Зашто је руски хакер добио 40.000 долара од Фејсбука?

Директор Фејсбука Марк Цукерберг.

Директор Фејсбука Марк Цукерберг.

Reuters
Чиме се баве „бели“ хакери, како провалити у Фејсбук и шта свакако не треба радити са својим шифрама – о свему томе прича експерт за сајбер-опасност Андреј Леонов.

Андреј Леонов је човек коме је друштвена мрежа Фејсбук исплатила рекордни хонорар од 40.000 долара за пронађену грешку у програмском коду. Многи медији су саопштили вест да је руски хакер провалио у највећу друштвену мрежу и за то добио награду. Леонов упорно понавља: „Ја нисам хакер, ја сам стручњак за сајбер-безбедност". 

Разлика је у томе што он игра на страни „белих“, тј. налази грешке у програмима, и обавештава о томе њихове власнике. „Главно правило приликом истраживања је да се не залази дубоко. Хакери зађу даље, а истраживачи као ја пронађу ’тачку уласка’ и кажу: ’ето толико, даље проверавајте сами’“, испричао је Леонов у интервјуу за „Руску реч“.

 

 

Андреј је одрастао у Санкт Петербургу и студирао на техничком факултету. Сада већ има преко тридесет година, али не жели да говори о свом узрасту, као ни о политици, аферама везаним за хакерске нападе на Демократску странку САД и информацијама да иза тих напада тобоже стоје руски хакери. „Руски хакери им сада служе за застрашивање, као вотка и медведи. Појединим људима је потребан непријатељ да би оправдали неке своје потезе. А невидљиви непријатељ је веома згодан“, сматра Леонов.

Оно што је он самостално урадио за Фејсбук је једноставно хоби, тврди Леонов: „Ја радим самостално. Неко игра покер, неко пеца рибу, а ја тражим грешке у програмима“.

Велики баг

„Одговорни известилац је саопштио о великом багу и добио 40.000 долара“ – такву поруку је 17. јануара на Твитеру написао руководилац одељења за информациону безбедност Фејсбука Алекс Стамос. „Драго ми је што сам један од оних који су провалили у Фејсбук“, написао је Леонов у свом блогу, када је сазнао да је добио награду од компаније. Пре њега је највећи хонорар од ове друштвене мреже износио 33,5 хиљада долара. Њега је 2014. године добио бразилски истраживач безбедности Режиналдо Силва.

У априлу прошле године други истраживачи су открили грешку на ImageMagic, једном од распрострањених модула за обраду слика. Помоћу њега се, на пример, врши подешавање величине и конвертовање слика у вестима на Фејсбуку.

Леонов је обратио пажњу да опција „проширити вест на Фејсбуку“ узима насловну слику вести са трећих сервера. При томе се испоставило да Фејсбук, а утолико пре бибилиотека ImageMagic, не проверава да ли је тај преузети фајл заиста у формату JPEG, или је то нешто друго. „Када сам то приметио могао сам да не проверим тај проблем. А проблем је у томе што један сервис, у овом случају Фејсбук, обрађује нешто што он третира као слику, а чиме ја могу да управљам, и чији садржај могу да мењам“, рекао је он.

Према класификацији међународног конзорцијума за безбедност OWASP, такав баг има највиши рејтинг. Али његова опасност у великој мери зависи од тога где се тај код реализује. „Замислимо да је компјутер изолован од интернета и читаве инфраструктуре компаније. Извршавање кода на њему није добро, али није ни погубно. Међутим, ако је то компјутер који има приступ бази података корисника – онда је то веома лоше“, истакао је Леонов. Он се повезао са техничком подршком друштвене мреже и грешка је исправљена у новембру 2016. године.

Хакерска 3D визуализација – само на филму

Сада Леонов ради у одељењу за безбедност међународне IT компаније SEMrush, која прави инструменте за онлајн маркетинг, а слободно време проводи на краудсорсинг платформама, где компаније размештају огласе за тестирање производа. На платформи Bugcrowd Леонов спада међу 100 најбољих истраживача, а међу клијентима ове и других платформи има и других компанија као што су General Motors, Uber, Yahoo, Pinterest и Mail.ru.

Леонов тврди да после проналаска грешке у програму Фејсбука није био затрпан пословним понудама или наруџбинама, и да ће „остати оно што је био“.

Он не верује у неку посебну руску школу или руске методе. Постоје паметни момци који се свуда рађају. А багови су могући свуда, тврди он: „Ја користим уобичајене интернет сервисе које користи свако. На пример, немам Инстаграм, али не зато што је он лош, него једноставно не фотографишем своју храну и самога себе у лифту“.

„Иритира ме сама чињеница да просечан корисник има највише три шифре, једна је за свакојаке ситнице, друга за важне сајтове, а трећа је шифра од најважније поште помоћу које су регистровани сви остали налози. И то је тако у најбољем случају“, каже Леонов.

Говорећи о свом хобију тврди да је у стварности тражење багова веома досадан процес и да није нимало атрактиван. „Нема никаквих 3D визуализација као у филмовима о хакерима“, каже Леонов са осмехом.

Свако, па и делимично копирање материјала Russia Beyond без писмене дозволе и линка на оригинални текст објављен на веб-сајту Russia Beyond третира се као грубо кршење закона о ауторским правима Руске Федерације. Russia Beyond и медијски холдинг RT задржавају право реаговања на сличне противправне радње и покретања судског поступка.