Рускиот хакер кој доби 40.000 долари од Фејсбук

Со што се занимаваат „белите хакери“, како да се пробие Фејсбук и што не треба да се прави со своите лозинки раскажува експертот за сајбер-безбедност Андреј Леонов.
Facebook CEO Mark Zuckerberg
Извор: Ројтерс

Андреј Леонов е човекот кому социјалната мрежа Фејсбук му испрати рекорден хонорар од 40.000 американски долари за пронајдената грешка. Веста за тоа дека рускиот хакер ја пробил најголемата социјална мрежа и добил за тоа награда беше објавена во многу светски медиуми. Како одговор на тоа Леонов настојчиво одговара „Јас не сум хакер, јас сум специјалист за сајбер-безбедност“.

Разликата е во тоа што тој игра на страната на „белите“ односно наоѓа грешки во програмите и им ги кажува на програмерите. „Главно правило кај истражувачите е да не навлегуваат длабоко. Хакерите ќе појдат подлабоко, а истражувачите ќе ја најдат „точката на влезот“ и велат „толку, понатаму самите продолжете“, вели Леонов во интервју за „Руска реч на македонски“.

Андреј израснал во Санкт Петербург, се школувал на технички факултет и сега има „повеќе од триесет“ – на оваа возраст тој не сака да привлекува внимание, не сака да зборува за политиката за скандалот со пробивањето на Демократската партија и наводната руска група која стои зад ова. „Со руските хакери сега плашат како со вотка и со мечки. На некои луѓе им е потребен непријател за да се оправдаат некои чекори. А, невидливиот непријател е многу згоден“, смета Леонов.

Она што тој самиот го направил за Фејсбук е едноставно хоби, уверува Леонов. „Јас работам самостојно. Некој игра покер, некој оди на риболов. Јас барам багови“.

Голем баг

„Голем баг од одговорен корисник кој доби 40.000 американски долари“, ваква порака на 17 јануари на Твитер остави раководителот на одделот за информациска безбедност Алекс Стамос. „Мило ми е да сум еден од оние што го пробиле Фејсбук“, напиша Леонов на својот блог, откако дозна за наградата од компанијата. Пред него најголемиот хонорар од социјалната мрежа изнесува 33.5 илјади американски долари, кои во 2014 година ги доби Бразилецот Рејналдо Силва.

Во април минатата година други истражувачи најдоа баг во еден од модулите за обработка на сликата на ImageMagic. Со негова помош, меѓу другото, се прави големината и се конвертираат сликите на њусфидот на Фејсбук.

Леонов забележал дека функцијата „сподели ја веста на Фејсбук“ ја презема главната слика од веста од други сервери. Притоа излезе дека ниту Фејсбук, а уште повеќе нити библиотеката ImageMagic не проверувале дали навистина закачениот фајл е во формат JPEG или станува збор за нешто друго. „Откако го забележав тоа, не можев да не го проверам проблемот со кој некои сервиси, во случајов Фејсбук, обработува, како што смета тој, слика, со која јас можам да управувам и чија содржина можам да ја менувам“, вели тој.

Според класификацијата на меѓународниот конзорциум за безбедност OWASP ваквите багови имаат највисок рејтинг. Но опасноста во голема мера зависи од тоа каде се извршува овој код. „Да си претставиме дека компјутерот е изолиран од Интернет и од сета инфраструктура на компанијата. Извршувањето на кодот не е многу добро, но не е трагично. А доколку тоа е компјутер кој има пристап до базата на податоци на корисниците – тоа е многу лошо“, забележува Леонов. Тој се поврзал со техничката поддршка на социјалната мрежа и грешката била коригирана во ноември 2016 година.

Без тридимензионални визуелизации!

Сега Леонов работи во одделот за безбедност на меѓународната компанија за иформациска технологија SEMrush која разработува инструменти за онлајн-маркетинг, а во слободно време е на краудсорсинг платформите каде компаниите поставуваат пријави за тестирање на производи. На платформата Bugcrowd Леонов е меѓу 100 истражувачи, а клиенти на оваа и на други платформи се и компаниите General Motors, Uber, Yahoo, Pinterest и Mail.ru.

Тој е уверен дека откако пронашол баг на Фејсбук, тој не добил куп предлози за работа или нарачки, тој „ќе остане истиот како порано“.

Тој не верува во посебна руска школа или посебен потпис, едноставно постојат паметни дечки кои се раѓаат насекаде. А багови се можни насекаде уверува тој. „Јас користам обичен сет на Интернет-сервиси со кои се користи секој човек. Немам Инстаграм, на пример, не зашто е лош, едноставно не фотографирам храна или себеси во лифт“.

„Ме вознемирува фактот дека еден обичен корисник користи максимум три лозинки: за секакви глупости, за важни сајтови, лозинка од најважната пошта на која се регистрирани сите останати акаунти. Три во најдобар случај“, вели Леонов.

Фејсбук не е неговиот најголем успех, слични „победи“ тој имал и порано, но не сака да зборува за нив и е уверен дека неговото хоби, потрагата по багови, е мошне здодевен и неинтересен процес. „Нема никакви тридимензионални визуелизации како во филмовите за хакерите“, се шегува Леонов.

Авторските права на материјалите се во сопственост на редакцијата. При објавувањето на материјали од порталот „Руска реч на македонски“ во друг медиум, задолжително треба да се постави активен линк кон страницата од која е преземен текстот.
+
Лајкнете нѐ на Фејсбук.