'Motivacija za traženje ranjivosti, odnosno security research, stara mi je navika i to sam puno češće prije radio. Danas vrlo rijetko. Ovo istraživanje je bilo većim dijelom obavljeno jedne noći iza ponoći u dokolici, kako po stereotipu hakeri to i rade. Od NASA-e ne očekujem ništa, ja sam im javio ranjivosti, na njima je da dalje rade trijažu', rekao je Leon Juranić u razgovoru za tportal.

Otkrio je ranjivosti u čak 13 do 15 NASA-inih softverskih alata. Kao alat koristio je samo obični tekst editor i za pretragu znakova. Sve je, kaže, napravio najbazičnije moguće. 'Koliko je teško - ovisi o znanju koje imate, nekome je to nedokučivo, nekome je hobi', kaže Juranić.

Ozbiljne i dalekosežne posljedice

Ističe da su najkritičnije ranjivosti tzv. preljeva međuspremnika, odnosno buffer overflow ranjivosti. 'Realno, netko može iskoristiti ranjivost u NASA-inom softveru i izvršiti proizvoljni programski kod na sustavima na kojima je taj softver upogonjen – bilo da je riječ o NASA-inim sustavima, sustavima druge vladine agencije ili treće strane koja koristi softver iz NASA-inog repozitorija', tumači najpoznatiji hrvatski bijeli haker.

Za one koji su, kao i autorica ovih redaka, laici kad je riječ o kibernetičkoj sigurnosti, Juranić je objasnio: 'Buffer overflow ranjivosti su posebno opasne jer je moguće manipulirati memorijom procesa, odnosno, laički rečeno – softverom na udaljenom računalu – i tako ga navesti da izvrši neku radnju za koju nije predviđen, po želji napadača.'

Iako bismo očekivali visoku razinu sigurnosti u softveru koji koristi svemirska agencija poput NASA-e, Juranić kaže da praksa pokazuje drugačije. 'Softver i dandanas vrlo često nije propisno testiran za sigurnosne ranjivosti i vrlo često se i u onom koji je high-profile mogu pronaći ranjivosti koje su u naravi low hanging fruit, ali s vrlo ozbiljnim i dalekosežnim posljedicama', ističe.

Odgovor iz NASA-e

Na konstataciju da je još više zabrinjavajuće to što se takve ranjivosti mogu iskoristiti jednostavnim otvaranjem posebno pripremljene datoteke, bez dodatnog hakiranja, Juranić kaže: 'Ukratko – da. Ta posebno konstruirana maliciozna datoteka iskoristi sigurnosnu ranjivost u softveru i to je sam proces hakiranja.'

No Juranić pritom ne želi senzacionalizirati prijetnju. 'Ne bih špekulirao o globalnom riziku, to je malo prenapuhano, ali s obzirom na to da NASA neke od ovih softvera koristi i razvija i više od 40 godina, definitivno možemo govoriti o sigurnosnim prijetnjama po NASA-ine sustave koje koriste za misije u svemiru i na planetu Zemlji.'

A što su mu rekli u NASA-i? 'Kad sam razgovarao s njima telefonski, rekli su mi da ne mogu razgovarati o statusu prijavljenih sigurnosnih ranjivosti s osobom izvan NASA-e zbog svoje sigurnosne politike. To je velika razlika u odnosu na 2009. godinu, kada su programeri bili puno više prijateljski nastrojeni i susretljivi', ističe.

Na pitanje zašto ranjivosti nisu ranije otkrivene, Juranić ostaje suzdržan: 'U pretpostavke ne bih ulazio. Može to biti kombinacija raznih čimbenika.'

Pitali smo ga je li softver otvorenog koda sigurniji. 'Softver otvorenog koda je u pravilu sigurniji od komercijalnih softvera zatvorenog koda jer jednostavno više ljudi ima uvid u izvorni kod i veća je šansa da se ranije otkriju čak i kompliciranije sigurnosne ranjivosti koje i u open sourceu nekad znaju biti prisutne i po više desetljeća', pojašnjava nam.

Ipak, upitan misli li da institucije prebacuju odgovornost na vanjske stručnjake i da ih pritom ne slušaju, odgovara diplomatski: 'Radije ne bih spekulirao o tome, ali da ima prostora za poboljšanje, definitivno ima.'

Prijavio sve ranjivosti prije više od tri mjeseca

A što ako se američke vlasti ipak pojave na vratima? 'Počastio bih ih dobrim viskijem. Šalim se. Sve ranjivosti sam prijavio NASA-i u responsible disclosure stilu, odnosno odgovornom otkrivanju ranjivosti, i učinio sam to više od tri mjeseca prije nego sam ih javno objavio', kaže.

A čime se naš najpoznatiji bijeli haker trenutno bavi? Nakon što je njegov prethodni startup DefenseCode kupila izraelska tvrtka, Juranić je pokrenuo novi projekt – ThreatLeap.

'Cijeli život me naprijed gura želja za nečim novim i novim izazovima – ukratko, poduzetništvo u kibernetičkoj sigurnosti. Zadovoljstvo je kad iz nule napraviš nešto fantastično. Moja nova tvrtka ThreatLeap bavi se cyber intelligence i threat intelligence sektorom. Praktički smo prva linija obrane od zlonamjernih napadača. Klijente nadziremo 24/7 kako bismo ih pravodobno informirali o potencijalnim kibernetičkim prijetnjama za njihove sustave, podatke i poslovanje. Također, pratimo globalne hakerske grupe te njihove tehnike i mogućnosti', otkriva nam Juranić.