Математик хакна имейл от Google, мислел, че го тестват за работа

35-годишният математик от Флорида Закари Харис откри пробив в системата на Google, мислейки че го тестват в рамките на интервю за работа.

Талантливият Зак е получил странен имейл от HR представител на Google. В писмото му бил зададен въпросът дали се интересува от позицията на инженер по уеб сигурността в компанията, разказва Wired. "Явно имате интерес към Linux и програмирането”, пишело в имейла, изпратен от служител по подбор на кадрите в Google. "Бих искал да знам дали сте отворени към поверителното изследване на възможности с Google?", сочел още текстът, изпратен до него.

Харис бил заинтригуван от написаното, но същевременно проявил и доза скептицизъм. Имейлът дошъл до него напълно изневиделица през декември миналата година. Той самият не се чувствал като най-подходящия и способен кандидат, който Google търси. Затова се зачудил дали писмото не е някакъв трик – нещо, изпратено му от мошеник, който лъжливо се представя за представител на интернет гиганта. Проверил основната информация на адреса и всичко изглеждало легитимно.

След това обаче забелязал нещо странно. В имейла бил използван слаб криптографски ключ. Този вид ключ служи, за да удостоверява пред получателите, че кореспонденцията идва от законен корпоративен домейн на Google. Всеки, който разбиел кода, можел да го използва, за да се представя за изпращач от Google. 

Проблемът идвал от ключът DKIM (DomainKeys Indentified Mail). Поради мерки за сигурност DKIM ключовете имат дължина от най-малко 1024 бита. В имейла от Google обаче бил използван ключ с дължина 512 бита. Той лесно можел да бъде разбит с малко помощ от облачния компютинг.

Когато разбрал това, Харис си помислил, че няма начин от Google да са толкова небрежни към защитата си. Ето защо решил, че това може да е хитър тест, с който работодателят иска да го тества, за да види дали разполага с подходящите знания и умения да открие проблема. Преценил, че вероятно HR-ът е част от играта. Или че дори да не знаел че имейлът му е такъв, това е постановка, създадена от технологичния екип зад завесите.

Математикът твърди, че не бил заинтересован от работата в Google, но решил да хакне ключа и да изпрати имейл до основателите на Google Брин и Пейдж, само за да им покаже, че е разбрал играта, в която го тестват. Затова направил пробив в имейл системата и изпратил на Лари Пейд писмо от името на Сергей Брин. Сторил го като посочил обратният път на имейлите да се връща към собствения му имейл акаунт, за да могат Брин и Пейдж да го попитат как е разрешил загадката им. Но така и не получил отговор от основателите на Google. Вместо това, два дни по-късно забелязал, че криптографския код бил променен до дължина от 2048 бита. И с изненада забелязал, че има голямо търсене на сайта му от Google IP адреси. Явно не било тест на уменията му.