🕵🏻 🛂 👨🏼‍🎨 Kulhacker. Mulailah 👩🏾‍🤝‍👨🏻 👨🏻‍🏫 ⚡️

Sebuah cerita pendek tentang cara cepat bergabung dengan keamanan informasi. Sebuah cerita lama, awal yang panjang, tapi mungkin saya akan mulai ...

Episode 1. Pendahuluan, captcha, memotong bot

Saya punya satu proyek Internet yang bersifat pribadi, jadi untuk berbicara, dengan dimulai kembali pada tahun 2006. Proyek ini sangat pribadi, jadi saya tidak mempublikasikan tautan, tetapi saya dapat memberikan kepada mereka yang menginginkan tautan di PM. Saat ini, proyek ini perlahan-lahan sekarat, sudah melewati tahap pertumbuhan dan kemakmuran, sepertinya perlu dikubur, tetapi kami masih tidak akan memutuskan langkah ini.

Move in 2006 dibeli, itu bukan rahasia - DLE, dan dalam waktu sekitar satu tahun itu sangat selesai sendiri, sangat banyak selesai sehingga kami berhenti memperbarui sejak 2007. Saytets, tempat orang hang out, menulis, berkomentar, berkomunikasi di PM tentang berbagai topik yang membakar.

Ciri khas dari proyek ini adalah peningkatannya sendiri, tetapi begitu sederhana sehingga kadang-kadang saya sangat terkejut mengapa orang lain tidak memikirkannya sebelumnya. Salah satu peningkatan ini terkait dengan captcha.

Ketika semua proyek seperti itu memperkenalkan captcha untuk melindungi dari bot, seorang teman dan saya memutuskan untuk memperkenalkan captcha, tetapi dengan cepat menyadari bahwa kami dengan bodohnya kehilangan audiens kami, dan ada lebih banyak bot dan mereka terus melakukan spam. Akibatnya, captcha tetap ada, tetapi hanya sebagai roulette, menampilkan nomor yang keluar, yang tidak memengaruhi kemampuan untuk meninggalkan komentar - dengan kata lain, kami sepenuhnya memotong mekanisme verifikasi captcha, tetapi meninggalkan pembuatan dan tampilan. Dan setelah waktu yang cukup singkat, itu menjadi chip - orang-orang di komentar diukur dengan jumlah captcha, yang lebih cantik, dll. "Apa pun yang dapat menghibur anak, jika tidak dengan tangannya," pikir kami.

Tetapi jika Anda mengingat sejarah captcha, maka itu dimaksudkan untuk melindungi terhadap bot, dari yang secara besar-besaran di-spam di Internet, dan kami meminum mekanisme perlindungan ini karena tidak berfungsi. Namun demikian, kami dapat menganalisis perilaku bot dan memotong semua tanpa jejak. Ada situs, ada kemungkinan sederhana, anggap mudah, berkomentar, tanpa SMS dan registrasi, tanpa captcha, tidak ada bot.

Ini adalah aplikasi yang layak untuk permintaan POST dan GET ke skrip situs dari pihak saya.

Episode 2. Pembaruan mesin, mengenal kulhacker

Karena Mesin situs tidak diperbarui, beberapa kerentanan muncul secara berkala, dan beberapa episode lainnya menerapkan kerentanan spesifik ke situs kami.

Ada baiknya jika kami mengetahui tentang kerentanan ini pada sumber daya 0day sebelum kerentanan ini diterapkan ke situs kami, atau dalam bentuk dukungan teknis untuk mesin kami, lagi sampai saat kerentanan ini diterapkan ke situs kami. Tetapi juga terjadi bahwa kami mengetahui tentang kerentanan dari analisis permintaan POST dan GET untuk skrip situs, baik pada kenyataannya, misalnya, deface, atau manipulasi lain dengan situs tersebut.

Dan kemudian datang hari ketika versi mesin situs menjadi begitu lama sehingga pesan tentang mesin ini dan versi ini berhenti muncul pada sumber daya 0day, belum lagi bahwa di forum TP selama 5 tahun terakhir tidak ada posting baru tentang versi mesin kami. muncul.

Dan kemudian dia muncul - seorang kulhacker.

Saya tidak akan berbicara tentang siapa itu, saya akan memberitahu Anda tentang kesenangan yang kami terima. Semuanya dimulai dengan fakta bahwa pemilik situs menerima pesan bahwa situs itu diretas, mengejar topi, jika tidak semua khan. Dalam surat pertama, jumlah 100 ribu rubel dalam bitcoin diumumkan.

Inilah saatnya, kami pikir, dan turun ke analisis. Pertama, perlu untuk menemukan hasil peretasan. Sebuah skrip ditemukan dengan cepat yang tidak terkait dengan engine situs, tetapi disamarkan sebagai skrip tipikal untuk engine kami, dan skrip situs yang dimodifikasi juga ditemukan - situs tersebut tidak berfungsi. Level kerja - kulhacker, itu tidak mungkin untuk sampai ke server.

Melalui manipulasi sederhana, seluruh permintaan POST dan GET ke situs dianalisis untuk nama skrip baru, dan tentu saja, parameter yang lulus ditemukan dalam permintaan POST ke situs, sebagai akibat dari mana kerentanan ditemukan, vektor serangan ditentukan, dan yang lemah ditemukan di depan variabel, dan tentu saja, kerentanan ditutup, dan keadaan "rollback to safe" dibuat untuk mesin situs. Pengamatan tambahan dilakukan untuk kulhacker - tiba-tiba dia masih tahu apa yang tidak kita ketahui, dan di depan umum praktis tidak ada informasi yang tidak diketahui, dan kasus kami jelas tidak dijelaskan di mana pun.

