👌🏾 🐔 💬 Kulhacker. Début 🚯 🚅 ⚡️

Une courte histoire sur la façon de rejoindre rapidement la sécurité de l'information. Une vieille histoire, un long début, mais je vais peut-être commencer ...

Épisode 1. Introduction, captcha, suppression des bots

J'ai un projet Internet à caractère personnel, pour ainsi dire, dont le début remonte à 2006. Le projet est très personnel, donc je ne publie pas le lien, mais je peux donner à ceux qui le souhaitent en PM. Pour le moment, le projet est en train de mourir lentement, il a déjà traversé la phase de croissance et de prospérité, il semble qu'il doit être enterré, mais nous ne déciderons toujours pas de cette étape.

Move en 2006 a été acheté, ce n'est pas un secret - DLE, et en environ un an, il était très fini par lui-même, tellement fini que nous avons cessé de mettre à jour depuis 2007. Saytets, où les gens passent du temps, écrivent, commentent, communiquent en MP sur divers sujets brûlants.

Les caractéristiques distinctives du projet étaient ses propres améliorations, mais si simples que parfois j'étais très surpris de voir pourquoi d'autres n'y avaient pas pensé auparavant. L'une de ces améliorations est liée au captcha.

Lorsque tous ces projets ont introduit le captcha pour se protéger contre les bots, un ami et moi avons décidé d'introduire le captcha, mais nous nous sommes vite rendu compte que nous perdions stupidement notre public, et il y avait de plus en plus de bots et ils ont continué à spammer. En conséquence, le captcha est resté, mais uniquement sous forme de roulette, affichant le numéro abandonné, ce qui n'affecte pas la possibilité de laisser un commentaire - en d'autres termes, nous avons complètement supprimé le mécanisme de vérification du captcha, mais laissé la génération et l'affichage. Et après une période assez courte, c'est devenu une puce - les personnes dans les commentaires ont été mesurées par le nombre de captcha, qui est plus beau, etc. «Tout ce que l'enfant peut amuser, ne serait-ce que de ses mains», pensons-nous.

Mais si vous vous souvenez de l'histoire du captcha, il est conçu pour protéger contre les bots, de ceux qui sont massivement spammés sur Internet, et nous avons bu ce mécanisme de protection car il ne fonctionnait pas. Néanmoins, nous avons pu analyser le comportement des bots et tout découper sans laisser de trace. Il y a un site, il y a la possibilité de simple, considérez facile, commentant, sans SMS et inscription, pas de captcha, pas de bots.

C'était une application digne des requêtes POST et GET aux scripts de site de mon côté.

Épisode 2. Mises à jour du moteur, découverte du kulhacker

Parce que Le moteur du site n'a pas été mis à jour, certaines vulnérabilités ont régulièrement fait surface et d'autres épisodes d'application de vulnérabilités spécifiques à notre site.

C'est bien si nous apprenions cette vulnérabilité sur les ressources 0day avant que cette vulnérabilité ne soit appliquée à notre site, ou sous forme de support technique pour notre moteur, jusqu'à ce que cette vulnérabilité soit appliquée à notre site. Mais il est également arrivé que nous ayons appris la vulnérabilité de l'analyse des requêtes POST et GET pour les scripts de site, en fait, par exemple, une déformation ou d'autres manipulations avec le site.

Et puis est venu le jour où la version du moteur du site est devenue si vieille que les messages sur ce moteur et cette version ont tout simplement cessé d'apparaître sur les ressources 0day, sans oublier que sur le forum TP au cours des 5 dernières années, il n'y a tout simplement pas de nouveaux messages sur notre version du moteur apparu.

Et puis il apparaît - un kulhacker.

Je ne parlerai pas de qui c'est, je vais vous parler du plaisir que nous avons reçu. Tout a commencé avec le fait que le propriétaire du site a reçu un message indiquant que le site avait été piraté, chasser les chapeaux, sinon tout le khan. Dans la première lettre, le montant de 100 000 roubles en bitcoins a été annoncé.

Ce sont les temps, nous pensions, et nous sommes mis à l'analyse. D'abord, il fallait trouver le résultat du piratage. Un script a été rapidement trouvé qui n'était pas lié au moteur du site, mais déguisé en script typique pour notre moteur, et des scripts de site modifiés ont également été trouvés - le site a mal fonctionné. Niveau de travail - kulhacker, il n'a pas été possible d'accéder au serveur.

Grâce à de simples manipulations, l'intégralité des requêtes POST et GET adressées au site ont été analysées pour le nom du nouveau script, et bien sûr, les paramètres passés ont été trouvés dans la requête POST adressée au site, à la suite de laquelle une vulnérabilité a été trouvée, un vecteur d'attaque a été déterminé et un faible a été trouvé à l'avant. une variable, et bien sûr, la vulnérabilité a été corrigée, et un état de «restauration en sécurité» a été créé pour le moteur de site. Une observation supplémentaire a été établie pour le kulhacker - soudain, il sait toujours ce que nous ne savons pas, et dans le public il n'y a pratiquement aucune information inconnue, et notre cas n'a clairement été décrit nulle part.

