🚯 🕳️ 🏤 Kulhacker. Começar 🎡 ♨️ 👌

Uma breve história sobre como ingressar rapidamente na segurança da informação. Uma história antiga, um longo começo, mas talvez eu comece ...

Episódio 1. Introdução, captcha, cortando bots

Eu tenho um projeto na Internet de natureza pessoal, por assim dizer, com o início em 2006. O projeto é muito pessoal, por isso não publico o link, mas posso dar a quem desejar o link no PM. No momento, o projeto está morrendo lentamente, já passou pelo estágio de crescimento e prosperidade, parece que precisa ser enterrado, mas ainda não decidimos essa etapa.

A mudança em 2006 foi comprada, não é segredo - o DLE e, em cerca de um ano, ela foi dopada por si mesma, dopada tanto que paramos de atualizar desde 2007. Saytets, onde as pessoas saem, escrevem, comentam, se comunicam no PM sobre vários tópicos importantes.

As características distintivas do projeto foram suas próprias melhorias, mas tão simples que, às vezes, fiquei muito surpreso com o porquê de outras pessoas não terem pensado nisso antes. Uma dessas melhorias está relacionada ao captcha.

Quando todos esses projetos introduziram o captcha para proteção contra bots, um amigo e eu decidimos apresentá-lo, mas rapidamente percebemos que estávamos perdendo estupidamente nosso público, e havia mais e mais bots e eles continuavam enviando spam. Como resultado, o captcha permaneceu, mas apenas como uma roleta, exibindo o número de desistências, o que não afeta a capacidade de deixar um comentário - em outras palavras, cortamos completamente o mecanismo de verificação do captcha, mas deixamos a geração e a exibição. E após um período bastante curto, tornou-se um chip - as pessoas nos comentários foram medidas pelo número de captcha, que é mais bonito etc. "O que quer que a criança divirta, se não com as mãos", pensamos.

Mas se você se lembra da história do captcha, ele se destina a proteger contra bots, daqueles que são massivamente spam na Internet, e bebemos esse mecanismo de proteção porque não funcionou. No entanto, fomos capazes de analisar o comportamento dos bots e cortar tudo sem deixar vestígios. Existe um site, existe a possibilidade de simples, considere fácil, comentar, sem SMS e cadastro, sem captcha, sem bots.

Esta foi uma aplicação digna de solicitações POST e GET para scripts do site do meu lado.

Episódio 2. Atualizações do motor, conhecendo o kulhacker

Porque O mecanismo do site não foi atualizado, periodicamente surgiram algumas vulnerabilidades e alguns outros episódios de aplicação de vulnerabilidades específicas ao nosso site.

É bom que tenhamos descoberto essa vulnerabilidade nos recursos de 0 dia antes de a vulnerabilidade ser aplicada ao nosso site ou na forma de suporte técnico ao nosso mecanismo, novamente até o momento em que essa vulnerabilidade foi aplicada ao nosso site. Mas também aprendemos sobre a vulnerabilidade com a análise de solicitações POST e GET para scripts do site, de fato, por exemplo, uma desfiguração ou outras manipulações com o site.

E então chegou o dia em que a versão do mecanismo do site ficou tão antiga que as mensagens sobre esse mecanismo e essa versão simplesmente pararam de aparecer nos recursos de 0 dia, sem mencionar que no fórum TP nos últimos 5 anos, simplesmente não há novas postagens sobre nossa versão do mecanismo apareceu.

E então ele aparece - um kulhacker.

Não vou falar sobre quem é, vou falar sobre a diversão que recebemos. Tudo começou com o fato de o proprietário do site receber uma mensagem de que o site foi hackeado, conduza seus chapéus, caso contrário, todo o cã. Na primeira carta, foi anunciada a quantidade de 100 mil rublos em bitcoins.

Esses são os tempos, pensamos, e chegamos às análises. Primeiro, era necessário encontrar o resultado do hacking. Foi rapidamente encontrado um script que não estava relacionado ao mecanismo do site, mas disfarçado como um script típico para o nosso mecanismo, e também foram encontrados scripts de site modificados - o site estava com defeito. Nível de trabalho - kulhacker, não foi possível chegar ao servidor.

Por meio de manipulações simples, todas as solicitações POST e GET para o site foram analisadas para o nome do novo script e, é claro, os parâmetros passados foram encontrados na solicitação POST para o site, como resultado de uma vulnerabilidade encontrada, um vetor de ataque foi determinado e um fraco foi encontrado na frente uma variável e, é claro, a vulnerabilidade foi encerrada e um estado de "reversão para segurança" foi feito para o mecanismo do site. Uma observação adicional foi estabelecida para o kulhacker - de repente ele ainda sabe o que não sabemos, e no público praticamente não há informações desconhecidas, e nosso caso claramente não foi descrito em nenhum lugar.

