Студент из России Сергей Глазунов, участвовавший в конкурсе по выявлению слабых мест в защите интернет-браузера Chrome, организованном Google в Ванкувере, указал на уязвимости программы. За что и получил премию в размере $60 тыс.

Сейчас я советую Сергею попытаться за три месяца подтянуть язык и после этого ехать летом в Америку на стажировку

Найденная студентом Института математики и компьютерных наук Тюменского государственного университета (ТюмГУ) Сергеем Глазуновым «дыра» связана с ошибкой плагинов Adobe Acrobat. Таким образом, уязвимыми для атаки были все сайты, открываемые через Google Chrome и имеющие в себе pdf-файлы. Изъян, связанный с UXSS-атакой и историей навигации в Chrome, был устранен в течение суток. Детали этой уязвимости Google раскроет позже, когда большинство пользователей установит обновление безопасности, сообщают в компании.

Конкурс Pwnium проходил в Ванкувере в рамках конференции по компьютерной безопасности CanSecWest. По условиям конкурса тому, кто сможет миновать безопасную среду («песочницу») браузера Chrome и выполнить вредоносный код, Google выплатит от 20 тыс. до 60 тыс. долларов (в зависимости от типа уязвимости).

Каждый победитель также будет награжден ноутбуком Chromebook. Общий призовой фонд конкурса составляет миллион долларов. Параллельно с Pwnium в Ванкувере проходит другое крупное соревнование для хакеров – Pwn2Own.

Как сообщала газета ВЗГЛЯД, осенью 2011 года стало известно, что в благодарность за найденные уязвимости в новой версии браузера Chrome российский IT-специалист Сергей Глазунов получил от корпорации Google 13 тыс. 600 долларов.

«Когда участвуешь в поиске уязвимостей, могут всплыть еще какие-то подробности, которые можно считать за отдельные ошибки», – рассказывает Сергей Глазунов «Вести-Тюмень».

В мировой классификации хакеров Сергей Глазунов относится к группе «белых» хакеров. А еще есть «черные», они используют взлом систем безопасности в корыстных целях. «Серые» хакеры действуют по принципу «и нашим, и вашим». Но именно благодаря «белым» хакерам, прежде всего, выявляются уязвимости системы.

За свои достижения в области IT-исследований Сергею Глазунову уже предложили пройти стажировку в США в главном офисе компании Google. Поэтому в планах на лето под номером один у тюменского хакера значится поездка в Америку. Он намерен лично пообщаться с разработчиками Google.

Сам Сергей Глазунов упорно прячется от теле- и фотообъективов, он не хочет, чтобы его узнавали на улице. Как говорят однокурсники и преподаватели, «Сергей – парень скромный, и ему это не нужно». Рассказать о компьютерном гении и о перспективах бескорыстных хакеров газета ВЗГЛЯД попросила заведующего кафедрой «Информационная безопасность» Института математики и компьютерных наук ТюмГУ Александра Захарова.

ВЗГЛЯД: Александр Анатольевич, расскажите о своем студенте Сергее Глазунове, победившем в конкурсе Google.

Александр Захаров: Сергей учится на 4-м курсе отделения «Информационная безопасность». Его, скорее, можно отнести к «ботаникам», он очень замкнут и не стремится светиться на экранах. Умный, толковый парень. Но ему интересны не все предметы.

Он особо не выделяется на фоне своих однокурсников, просто ему лучше всего удается находить уязвимости. Но есть студенты, которые сильнее в других областях компьютерной безопасности.

У меня создана некая образовательная среда, где разные люди занимаются вещами, которые называются поиском уязвимости. Образование построено так, что студенты самообучаются в областях, которые больше всего им нравятся.

ВЗГЛЯД: Для чего проводятся такие конкурсы, как Pwnium?

А.З.: Есть примерно 10–12 тысяч строчек программного кода, и в них одна-две с изъяном. Найти эту уязвимость в сервере очень сложно, это требует много времени. А кроме того, подобная работа стоит немалых денег, если нанимать профессионалов. Поэтому фирмы, когда готовят или выпускают программный продукт, объявляют конкурсы. Для корпораций это просто экономия средств, чтобы выпустить качественный продукт, а для студентов – возможность проявить себя.

ВЗГЛЯД: В институте произошли какие-нибудь перемены после того, как стало известно о победе вашего студента?

А.З.: После того как стало известно о победе Сергея, мне предложили сделать так называемый тестовый взлом. А вообще это нормальное явление, когда на первый план выходят не только те, у кого грудь 120, бедро 60, а бицепс – 40, но еще и те, кто умен.

ВЗГЛЯД: В чем заключается суть найденной Сергеем уязвимости?

А.З.: Представьте, что вы переводите с карточки минус 1 млн рублей, имея при этом на счету всего рубль. Но из-за сбоя системы эта сумма приплюсовывается к вашему счету. И у вас на счету оказывается минус 999 999 рублей. Вот примерно такая аналогия.

Хакер – это специалист, который в очень узкой области достигает нестандартными способами каких-то результатов. Просто такие люди начинают сами себе задавать вопросы: а что будет, если сделать так, а вдруг компания это не просчитала? Их раньше называли хакерами и относились к ним с уважением. Но потом хакеры стали работать на «карман», и их стали называть «черными» хакерами. Тех же, кто занимается взломом системы из любопытства, называют «белыми» хакерами. Если бы Сергей продал эти уязвимости на сторону, то неплохо бы заработал. По России хорошая уязвимость Internet Explorer стоит около десяти тысяч долларов. Продал бы сотне человек, получил бы миллион.

ВЗГЛЯД: А «черные» хакеры не пытаются переманить ваших ребят на свою сторону?

А.З.: Скорее всего, пытаются. Поэтому главное – создать условия, чтобы ребята могли собой гордиться и заявлять о себе.

ВЗГЛЯД: Сергею после победы в конкурсе предложили пройти обучение за границей, как он воспринял это?

А.З.: Он парень из села, и у него плохой английский. Сейчас я советую Сергею попытаться за три месяца подтянуть язык и после этого ехать летом в Америку на стажировку. Просто в институте мы уже ничем помочь ему не сможем, на высокий уровень он вышел через самообучение. Все технологии идут из-за границы, а работать ему без разницы где.

ВЗГЛЯД: Насколько выгодно быть программистом в России?

А.З.: Я слежу за тем, сколько наши выпускники зарабатывают на своей деятельности. Вот среди девушек ежемесячный заработок перевалил за 100 тыс. рублей, среди ребят уже и за 160 тыс. рублей. Но они все, в основном, разработчики банковских систем.