🐲 👍 🍹 Kulhacker. Start 🍕 👩‍👩‍👦 🏪

Eine kurze Geschichte darüber, wie Sie schnell der Informationssicherheit beitreten können. Eine alte Geschichte, ein langer Anfang, aber vielleicht fange ich an ...

Folge 1. Einführung, Captcha, Bots ausschneiden

Ich habe sozusagen ein Internetprojekt persönlicher Natur mit dem Beginn im Jahr 2006. Das Projekt ist sehr persönlich, daher veröffentliche ich den Link nicht, aber ich kann diejenigen, die den Link wünschen, in PM geben. Im Moment stirbt das Projekt langsam ab, es hat bereits die Wachstums- und Wohlstandsphase durchlaufen, es scheint, als müsste es begraben werden, aber wir werden uns immer noch nicht für diesen Schritt entscheiden.

Der Umzug im Jahr 2006 wurde gekauft, es ist kein Geheimnis - DLE, und in etwa einem Jahr wurde er von sich aus stark beeinträchtigt, so stark, dass wir seit 2007 die Aktualisierung eingestellt haben. Saytets, in denen Leute abhängen, schreiben, kommentieren und in PM zu verschiedenen brennenden Themen kommunizieren.

Besonderheiten des Projekts waren seine eigenen Verbesserungen, aber so einfach, dass ich manchmal sehr überrascht war, warum andere vorher nicht daran gedacht hatten. Eine dieser Verbesserungen betrifft Captcha.

Als all diese Projekte Captcha zum Schutz vor Bots einführten, beschlossen ein Freund und ich, Captcha einzuführen, stellten jedoch schnell fest, dass wir dumm unser Publikum verloren und es immer mehr Bots gab und sie weiterhin Spam versendeten. Infolgedessen blieb das Captcha erhalten, jedoch nur als Roulette, wobei die abgebrochene Nummer angezeigt wurde, was die Fähigkeit, einen Kommentar zu hinterlassen, nicht beeinträchtigt. Mit anderen Worten, wir haben den Captcha-Überprüfungsmechanismus vollständig ausgeschaltet, aber die Generierung und Anzeige verlassen. Und nach relativ kurzer Zeit wurde es zu einem Chip - die Personen in den Kommentaren wurden an der Anzahl der Captcha gemessen, die schöner sind usw. "Was auch immer das Kind amüsieren mag, wenn auch nicht mit den Händen", dachten wir.

Wenn Sie sich jedoch an die Geschichte von Captcha erinnern, wurde es zum Schutz vor Bots entwickelt, die im Internet massiv als Spam eingestuft werden. Wir haben diesen Schutzmechanismus getrunken, weil er nicht funktioniert hat. Trotzdem konnten wir das Verhalten von Bots analysieren und alles spurlos schneiden. Es gibt eine Seite, es gibt die Möglichkeit einfach, einfach zu betrachten, zu kommentieren, ohne SMS und Registrierung, ohne Captcha, ohne Bots.

Dies war eine würdige Anwendung von POST- und GET-Anfragen auf Site-Skripte von meiner Seite.

Folge 2. Motorupdates, den Kulhacker kennenlernen

weil Die Engine der Website wurde nicht aktualisiert, es traten regelmäßig einige Sicherheitslücken auf und einige andere Episoden, in denen bestimmte Sicherheitslücken auf unsere Website angewendet wurden.

Es ist gut, wenn wir diese Sicherheitsanfälligkeit an 0-Tage-Ressourcen erfahren haben, bevor diese Sicherheitsanfälligkeit auf unsere Website oder in Form von technischem Support für unsere Engine angewendet wurde, bis diese Sicherheitsanfälligkeit erneut auf unsere Website angewendet wurde. Es kam aber auch vor, dass wir durch die Analyse von POST- und GET-Anforderungen für Site-Skripte von der Sicherheitsanfälligkeit erfahren haben, entweder durch eine Verunstaltung oder durch andere Manipulationen an der Site.

