🛢️ 👨🏾‍⚖️ 😧 كولهاكر. بداية ☝️ 🐮 👩🏿‍🔬

قصة قصيرة حول كيفية الانضمام بسرعة إلى أمن المعلومات. قصة قديمة ، بداية طويلة ، ولكن ربما سأبدأ ...

الحلقة 1. مقدمة ، كلمة التحقق ، قطع الروبوتات

لدي مشروع إنترنت واحد ذو طبيعة شخصية ، إذا جاز التعبير ، مع بداية عام 2006. المشروع شخصي للغاية ، لذلك لا أنشر الرابط ، ولكن يمكنني إعطاء أولئك الذين يرغبون في الارتباط في PM. في الوقت الحالي ، يموت المشروع ببطء ، وقد مر بالفعل بمرحلة النمو والازدهار ، يبدو أنه يحتاج إلى دفن ، لكننا ما زلنا لن نقرر بشأن هذه الخطوة.

تم شراء Move في عام 2006 ، ليس سراً - DLE ، وفي غضون عام تقريبًا ، تم الانتهاء منه من تلقاء نفسه ، وانتهى كثيرًا لدرجة أننا توقفنا عن التحديث منذ عام 2007. Saytets ، حيث يتسكع الناس ، يكتبون ، يعلقون ، يتواصلون في PM حول مختلف الموضوعات المشتعلة.

كانت السمات المميزة للمشروع تحسينات خاصة به ، ولكنها بسيطة لدرجة أنني كنت في بعض الأحيان متفاجئًا جدًا من سبب عدم تفكير الآخرين به من قبل. أحد هذه التحسينات يتعلق بـ captcha.

عندما قدمت جميع هذه المشاريع اختبار CAPTCHA للحماية من برامج الروبوت ، قررت أنا وصديق تقديم كلمة التحقق ، ولكننا سرعان ما أدركنا أننا نفقد جمهورنا بغباء ، وكان هناك المزيد والمزيد من برامج الروبوت واستمروا في البريد العشوائي. ونتيجة لذلك ، بقي اختبار CAPTCHA ، ولكن فقط كروليت ، يعرض الرقم الذي تم إسقاطه ، والذي لا يؤثر على القدرة على ترك تعليق - بعبارة أخرى ، قمنا بقص آلية التحقق من اختبار CAPTCHA بالكامل ، لكننا تركنا الجيل والعرض. وبعد فترة زمنية قصيرة إلى حد ما ، أصبحت شريحة - تم قياس الأشخاص في التعليقات بأرقام اختبار CAPTCHA ، الأكثر جمالًا ، وما إلى ذلك. اعتقدنا أنه "مهما كان الطفل يسلي ، إن لم يكن بيديه فقط".

ولكن إذا تذكرت تاريخ اختبار CAPTCHA ، فقد تم تصميمه للحماية من برامج الروبوت ، من تلك التي يتم نشرها بشكل كبير على الإنترنت ، وشربنا آلية الحماية هذه لأنها لم تعمل. ومع ذلك ، تمكنا من تحليل سلوك الروبوتات وقطع كل شيء دون أي أثر. هناك موقع ، وهناك إمكانية بسيطة ، والنظر في سهولة ، والتعليق ، دون الرسائل القصيرة والتسجيل ، لا كلمة التحقق ، لا الروبوتات.

كان هذا تطبيقًا جديرًا بطلبات POST و GET لبرامج نصية للموقع من جانبي.

الحلقة 2. تحديثات المحرك ، والتعرف على kulhacker

لان لم يتم تحديث محرك الموقع ، وظهرت بعض نقاط الضعف بشكل دوري ، وبعض الحلقات الأخرى لتطبيق نقاط ضعف معينة على موقعنا.

من الجيد إذا اكتشفنا هذه الثغرة الأمنية على موارد 0 يوم قبل تطبيق هذه الثغرة على موقعنا ، أو في شكل دعم فني لمحركنا ، مرة أخرى حتى اللحظة التي تم فيها تطبيق هذه الثغرة على موقعنا. ولكن حدث أيضًا أننا تعلمنا عن الثغرة الأمنية من تحليل طلبات POST و GET للنصوص البرمجية للموقع ، إما في الواقع ، على سبيل المثال ، تشوهًا أو معالجات أخرى مع الموقع.

