GDPR Cookie Consent by Free Privacy Policy

Facebook ruskom hakeru isplatio rekordni honorar

Facebook ruskom hakeru isplatio rekordni honorar
HAKERI
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 26.01.2017 / 22:58
Autor: SEEbiz / Russia beyond the headlines
MOSKVA - Andrej Leonov je osoba kojoj je društvena mreža Facebook isplatila rekordni honorar - 40 tisuća dolara - za otkrivanje slabosti sustava zaštite.

Vijest o tome da je ruski haker provalio u najveću društvenu mrežu i za to dobio nagradu objavili su brojni svjetski mediji. Leonov na to uporno ponavlja: "Ja nisam haker, ja sam stručnjak za računalnu sigurnost".

Razlika je u tome što Leonov igra na strani "bijelih" – on otkriva slabosti u programima i o njima informira proizvođače softvera. 

"Glavno pravilo istraživača je ne ići duboko. Hakeri idu dalje, a istraživači nalaze 'ulaznu točku' i kažu 'eto, dalje to rješavajte sami'", ispričao je Leonov u intervjuu za RBTH Hrvatsku.

Andrej je odrastao u Sankt-Peterburgu, studirao je na tehničkom fakultetu i sad ima "preko trideset" – ne želi se puno zadržavati na svojoj dobi, jer ne želi razgovarati o politici i skandalima oko hakiranja Demokratske stranke i ruskim grupama koje su navodno stajale iz toga.

"Danas ljude plaše ruskim hakerima kao votkom i medvjedima. Neki ljudi trebaju neprijatelja kako bi nešto opravdali. A nevidljivi neprijatelj je vrlo pogodan", smatra Leonov.

To što je on sam napravio za Facebook je samo hobi, kaže Leonov.

"Ja radim sam. Netko igra poker, netko ide u ribolov. Ja tražim slabosti."

"Veliki bug odgovornog izvjestitelja koji je dobio 40 tisuća dolara", napisao je 17. siječnja na Twitteru voditelj odjela Facebooka za informacijsku sigurnost Alex Stamos.

"Drago mi je da sam jedan od onih ljudi koji su provalili u Facebook", napisao je Leonov na svom blogu nakon što je saznao za nagradu; najveći honorar prije njega od društvene je mreže 2014. godine dobio brazilski istraživač sigurnosti Reginaldo Silva.

Honorar je iznosio 33,5 tisuća dolara.

U travnju prošle godine drugi su istraživači otkrili ranjivost u jednom od najčešćih programskih paketa za obradu slika - ImageMagicku. On se koristi za smanjivanje i konvertiranje lika u novostima na Facebooku.

Leonov je obratio pažnju na to da akcija "dijeljenja novosti na Facebooku" uzima naslovnu sliku novosti od strane servera. Pritom se ispostavilo da niti Facebook niti biblioteka ImageMagick nisu provjeravali je li preuzeta datoteka zaista u formatu JPEG ili u nekom drugom.

"Kada sam to primijetio, nisam mogao ne provjeriti taj problem – da neki servis, u ovom slučaju Facebook, obrađuje ono za što smatra da je slika, kojom ja mogu upravljati i čiji sadržaj mogu promijeniti", priča Leonov.

Prema klasifikaciji međunarodnog sigurnosnog konzorcija OWASP, ova slabost ima najviši rejting. Njezina opasnost u velikoj mjeri ovisi o tome gdje se koristi kod.

"Zamislimo da je računalo izolirano od interneta i čitave infrastrukture kompanije. Izvršavanje koda na njemu nije baš dobro, no nije fatalno. No ako se radi o računalu koje ima pristup korisničkoj bazi podataka – to je jako loše", objašnjava Leonov. Kontaktirao je tehničku podršku društvene mreže i pogreška je ispravljena u studenom 2016.

Leonov trenutno radi u odjelu za sigurnost u međunarodnoj IT kompaniji SEMrush koja razvija alate za online marketing, a u slobodno vrijeme radi na crowdsourcing platformama, na kojima tvrtke objavljuju najave ispitivanja proizvoda. Na platformi Bugcrowd Leonov je među 100 najboljih istraživača. Među klijentima te i drugih platfromi su kompanije kao što su General Motors, Uber, Yahoo, Pinterest i Mail.ru.

Leonov kaže kako ga nakon pronalaska slabosti u Facebooku nisu počele obasipati ponude za posao i da će "ostati isti onaj čovjek kakav je bio".

On ne vjeruje u posebnu rusku školu ili ruski potpis – to su jednostavno pametni ljudi koji se rađaju svugdje na svijetu. A slabosti mogu biti bilo gdje, kaže on:

"Ja koristim običan set internetskih servisa, kao i bilo koji drugi čovjek. Na primjer, nemam Instagram, ne jer je on loš, već jer ja jednostavno ne fotografiram hranu niti sebe u liftu."

"Uznemirava me činjenica da prosječni korisnik ima maksimalno tri lozinke: jednu za gluposti, jednu za važne stranice i jednu za najvažniju elektroničku poštu s kojom su povezani svi ostali računi. Tri – u najboljem slučaju", kaže Leonov.

Facebook nije njegov najveći uspjeh, već je imao sličnih "pobjeda", no o njima ne želi govoriti i uvjerava nas da je u stvarnosti traženje slabosti prilično dosadan proces.

"Nema nikakvih trodimenzionalnih vizualizacija kao u filmovima o hakerima", smije se Leonov.

Tagovi: Facebook, Andrej Leonov, Bugcrowd, General Motors, Uber, Reginaldo Silva
PROČITAJ I OVO
Bor i Majdanpek: U martu proizvedeno rekordnih 5.188 tona bakra u koncentratu
RUDNICI
Bor i Majdanpek: U martu proizvedeno rekordnih 5.188 tona bakra u koncentratu
BOR – Rudari Bora i Majdanpeka u martu su ostvarili najbolji rezultat od dolaska kineske kompanije Zijin, pošto je proizvedeno rekordnih 5.188 tona bakra u koncentratu, saopštila je danas kompanija Zijin.
Zrće će odsad promovirati outdoor turizam
NOVI ISKORAK
Zrće će odsad promovirati outdoor turizam
NOVALJA - Trendovi u turizmu nesumnjivo su se promijenili, gostima više nije dovoljno sunce, more i ugostiteljska ponuda, nego sve više i češće odmore provode aktivno se baveći sportovima na otvorenom.
Domaći proizvođači: Prodaju se jabuke prskane zabranjenim fungicidom
UPOZORENJE
Domaći proizvođači: Prodaju se jabuke prskane zabranjenim fungicidom
ZAGREB - Proizvođač jabuka Željko Ledinski, inače predsjednik Kriznog stožera pri Hrvatskoj voćarskoj zajednici, upozorava na opasne voćke.
Njemački turistički sektor ne očekuje oporavak ove godine
OČEKIVANJA
Njemački turistički sektor ne očekuje oporavak ove godine
BERLIN - Njemačka turistička branša ne računa s oporavkom ove godine i govori o padu bukinga u usporedbi s prošlom godinom za dvije trećine.
Studenti Veleučilišta u Bjelovaru školarinu plaćaju kriptovalutama
POTEZI
Studenti Veleučilišta u Bjelovaru školarinu plaćaju kriptovalutama
BJELOVAR - Studenti svih godina preddiplomskih stručnih studija mehatronike, računarstva i sestrinstva Veleučilišta u Bjelovaru svoje školarine plaćaju kriptovalutama, piše u nedjelju Večernji list.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE