🚚 🛵 💲 Kulhacker comienzo 🙍🏾 🐲 👨‍👩‍👧

Una breve historia sobre cómo unirse rápidamente a la seguridad de la información. Una vieja historia, un largo comienzo, pero quizás empiece ...

Episodio 1. Introducción, captcha, cortando bots

Tengo un proyecto de Internet de naturaleza personal, por así decirlo, que comenzó en 2006. El proyecto es muy personal, por lo que no publico el enlace, pero puedo darles a aquellos que lo deseen en PM. En este momento, el proyecto está muriendo lentamente, ya ha pasado por la etapa de crecimiento y prosperidad, parece que necesita ser enterrado, pero aún no decidiremos este paso.

La mudanza en 2006 fue comprada, no es ningún secreto: DLE, y en aproximadamente un año fue fuertemente dopada por sí misma, tanto que dejamos de actualizar desde 2007. Saytets, donde la gente pasa el rato, escribe, comenta, se comunica en PM sobre varios temas candentes.

Las características distintivas del proyecto fueron sus propias mejoras, pero tan simples que a veces me sorprendió mucho por qué otros no lo habían pensado antes. Una de estas mejoras está relacionada con el captcha.

Cuando todos estos proyectos introdujeron captcha para proteger contra los bots, un amigo y yo decidimos introducir captcha, pero rápidamente nos dimos cuenta de que estábamos perdiendo estúpidamente nuestra audiencia, y que había más y más bots y continuaron enviando spam. Como resultado, el captcha permaneció, pero solo como una ruleta, mostrando el número abandonado, lo que no afecta la capacidad de dejar un comentario; en otras palabras, cortamos completamente el mecanismo de verificación del captcha, pero dejamos la generación y la visualización. Y después de un período de tiempo bastante corto, se convirtió en un chip: las personas en los comentarios se midieron por el número de captcha, quién es más hermosa, etc. "Lo que sea que el niño pueda divertir, si no con sus manos", pensamos.

Pero si recuerdas la historia del captcha, está diseñado para proteger contra los robots, de aquellos que se envían masivamente en Internet, y tomamos este mecanismo de protección porque no funcionó. Sin embargo, pudimos analizar el comportamiento de los bots y cortar todo sin dejar rastro. Hay un sitio, existe la posibilidad de simple, considerar fácil, comentar, sin SMS y registro, sin captcha, sin bots.

Esta fue una aplicación digna de solicitudes POST y GET para los scripts del sitio desde mi lado.

Episodio 2. Actualizaciones del motor, conociendo al kulhacker

Porque El motor del sitio no se actualizó, periódicamente surgieron algunas vulnerabilidades y algunos otros episodios de aplicación de vulnerabilidades específicas a nuestro sitio.

Es bueno si nos enteramos de esta vulnerabilidad en los recursos de 0 días antes de que esta vulnerabilidad se aplicara a nuestro sitio, o en forma de soporte técnico para nuestro motor, nuevamente hasta el momento en que esta vulnerabilidad se aplicó a nuestro sitio. Pero también sucedió que aprendimos sobre la vulnerabilidad del análisis de las solicitudes POST y GET para los scripts del sitio, ya sea, por ejemplo, una desfiguración u otras manipulaciones con el sitio.

Y luego llegó el día en que la versión del motor del sitio se hizo tan antigua que los mensajes sobre este motor y esta versión simplemente dejaron de aparecer en los recursos de 0 días, sin mencionar que en el foro de TP en los últimos 5 años simplemente no hay nuevas publicaciones sobre nuestra versión del motor apareció.

Y luego aparece: un kulhacker.

No hablaré de quién es, te contaré sobre la diversión que recibimos. Todo comenzó con el hecho de que el propietario del sitio recibió un mensaje de que el sitio fue pirateado, persigue los sombreros, de lo contrario todo el khan. En la primera carta, se anunció la cantidad de 100K rublos en bitcoins.

Estos son los tiempos, pensamos, y pasamos a la analítica. Primero, era necesario encontrar el resultado de la piratería. Se encontró rápidamente un script que no estaba relacionado con el motor del sitio, pero disfrazado como un script típico para nuestro motor, y también se encontraron scripts del sitio modificados: el sitio no funcionaba correctamente. Nivel de trabajo: kulhacker, no fue posible llegar al servidor.

A través de manipulaciones simples, todas las solicitudes POST y GET al sitio se analizaron para el nombre del nuevo script, y por supuesto, los parámetros pasados se encontraron en la solicitud POST al sitio, como resultado de lo cual se encontró una vulnerabilidad, se determinó un vector de ataque y se encontró uno débil al frente una variable y, por supuesto, la vulnerabilidad se cerró y se realizó un estado de "reversión a seguridad" para el motor del sitio. Se estableció una observación adicional para el kulhacker: de repente, él todavía sabe lo que no sabemos, y en el público prácticamente no hay información desconocida, y nuestro caso claramente no se describió en ninguna parte.

