Vânătorul de recompense. Un hacker bun din Iași a câștigat peste 100.000$ cu o idee

De Andrada Fiscutean 18.02.2021

Alex Bîrsan a luat banii de la Apple, Microsoft, Tesla, Uber și Netflix, după ce le-a arătat cum pot fi atacate.

La începutul lunii februarie, un hacker bun din Iași anunța că a descoperit o nouă metodă prin care companiile pot fi atacate. A scris postarea„Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies”, medium.com după ce fusese deja recompensat pentru ideea lui: 40.000 de dolari de la Microsoft, 30.000 de la Apple, încă 30.000 de la PayPal, tot atât de la Shopify și câteva mii de dolari de la Tesla, Netflix, Paypal, Uber, Yelp și alte aproape 30 de companii din toată lumea.

Pentru specialistul în securitate informatică Alex Bîrsan,Alex Bîrsan, twitter.com să găsească metode prin care marile companii pot fi atacate e ceva la ordinea zilei. E vânător de recompense sau „bug bounty hunter”, și face bani stând de partea bună a legii.

De fiecare dată când găsește o problemă de securitate la o companie, o anunță pe aceasta și își primește răsplata. Toate marile firme au programe prin care îi încurajează pe hackerii buni (numiți și hackeri albi sau etici) să le anunțe atunci când descoperă vulnerabilități, pentru a le putea repara rapid. Pentru că orice problemă nerezolvată e o ușă lăsată deschisă pentru hackerii răi. 

Alex Bîrsan

Alex Bîrsan

Strică lucruri cu talent

Bîrsan a vrut să lucreze cu calculatoare de când se știe. „Și tot de când mă știu am avut talentul de a strica lucruri pe calculatoare”, spune el, „așa că mișcarea spre security a venit destul de natural”.

Și-a găsit job încă din primul an de facultate. „Mi-am dat seama destul de repede că domeniul academic nu era pentru mine, așa că am început să lucrez la Bitdefender, în Iași. Încă sunt recunoscător pentru experiența pe care am acumulat-o acolo.”

De conceptul de bug bounty a auzit tot la Bitdefender, în 2015, când compania și-a lansat propriul program prin care îi recompensa pe cei care găseau vulnerabilități în softurile antivirus. Ideea de a plăti hackeri buni ca să vâneze greșeli de programare, și a te proteja în felul ăsta de hackeri răi, l-a fascinat pe Bîrsan, care a început să urmărească bloguri ale vânătorilor de recompense, încercând să învețe de la ei. Iar în 2017, s-a apucat și el să caute vulnerabilități.

Pe prima, a găsit-o relativ rapid. „Am avut foarte mult noroc”, povestește informaticianul. „Era o tehnică obscură pe care nimeni nu o încerca. S-a întâmplat să o aplic eu accidental, pentru că dădeam copy-paste de pe o listă, fără să înțeleg prea bine ce se întâmplă.”

Acea vulnerabilitate i-a adus și prima recompensă: 1.000 de dolari, banii care l-au motivat să învețe mai mult și să-și îmbunătățească metodele de „a strica lucruri prin calculatoare”. 

În 2018, Bîrsan a plecat de la Bitdefender pentru a se concentra pe bug bounties și pe cercetare în domeniul securității informatice. 

„Nimic nu se compară cu sentimentul de euforie din momentul descoperirii unei vulnerabilități grave”, spune el.

Un nou tip de atac

Bîrsan povestește, pe blogul său, că încă de când a început să facă programare a fost fascinat de încrederea pe care o pun oamenii în comenzile pe care le dau. De exemplu:

pip install package_name

Aceasta e o comanda în limbajul de programare Python prin care cineva poate instala pachete sau dependențe, adică bucăți suplimentare de cod, eventual scrise de alții, care se leagă de programul de bază.

Iată un caz: dacă vrei să faci o aplicație de mesagerie ca WhatsApp, va trebui să criptezi mesajele, folosind pentru asta cod deja scris de cineva. Aplicația ta va avea atunci o dependență: acea componentă care execută criptarea.„Dependency Management: 3 Tips to Keep You Sane”, whitesourcesoftware.com

Unele dependențe sunt publice – codul lor este cunoscut tuturor. Altele sunt însă private și sunt folosite de companii în interior. Acestea sunt cele care i-au trezit interesul lui Bîrsan.

Specialistul a găsit, în codul postat de companii pe internet, câteva nume de dependențe private, pentru care nu exista nicio informație online.