Episódio 3. Kulhacker revida, barganhando

Depois de algum tempo, a carta novamente, desta vez dizendo que somos pessoas más, que ele não vai nos perdoar por isso, que se não pagarmos os limites, não seremos recebidos novamente.

Esses são os dois, pensamos, e novamente ignoramos a carta. Depois de alguns dias, recebemos um desfecho do site com a exigência de pagar limites. Analisamos novamente as solicitações POST e GET, descobrimos novamente o vetor de ataque, descobrimos uma nova variável fraca para o front end, fechamos a vulnerabilidade novamente e fizemos novamente um estado de "reversão para um seguro".

Já entendemos que o kulhacker deveria começar a suspeitar que estamos usando seu conhecimento em nossos próprios interesses e que não estamos correndo em sua direção com uma sacola de dinheiro, por isso foi decidido escrever uma carta para o nosso "cliente" de uma certa "secretária", quem não entende o que está sendo discutido e o que ela precisa fazer, e mais ainda, ela não entende o que são bitcoins. Esperávamos que, de certo modo, isso alimentasse o interesse do nosso kulhacker, o que o faria demonstrar as vulnerabilidades do nosso motor mais algumas vezes, se ele sobrasse.

Também analisamos o primeiro e o segundo vetores de ataque, determinamos a fraqueza geral do mecanismo do site e, em seguida, analisamos todos os scripts para variáveis adequadas que foram consideradas vulneráveis às fraquezas. Fechou rapidamente mais alguns gargalos.

A resposta do kulhacker não demorou a chegar, novamente houve uma ameaça de que nos sentiríamos mal, o site foi desfigurado novamente, mas agora a soma dos requisitos diminuiu 10 vezes, o que nos deu a suposição de que as idéias de nossa ala haviam terminado, o que significa da próxima vez que ele não virá até nós.

Manipulações padrão com a análise de solicitações ao site, um novo vetor de ataque, um novo conjunto de variáveis, fechamento de vulnerabilidades, "reversão para um estado seguro".

Episódio 4. Adeus

Como esperado, não houve novos casos de hackers, mas houve uma nova carta do nosso cliente declarando que éramos rabanetes, que nos comportamos de maneira extremamente profissional e que poderíamos pagar limites pelo menos por nos mostrar as vulnerabilidades de nosso mecanismo .

Trocamos contatos, encontramos várias comunidades fechadas com informações de 0 dias, onde foram publicadas vulnerabilidades desconhecidas até o momento para nosso mecanismo - elas foram agradavelmente surpreendidas. Eles agradeceram a Kulkhatsker e jogaram dinheiro em um telefone cujo número ele não nos contou;)

Episódio 5. Momentos de Trabalho

Nova empresa, novas tarefas. Ouvi falar de engenheiros de TI sobre o fato de o site principal da empresa ter sido invadido pela enésima vez, que a empresa que o desenvolveu há vários anos quer dinheiro para atualizar o mecanismo e fechar as vulnerabilidades, o que devo fazer, mas em breve eles começarão a atacar as bandeiras. Eu me envolvo em uma conversa, ofereço ajuda.

O clássico é, no entanto, ao ponto da loucura ser simples, todos os kulhackers começam com isso. Para começar, proponho permitir a análise de solicitações POST, como nos logs GET, está vazio o que é lógico. Depois de algumas horas, recebo uma resposta de que o hoster disse que é impossível, que eles não mantêm esses registros, que, se você deseja coletar o POST, colecione você mesmo. Os caras estão chateados.

Estes são os três, pensei, e disseram como forçar a coleta de solicitações POST de todos os scripts do site. No dia seguinte, o vetor de ataque foi descoberto, a vulnerabilidade foi prontamente fechada e os engenheiros de TI ganharam uma experiência inestimável na análise da situação, que eles provavelmente ainda usam hoje. Não havia IS na empresa.

Conclusão

Se você quiser aprender o básico sobre segurança da informação, comece com o kulhacking. Se a direção se tornar interessante - vá para o próximo passo. Quanto mais você souber sobre os métodos de hackers, mais poderá contra-atacar.

E sim, quando você seleciona o acesso à pessoa, pode começar a elaborar regulamentos de SI competentes.

"E os bots?" - Você pergunta. E eu responderei: "Analise o comportamento, encontre o vetor de ataque, padrões e pontos gerais - você pode lidar com eles!" - muito semelhante à abordagem geral para garantir a segurança de fato. As medidas preventivas são baseadas apenas na experiência.