“Così, hackerando Facebook, ho ricevuto una ricompensa di 40mila dollari”

Mark Zuckerberg, capo e fondatore di Facebook, il social network dove l’hacker russo Andrej Leonov ha scoperto un grosso errore di sistema, ricevendo per questo una generosa ricompensa.

Mark Zuckerberg, capo e fondatore di Facebook, il social network dove l’hacker russo Andrej Leonov ha scoperto un grosso errore di sistema, ricevendo per questo una generosa ricompensa.

: Reuters
Andrej Leonov, esperto di sicurezza informatica, si definisce un “hacker bianco” e ha appena ricevuto un grosso riconoscimento dal social network più famoso del mondo per aver individuato e segnalato un errore nel sistema. L'intervista esclusiva a Rbth

"Vogliono impaurire con gli hacker russi così come con la vodka e gli orsi. Certe persone hanno bisogno di un nemico per giustificare determinate azioni. E un nemico invisibile è molto conveniente". Andrej Leonov, uno degli hacker russi più quotati, ha appena ricevuto da Facebook una ricompensa di 40.000 dollari per aver individuato un errore nel sistema. "Non sono un hacker – si giustifica lui -. Sono solo un semplice esperto di sicurezza informatica". Cresciuto a San Pietroburgo, Andrej ha studiato in un istituto tecnico e ora ha "più di trent’anni". Non vuole focalizzarsi sulla sua età, né parlare di politica e degli scandali sulle presunte incursioni hacker nelle elezioni americane.

Quello che lui ha fatto per Facebook (notizia ripresa in breve tempo dalla stampa di tutto il mondo), a detta sua non sarebbe altro che un hobby. “Qualcuno gioca a poker, qualcuno va a pesca. Io cerco vulnerabilità di sistema”.

La differenza tra lui e gli altri hacker, spiega, è che lui si muove nel lato "bianco", ovvero cerca le vulnerabilità dei programmi per parlarne poi con gli sviluppatori. "La regola principale per i ricercatori come me è di non andare in profondità. Gli hacker vanno oltre, mentre i ricercatori trovano il ‘punto di ingresso’ e dicono ‘basta, andate avanti voi’, ha raccontato Leonov a Rbth.

Quell'errore nel sistema che gli ha fruttato 40.000 dollari

“Great bug from a responsible reporter who got $40K” (un grande bug da un reporter responsabile che ha ricevuto 40.000 dollari, ndr) è il messaggio pubblicato su Twitter il 17 gennaio dal capo della sicurezza informatica di Facebook Alex Stamos. “Sono contento di essere tra quelli che ha hackerato Facebook”, ha commentato Leonov sul suo blog dopo aver saputo della ricompensa offerta dalla società. Prima di allora, il social network aveva corrisposto il compenso più alto (33.500 dollari) nel 2014 al ricercatore di sicurezza brasiliano Reginaldo Silva.

Nel mese di aprile dello scorso anno, altri ricercatori avevano individuato una vulnerabilità in uno dei moduli più comuni per l'elaborazione delle immagini, ImageMagic. In particolare, grazie a questo programma è possibile ridimensionare e convertire un’immagine nelle news di Facebook.

L'hacker russo Andrej Leonov. Fonte: profilo FacebookL'hacker russo Andrej Leonov. Fonte: profilo Facebook

Leonov ha osservato che la funzione “condividere la notizia su Facebook” prende l'immagine di copertina della notizia da server terzi. Tra l’altro, si è scoperto che né Facebook, né il database di ImageMagic, verificavano che il file scaricato fosse in realtà un'immagine jpeg. "Avendo notato questo elemento, non potevo che controllare il problema, cioè che un determinato servizio, in questo caso Facebook, rielabora come vuole una foto di cui io sono in grado di gestire il contenuto e che io posso modificare", dice.

Secondo la classificazione del consorzio internazionale di sicurezza OWASP, una vulnerabilità di questo tipo ha il punteggio più alto. Ma la sua pericolosità dipende in gran parte da dove viene eseguito il codice. "Immaginiamo che il computer sia isolato da Internet e da tutta l’infrastruttura aziendale.

L’esecuzione del codice non sarà ottimo, ma neanche fatale. Ma se è un computer con l’accesso al database degli utenti, questo non è per niente buono", ha detto. Leonov si è messo in contatto con il supporto tecnico del social network e l'errore è stato corretto nel novembre scorso.

Lavoro e tempo libero

Ora Leonov lavora nel dipartimento di sicurezza della società internazionale di informatica SEMRush, che elabora strumenti per il marketing online. Nel tempo libero sta sulle piattaforme di crowdsourcing dove le aziende pubblicano annunci di prodotti da testare. Sulla piattaforma Bugcrowd, Leonov è tra i primi 100 ricercatori. Tra i clienti di questa e di altre piattaforme, ci sono aziende come la General Motors, Uber, Yahoo, Pinterest e Mail.ru.

Dice che dopo aver trovato questa vulnerabilità in Facebook, non si è riversata su di lui una pioggia di offerte di lavoro o di incarichi, ma "rimane quello che era".

Non crede in una speciale scuola russa o a uno stile russo, semplicemente esistono ragazzi intelligenti che nascono in tanti luoghi. La vulnerabilità può essere ovunque, afferma: "Io uso una serie convenzionale di servizi Internet che usa chiunque. Non ho Instagram, per esempio, non perché sia fatto male, è che non fotografo il cibo o me stesso in un ascensore".

"Mi sconvolge il fatto che l'utente medio arrivi al massimo ad avere tre password: per le sciocchezze; per i siti importanti; e per la e-mail più importante, quella con tutti gli altri account. E tre nella migliore delle ipotesi", dice Leonov.

Facebook non è il suo più grande successo. Gli sono capitate “vittorie” simili, ma non vuole raccontarle e assicura che in realtà la ricerca di vulnerabilità è un lavoro molto noioso, senza intrattenimento. "Non c'è nessuna visualizzazione tridimensionale come nei film sugli hacker", ride Leonov.

Per utilizzare i materiali di Russia Beyond è obbligatorio indicare il link al pezzo originale