Зашто је руски хакер добио 40.000 долара од Фејсбука?

Објављено: 26.01.2017.год.
Директор Фејсбука Марк Цукерберг. Илустрација: Reuters


Чиме се баве „бели“ хакери, како провалити у Фејсбук и шта свакако не треба радити са својим шифрама – о свему томе прича експерт за сајбер-опасност Андреј Леонов.

Андреј Леонов је човек коме је друштвена мрежа Фејсбук исплатила рекордни хонорар од 40.000 долара за пронађену грешку у програмском коду. Многи 
медији су саопштили вест да је руски хакер провалио у највећу друштвену мрежу и за то добио награду. Леонов упорно понавља: „Ја нисам хакер, ја сам стручњак за сајбер-безбедност". 

Разлика је у томе што он игра на страни „белих“, тј. налази грешке у програмима, и обавештава о томе њихове власнике. „Главно правило приликом истраживања је да се не залази дубоко. Хакери зађу даље, а истраживачи као ја пронађу ’тачку уласка’ и кажу: ’ето толико, даље проверавајте сами’“, испричао је Леонов у интервјуу за „Руску реч“.

 

Андреј је одрастао у Санкт Петербургу и студирао на техничком факултету. Сада већ има преко тридесет година, али не жели да говори о свом узрасту, као ни о политици, аферама везаним за хакерске нападе на Демократску странку САД и информацијама да иза тих напада тобоже стоје руски хакери. „Руски хакери им сада служе за застрашивање, као вотка и медведи. Појединим људима је потребан непријатељ да би оправдали неке своје потезе. А невидљиви непријатељ је веома згодан“, сматра Леонов.

Оно што је он самостално урадио за Фејсбук је једноставно хоби, тврди Леонов: „Ја радим самостално. Неко игра покер, неко пеца рибу, а ја тражим грешке у програмима“.

Велики баг

„Одговорни известилац је саопштио о великом багу и добио 40.000 долара“ – такву поруку је 17. јануара на Твитеру написао руководилац одељења за информациону безбедност Фејсбука Алекс Стамос. „Драго ми је што сам један од оних који су провалили у Фејсбук“, написао је Леонов у свом блогу, када је сазнао да је добио награду од компаније. Пре њега је највећи хонорар од ове друштвене мреже износио 33,5 хиљада долара. Њега је 2014. године добио бразилски истраживач безбедности Режиналдо Силва.

У априлу прошле године други истраживачи су открили грешку на ImageMagic, једном од распрострањених модула за обраду слика. Помоћу њега се, на пример, врши подешавање величине и конвертовање слика у вестима на Фејсбуку.

Леонов је обратио пажњу да опција „проширити вест на Фејсбуку“ узима насловну слику вести са трећих сервера. При томе се испоставило да Фејсбук, а утолико пре бибилиотека ImageMagic, не проверава да ли је тај преузети фајл заиста у формату JPEG, или је то нешто друго. „Када сам то приметио могао сам да не проверим тај проблем. А проблем је у томе што један сервис, у овом случају Фејсбук, обрађује нешто што он третира као слику, а чиме ја могу да управљам, и чији садржај могу да мењам“, рекао је он.

Према класификацији међународног конзорцијума за безбедност 
OWASP, такав баг има највиши рејтинг. Али његова опасност у великој мери зависи од тога где се тај код реализује. „Замислимо да је компјутер изолован од интернета и читаве инфраструктуре компаније. Извршавање кода на њему није добро, али није ни погубно. Међутим, ако је то компјутер који има приступ бази података корисника – онда је то веома лоше“, истакао је Леонов. Он се повезао са техничком подршком друштвене мреже и грешка је исправљена у новембру 2016. године.

Хакерска 3D визуализација – само на филму

Сада Леонов ради у одељењу за безбедност међународне IT компаније SEMrush, која прави инструменте за онлајн маркетинг, а слободно време проводи на краудсорсинг платформама, где компаније размештају огласе за тестирање производа. На платформи Bugcrowd Леонов спада међу 100 најбољих истраживача, а међу клијентима ове и других платформи има и других компанија као што су General Motors, Uber, Yahoo, Pinterest и Mail.ru.

