Šestadvacetiletý britský student informatiky Glen Mangham od počátku tvrdí, že chtěl bezpečnostní problémy podrobně prozkoumat a následně sepsat, aby Facebook mohl chyby opravit. V minulosti takto už několika firmám pomohl a byl za tyto služby finančně odměněn. Přitom také Facebook nabízí hackerům možnost nahlásit chyby a získat uznání a hotovost.
Facebook a FBI jej ale vypátrali tři týdny po jeho útoku (květen 2011) a velmi jasně mu dali najevo, že ničemu takovému nevěří.
Místo odměny byl Mangham obviněn z toho, že způsobil Facebooku obrovské finanční škody (200 tisíc dolarů, tedy 3,74 milionu korun), a mladík byl po dlouhém vyšetřování v únoru odsouzen k osmi měsícům vězení. Odvolací soud dal ale Manghamovi za pravdu v tom, že rozsudek byl příliš přísný (více v YorkPress), a po dvou měsících jej propustil (více na TechCrunch).
"Chtěl jsem provést další analýzy zdrojového kódu"
Rozzlobenou a tvrdou reakci Facebooku lze pochopit, když si uvědomíme, jak významnou bezpečnostní díru Mangham odhalil. Pomocí chyby v programovací soutěži pro potenciální zájemce o zaměstnání Facebook's Programming Challenge se naboural do účtu zaměstnance Facebooku, Stefana Parkera. Pomocí jeho oprávnění se pak naboural do přísně zabezpečených serverů, odkud se mu podařilo stáhnout celý zdrojový kód Facebooku.
Už tehdy jistě mohl jít za Facebookem a chybu nahlásit. Facebook má dnes propracovanou nabídku pro etické hackery, umožňuje jim nahlášení chyb, získání finanční odměny za odhalené chyby v zabezpečení a povzbuzuje je, aby "chybu nahlásili co nejdříve". Mangham však údajně vyčkával, protože kód dále analyzoval a hledal další chyby: "Kdybych ihned nahlásil chybu, opravili by ji a já bych nemohl najít další chyby uvnitř. Takové zabezpečení by nikomu moc nepomohlo."
Obzvláště dotčen se Mangham cítí drsným přístupem Joe Sullivana, šéfa bezpečnosti Facebooku: "Myslel jsem, že když dám policii svůj pas, je to proto, abych nemohl vycestovat ze země. Místo toho jsem zjistil, že moji fotku dali k dispozici civilistovi z cizí země (Sullivanovi), který si ji ostentativně veřejně vyvěsí na zeď mezi podvodníky a pedofily."
Mark Zuckerberg
Mrzí ho také, že mu dělá problémy právě Facebook. Tedy společnost, která se chlubí dodržováním "kodexu hackera" a jejíž zakladatel, Mark Zuckerberg, si sám užil s autoritami svoje, když při naplňování projektu FaceMash hacknul několik univerzitních databází, aby z nich získal fotky.
Facebook mne zklamal
Glenn Mangham své dojmy shrnul ve 20minutovém videu.
Za normálních okolností by pochopitelně neexistoval důvod věřit nachytanému kyberútočníkovi, že jednal jako správný "white-hat hacker" (doslova hacker s bílým kloboukem, termín se používá pro popis těch, kteří využívají technik často na hraně zákona výhradně pro dobré a etické účely). Jenže Mangham v historii několika firmám s bezpečnostním auditem pomohl, byl za to údajně i odměněn. Další indicií může být, že při útoku nepoužíval maskování IP adresy (ačkoli jindy prokázal, že to umí) a konečně i to, že se nijak netají svým koníčkem hledat bezpečnostní slabiny a hlásit je.
I proto se domníváme, že popis událostí z jeho pohledu je relevantní, nebo přinejmenším zajímavý. Z plného znění jsme pro vás přeložili podstatné úryvky.
Jak jsem hacknul FacebookStudent informatiky a hacker Glenn Mangham popisuje svůj pohled na hacknutí Facebooku a následné vyšetřování. Nedávno mě propustili z vězení poté, co jsem se úspěšně odvolal proti příliš přísnému trestu za to, že jsem hacknul Facebook. Poprvé po skoro roce mám konečně příležitost vlastními slovy popsat, co se skutečně stalo. Přijímám plnou odpovědnost za to, co jsem udělal. Byl to pouze a jen můj nápad. Je pravdou, že jsem nepromyslel všechny možné důsledky svého jednání. Technicky vzato jsem porušil zákon, neboť mé akce nebyly autorizovány, předem ani následně. Vycházel jsem z toho, že někdy je lepší žádat o odpuštění následně než získávat povolení s předstihem. Existují způsoby, kterými může společnost udělit povolení k podobným akcím retroaktivně, což jsem v minulosti také s některými firmami praktikoval. Každopádně jsem podstoupil riziko, a později se do situace tak trochu zamotal. Chci se omluvit za to, že jsem nechal situaci vyeskalovat do plného vyšetřování. Také se omlouvám za problémy, které jsem mohl způsobit jednotlivcům. Přestože uznávám, že moje akce Facebook stály nějaké peníze, rezolutně se ohrazuji proti vyčíslené částce, která je nesmyslně vysoká. Doufám, že tímto videem nikoho neurazím, zvláště proto, že vím, že mluvím pravdu. Chápu ale každého, kdo je k mému vyjádření skeptický, také bych byl. Řeknu vám ale, co mě uráží. Společnost, která se pyšní podporováním "etických hackerů", ale přitom podporuje útočné praktiky firemních právníků proti někomu, kdo jednal hodně podobně, jako zakladatelé právě této společnosti. Není překvapivé, že miliardový byznys láká tento typ nemilosrdných, krvelačných právníků, ale bylo by nemoudré se domnívat, že takoví lidé podporují filosofii společnosti. V jiné situaci by se právě tak zakousli do lýtek těch, kterým nyní říkají pane. Mojí zásadou je nepoškodit nikoho nevinného, alespoň ne úmyslně. Když uvážíte, že v jednu chvíli jsem mohl naprosto zničit Facebook a neudělal jsem to, myslím, že by to mělo sloužit jako ukázka toho, že nejsem ten zlý. Věřím, že jsem prokázal (bezpečnostním auditem) již mnohokrát svůj dobrý úmysl a mělo by se k tomu přihlédnout. Věřím, že si zasloužím nálepku "etický hacker", i když se sarkastickými uvozovkami. zdroj: osobní blog Glenna Manghama, zvýraznění Technet.cz |
