TEHNOLOGIE

 |

PORTRET

Vânătorul de recompense. Un hacker bun din Iași a câștigat peste 100.000$ cu o idee

De Andrada Fiscutean 18.02.2021

Alex Bîrsan a luat banii de la Apple, Microsoft, Tesla, Uber și Netflix, după ce le-a arătat cum pot fi atacate.

La începutul lunii februarie, un hacker bun din Iași anunța că a descoperit o nouă metodă prin care companiile pot fi atacate. A scris postarea„Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies”, medium.com după ce fusese deja recompensat pentru ideea lui: 40.000 de dolari de la Microsoft, 30.000 de la Apple, încă 30.000 de la PayPal, tot atât de la Shopify și câteva mii de dolari de la Tesla, Netflix, Paypal, Uber, Yelp și alte aproape 30 de companii din toată lumea.

Pentru specialistul în securitate informatică Alex Bîrsan,Alex Bîrsan, twitter.com să găsească metode prin care marile companii pot fi atacate e ceva la ordinea zilei. E vânător de recompense sau „bug bounty hunter”, și face bani stând de partea bună a legii.

De fiecare dată când găsește o problemă de securitate la o companie, o anunță pe aceasta și își primește răsplata. Toate marile firme au programe prin care îi încurajează pe hackerii buni (numiți și hackeri albi sau etici) să le anunțe atunci când descoperă vulnerabilități, pentru a le putea repara rapid. Pentru că orice problemă nerezolvată e o ușă lăsată deschisă pentru hackerii răi. 

Alex Bîrsan

Alex Bîrsan

Strică lucruri cu talent

Bîrsan a vrut să lucreze cu calculatoare de când se știe. „Și tot de când mă știu am avut talentul de a strica lucruri pe calculatoare”, spune el, „așa că mișcarea spre security a venit destul de natural”.

Și-a găsit job încă din primul an de facultate. „Mi-am dat seama destul de repede că domeniul academic nu era pentru mine, așa că am început să lucrez la Bitdefender, în Iași. Încă sunt recunoscător pentru experiența pe care am acumulat-o acolo.”

De conceptul de bug bounty a auzit tot la Bitdefender, în 2015, când compania și-a lansat propriul program prin care îi recompensa pe cei care găseau vulnerabilități în softurile antivirus. Ideea de a plăti hackeri buni ca să vâneze greșeli de programare, și a te proteja în felul ăsta de hackeri răi, l-a fascinat pe Bîrsan, care a început să urmărească bloguri ale vânătorilor de recompense, încercând să învețe de la ei. Iar în 2017, s-a apucat și el să caute vulnerabilități.

Pe prima, a găsit-o relativ rapid. „Am avut foarte mult noroc”, povestește informaticianul. „Era o tehnică obscură pe care nimeni nu o încerca. S-a întâmplat să o aplic eu accidental, pentru că dădeam copy-paste de pe o listă, fără să înțeleg prea bine ce se întâmplă.”

Acea vulnerabilitate i-a adus și prima recompensă: 1.000 de dolari, banii care l-au motivat să învețe mai mult și să-și îmbunătățească metodele de „a strica lucruri prin calculatoare”. 

În 2018, Bîrsan a plecat de la Bitdefender pentru a se concentra pe bug bounties și pe cercetare în domeniul securității informatice. 

„Nimic nu se compară cu sentimentul de euforie din momentul descoperirii unei vulnerabilități grave”, spune el.

Un nou tip de atac

Bîrsan povestește, pe blogul său, că încă de când a început să facă programare a fost fascinat de încrederea pe care o pun oamenii în comenzile pe care le dau. De exemplu:

pip install package_name

Aceasta e o comanda în limbajul de programare Python prin care cineva poate instala pachete sau dependențe, adică bucăți suplimentare de cod, eventual scrise de alții, care se leagă de programul de bază.

Iată un caz: dacă vrei să faci o aplicație de mesagerie ca WhatsApp, va trebui să criptezi mesajele, folosind pentru asta cod deja scris de cineva. Aplicația ta va avea atunci o dependență: acea componentă care execută criptarea.„Dependency Management: 3 Tips to Keep You Sane”, whitesourcesoftware.com

Unele dependențe sunt publice – codul lor este cunoscut tuturor. Altele sunt însă private și sunt folosite de companii în interior. Acestea sunt cele care i-au trezit interesul lui Bîrsan.

