Краткий рассказ о том, как быстро влиться в ИБ. Старая история, долгое начало, но, пожалуй, начну…
Эпизод 1. Введение, капча, выпиливание ботов
Есть у меня один интернет-проект личного характера, так сказать, с началом еще в 2006 году. Проект сильно личный, поэтому ссылку не публикую, но желающим ссылку могу дать в личку. На данный момент проект потихонечку умирает, стадию роста и расцвета он уже пережил, вроде нужно закопать, но вот все никак не решимся мы на этот шаг.
Двиг в 2006 году был куплен, не секрет — DLE, и примерно за год сильно допилен собственными силами, настолько сильно допилен, что мы перестали обновляться с 2007 года. Сайтец, где народ тусит, пишет, комментирует, общается в личках на разные животрепещущие темы.
Отличительными особенностями проекта были собственные доработки, но настолько простые, что иногда я сильно удивлялся тому, почему до этого не додумались остальные. Одна из таких доработок связана с капчей.
Когда все подобные проекты вводили капчу для защиты от ботов, мы с товарищем тоже решили ввести капчу, но быстро поняли, что мы тупо теряем аудиторию, а ботов все больше, и они продолжают спамить. В итоге капча осталась, но исключительно как рулетка, отображающая выпавшее число, которое никак не влияет на возможность оставить комментарий — проще говоря, мы выпилили полностью механизм проверки капчи, но оставили генерацию и отображение. И через достаточно небольшой промежуток времени это стало фишкой — народ в комментариях мерился числами капчи, у кого красивее и т.д. «Чем бы дитя ни тешилось, лишь бы не руками,» — подумали мы.
Но ведь если вспомнить историю капчи, то она призвана защитить от ботов, от тех самых, которые массово спамят на просторах интернета, а мы этот механизм защиты выпилили, потому что он не работал. Тем не менее, мы смогли проанализировать поведение ботов и выпилить всех без остатка. Есть сайт, есть возможность простого, считай легкого, комментирования, без смс и регистрации, нет капчи, нет ботов.
Это было достойное применение аналитики POST и GET запросов к скриптам сайта с моей стороны.
Эпизод 2. Обновления движка, знакомство с кулхацкером
Т.к. двиг сайта не обновлялся, то периодически всплывали какие-то уязвимости, а еще какие-то эпизоды применения конкретных уязвимостей к нашему сайту.
Хорошо, если мы узнавали об этой уязвимости на 0day ресурсах до того, как эта уязвимость была применена к нашему сайту, или на форме техподдержки нашего движка, снова до того момента, как эта уязвимость была применена к нашему сайту. Но случалось и так, что мы узнавали об уязвимости из анализа POST и GET запросов к скриптам сайта, либо уже по факту, например, дефейса, либо иных манипуляций с сайтом.
И вот наступил тот день, когда версия движка сайта стала настолько старой, что сообщения об этом движке и этой версии просто перестали появляться на 0day ресурсах, не говоря о том, что на форуме ТП за последние 5 лет новых сообщений о нашей версии движка просто не появлялось.
И тут появляется он — кулхацкер.
Не буду рассказывать про то, кто это, расскажу про веселье, которое мы получили. Началось все с того, что на почту владельца сайта пришло сообщение, что сайт взломан, гоните бапки, иначе всем хана. В первом письме была озвучена сумма в 100К рублей в биткоинах.
Вот те раз, подумали мы, и взялись за аналитику. Сначала требовалось найти результат взлома. Достаточно оперативно был найден скрипт, не относящийся к движку сайта, но замаскированный под типичный для нашего движка скрипт, также были найдены измененные скрипты сайта — сайт был зашелен. Уровень работы — кулхацкер, до сервера добраться не удалось.
Путем нехитрых манипуляций были проанализированы POST и GET запросы к сайту целиком, на предмет имени нового скрипта, ну и конечно же были обнаружены переданные параметры в POST запросе к сайту, в результате чего была найдена уязвимость, был определен вектор атаки, была найдена слабая на передок переменная, ну и конечно же уязвимость была закрыта, а для движка сайта был сделан «откат до безопасного» состояния. За кулхацкером было установлено дополнительное наблюдение — вдруг он еще чего знает, чего не знаем мы, а в паблике неизвестной информации уже практически нет, да и наш случай явно нигде не описывался.