ثم جاء اليوم الذي أصبح فيه إصدار محرك الموقع قديمًا جدًا لدرجة أن الرسائل حول هذا المحرك وهذا الإصدار توقف ببساطة عن الظهور على موارد 0 يوم ، ناهيك عن أنه في منتدى TP على مدى السنوات الخمس الماضية ، لا توجد ببساطة مشاركات جديدة حول إصدار المحرك الخاص بنا. ظهر.

ثم يظهر - كولهاكر.

لن أتحدث عن من هو ، سأخبرك عن المتعة التي تلقيناها. بدأ كل شيء بحقيقة أن مالك الموقع تلقى رسالة تفيد بأنه تم اختراق الموقع ، ومطاردة القبعات ، وإلا كل الخان. في الحرف الأول ، تم الإعلان عن مبلغ 100 ألف روبل في البيتكوين.

هذه هي الأوقات ، كما اعتقدنا ، وخضعت للتحليلات. أولاً ، كان من الضروري العثور على نتيجة القرصنة. تم العثور على نص برمجي بسرعة لا يرتبط بمحرك الموقع ، ولكن تم إخفاؤه كنص برمجي نموذجي لمحركنا ، كما تم العثور على نصوص مواقع معدلة - كان الموقع معطلاً. مستوى العمل - kulhacker ، لم يكن من الممكن الوصول إلى الخادم.

من خلال التلاعبات البسيطة ، تم تحليل طلبات POST و GET بالكامل إلى الموقع للحصول على اسم البرنامج النصي الجديد ، وبالطبع ، تم العثور على المعلمات التي تم تمريرها في طلب POST إلى الموقع ، ونتيجة لذلك تم العثور على ثغرة أمنية ، وتم تحديد ناقلات هجوم ، وتم العثور على واحد ضعيف في المقدمة متغير ، وبالطبع ، تم إغلاق الثغرة الأمنية ، وتم إجراء حالة "التراجع إلى الوضع الآمن" لمحرك الموقع. تم إنشاء ملاحظة إضافية لـ kulhacker - فجأة ما زال يعرف ما لا نعرفه ، وفي العموم لا توجد معلومات مجهولة تقريبًا ، ومن الواضح أن قضيتنا لم يتم وصفها في أي مكان.

الحلقة 3. Kulhacker يرد على المساومة

بعد مرور بعض الوقت ، الرسالة مرة أخرى ، هذه المرة تقول أننا أناس سيئون ، وأنه لن يغفر لنا لذلك ، إذا لم ندفع الأغطية ، فلن يتم استقبالنا مرة أخرى.

فكّرنا في هذين ، وتجاهلنا الرسالة مرة أخرى. بعد يومين ، تلقينا تشويهًا لموقع الويب مع اشتراط دفع الحد الأقصى. قمنا مرة أخرى بتحليل طلبات POST و GET ، ووجدنا مرة أخرى ناقل الهجوم ، واكتشفنا متغيرًا ضعيفًا جديدًا في الواجهة الأمامية ، وأغلقنا الثغرة مرة أخرى ، وأعدنا مرة أخرى حالة "التراجع إلى حالة آمنة".

لقد فهمنا بالفعل أن kulhacker يجب أن يبدأ في الشك في أننا نستخدم معرفته لمصالحنا الخاصة ، وأننا لا نركض نحوه بحقيبة من المال ، لذلك تقرر كتابة رسالة إلى "عميلنا" من "سكرتير" معين ، الذين لا يفهمون ما تتم مناقشته ، وما تحتاجه للقيام به ، وحتى أكثر من ذلك فهي لا تفهم ماهية عملات البيتكوين. كنا نأمل أن يؤدي هذا ، إلى حد ما ، إلى زيادة اهتمام kulhacker لدينا ، مما سيجعله يثبت نقاط ضعف محركنا عدة مرات ، إذا كان قد ترك أي شيء.

