode (2013), używanym przez Uniwersytet Harvarda

Przypisy

Linki zewnętrzne

Strona domowa Adama Ziaji (prezentacje, publikacje)