Зашто је руски хакер добио 40.000 долара од Фејсбука?

Објављено: 26.01.2017.год.
Директор Фејсбука Марк Цукерберг. Илустрација: Reuters


Чиме се баве „бели“ хакери, како провалити у Фејсбук и шта свакако не треба радити са својим шифрама – о свему томе прича експерт за сајбер-опасност Андреј Леонов.

Андреј Леонов је човек коме је друштвена мрежа Фејсбук исплатила рекордни хонорар од 40.000 долара за пронађену грешку у програмском коду. Многи 
медији су саопштили вест да је руски хакер провалио у највећу друштвену мрежу и за то добио награду. Леонов упорно понавља: „Ја нисам хакер, ја сам стручњак за сајбер-безбедност". 

Разлика је у томе што он игра на страни „белих“, тј. налази грешке у програмима, и обавештава о томе њихове власнике. „Главно правило приликом истраживања је да се не залази дубоко. Хакери зађу даље, а истраживачи као ја пронађу ’тачку уласка’ и кажу: ’ето толико, даље проверавајте сами’“, испричао је Леонов у интервјуу за „Руску реч“.

 

Андреј је одрастао у Санкт Петербургу и студирао на техничком факултету. Сада већ има преко тридесет година, али не жели да говори о свом узрасту, као ни о политици, аферама везаним за хакерске нападе на Демократску странку САД и информацијама да иза тих напада тобоже стоје руски хакери. „Руски хакери им сада служе за застрашивање, као вотка и медведи. Појединим људима је потребан непријатељ да би оправдали неке своје потезе. А невидљиви непријатељ је веома згодан“, сматра Леонов.

Оно што је он самостално урадио за Фејсбук је једноставно хоби, тврди Леонов: „Ја радим самостално. Неко игра покер, неко пеца рибу, а ја тражим грешке у програмима“.

Велики баг

„Одговорни известилац је саопштио о великом багу и добио 40.000 долара“ – такву поруку је 17. јануара на Твитеру написао руководилац одељења за информациону безбедност Фејсбука Алекс Стамос. „Драго ми је што сам један од оних који су провалили у Фејсбук“, написао је Леонов у свом блогу, када је сазнао да је добио награду од компаније. Пре њега је највећи хонорар од ове друштвене мреже износио 33,5 хиљада долара. Њега је 2014. године добио бразилски истраживач безбедности Режиналдо Силва.

У априлу прошле године други истраживачи су открили грешку на ImageMagic, једном од распрострањених модула за обраду слика. Помоћу њега се, на пример, врши подешавање величине и конвертовање слика у вестима на Фејсбуку.

Леонов је обратио пажњу да опција „проширити вест на Фејсбуку“ узима насловну слику вести са трећих сервера. При томе се испоставило да Фејсбук, а утолико пре бибилиотека ImageMagic, не проверава да ли је тај преузети фајл заиста у формату JPEG, или је то нешто друго. „Када сам то приметио могао сам да не проверим тај проблем. А проблем је у томе што један сервис, у овом случају Фејсбук, обрађује нешто што он третира као слику, а чиме ја могу да управљам, и чији садржај могу да мењам“, рекао је он.

Према класификацији међународног конзорцијума за безбедност 
OWASP, такав баг има највиши рејтинг. Али његова опасност у великој мери зависи од тога где се тај код реализује. „Замислимо да је компјутер изолован од интернета и читаве инфраструктуре компаније. Извршавање кода на њему није добро, али није ни погубно. Међутим, ако је то компјутер који има приступ бази података корисника – онда је то веома лоше“, истакао је Леонов. Он се повезао са техничком подршком друштвене мреже и грешка је исправљена у новембру 2016. године.

Хакерска 3D визуализација – само на филму

Сада Леонов ради у одељењу за безбедност међународне IT компаније SEMrush, која прави инструменте за онлајн маркетинг, а слободно време проводи на краудсорсинг платформама, где компаније размештају огласе за тестирање производа. На платформи Bugcrowd Леонов спада међу 100 најбољих истраживача, а међу клијентима ове и других платформи има и других компанија као што су General Motors, Uber, Yahoo, Pinterest и Mail.ru.