Specialistul a găsit, în codul postat de companii pe internet, câteva nume de dependențe private, pentru care nu exista nicio informație online.

S-a gândit să creeze și el niște dependențe, care să aibă exact aceleași nume, dar care să fie publice. A vrut sa vadă dacă apare confuzie și dacă poate, în felul ăsta, introduce cod scris de el în softurile marilor companii.

„Am vrut doar să văd ce se întâmplă dacă cineva scrie dependențe publice și le denumește exact la fel ca pe cele private, din interiorul companiei”, explică Bîrsan.

Ideea a avut succes. Când o astfel de dependență era instalată de un soft, era accesată de multe ori dependența publică, scrisă de Bîrsan, și nu cea privată și internă a companiei.

„Se pare că developerii, sau chiar sistemele automate ale companiilor, nu se asigurau întotdeauna că instalează dependențe din sursa corecta”, spune informaticianul. „Motivele pot fi multiple și complexe, dar rezultatul e întotdeauna același: un atacator ar fi putut sa ruleze cod malițios pe sistemele companiilor afectate.”

CITEȘTE ȘI: Spitalele românești riscă să fie paralizate de hackeri. Au softuri neactualizate de 17 ani

Pentru că e hacker bun, Bîrsan nu a rulat cod malițios. Dependențele create de el doar îl notificau atunci când erau instalate de cineva – a făcut asta doar ca să știe că ideea funcționează.

Microsoft, Apple, Tesla, Uber și alte 30 de firme s-au dovedit vulnerabile în fața unui astfel de atac, pe care Bîrsan îl numește „confuzie de dependențe”. Toate aveau această problemă, și datorită ieșeanului, au reparat-o. Bîrsan a făcut rapoarte personalizate, arătând fiecărei companii cum poate fi atacată.

Muncă și relaxare

Bîrsan e recunoscut în lumea vânătorilor de recompense, și a câștigat multe dintre competițiile„h1-2006 Virtual Live Hacking Event Closing Ceremonies”, youtube.com la care a participat.

„Îmi place industria de bug bounty”, spune el. „E o piață foarte liberă, în care companiile concurează pentru timpul hackerilor cu recompense din ce în ce mai mari.”

Anul trecut, de exemplu, Google le-a plătit 6,7 milioane de dolari hackerilor care au raportat responsabil vulnerabilități, în creștere față de 2019. Microsoft a dat aproape 14 milioane în perioada 2019-2020, iar PayPal aproape 3 milioane de dolari. Deși sumele par mari la o primă vedere, ele sunt mult mai mici decât costurile unor eventuale incidente de securitate grave. Oricât ar fi de scumpi, hackerii buni sunt mai ieftini decât cei răi.

Bîrsan spune că, locuind la Iași, are costuri destul de mici cu viața de zi cu zi: „Recompensele sunt suficiente pentru mine pentru a trăi confortabil”.

După o victorie mare, cum a fost și asta, își ia de obicei o pauză lungă, în care se relaxează și învață. Asta va face și acum. Va avea program de voie timp de „câteva luni”.

Text de

Andrada Fiscutean

Jurnalist de știință și tehnologie. A publicat în Ars Technica, Nature, Wired, Motherboard și ZDNet. Colecționează calculatoare est-europene fabricate în anii ‘80 și ‘90.

CITEȘTE ȘI

TEHNOLOGIE|FYI

The Boring Phone, un telefon „dumb”, dar nu plicticos

De
Colaborarea dintre HMD, Heineken și Bodega propune un telefon cu un nume care te face să te gândești la Elon Musk.
TEHNOLOGIE|FYI

Crezi că ai Meta AI pe Instagram? S-ar putea să doar fie un cont fals

De
În ultimele zile, mai mulți utilizatori au descoperit că pot conversa sau folosi Meta AI în conversații. Însă nu toate conturile au acces la acest chatbot.
TEHNOLOGIE|FYI

Fairbuds, primele căști de tip buds cărora le poți schimba bateria

De
Producătorii Fairphone au anunțat o nouă pereche de căști care încearcă să fie la fel de prietenoase cu mediul ca telefonul care i-a consacrat.
TEHNOLOGIE|MS TALKS

TikTok: „Nu acceptăm reclame politice, dar politicienii pot cere voturi pe platformă”

De
În timp ce SUA iau în discuție chiar interzicerea TikTok, platforma investește în centre de date, pentru a securiza informațiile utilizatorilor europeni, în speranța că va atenua la timp îngrijorările politicienilor.