Google mu nejdřív nevěřil. Pak ho ocenil

Jako jeden z mála Čechů se dostal do Síně slávy Google. Magisterský student informatiky Vít Šesták totiž objevil bezpečnostní chybu v aplikaci Google Play. Společnost jeho upozornění ocenila i penězi, které chce vložit do vlastního projektu.

Jak jste se do síně slávy Googlu vlastně dostal?

Začalo to tak trochu náhodou, když jsem si pořídil kvůli pracovnímu projektu tablet. Při jeho používání jsem si všiml podezřelé věci v platbách, kterou jsem začal dál zkoumat. Zjistil jsem, že je to chyba v zabezpečení.

Co jste s tím udělal?

Nejdřív jsem přemýšlel, co se s tím dá všechno dělat, a začal jsem problém podrobněji zkoumat, abych si ověřil, že mé podezření na chybu je správné. Když jsem si potvrdil, že nemají danou situaci ošetřenou, napsal jsem Googlu.

Jaká byla reakce?

Řekněme, že zpočátku byl trochu komunikační problém. Nahlásil jsem to jinou cestou, než chtějí. Když jsem tedy chybu oznamoval podruhé, sepsal jsem to stručněji. Jejich první reakce ale byla, že v tom nevidí žádný problém, takže jsem musel ještě dál upřesňovat, proč se mi určité chování nezdá bezpečné.

Takže vám nejdřív nevěřili.

Dá se to tak říct.

Když už vaše připomínky akceptovali, spolupracoval jste s nimi dál?

Komunikovali se mnou, posílali mi čas od času informace, s kým bezpečnostní tým nahlášenou chybu řeší. Podrobnosti o řešení mi ale nesdělovali.

Co to tedy bylo konkrétně za chybu, kterou jste objevil?

Nechci o tom moc mluvit, protože ještě není úplně opravená.

Jak víte, že ji ještě v Google Play neopravili?

Jednak to občas zkontroluji a také mi slíbili, že mě budou průběžně informovat.

Asi to tedy není moc nebezpečná chyba?

Mohl si jí všimnout i člověk bez informatického vzdělání, ale většinou ho to nenapadne zkoumat podrobněji. Laici si třeba mohou všimnout bezpečnostní chyby, která postihla v minulosti i dvě české banky, kdy bylo v internetovém bankovnictví jedním z bezpečnostních prvků zaslání ověřovací sms zprávy před provedením platby. Některé banky ale umožňovaly změnit v internetovém bankovnictví telefonní číslo bez jakéhokoliv ověření, takže tato dodatečná ochrana se dala velmi jednoduše obejít. Ale problém, který jsem u Google našel já, je přece jen odlišný a neznamená pro koncového uživatele, který dodržuje základní bezpečnostní návyky, nějakou hrozbu.

Takže jen programátoři něco opomněli.

Objevená bezpečnostní díra není problém nějaké učebnicové programátorské chyby, dá se čekat, že takové bude mít Google většinou ošetřené. Podle mě šlo v tomto případě spíš o organizační problém, protože zodpovědnost za nalezenou chybu se dá jen těžko přiřadit k nějakému konkrétnímu týmu.

Znáte někoho jiného, kdo našel a upozornil na podobnou chybu?

U Google ne, ale znám lidi, kteří našli různě závažné chyby v jiných systémech. Například i člověka, který odhalil problém u českých bank, který jsem už popisoval. Zajímavé je, že mě to tehdy taky napadlo, ale řekl jsem si, že přece banky nemůžou být tak hloupé, a proto jsem to dál nezkoumal.

Studujete informatiku, zaměřujete se tedy na bezpečnost informačních systémů?

Máme na fakultě informatiky volnější režim studia, takže člověk si může zvolit obor a potom v rámci volitelných předmětů studovat hodně věcí i z dalších oblastí. Mým studijním oborem jsou paralelní a distribuované systémy, ale mám také předměty z oblasti bezpečnosti. Jsou ale některé věci, které se člověk v učebnici ani ve škole nenaučí a musí zapojit vlastní invenci.

Co jsou vlastně paralelní a distribuované systémy?

Když máte jeden počítač a chcete na něm spočítat něco složitého, tak to může trvat třeba tisíc let. Někdy je proto výhodnější pořídit si či pronajmout třeba tisíc počítačů a spočítat úlohu za rok. Paralelní a distribuované systémy jsou tedy o tom, jak výpočet vhodně rozdělit mezi více počítačů nebo v rámci jednoho počítače na víc jader procesoru, nebo dokonce využít grafickou kartu. Jde tedy o to, jak vícejádrový procesor či sestavu počítačů efektivně využít.

Kromě fakulty informatiky jste se přihlásil i na ekonomicko-správní fakultu. Co vás k tomu vedlo?

Už od dětství mě zajímaly různé technické věci a později jsem přišel na to, že nejvíc mě baví software. Ale ještě na gymnáziu jsem jednou šel na Noc vědců, samozřejmě na fakultu informatiky, kde však tenkrát byli i ekonomové. Šel jsem se na ně podívat také a zaujalo mě to, a i když jsem nikdy neuvažoval o tom, že bych na informatiku nešel, přemýšlel jsem o dalším studiu. Na ekonomicko-správní fakultě studuji finance, ale momentálně mám přerušeno.

Dají se obory, které studujete, nějak propojit?

Poslední dobou přemýšlím, kudy se vydám. Finance jsou propojené s mým oborem na informatice, například Bitcoin je v podstatě distribuovaný systém. Dnešní banky a burzy by bez IT vypadaly úplně jinak. Dostal jsem teď nabídku práce v oblasti bezpečnosti, ale při studiu by to asi nebylo možné zvládat. Navíc jsem se pustil do vlastního projektu a doufám, že vyjde.

Čeho se váš vlastní projekt týká?

Psaní na dnešní klávesnici, včetně té na mobilních telefonech, vychází z podoby mechanického psacího stroje. Ten ale nebyl navržen na psaní, když dané zařízení držíte ve svých rukách. Vyvíjím tedy něco, co lépe odpovídá situacím, kdy dnes hodně píšeme na tabletech či mobilních telefonech. Spolupracuji na tom s dalšími lidmi a díky odhalení chyby v Googlu jsem získal i nějaké peníze, které chci do projektu investovat.

Máte docela dost práce, uděláte si někdy čas i na zábavu?

Nesedím jen za počítačem, v létě rád jezdívám na tábory, na vodu nebo někam na čundr. A rád běhám.