Und dann kam der Tag, an dem die Version der Site-Engine so alt wurde, dass Nachrichten über diese Engine und diese Version einfach nicht mehr auf 0-Tage-Ressourcen angezeigt wurden, ganz zu schweigen davon, dass es im TP-Forum in den letzten 5 Jahren einfach keine neuen Beiträge zu unserer Version der Engine gibt erschien.

Und dann erscheint er - ein Kulhacker.

Ich werde nicht darüber sprechen, wer es ist, ich werde Ihnen über den Spaß erzählen, den wir erhalten haben. Alles begann mit der Tatsache, dass der Eigentümer der Site eine Nachricht erhielt, dass die Site gehackt wurde, jage die Hüte, sonst den ganzen Khan. Im ersten Brief wurde die Menge von 100.000 Rubel in Bitcoins angekündigt.

Dies sind die Zeiten, dachten wir und gingen zur Analytik. Zunächst musste das Ergebnis des Hackings ermittelt werden. Es wurde schnell ein Skript gefunden, das nicht mit der Site-Engine zusammenhängt, sondern als typisches Skript für unsere Engine getarnt ist, und es wurden auch geänderte Site-Skripte gefunden - die Site war fehlerhaft. Arbeitsebene - Kulhacker, es war nicht möglich, zum Server zu gelangen.

Durch einfache Manipulationen wurden die gesamten POST- und GET-Anforderungen an die Site auf den Namen des neuen Skripts analysiert, und natürlich wurden die übergebenen Parameter in der POST-Anforderung an die Site gefunden, wodurch eine Sicherheitsanfälligkeit gefunden, ein Angriffsvektor ermittelt und eine schwache an der Vorderseite gefunden wurde Eine Variable, und natürlich wurde die Sicherheitsanfälligkeit geschlossen, und für die Site-Engine wurde ein "Rollback to Safe" -Status erstellt. Für den Kulhacker wurde eine zusätzliche Beobachtung erstellt - plötzlich weiß er immer noch, was wir nicht wissen, und in der Öffentlichkeit gibt es praktisch keine unbekannten Informationen, und unser Fall wurde eindeutig nirgendwo beschrieben.

Folge 3. Kulhacker schlägt zurück und verhandelt

Nach einiger Zeit wieder der Brief, diesmal mit der Aussage, dass wir schlechte Menschen sind, dass er uns das nicht verzeihen wird, dass wir nicht wieder begrüßt werden, wenn wir die Obergrenzen nicht bezahlen.

Das sind die beiden, dachten wir und ignorierten den Brief erneut. Nach ein paar Tagen erhielten wir eine Website-Verunstaltung mit der Verpflichtung, Obergrenzen zu zahlen. Wir analysierten erneut POST- und GET-Anforderungen, fanden erneut den Angriffsvektor, entdeckten eine neue schwache Variable im Front-End, schlossen die Sicherheitsanfälligkeit erneut und führten erneut einen "Rollback in einen sicheren" Zustand durch.

Wir haben bereits verstanden, dass der Kulhacker anfangen sollte, uns zu verdächtigen, dass wir sein Wissen in unserem eigenen Interesse nutzen und dass wir nicht mit einer Tüte Geld auf ihn zulaufen. Deshalb wurde beschlossen, einen Brief von einer bestimmten „Sekretärin“ an unseren „Kunden“ zu schreiben. Wer nicht versteht, worum es geht und was sie tun muss, und noch mehr, sie versteht nicht, was Bitcoins sind. Wir hofften, dass dies in gewisser Weise das Interesse unseres Kulhackers wecken sollte, was ihn dazu bringen würde, die Schwachstellen unseres Motors noch ein paar Mal zu demonstrieren, wenn er noch etwas übrig hätte.

Wir haben auch den ersten und den zweiten Angriffsvektor analysiert, die allgemeine Schwäche der Site-Engine ermittelt und dann alle Skripte auf geeignete Variablen analysiert, die als anfällig für die Schwächen befunden wurden. Schnell noch ein paar Engpässe geschlossen.

