Zašto je Facebook ruskom hakeru isplatio rekordni honorar?

26. siječnja 2017. Ekaterina Sineljščikova
Tko su "bijeli hakeri", kako hakirati Facebook i što ne biste trebali raditi sa svojim lozinkama ispričao je stručnjak za računalnu sigurnost Andrej Leonov.
Facebook CEO Mark Zuckerberg
Mark Zuckerberg / Izvor: Reuters

Andrej Leonov je osoba kojoj je društvena mreža Facebook isplatila rekordni honorar - 40 tisuća dolara - za otkrivanje slabosti sustava zaštite. Vijest o tome da je ruski haker provalio u najveću društvenu mrežu i za to dobio nagradu objavili su brojni svjetski mediji. Leonov na to uporno ponavlja: "Ja nisam haker, ja sam stručnjak za računalnu sigurnost".

Razlika je u tome što Leonov igra na strani "bijelih" – on otkriva slabosti u programima i o njima informira proizvođače softvera. "Glavno pravilo istraživača je ne ići duboko. Hakeri idu dalje, a istraživači nalaze 'ulaznu točku' i kažu 'eto, dalje to rješavajte sami'", ispričao je Leonov u intervjuu za RBTH Hrvatsku.

Andrej je odrastao u Sankt-Peterburgu, studirao je na tehničkom fakultetu i sad ima "preko trideset" – ne želi se puno zadržavati na svojoj dobi, jer ne želi razgovarati o politici i skandalima oko hakiranja Demokratske stranke i ruskim grupama koje su navodno stajale iz toga. "Danas ljude plaše ruskim hakerima kao votkom i medvjedima. Neki ljudi trebaju neprijatelja kako bi nešto opravdali. A nevidljivi neprijatelj je vrlo pogodan", smatra Leonov.

To što je on sam napravio za Facebook je samo hobi, kaže Leonov. "Ja radim sam. Netko igra poker, netko ide u ribolov. Ja tražim slabosti."

Ruske "cyber trupe" ušle u top 5 najboljih specijalnih snaga na svijetu

Veliki bug

"Veliki bug odgovornog izvjestitelja koji je dobio 40 tisuća dolara", napisao je 17. siječnja na Twitteru voditelj odjela Facebooka za informacijsku sigurnost Alex Stamos. "Drago mi je da sam jedan od onih ljudi koji su provalili u Facebook", napisao je Leonov na svom blogu nakon što je saznao za nagradu; najveći honorar prije njega od društvene je mreže 2014. godine dobio brazilski istraživač sigurnosti Reginaldo Silva. Honorar je iznosio 33,5 tisuća dolara.

U travnju prošle godine drugi su istraživači otkrili ranjivost u jednom od najčešćih programskih paketa za obradu slika - ImageMagicku. On se koristi za smanjivanje i konvertiranje lika u novostima na Facebooku.

Leonov je obratio pažnju na to da akcija "dijeljenja novosti na Facebooku" uzima naslovnu sliku novosti od strane servera. Pritom se ispostavilo da niti Facebook niti biblioteka ImageMagick nisu provjeravali je li preuzeta datoteka zaista u formatu JPEG ili u nekom drugom. "Kada sam to primijetio, nisam mogao ne provjeriti taj problem – da neki servis, u ovom slučaju Facebook, obrađuje ono za što smatra da je slika, kojom ja mogu upravljati i čiji sadržaj mogu promijeniti", priča Leonov.

Prema klasifikaciji međunarodnog sigurnosnog konzorcija OWASP, ova slabost ima najviši rejting. Njezina opasnost u velikoj mjeri ovisi o tome gdje se koristi kod. "Zamislimo da je računalo izolirano od interneta i čitave infrastrukture kompanije. Izvršavanje koda na njemu nije baš dobro, no nije fatalno. No ako se radi o računalu koje ima pristup korisničkoj bazi podataka – to je jako loše", objašnjava Leonov. Kontaktirao je tehničku podršku društvene mreže i pogreška je ispravljena u studenom 2016.

 

Nikakve trodimenzionalne vizualizacije!

Leonov trenutno radi u odjelu za sigurnost u međunarodnoj IT kompaniji SEMrush koja razvija alate za online marketing, a u slobodno vrijeme radi na crowdsourcing platformama, na kojima tvrtke objavljuju najave ispitivanja proizvoda. Na platformi Bugcrowd Leonov je među 100 najboljih istraživača. Među klijentima te i drugih platfromi su kompanije kao što su General Motors, Uber, Yahoo, Pinterest i Mail.ru.

Leonov kaže kako ga nakon pronalaska slabosti u Facebooku nisu počele obasipati ponude za posao i da će "ostati isti onaj čovjek kakav je bio".

On ne vjeruje u posebnu rusku školu ili ruski potpis – to su jednostavno pametni ljudi koji se rađaju svugdje na svijetu. A slabosti mogu biti bilo gdje, kaže on: "Ja koristim običan set internetskih servisa, kao i bilo koji drugi čovjek. Na primjer, nemam Instagram, ne jer je on loš, već jer ja jednostavno ne fotografiram hranu niti sebe u liftu."

"Uznemirava me činjenica da prosječni korisnik ima maksimalno tri lozinke: jednu za gluposti, jednu za važne stranice i jednu za najvažniju elektroničku poštu s kojom su povezani svi ostali računi. Tri – u najboljem slučaju", kaže Leonov.

Facebook nije njegov najveći uspjeh, već je imao sličnih "pobjeda", no o njima ne želi govoriti i uvjerava nas da je u stvarnosti traženje slabosti prilično dosadan proces. "Nema nikakvih trodimenzionalnih vizualizacija kao u filmovima o hakerima", smije se Leonov.

+
Like us on Facebook