Премия

Голосование за номинантов

Вернуться к списку номинантов
Александр Песляк

Александр Песляк

За создание OSS-Security

Александр Песляк, лучше известный как Solar Designer, является основателем проекта и компании Openwall, нацеленных на повышение безопасности открытого ПО. Александр был у истоков ряда подходов к (защите от) эксплуатации уязвимостей (в частности, в 1997 впервые привнес защиту от исполнения кода из областей данных на платформу Linux и архитектуру x86, и тогда же впервые продемонстрировал атаку return-to-libc, начавшую переход от внедрения к заимствованию кода и к защите от этого). Вместе с коллегами, Александр является (со)автором многих разработок, включая известный инструмент для аудита и восстановления паролей John the Ripper (опубликован в 1996 и продолжает активно развиваться как открытый проект с участием сообщества), дистрибутив Openwall GNU/*/Linux (продемонстрировавший возможность отказа от SUID-программ в Unix-подобной системе без сокращения функциональности для непривилегированных пользователей, что к сожалению оказалось не востребовано большинством других дистрибутивов, но вошло в базовую систему ALT Linux), масштабируемую схему хеширования паролей yescrypt (внедренную в ряде крупных "Интернет-компаний" и ставшую выбором по умолчанию в libxcrypt и в дистрибутивах ALT Linux, Debian 11 и Fedora 35+), а также модуль Linux Kernel Runtime Guard (LKRG) для контроля целостности и защиты от эксплуатации уязвимостей ядра. Базируясь на опыте участия в ныне ушедших в прошлое Bugtraq и vendor-sec, и стараясь не повторять их ошибки, Александр поддерживает списки рассылки oss-security и (linux-)distros, активно используемые для (координации) публикации информации об уязвимостях в открытом ПО, при этом не позволяя такой информации оставаться неопубликованной более 14 дней. Среди участников - многие известные дистрибутивы Linux и других открытых систем. К безопасности относится прагматично и скептически, не забывая что она не является самоцелью, подвергая сомнению устоявшиеся практики ее обеспечения и принимая неидеальность решений. Как истинный сапожник с ограниченными ресурсами, сам зачастую без сапог - сообществу и клиентам они нужнее. Предпочитает внимание к своей деятельности, а не персоне, и до последнего не добирался написать о себе в третьем лице для такой странной цели, хотя к HighLoad относится с большим уважением и, после некоторых раздумий, отказывать не стал. Выступал с докладами на международных конференциях и уже как-то выиграл пони, для чего не требовалось ни подтверждать номинацию, ни писать о себе самому - это ощущалось правильнее.