Kako je Facebook plačal 40 tisoč dolarjev ruskemu hekerju, da je vdrl v omrežje

Andrej Leonov je oseba, ki je od družbenega omrežja Facebook prejela rekorden honorar za odkritje varnostne luknje, saj so mu izplačali kar 40 tisoč ameriških dolarjev. O tem, da je ruski heker vdrl v največje družbeno omrežje, so poročali številni svetovni mediji. Leonov v svojih odgovorih vztrajno ponavlja: »Jaz nisem heker, sem specialist za računalniško varnost.«

Razlika je v tem, da je on na strani »belih«, kar pomeni, da išče varnostne luknje v programih in sporoča informacije razvijalcem. »Glavno pravilo raziskovalcev je, da ne lezemo pregloboko. Hekerji gredo veliko globlje, raziskovalci pa zgolj najdejo 'vstopno luknjo' in pravijo: 'To je to, naprej se znajdite sami,'« je pojasnil Leonov za Russia Beyond.

Andrej je zrasel v Sankt Peterburgu, študiral je na tehniški univerzi in jih ima zdaj »več kot trideset«. Pri teh letih se ne želi izpostavljati, prav tako ne želi govoriti o politiki ali o škandalih glede vdora v Demokratsko stranko, za katerimi bojda stojijo ruske skupine hekerjev. »Nekoč so strašili z rusko vodko in medvedi, zdaj z ruskimi hekerji. Določeni ljudje potrebujejo sovražnika, da bi upravičili ta ali ona dejanja. Nevidni sovražnik je za to zelo primeren,« meni Leonov.

To, kar je sam naredil za Facebook, je preprosto hobi, zagotavlja Leonov: »Delam samostojno. Nekateri igrajo poker, drugi hodijo lovit ribe. Jaz iščem varnostne luknje.«

Veliki hrošč

»Veliki hrošč odgovornega poročevalca, ki je dobil 40 tisoč $,« je na Twitterju zapisal vodja oddelka za informacijsko varnost pri Facebooku Alex Stamos. »Vesel sem, da sem eden od tistih, ki je vdrl v Facebook,« je napisal Leonov na svojem blogu, ko je izvedel, da ga bo podjetje nagradilo. Do takrat je njegov največji honorar znašal 33500 $, ki ga je dobil od brazilskega iskalca varnostnih lukenj Reginaldo Silva.

Aprila lani so drugi iskalci našli pomanjkljivosti v enem od najbolj razširjenih modulov za obdelavo vizualnih podob ImageMagic. Ta modul se med drugim uporablja pri predimenzioniranju in pretvarjanju podob na Facebookovi strani, kjer se uporabniku prikazujejo nove objave.

Leonov je opozoril, da opcija »deli novico na Facebooku« vzame obliko za naslovno podobo novice z drugih strežnikov. Izkazalo se je, da gre za knjižnico ImageMagic, pri kateri ni bilo mogoče preveriti, ali je naložena datoteka formata JPEG ali katerega drugega. »Ko sem to opazil, sem moral  nujno preveriti problem, kako neka storitev, v tem primeru Facebook, po lastnih merilih obdela sliko, ki jo lahko upravljam in ji spremenim vsebino,« razlaga Leonov.

Po klasifikaciji mednarodnega varnostnega konzorcija OWASP ima takšna varnostna luknja eno od najvišjih ocen. Njena nevarnost je v veliki meri odvisna od tega, kjer se izvršuje koda. »Predstavljajmo si, da je nek računalnik povsem izoliran od interneta in vse infrastrukture podjetja. Koda se na njem slabo izvršuje, a stvar ni nevarna. Če pa gre za računalnik, ki ima dostop do baze podatkov uporabnikov, pa je to zelo slabo,« pravi Leonov, ki je vzpostavil stik s tehnično podporo družbenega omrežja. Napako so odpravili novembra 2016.

Delo je bolj dolgočasno kot v filmih

Leonov trenutno dela v oddelku za varnost v mednarodnem IT-podjetju SEMrush, ki razvija orodja za spletni marketing, v prostem času pa sedi na platformah za crowdsourcing, na katerih podjetja delijo objave za preizkušanje njihovih izdelkov. Na platformi Bugcrowd je Leonov med top-100 raziskovalci, med njegovimi strankami na platformah pa najdemo znana podjetja, kot so General Motors, Uber, Yahoo, Pinterest in Mail.ru. Andrej zagotavlja, da po odkritju napake na Facebooku ni doživel povečanih naročil in ni postal bolj delovno obremenjen, temveč je vse ostalo enako, kot je bilo prej.

Leonov ne verjame v posebno rusko šolo ali ruski pristop (v svojem poklicu). Gre preprosto za pametne posameznike, ki se lahko rodijo kjerkoli. Varnostne luknje lahko nastanejo povsod, zagotavlja: »Uporabljam običajno paleto spletnih storitev, ki jih lahko uporablja kdorkoli. Samo Instagrama nimam. Ne, ker bi bilo z njim karkoli narobe, samo ne fotografiram svoje hrane in sebe v dvigalu.«

»Ob živce me spravlja dejstvo, da ima povprečen uporabnik največ tri gesla: za vsako malenkost, za pomembne strani, od najpomembnejše pošte, na katero so registrirani vsi ostali računi. Tri gesla  imajo v najboljšem primeru,« priznava Leonov.

Ko razlaga o svojem hobiju iskanja varnostnih lukenj, Leonov zagotavlja, da gre v resnici za precej dolgočasno delo, ki ne obrodi veliko rezultatov. »Za razliko od filmov pri hekerjih ne boste našli nikakršnih 3D podob,« se smeje Leonov.

Če bi radi uporabili vsebino s spletne strani Russia Beyond (delno ali v celoti), pri svoji objavi dodajte zraven še povezavo na prispevek na naši strani.