Леонов тврди да после проналаска грешке у програму Фејсбука није био затрпан пословним понудама или наруџбинама, и да ће „остати оно што је био“.

Он не верује у неку посебну руску школу или руске методе. Постоје паметни момци који се свуда рађају. А багови су могући свуда, тврди он: „Ја користим уобичајене интернет сервисе које користи свако. На пример, немам Инстаграм, али не зато што је он лош, него једноставно не фотографишем своју храну и самога себе у лифту“.

„Иритира ме сама чињеница да просечан корисник има највише три шифре, једна је за свакојаке ситнице, друга за важне сајтове, а трећа је шифра од најважније поште помоћу које су регистровани сви остали налози. И то је тако у најбољем случају“, каже Леонов.

Говорећи о свом хобију тврди да је у стварности тражење багова веома досадан процес и да није нимало атрактиван. „Нема никаквих 3D визуализација као у филмовима о хакерима“, каже Леонов са осмехом.

Јекатерина Синељшчикова,
Руска реч


Коментари (0) Додај коментар

Остале вести из рубрике

Научници покушавају да открију нови начини стварања климатски погодних горива

2017-03-24 08:47:03

Научници у Немачкој покренули су окидач нечега што је описано као „највеће вештачко сунце на свету“, уређаја за који се надају да ће помоћи да се...

Истина о смртоносним последицама НАТО агресије - научна трибина

2017-03-22 20:46:06

Професор др Даница Грујичић, неурохирург, начелник Одељења за неуроонкологију Клиничког центра Србије и редовни професор на Медицинском факултету у Београду, већ дуже време упозорава и објављује...

Топи се лед: Колико је то опасно по Русију?

2017-03-16 18:18:27

Према прогнозама научника, отапање пермафроста (трајно смрзнутог тла) и оштећење криосфере већих размера може проузроковати потапање арктичких и сибирских региона Русије у наредних 20 година, а такође појаву нових болести и уништавање инфраструктуре.

Археолози у Египту пронашли велику статуу Рамзеса II

2017-03-11 10:05:33

Археолози из Египта и Немачке пронашли су у блату подземних вода у Каиру огромну, осам метара високу статуу, која највероватније представља обожаваног фараона Рамзеса II. Министарство културе...

Пројекција будућности компаније Kaspersky Lab: техноутопија или катастрофа?

2017-03-03 11:18:21

Стручњаци за компјутерску безбедност из руске компаније Kaspersky Lab покренули су пројекат Earth-2050, у оквиру кога заједно са футуролозима предвиђају какав ће бити свет кроз 10, 20 и 30 година. Представе о будућности доста варирају: од побуна због свеопште глади до уживања у идеалној фотељи.

Пронађен фосил стар 4,2 милијарде година

2017-03-02 17:05:52

Најстарији фосил пронађен на Земљи стар је 4,2 милијарде година, што претпостављени почетак бујног живота на нашој планети помера за неколико стотина милиона година уназад. Микроскопска бактерија,...

Фестивал науке у Панчеву уз подршку НИС-а

2017-02-28 16:19:24

Компанија НИС у оквиру програма друштвене одговорности „Заједници Заједно“ подржала је Фестивал науке који је одржан у Дому омладине у Панчеву, чији је главни циљ популаризација...

Др Даница Грујичић: Застрашујући подаци о последицама НАТО бомбардовања

2017-02-23 21:35:24

Професор др Даница Грујичић, неурохирург, начелник Одељења за неуроонкологију Клиничког центра Србије и редовни професор на Медицинском факултету у Београду, већ дуже време упозорава и објављује...

Руски научници развили системе за концентрисање соларне енергије

2017-02-18 20:09:34

Руски научници развили су системе за концентрисање соларне енергије (соларни концентратори) направљене од флуоресцентних полимерних материјала како би обичне прозоре претворили у соларне панеле, саопштио је...

У Ирану пронађена опсерваторија из трећег века

2017-02-16 14:15:35

Током ископавања на југу Ирана археолози су пронашли опсерваторију која датира из 3-5. века нове ере, која је, како се претпоставља, саграђена у време владавине династије...

rt nauka

Будите у току са новим дешавањима, пријавите се на нашу листу новости:

Восток пита


Да ли сте за придруживање Србије ЕУ?