Episodio 3. Kulhacker contraataca, regateando

Después de algún tiempo, la carta nuevamente, esta vez diciendo que somos malas personas, que él no nos perdonará por esto, que si no pagamos los límites, entonces no seremos recibidos nuevamente.

Estos son los dos, pensamos, y nuevamente ignoramos la carta. Después de un par de días, recibimos una desfiguración del sitio web con el requisito de pagar límites. Analizamos nuevamente las solicitudes POST y GET, nuevamente encontramos el vector de ataque, descubrimos una nueva variable débil en el extremo frontal, volvimos a cerrar la vulnerabilidad y volvimos a un estado "seguro".

Ya entendimos que el kulhacker debería comenzar a sospechar que estamos usando su conocimiento en nuestros propios intereses, y que no estamos corriendo hacia él con una bolsa de dinero, por lo que se decidió escribir una carta a nuestro "cliente" de cierto "secretario", quien no entiende lo que está en juego, y qué necesita hacer, y aún más, no entiende qué son los bitcoins. Esperábamos que esto, en cierto sentido, avivara el interés de nuestro kulhacker, lo que lo haría demostrar las vulnerabilidades de nuestro motor un par de veces más, si le quedara algo.

También analizamos el primer y segundo vectores de ataque, determinamos la debilidad general del motor del sitio y luego analizamos todas las secuencias de comandos en busca de variables adecuadas que fueran vulnerables a las debilidades. Cerró rápidamente algunos cuellos de botella más.

La respuesta del kulhacker no tardó en llegar, nuevamente hubo una amenaza de que nos sentiríamos mal, el sitio fue desfigurado nuevamente, pero ahora la suma de requisitos ha disminuido en 10 veces, lo que nos dio la suposición de que las ideas de nuestro pupilo habían terminado, lo que significa la próxima vez no vendrá a nosotros.

Manipulaciones estándar con el análisis de solicitudes al sitio, un nuevo vector de ataque, un nuevo conjunto de variables, vulnerabilidades de cierre, estado de "reversión a un estado seguro".

Episodio 4. Despedida

Como se esperaba, no hubo nuevos casos de piratería, pero hubo una nueva carta de nuestro cliente que indicaba que éramos rábanos, que nos comportábamos de manera extremadamente poco profesional y que podíamos pagar límites al menos por mostrarnos las vulnerabilidades de nuestro motor. .

Intercambiamos contactos, encontramos varias comunidades cerradas con información de 0 días, donde se publicaron vulnerabilidades desconocidas en este momento para nuestro motor; se sorprendieron gratamente. Dieron las gracias a Kulkhatsker y arrojaron dinero en un teléfono cuyo número no nos dijo;)

Episodio 5. Momentos de trabajo

Nueva empresa, nuevas tareas. De mi oído escucho la conversación de los ingenieros de TI sobre el hecho de que el sitio principal de la compañía ha sido pirateado por enésima vez, que la compañía que desarrolló el sitio hace varios años quiere dinero para actualizar el motor y cerrar las vulnerabilidades, qué debo hacer, pero pronto comenzarán a romper las banderas. Me meto en una conversación, ofrezco ayuda.

El clásico es, sin embargo, hasta el punto de la locura es simple, todos los kulhackers comienzan con esto. Para comenzar, propongo habilitar el análisis de las solicitudes POST, como en los registros GET está vacío, lo que es lógico. Después de un par de horas, recibo una respuesta de que el anfitrión dijo que es imposible, que no guardan tales registros, que si desea recolectar POST, entonces recójalo usted mismo. Los muchachos están molestos.

Estos son los tres, pensé, y me dijeron cómo forzar la recopilación de solicitudes POST de todos los scripts del sitio. Al día siguiente, se descubrió un vector de ataque, la vulnerabilidad se cerró rápidamente y los ingenieros de TI adquirieron una experiencia invaluable en el análisis de la situación, que probablemente todavía usan hoy en día. No había IS en la empresa.

Conclusión

Si desea aprender los conceptos básicos de seguridad de la información, comience con kulhacking. Si la dirección se vuelve interesante, avance al siguiente paso. Cuanto más sepa sobre los métodos de piratería, más podrá contrarrestar a los atacantes.

Y sí, cuando llegue a la selección de acceso a la persona, entonces puede comenzar a elaborar regulaciones IS competentes.

"¿Qué pasa con los bots?" - Usted pregunta. Y le responderé: "Analice el comportamiento, encuentre el vector de ataque, los patrones y los puntos generales, ¡puede lidiar con ellos!" - Muy similar al enfoque general para garantizar la seguridad, de hecho. Las medidas preventivas solo se basan en la experiencia.