22-летний студент-программист из столицы Татарстана Камиль Хисматуллин уже пять лет активно исследует системы ИБ Интернет-ресурсов. В качестве IT-тестера он уже более года участвует в программе Google Vulnerability Research Grants, которая нацелена на поиск ошибок и уязвимостей в корпоративных web-продуктах и сервисах. В 2014 году Хисматуллин за обнаруженные в программных кодах «косяки» и баги уже получил от компании Google не только премию в размере $1337, но и почетную «прописку» в виртуальном «зале славы», где отмечаются все лица, совершенствующие продукты Google. И вот в начале апреля 2015 года о Камиле Хисматуллине, увидевшим возможность обхода системы ИБ в видеохостинге YouTube, узнал весь Рунет.
Исследуя уязвимости CSRF или XSS внутри блока live_events/broadcasting сервисной системы YouTube Creator Studio, которая позволяет авторам просматривать аналитику о загруженных через приложение видеометерилах, казанский программист неожиданно обнаружил логический баг, который позволял несанкционированно удалять любой загруженный на YouTube видеоматериал. Хакеру средней руки это было бы вполне по силам сделать в течение считанных минут. Для этого злоумышленнику достаточно было скопировать часть адресной ссылки видео и аутентификационного маркера, или, точнее, токена, выполняющего функцию пароля... Казанский программист обнаружил, что логическая запись сервисной системы YouTube запросто реагировала на любой аутентификационный маркер, что позволяло легко обходить весь механизм ИБ, который, по правилам, должен был бы взаимодействовать исключительно с токеном — от персонального аккаунта. Иначе говоря, через копирование любого токена любому желающему открывалась возможность «убивать» на видеохостинге файлы роликов.
Позже Хисматуллин в своем блоге достаточно подробно описал, как он искал и обнаружил эту уязвимость на YouTube. Исследование программных кодов сервиса заняло у него 6-7 часов. Обнаруженный баг, который он процитировал в своем блоге, несколько часов он тщательно тестировал: без проблем ему удалось без авторизации удалять с YouTube загруженный им через свой аккаунт случайный ролик. При этом, как пишет Хисматуллин, его просто подмывало пройтись по чужим аккаунтам и «убить» на видеохостинге клипы популярного в подростковой среде певца Джастина Бибера. Однако, сдержался и, «к счастью, ни одно видео Бибера не пострадало», -- как написал он у себя в блоге. Там же он прокомментировал так свою находку: «Попади эта уязвимость в дурные руки, их обладатели могли бы наделать немалых бед на YouTube».
Сразу же после обнаружения бага, программист направил подробный отчет с указанием бреши в службу поддержки компании Google, являющейся владельцем YouTube. И для большей убедительности к письму прикрепил отснятый им процесс удаления с данного ресурса видеофайлов — без использования логина. Несмотря на раннее субботнее утро, отдел безопасности Интернет-гиганта Google, видимо, беспокоясь о репутационных издержках в связи с оглаской факта обнаружения в коде YouTube бага, смог достаточно оперативно отреагировать на открытие российского программиста. В течение нескольких часов — незаметно для пользователей — соответствующие исправления и дополнения были внесены IT-специалистами в код системы. За обнаружение уязвимости казанский студент получил от Google вознаграждение в размере $5000.
Пост казанского студента с описанием выявленного на YouTube бага широко обсуждался в IT-сообществе. Многим просто не верилось, что какой-то начинающий IT-шник мог спасти репутацию Интернет-гиганта Google. Поэтому, в обсуждениях часто появлялись ремарки типа «фейк» или «первоапрельская шутка». На самом же деле парень просто хорошо сделал свою работу, и журналистам рассказал, что исследование ИБ веб-приложений для него больше чем работа – это его излюбленное хобби. Он пояснил, что при входе на какой-либо сайт «начинал у себя в голове строить его архитектуру и думать, как бы я сам все это реализовал там внутри», и именно так в 2014 году Хисматуллин смог впервые на крупном сервисе обнаружить в программном коде системы уязвимость. И это еще больше подстегнуло его интерес к тестированию ИБ web-ресурсов…
.jpg)
.jpg)