S-a gândit să creeze și el niște dependențe, care să aibă exact aceleași nume, dar care să fie publice. A vrut sa vadă dacă apare confuzie și dacă poate, în felul ăsta, introduce cod scris de el în softurile marilor companii.

„Am vrut doar să văd ce se întâmplă dacă cineva scrie dependențe publice și le denumește exact la fel ca pe cele private, din interiorul companiei”, explică Bîrsan.

Ideea a avut succes. Când o astfel de dependență era instalată de un soft, era accesată de multe ori dependența publică, scrisă de Bîrsan, și nu cea privată și internă a companiei.

„Se pare că developerii, sau chiar sistemele automate ale companiilor, nu se asigurau întotdeauna că instalează dependențe din sursa corecta”, spune informaticianul. „Motivele pot fi multiple și complexe, dar rezultatul e întotdeauna același: un atacator ar fi putut sa ruleze cod malițios pe sistemele companiilor afectate.”

CITEȘTE ȘI: Spitalele românești riscă să fie paralizate de hackeri. Au softuri neactualizate de 17 ani

Pentru că e hacker bun, Bîrsan nu a rulat cod malițios. Dependențele create de el doar îl notificau atunci când erau instalate de cineva – a făcut asta doar ca să știe că ideea funcționează.

Microsoft, Apple, Tesla, Uber și alte 30 de firme s-au dovedit vulnerabile în fața unui astfel de atac, pe care Bîrsan îl numește „confuzie de dependențe”. Toate aveau această problemă, și datorită ieșeanului, au reparat-o. Bîrsan a făcut rapoarte personalizate, arătând fiecărei companii cum poate fi atacată.

Muncă și relaxare

Bîrsan e recunoscut în lumea vânătorilor de recompense, și a câștigat multe dintre competițiile„h1-2006 Virtual Live Hacking Event Closing Ceremonies”, youtube.com la care a participat.

„Îmi place industria de bug bounty”, spune el. „E o piață foarte liberă, în care companiile concurează pentru timpul hackerilor cu recompense din ce în ce mai mari.”

Anul trecut, de exemplu, Google le-a plătit 6,7 milioane de dolari hackerilor care au raportat responsabil vulnerabilități, în creștere față de 2019. Microsoft a dat aproape 14 milioane în perioada 2019-2020, iar PayPal aproape 3 milioane de dolari. Deși sumele par mari la o primă vedere, ele sunt mult mai mici decât costurile unor eventuale incidente de securitate grave. Oricât ar fi de scumpi, hackerii buni sunt mai ieftini decât cei răi.

Bîrsan spune că, locuind la Iași, are costuri destul de mici cu viața de zi cu zi: „Recompensele sunt suficiente pentru mine pentru a trăi confortabil”.

După o victorie mare, cum a fost și asta, își ia de obicei o pauză lungă, în care se relaxează și învață. Asta va face și acum. Va avea program de voie timp de „câteva luni”.



Text de

Andrada Fiscutean

Jurnalist de știință și tehnologie. A publicat în Ars Technica, Nature, Wired, Motherboard și ZDNet. Colecționează calculatoare est-europene fabricate în anii ‘80 și ‘90.

TEHNOLOGIE|WOMEN IN TECH

Open data ajută sistemele de smart city să vorbească aceeași limbă

De Mihai Ghiduc 22/02/2021
De la orașe inteligente la securitate digitală, Valentina Frângu de la Dell Technologies trebuie să fie mereu la la curent cu ultimele noutăți din domeniu.
TEHNOLOGIE|GAMING

Când revin la normal prețurile pentru plăci video și console?

De Ionuț Preda 15/02/2021
Hardware-ul nou pentru gaming a ajuns la un preț prohibitiv, iar situația nu pare că se va rezolva prea curând.
TEHNOLOGIE|OVERVIEW

De ce averile nu pot fi ascunse în Bitcoin?

De Mihnea Dumitru 28/01/2021
Indiferent de gradul de adopție a tehnologiilor de tip Blockchain, statul începe să impună reglementări serioase monedelor virtuale.
TEHNOLOGIE|TENDINȚE

Cele mai importante 5 tendințe de la CES 2021

De Mihai Ghiduc 19/01/2021
Cel mai mare show de tehnologie pentru consumatori, CES 2021, s-a desfășurat anul acesta exclusiv online. Asta nu înseamnă că producătorii n-au venit cu concepte și produse inovative.