Спорный инструмент Вызывает Тысячи Взломанных Веб-сайтов

Спорный инструмент Вызывает тысячи Взломанных веб-сайтов

Чтобы просмотреть эту статью, посетите Мой профиль, а затем Просмотрите сохраненные истории.

Иллюстрация разбитого стекла, преломляющего символ интернет-глобуса

Создатели PunkSpider отказались от проекта несколько лет назад. Но теперь они вернулись и проливают свет на многие недостатки интернета. Иллюстрация: Сэм Уитни; Getty Images

Интернет долгое время был игровой площадкой для хакеров, предлагая сотни миллионов общедоступных серверов для поиска основных уязвимостей для использования. Теперь один хакерский инструмент собирается довести эту практику до логического, экстремального завершения: сканировать каждый веб—сайт в мире, чтобы найти, а затем публично обнародовать их уязвимые места, и все это одновременно — и все это во имя повышения безопасности Интернета.

На хакерской конференции Defcon на следующей неделе Алехандро Касерес и Джейсон Хоппер планируют выпустить — или, скорее, обновить и переиздать после многолетнего перерыва — инструмент под названием PunkSpider. По сути, поисковая система, которая постоянно сканирует весь Интернет, PunkSpider автоматически определяет уязвимые места на веб-сайтах, которые можно взломать, а затем позволяет любому пользователю выполнять поиск по этим результатам, чтобы найти сайты, подверженные всему, от порчи до утечки данных.

Создатели PunkSpider говорят, что при запуске он внесет в каталог сотни тысяч этих незащищенных уязвимостей, сделав их все общедоступными. Касерес и Хоппер признают, что при этом их инструмент потенциально может подвергнуть эти сайты атакам в реальном мире. Но они надеются, что видимость заставит администраторов Сети признать, что их веб—сайты содержат простые, вопиющие, а в некоторых случаях и опасные недостатки — и, надеюсь, исправят их.

Такого рода веб-уязвимости, которые обнаруживает PunkSpider, остаются невероятно распространенными, несмотря на многолетние предупреждения. Например, в январе прошлого года исследователи безопасности обнаружили, что одна из таких веб-уязвимостей позволяла любому завладеть аккаунтами Fortnite, а ранее в этом году другая веб-ошибка позволила хактивистам взломать правый сайт социальных сетей Gab и утечь 70 гигабайт его внутренних данных. С тех пор оба были исправлены. Но Касерес утверждает, что PunkSpider может побудить веб-администраторов, наконец, исправить такого рода вездесущие ошибки, прежде чем хакеры злоупотребят ими.

«Я подумал: «Разве не было бы круто, если бы я мог сканировать всю сеть на предмет уязвимостей? И чтобы сделать это еще более увлекательным, разве не было бы здорово, если бы я выпустил все эти уязвимости бесплатно?» — говорит Касерес, который вместе с Хоппером работает исследователем в стартапе по кибербезопасности QOMPLX. «Я знал, что это будет иметь какие-то последствия. И после того, как я начал думать об этом, я действительно подумал, что они могут быть хорошими «.

PunkSpider автоматически сканирует и «проверяет» сайты на наличие семи видов уязвимостей, неоднократно пробуя различные распространенные методы взлома, чтобы проверить, уязвим ли сайт. Этот список включает уязвимости SQL-инъекций, которые позволяют хакерам вводить команды в поля ввода пользователя на веб-сайте, иногда приводя к утечке содержимого его внутренних баз данных; уязвимости межсайтового скриптинга, позволяющие хакерам создавать вредоносные ссылки, которые, когда пользователь нажимает на них, загружают измененную версию веб-сайта, которая может использоваться для фишинга или распространения вредоносных программ; и уязвимости обхода пути, при которых хакер может испортить URL-адрес сайта, чтобы прочитать или записать конфиденциальные файлы на сервере, на котором он размещен. Все эти уязвимости, как правило, считаются низко висящими плодами в мире хакеров, но все еще сохраняются на обширных просторах Интернета.

“Я просто надеюсь, что люди видят, что мы пытаемся поступать правильно”.

Алехандро Касерес, QOMPLX

Сайт, созданный Касересом и Хоппером, предоставляет базу данных, доступную для поиска по ключевым словам URL, типу уязвимости или серьезности этих ошибок. В дополнение к своей поисковой системе они также создали плагин Chrome, который проверяет каждый веб-сайт, который посещает пользователь, на наличие уязвимостей, которые можно взломать. Как инструмент поиска, так и плагин для браузера дают каждому веб-сайту оценку «пожар в мусорном контейнере» от одного до пяти пожаров в мусорном контейнере, в зависимости от того, сколько уязвимостей он содержит и насколько они серьезны. «PunkSpider находит уязвимости, выполняет небольшую работу с серверной частью, чтобы определить вероятность их использования, а затем немедленно публикует их для общественности», — говорит Касерес. «Эта последняя часть — та часть, за которую я иногда получаю немного дерьма».

Например, даже в целом дружественный хакерам фонд Electronic Frontier Foundation написал в заявлении для WIRED, что PunkSpider может иметь опасные последствия. «Инструмент полон благих намерений — эти уязвимости приводят к множеству реальных проблем, одной из которых является программа-вымогатель, и обнародование их может подтолкнуть администраторов к их устранению. Но мы не рекомендуем этого делать», — написала аналитик EFF Карен Гулло в электронном письме WIRED. «Злоумышленники могут использовать уязвимости быстрее, чем администраторы могут их устранить, что приводит к большему количеству нарушений».