Die Antwort des Kulhackers ließ nicht lange auf sich warten, es bestand erneut die Gefahr, dass wir uns schlecht fühlen würden, die Website wurde erneut unkenntlich gemacht, aber jetzt hat sich die Summe der Anforderungen um das Zehnfache verringert, was uns die Annahme gab, dass die Ideen unserer Gemeinde beendet waren, was bedeutet nächstes Mal wird er nicht zu uns kommen.

Standardmanipulationen mit der Analyse von Anforderungen an die Site, einem neuen Angriffsvektor, einem neuen Satz von Variablen, dem Schließen von Sicherheitslücken und dem "Zurücksetzen in einen sicheren" Zustand.

Folge 4. Lebewohl

Wie erwartet gab es keine neuen Fälle von Hacking, aber es gab einen neuen Brief unseres Kunden, in dem es hieß, wir seien Radieschen, wir hätten uns äußerst unprofessionell verhalten und wir könnten zumindest Obergrenzen zahlen, um uns die Schwachstellen unseres Motors zu zeigen .

Wir tauschten Kontakte aus, fanden mehrere geschlossene Communities mit 0-Tage-Informationen, in denen Schwachstellen für unsere Engine veröffentlicht wurden - sie waren angenehm überrascht. Sie bedankten sich bei Kulkhatsker und warfen Geld auf ein Telefon, dessen Nummer er uns nicht mitgeteilt hatte;)

Folge 5. Arbeitsmomente

Neue Firma, neue Aufgaben. Aus meinem Ohr höre ich das Gespräch von IT-Ingenieuren über die Tatsache, dass der Hauptstandort des Unternehmens zum x-ten Mal gehackt wurde, dass das Unternehmen, das den Standort vor einigen Jahren entwickelt hat, Geld für die Aktualisierung der Engine und das Schließen von Sicherheitslücken will. Was soll ich tun, aber bald werden sie an den Flaggen reißen. Ich zwinge mich in ein Gespräch, ich biete Hilfe an.

Der Klassiker ist jedoch bis zum Wahnsinn einfach, alle Kulhacker beginnen damit. Zunächst schlage ich vor, die Analyse von POST-Anfragen als zu ermöglichen In GET-Protokollen ist es leer, was logisch ist. Nach ein paar Stunden erhalte ich die Antwort, dass der Hoster gesagt hat, dass es unmöglich ist, dass sie solche Protokolle nicht führen. Wenn Sie POST sammeln möchten, sammeln Sie sie selbst. Die Jungs sind verärgert.

Dies sind die drei, dachte ich und erklärte, wie die Erfassung von POST-Anforderungen aus allen Site-Skripten erzwungen werden kann. Am nächsten Tag wurde ein Angriffsvektor entdeckt, die Sicherheitsanfälligkeit sofort geschlossen und IT-Ingenieure sammelten wertvolle Erfahrungen bei der Analyse der Situation, die sie wahrscheinlich noch heute verwenden. Es gab keinen IS in der Firma.

Fazit

Wenn Sie die Grundlagen der Informationssicherheit erlernen möchten, beginnen Sie mit Kulhacking. Wenn die Richtung interessant wird - fahren Sie mit dem nächsten Schritt fort. Je mehr Sie über Hacking-Methoden wissen, desto mehr können Sie Angreifern entgegenwirken.

Und ja, wenn Sie zur Auswahl des Zugangs zu der Person gelangen, können Sie damit beginnen, kompetente IS-Vorschriften zu erstellen.

"Was ist mit Bots?" - Du fragst. Und ich werde Ihnen antworten: "Analysieren Sie das Verhalten, finden Sie den Angriffsvektor, die Muster und die allgemeinen Punkte - Sie können damit umgehen!" - sehr ähnlich dem allgemeinen Ansatz zur Gewährleistung der Sicherheit in der Tat. Vorbeugende Maßnahmen basieren nur auf Erfahrungen.