Episode 3. Kulhacker menyerang balik, tawar-menawar

Setelah beberapa waktu, surat itu lagi, kali ini mengatakan bahwa kita adalah orang jahat, bahwa dia tidak akan memaafkan kita untuk ini, bahwa jika kita tidak membayar topi, maka kita tidak akan disambut lagi.

Ini adalah keduanya, kami pikir, dan sekali lagi mengabaikan surat itu. Setelah beberapa hari, kami menerima kerusakan situs web dengan persyaratan untuk membayar topi. Kami lagi menganalisis permintaan POST dan GET, lagi-lagi menemukan vektor serangan, menemukan variabel lemah baru ke ujung depan, menutup kerentanan lagi, dan sekali lagi membuat keadaan "kembalikan ke tempat aman".

Kami sudah mengerti bahwa kulhacker harus mulai mencurigai kami bahwa kami menggunakan pengetahuannya untuk kepentingan kami sendiri, dan bahwa kami tidak berlari ke arahnya dengan sekantong uang, jadi diputuskan untuk menulis surat kepada "klien" kami dari "sekretaris" tertentu, siapa yang tidak mengerti apa yang dipertaruhkan, dan apa yang perlu dia lakukan, dan terlebih lagi dia tidak mengerti apa itu bitcoin. Kami berharap bahwa ini akan, dalam arti tertentu, memicu minat kulhacker kami, yang akan membuatnya menunjukkan kerentanan mesin kami beberapa kali lebih banyak jika ia punya sisa.

Kami juga menganalisis vektor serangan pertama dan kedua, menentukan titik kelemahan umum mesin situs, dan kemudian menganalisis semua skrip untuk variabel yang sesuai yang lemah untuk kelemahan ujung depan. Cepat tutup beberapa kemacetan lagi.

Respons dari kulhacker tidak lama datang, lagi-lagi ada ancaman bahwa kita akan merasa buruk, situs itu dirusak lagi, tetapi sekarang jumlah persyaratannya telah berkurang 10 kali, yang memberi kita asumsi bahwa gagasan bangsal kita sudah berakhir, yang berarti lain kali dia tidak akan datang kepada kita.

Manipulasi standar dengan analisis permintaan ke situs, vektor serangan baru, serangkaian variabel baru, penutupan kerentanan, keadaan "kembalikan ke tempat aman".

Episode 4. Perpisahan

Seperti yang diharapkan, tidak ada kasus peretasan baru, tetapi ada surat baru dari klien kami yang menyatakan bahwa kami lobak, bahwa kami berperilaku sangat tidak profesional, dan bahwa kami dapat membayar topi setidaknya untuk menunjukkan kepada kami kerentanan mesin kami .

Kami bertukar kontak, menemukan beberapa komunitas tertutup dengan informasi 0day, di mana kerentanan yang tidak diketahui saat ini untuk mesin kami diterbitkan - mereka sangat terkejut. Mereka mengucapkan terima kasih kepada Kulkhatsker dan melemparkan uang ke telepon yang nomornya tidak dia beri tahu;)

Episode 5. Momen Bekerja

Perusahaan baru, tugas baru. Dari telinga saya, saya mendengar percakapan insinyur TI tentang fakta bahwa situs utama perusahaan telah diretas untuk yang kesekian kalinya, bahwa perusahaan yang mengembangkan situs tersebut beberapa tahun yang lalu menginginkan uang untuk memperbarui mesin dan menutup kerentanan, apa yang harus saya lakukan, tetapi segera mereka akan mulai merobek bendera. Saya berbelit-belit, saya menawarkan bantuan.

Klasiknya, bagaimanapun, ke titik kegilaan adalah sederhana, semua kulhackers mulai dengan ini. Untuk memulai, saya mengusulkan untuk mengaktifkan analisis permintaan POST, seperti dalam GET log itu kosong yang logis. Setelah beberapa jam saya mendapat jawaban bahwa hoster mengatakan bahwa itu tidak mungkin, bahwa mereka tidak menyimpan log seperti itu, bahwa jika Anda ingin mengumpulkan POST, maka kumpulkan sendiri. Orang-orang kesal.

Ini adalah tiga, saya pikir, dan diberitahu bagaimana memaksa pengumpulan permintaan POST dari semua skrip situs. Keesokan harinya, vektor serangan ditemukan, kerentanan segera ditutup, dan insinyur TI memperoleh pengalaman yang sangat berharga dalam menganalisis situasi, yang mungkin masih mereka gunakan saat ini. Tidak ada IS di perusahaan.

Kesimpulan

Jika Anda ingin mempelajari dasar-dasar keamanan informasi, mulailah dengan kulhacking. Jika arahnya menjadi menarik - langkah ke langkah berikutnya. Semakin banyak Anda tahu tentang metode peretasan, semakin banyak Anda dapat melawan penyerang.

Dan ya, ketika Anda sampai pada pemilihan akses ke orang tersebut, maka Anda dapat mulai menyusun peraturan IS yang kompeten.

"Bagaimana dengan bot?" - Anda bertanya. Dan saya akan menjawab Anda: "Analisis perilaku, temukan vektor serangan, pola, dan poin umum - Anda bisa mengatasinya!" - sangat mirip dengan pendekatan umum untuk memastikan keamanan sebenarnya. Tindakan pencegahan hanya berdasarkan pada pengalaman.