Касерес открыто признает, что злоумышленники могут использовать PunkSpider для выявления веб-сайтов для взлома. Но он утверждает, что сканеры, обнаруживающие веб-уязвимости, существовали всегда. Этот просто обнародует результаты. «Вы знаете, что ваши клиенты могут это видеть, ваши инвесторы могут это видеть, так что вы быстро исправите это дерьмо», — говорит Касерес.

Выступление Касереса и Хоппера на Defcon знаменует собой второе воплощение PunkSpider. Идея этого инструмента родилась десять лет назад, летом 2011 года, когда хакерский коллектив Anonymous и его отколовшаяся группа LulzSec оказались в эпицентре кражи и порчи данных, большая часть которых стала возможной благодаря простым веб-уязвимостям. («Почему везде есть SQL-инъекции?» шел припев одной хип-хоп-песни, посвященной LulzSec.)

Касерес в то время отметил, что даже относительно неискушенным хакерам, по-видимому, не составило труда обнаружить преобладание веб-ошибок. Он начал задаваться вопросом, не может ли единственным решением быть выявление каждой веб-уязвимости в ходе масштабной чистки. Поэтому в 2012 году он начал создавать PunkSpider, чтобы сделать именно это; он представил его на хакерской конференции Shmoocon в начале 2013 года. Его небольшая научно-исследовательская фирма по безопасности Hyperion Gray также получила финансирование от Darpa.

Однако с самого начала проект столкнулся с трудностями. Аудитория Shmoocon задалась вопросом, позволял ли Касерес хакерам blackhat — и при этом нарушал Закон о компьютерном мошенничестве и злоупотреблениях. Вскоре Amazon неоднократно загружала его с учетных записей Amazon Web Services, которые он использовал для управления поисковой системой, после получения сообщений о злоупотреблениях от разгневанных веб-администраторов. Он был вынужден постоянно создавать новые учетные записи пользователей, чтобы поддерживать его в рабочем состоянии.

К 2015 году Касерес сканировал Интернет на предмет новых уязвимостей только примерно раз в год. Он изо всех сил старался поддерживать PunkSpider в сети и покрывать его расходы. Вскоре после этого он позволил проекту завершиться.

Однако ранее в этом году Hyperion Gray был приобретен QOMPLX, и более крупный стартап согласился возродить новую и улучшенную версию своей поисковой системы для взлома веб-сайтов. Теперь Касерес и Хоппер говорят, что их обновленный инструмент сканирования работает на базе облачного кластера из сотен компьютеров, способного сканировать сотни миллионов сайтов в день, обновляя результаты для всей сети на постоянной основе или сканируя целевые URL-адреса по запросу пользователя. Ежегодное сканирование всего Интернета старым PunkSpider заняло почти неделю.

Касерес отказался назвать своего нынешнего хостинг-провайдера, но он говорит, что достиг взаимопонимания с компанией относительно мотивов PunkSpider, что, как он надеется, предотвратит его аккаунты от снова быть забаненным. Он также, хотя и неохотно, добавил функцию, которая позволяет веб-администраторам определять поиск PunkSpider на основе пользовательского агента, который помогает идентифицировать посетителей веб-сайта, и включил адрес электронной почты и функцию отказа, которая позволяет веб-сайтам удалять себя из поиска инструмента. «Честно говоря, я этому не рад», — говорит Касерес. «Мне не нравится идея о том, что люди могут отказаться от мер безопасности и спрятать голову в песок. Но это вопрос устойчивости и баланса».

Реинкарнированная версия PunkSpider уже выявила реальные недостатки на крупных веб-сайтах. Касерес показал WIRED скриншоты, демонстрирующие уязвимости межсайтового скриптинга в обоих Kickstarter. com и LendingTree. com . В случае с LendingTree Касерес говорит, что уязвимость может быть использована для создания ссылок, которые, если бы пользователей можно было обманом заставить перейти по ним, размещали бы вредоносное ПО на сайте или отображали фишинговые запросы на собственном сайте LendingTree. Касерес говорит, что ошибка Kickstarter позволит хакерам создать ссылку, которая, если жертва нажмет на нее, может аналогичным образом отображать фишинговые запросы или автоматически производить платеж со своей кредитной карты в проект Kickstarter.

«LendingTree использует несколько уровней контроля для защиты нашего сайта и конфиденциальность и целостность потребительских данных», — говорится в заявлении компании. «Это включает в себя брандмауэры веб-приложений, тестирование на проникновение извне и статический / динамический анализ кода для выявления и устранения уязвимостей. Кроме того, мы серьезно относимся к любым сообщениям об уязвимостях в системе безопасности и быстро расследуем и устраняем любые обнаруженные проблемы”. KickStarter написал в электронном письме WIRED, что он “активно устраняет” свой веб-недостаток.

«Если это заставит такую компанию, как Kickstarter, исправлять свои ошибки, это именно то, что мы хотели бы получить в результате», — говорит Хоппер.

Добавить комментарий

Ваш адрес email не будет опубликован.