قمنا أيضًا بتحليل متجهي الهجوم الأول والثاني ، وتحديد نقطة الضعف العامة لمحرك الموقع ، ثم تحليل جميع البرامج النصية للمتغيرات المناسبة التي كانت ضعيفة لنقاط الضعف في الواجهة الأمامية. أغلق بسرعة بضع اختناقات أخرى.

لم يكن رد kulhacker طويلًا في المستقبل ، مرة أخرى كان هناك تهديد بأننا نشعر بالسوء ، تم تشويه الموقع مرة أخرى ، ولكن الآن انخفض مجموع المتطلبات بمقدار 10 مرات ، مما أعطانا افتراض أن أفكار جناحنا قد انتهت ، مما يعني في المرة القادمة لن يأتي إلينا.

التلاعبات القياسية مع تحليل الطلبات إلى الموقع ، ناقل هجوم جديد ، مجموعة جديدة من المتغيرات ، إغلاق الثغرات الأمنية ، حالة "التراجع إلى حالة آمنة".

الحلقة 4. وداع

كما هو متوقع ، لم تكن هناك حالات قرصنة جديدة ، ولكن كان هناك رسالة جديدة من عميلنا تفيد بأننا كنا فجل ، وأننا تصرفنا بشكل غير احترافي للغاية ، وأنه يمكننا دفع أغطية على الأقل لإظهار نقاط ضعف محركنا .

لقد تبادلنا جهات الاتصال ، ووجدنا العديد من المجتمعات المغلقة بمعلومات يوم 0 ، حيث تم نشر الثغرات غير المعروفة حتى الآن لمحركنا - فوجئوا بسرور. قالوا بفضل Kulkhatsker وألقوا المال على هاتف لم يخبرنا برقمه ؛)

الحلقة 5. لحظات العمل

شركة جديدة ، مهام جديدة. خارج أذني ، أسمع محادثة مهندسي تكنولوجيا المعلومات حول حقيقة أن الموقع الرئيسي للشركة قد تم اختراقه للمرة الألف ، وأن الشركة التي طورت الموقع قبل عدة سنوات تريد المال لتحديث المحرك وإغلاق نقاط الضعف ، فماذا أفعل ، ولكن سرعان ما سيبدأون في تمزيق الأعلام. أوقع نفسي في محادثة ، وأقدم المساعدة.

الكلاسيكي ، مع ذلك ، إلى حد الجنون بسيط ، مع هذا يبدأ كل kulhackers. للبدء ، أقترح تمكين تحليل طلبات POST ، مثل في سجلات GET ، تكون فارغة ومنطقية. بعد بضع ساعات ، أحصل على إجابة مفادها أن المضيف قال إنه من المستحيل ، ألا يحتفظوا بهذه السجلات ، إذا كنت ترغب في جمع POST ، فعليك جمعها بنفسك. الرجال مستاؤون.

هذه هي العناصر الثلاثة ، كما فكرت ، وأخبرت كيفية فرض جمع طلبات POST من جميع النصوص البرمجية للموقع. في اليوم التالي ، تم اكتشاف ناقل هجوم ، وتم إغلاق الثغرة على الفور ، واكتسب مهندسو تكنولوجيا المعلومات خبرة لا تقدر بثمن في تحليل الوضع ، والتي ربما لا يزالون يستخدمونها اليوم. لم يكن هناك IS في الشركة.

استنتاج

إذا كنت ترغب في تعلم أساسيات أمن المعلومات ، فابدأ بـ kulhacking. إذا أصبح الاتجاه مثيرًا للاهتمام - فانتقل إلى الخطوة التالية. كلما عرفت المزيد عن طرق القرصنة ، زادت قدرتك على مواجهة المهاجمين.

ونعم ، عندما تصل إلى اختيار الوصول إلى الشخص ، يمكنك البدء في وضع لوائح تنظيمية مختصة.

"ماذا عن البوتات؟" - أنت تسأل. وسأجيبك: "حلل السلوك ، واعثر على ناقلات الهجوم ، والأنماط والنقاط العامة - يمكنك التعامل معها!" - تشبه إلى حد كبير النهج العام لضمان الأمن في الواقع. تستند التدابير الوقائية فقط على الخبرة.