Леонов тврди да после проналаска грешке у програму Фејсбука није био затрпан пословним понудама или наруџбинама, и да ће „остати оно што је био“.

Он не верује у неку посебну руску школу или руске методе. Постоје паметни момци који се свуда рађају. А багови су могући свуда, тврди он: „Ја користим уобичајене интернет сервисе које користи свако. На пример, немам Инстаграм, али не зато што је он лош, него једноставно не фотографишем своју храну и самога себе у лифту“.

„Иритира ме сама чињеница да просечан корисник има највише три шифре, једна је за свакојаке ситнице, друга за важне сајтове, а трећа је шифра од најважније поште помоћу које су регистровани сви остали налози. И то је тако у најбољем случају“, каже Леонов.

Говорећи о свом хобију тврди да је у стварности тражење багова веома досадан процес и да није нимало атрактиван. „Нема никаквих 3D визуализација као у филмовима о хакерима“, каже Леонов са осмехом.

Јекатерина Синељшчикова,
Руска реч


Коментари (0) Додај коментар

Остале вести из рубрике

РТ: Турска избацује теорију еволуције из школских књига

2017-06-24 10:10:38

Извор: Восток, РТ Турска се спрема да избаци "контроверзну" теорију еволуције из наставног плана средње школе како би боље сачувала локалне и националне вредности, чинећи то као...

Потписан Меморандум о сарадњи између компаније НИС  и Универзитета у Бања Луци

2017-06-20 12:32:48

Представници компаније НИС и Универзитета у Бања Луци потписали су јуче Меморандум о сарадњи у области образовања, науке и културе. Меморандум о сарадњи у Ректорату Универзитета...

Црно море променило боју

2017-06-18 11:28:21

Америчка космичка агенција НАСА саопштила је да је Црно море променило боју. На фотографији из космоса види се да оно сада има тиркизно-бисерне нијансе. Turquoise swirls in...

Сарадња НИС-а и Института „Михајло Пупин“

2017-06-09 18:50:02

Представници компаније НИС и Института „Михајло Пупин“ из Београда потписали су данас Меморандум о сарадњи у области образовања, стручног усавршавања кадрова и размене знања. Меморандум о...

„Дан НИС-а“ на Техничком факултету у Зрењанину

2017-06-08 14:44:03

На  Техничком факултету „Михајло Пупин“ у Зрењанину одржан је „Дан НИС-а“ на коме су студенти, ученици Високе техничке школе у Зрењанину и многобројни  средњошколци из тог...

Шта је ипак изазвало Тунгуску експлозију?

2017-05-31 18:21:05

„Појавило се друго Сунце!“ – тако су пад Тунгуског метеорита прокоментарисали очевици. Још увек се у Русији дискутује о томе шта је експлодирало на небу изнад сибирске тајге 1908. године – метеорит, комета или свемирски брод са ванземаљцима? У првом тексту рубрике „Russia X-Files“ говоримо о тајни Тунгуског метеорита.

Проглашени победници Олимпијаде знања из руског језика, физике, хемије и математике

2017-05-28 20:50:11

На свечаности одржаној у Руској школи у Београду, јуче су проглашени победници Олимпијада знања из руског језика, физике, хемије и математике које пету годину за редом...

Хокинг: Човечанство има 100, а не 1.000 година да пронађе нову планету за живот

2017-05-20 09:01:17

Извор: Восток, РТ Познати и утицајни теоријски физичар и научник Стивен Хокинг је поново позвао човечанство да удвостручи напоре да се колонизују друге планете пре него што...

Српски студенти на пракси у Државном техничком универзитету у Ухти

2017-05-18 14:39:34

Четрнаест студената прве генерације студијског програма "Индустријско инжењерство у експлоатацији нафте и гаса" са Техничког факултета "Михајло Пупин" из Зрењанина, отпутовало је у руску Републику Коми...

Курска магнетна аномалија: „Бермудски троугао“ на западу Русије

2017-05-16 08:07:24

На територији највећег рудника гвожђа на свету можете се изгубити чак и са компасом. Назив Курске магнетне аномалије везан је за необично понашање магнетне игле компаса близу...

rt nauka
РР банер наука

Будите у току са новим дешавањима, пријавите се на нашу листу новости:

Восток пита


Да ли сте за придруживање Србије ЕУ?