Épisode 3. Kulhacker contre-attaque et négocie

Après un certain temps, la lettre recommence, cette fois disant que nous sommes de mauvaises personnes, qu'il ne nous pardonnera pas cela, que si nous ne payons pas les plafonds, nous ne serons pas salués à nouveau.

Ce sont les deux, nous avons pensé, et encore une fois ignoré la lettre. Après quelques jours, nous avons reçu un site Web défiguré avec l'obligation de payer des plafonds. Nous avons à nouveau analysé les requêtes POST et GET, trouvé à nouveau le vecteur d'attaque, découvert une nouvelle variable faible à l'extrémité avant, fermé à nouveau la vulnérabilité et encore fait un «retour à un état sûr».

Nous avons déjà compris que le kulhacker devrait commencer à nous soupçonner que nous utilisons ses connaissances dans notre propre intérêt, et que nous ne courons pas vers lui avec un sac d'argent, il a donc été décidé d'écrire une lettre à notre «client» d'un certain «secrétaire», qui ne comprend pas ce qui est en jeu et ce qu'elle doit faire, et plus encore, elle ne comprend pas ce que sont les bitcoins. Nous espérions que cela devrait, dans un sens, nourrir l'intérêt de notre kulhacker, ce qui lui ferait démontrer les vulnérabilités de notre moteur plusieurs fois, s'il en avait encore.

Nous avons également analysé les premier et deuxième vecteurs d'attaque, déterminé la faiblesse générale du moteur de site, puis analysé tous les scripts pour les variables appropriées qui se sont révélées vulnérables aux faiblesses. Fermé rapidement quelques goulots d'étranglement supplémentaires.

La réponse du kulhacker ne tarda pas à venir, encore une fois, il y avait une menace que nous nous sentions mal, le site était à nouveau dégradé, mais maintenant la somme des exigences a diminué de 10 fois, ce qui nous a donné l'hypothèse que les idées de notre paroisse étaient terminées, ce qui signifie la prochaine fois, il ne viendra pas chez nous.

Manipulations standard avec l'analyse des requêtes vers le site, un nouveau vecteur d'attaque, un nouvel ensemble de variables, la fermeture des vulnérabilités, un retour à un état sûr.

Épisode 4. Adieu

Comme prévu, il n'y a pas eu de nouveaux cas de piratage, mais il y avait une nouvelle lettre de notre client déclarant que nous étions des radis, que nous nous étions comportés de manière extrêmement peu professionnelle et que nous pouvions payer des plafonds au moins pour nous montrer les vulnérabilités de notre moteur .

Nous avons échangé des contacts, trouvé plusieurs communautés fermées avec des informations 0day, où des vulnérabilités inconnues jusqu'à présent pour notre moteur ont été publiées - ils ont été agréablement surpris. Ils ont remercié Kulkhatsker et jeté de l'argent sur un téléphone dont il ne nous a pas donné le numéro;)

Épisode 5. Moments de travail

Nouvelle entreprise, nouvelles tâches. De mon oreille, j'entends la conversation des ingénieurs informatiques sur le fait que le site principal de la société a été piraté pour la énième fois, que la société qui a développé le site il y a plusieurs années veut de l'argent pour mettre à jour le moteur et fermer les vulnérabilités, que dois-je faire, mais bientôt ils commenceront à déchirer les drapeaux. Je m'engage dans une conversation, j'offre de l'aide.

Le classique est, néanmoins, au point que la folie est simple, tous les kulhackers commencent par là. Pour commencer, je propose de permettre l'analyse des requêtes POST, dans les journaux GET, il est vide, ce qui est logique. Après quelques heures, j'obtiens une réponse que l'hébergeur a dit qu'il est impossible, qu'ils ne gardent pas de tels journaux, que si vous voulez collecter du POST, collectez-le vous-même. Les gars sont fâchés.

Ce sont les trois, pensais-je, et j'ai expliqué comment forcer la collecte des requêtes POST à partir de tous les scripts de site. Le lendemain, un vecteur d'attaque a été découvert, la vulnérabilité a été rapidement corrigée et les ingénieurs informatiques ont acquis une expérience inestimable dans l'analyse de la situation, qu'ils utilisent probablement encore aujourd'hui. Il n'y avait pas de SI dans l'entreprise.

Conclusion

Si vous voulez apprendre les bases de la sécurité de l'information, commencez par kulhacking. Si la direction devient intéressante - passez à l'étape suivante. Plus vous en savez sur les méthodes de piratage, plus vous pouvez contrer les attaquants.

Et oui, lorsque vous arrivez à la sélection de l'accès à la personne, vous pouvez alors commencer à élaborer des réglementations SI compétentes.

"Et les bots?" - Tu demandes. Et je vais vous répondre: "Analysez le comportement, trouvez le vecteur d'attaque, les schémas et les points généraux - vous pouvez y faire face!" - très similaire à l'approche générale pour garantir la sécurité en fait. Les mesures préventives ne sont basées que sur l'expérience.