Казанец, чуть не удаливший все видео с YouTube: "Сложные пароли не спасут вас от взлома"
В начале апреля казанский программист Камиль Хисматуллин обнаружил в видеохостинге YouTube ошибку, которая позволяет удалить любой загруженный на сайт ролик. Об этом молодой человек написал в своем блоге.
В статье под названием "Как я мог удалить любое видео на YouTube" Камиль рассказал, что принял участие в программе Google по поиску уязвимостей, которая проводится, чтобы облегчить поиск ошибок в своих продуктах. Камиль обнаружил, что может удалить любое видео, используя уникальный код только собственной сессии интернет-подключения.
Портал ProKazan.ru взял интервью у Камиля и узнал, могут ли обычные казанцы защитить свои страницы от взлома и почему хакеры атакуют чужие сайты.
- Камиль, около недели назад ты стал одним из самых обсуждаемых личностей в Рунете благодаря тому, что нашел способ удалить любую видеозапись с YouTube. Расскажи, почему ты решил заниматься программированием и решил участвовать в программе Google по поиску уязвимостей?
- Программированием начал заниматься с 10 класса. С тех пор я перепробовал множество технологий: начиная от программирования простых клиентский приложений, заканчивая созданием и поддержкой сложных highload сервисов. Просто в какой-то момент я начал осознавать, что при входе на какой-либо сайт я начинал у себя в голове строить его архитектуру и думать, как бы я сам все это реализовал там внутри. Именно используя такой подход, более года назад, я и обнаружил первую уязвимость на крупном сервисе. После этого исследование безопасности веб приложений превратилось в мое хобби.
- Если тебе удалось найти способ удалить видео с YouTube, то взломать чью-нибудь страницу ВКонтакте, наверное, вообще очень просто? Сколько времени может уйти на это? И что нужно сделать, чтобы твою страницу вообще никогда не взломали?
- Про ВКонтакте, к сожалению, ничего сказать не могу, т.к. пока еще не было времени его исследовать. Но, думаю, там найдется парочка-другая уязвимостей. Чтобы вас не взломали, нужно просто не сидеть в интернете (улыбается, - прим.авт). - Никакие сложные пароли и т.п. вас не спасут, т.к. современный сайт - это не только форма для ввода логина/пароля, а очень сложная система, которая состоит из сотен и более компонентов. Если разработчик допустит ошибку даже в каком-либо незначительном методе, то это может очень пагубно сказаться на безопасности сервиса.
- В апреле прошлого года Google внес тебя в своеобразный зал славы для тех, кто находит уязвимости продуктах компании. Планируешь ли стать сотрудником Google?
- Попробовать можно, всегда была интересна их офисная культура. Но об этом пока серьезно не думал, скорее всего буду заниматься этим после того как универ закончу.
- Правильно ли сравнивать хакеров и тех, кто находит уязвимости?
- Существует два вида хакеров - White hat (белая шляпа) и Black hat (черная шляпа). Черными шляпами называют киберпреступников, тогда как белыми шляпами прочих специалистов по информационной безопасности или исследователей IT-систем, не нарушающих закон. Т.е. и те и другие находят уязвимости, разница лишь в том, что первые сообщают о них владельцам ресурсов, а вторые используют их в своих целях или продают на черном рынке.
- Как происходит процесс поиска веб-уязвимостей? Что самое сложное?
- Большую часть времени исследователь просто смотрит как работает сервис, как взаимодействует клиент с сервером, ну и иногда применяются различные утилиты для эксплуатации уязвимостей и т.п.
- В Казани много хакеров, которые занимаются взломом сайтов? И для чего это делается? Конкуренты заказывают?
- Которые именно на заказ взламывают? Таких не знаю… По сути это ведь нарушители закона, так что если даже такие и есть, то они очень хорошо это скрывают. Цель такого взлома может быть разная: просто на какое-то время "уложить" конкурента с помощью DDoS или же распростронять через взломанный сайт вредоносное ПО, ну или, например, либо же слить базу данных. Тут все зависит от испорченности заказчика такой атаки:)
- Какие рекомендации ты бы дал разработчикам сайтов?
- Чтобы избежать проблем с безопасностью и не только, нужно писать аккуратный код и использовать автоматизированные тесты.