Эпизод 3. Кулхацкер наносит ответный удар, торгуемся
Спустя какое-то время снова письмо, на этот раз о том, что мы плохие люди, что он нам этого не простит, что если мы не заплатим бапки, то нам снова не поздоровится.
Вот те два, подумали мы, и снова проигнорировали письмо. Спустя пару дней мы получили дефейс сайта с требованием заплатить бапки. Снова проанализировали POST и GET запросы, снова нашли вектор атаки, обнаружили новую слабую на передок переменную, снова закрыли уязвимость, снова сделали «откат до безопасного» состояния.
Мы уже понимали, что кулхацкер должен начать подозревать нас в том, что мы используем его знания в собственных интересах, ну и что мы не бежим к нему навстречу с сумкой денег, поэтому было решено написать письмо нашему «клиенту» от некой «секретарши», которая не понимает, о чем идет речь, и что ей вообще нужно делать, и уж тем более она не понимает, что такое биткоины. Мы рассчитывали на то, что это должно в некотором смысле подогреть интерес нашего кулхацкера, что заставит его еще пару раз продемонстрировать уязвимости нашего движка, если у него таковые остались в запасе.
Также мы проанализировали первый и второй векторы атаки, определили общее слабое место движка сайта, после чего проанализировали все скрипты на предмет подходящих под обнаруженные уязвимости слабых на передок переменных. Оперативно закрыли еще несколько узких мест.
Ответ кулхацкера не заставил себя долго ждать, снова была угроза о том, что нам будет плохо, снова был осуществлен дефейс сайта, но теперь сумма требований снизилась в 10 раз, что дало нам предположение о том, что идеи у нашего подопечного закончились, а значит в следующий раз он к нам не придет.
Стандартные манипуляции с анализом запросов к сайту, новый вектор атаки, новый набор переменных, закрытие уязвимости, «откат до безопасного» состояния.
Эпизод 4. Прощание
Как и предполагалось, новых случаев взлома не было, но зато было новое письмо от нашего клиента о том, что мы редиски, что мы ведем себя крайне непрофессионально, и что могли бы заплатить бапки хотя бы за то, что он нам показал уязвимости нашего движка.
Обменялись контактами, нашли несколько закрытых сообществ с 0day информацией, где были опубликованы неизвестные до этого времени уязвимости для нашего движка — были приятно удивлены. Кулхацкеру сказали спасибо и закинули денег на телефон, номер которого он нам не сообщал ;)
Эпизод 5. Рабочие моменты
Новая компания, новые задачи. Краем уха слышу разговор ИТ инженеров о том, что основной сайт компании взламывают уже в который раз, что компания, разрабатывавшая сайт несколько лет назад, хочет денег за обновление движка и закрытие уязвимостей, что хз что делать, но скоро начнут рвать на флажки. Вклиниваюсь в разговор, предлагаю помощь.
Классика же, все же до безумия просто, с этого начинают все кулхацкеры. Для начала предлагаю включить анализ POST запросов, т.к. в логах GET пусто, что логично. Спустя пару часов получаю ответ, что хостер сказал, что это невозможно, что такие логи они не ведут, что если хотите собирать POST, то собирайте сами. Ребята расстроены.
Вот те три, подумал я, и рассказал, как принудительно включить сбор POST запросов со всех скриптов сайта. На следующий день вектор атаки был обнаружен, уязвимость оперативно закрыта, а ИТ инженеры получили бесценный опыт по анализу ситуации, чем, наверное, и пользуются по сей день. ИБ в компании не было.
Заключение
Хотите научиться основам ИБ, начните с кулхацкерства. Если направление станет интересным — шагните на следующую ступеньку. Чем больше Вы будете знать о методах взлома, тем больше Вы сможете противопоставить атакующим.
И да, когда дойдете до подбора доступа к личности, тогда сможете начать составлять грамотные регламенты по ИБ.
«А что боты?» — Вы спросите. А я Вам отвечу: «Анализируйте поведение, найдете вектор атаки, закономерности и общие моменты — сможете разобраться с ними!» — очень похоже на общий подход к обеспечению безопасности по факту. Превентивные меры только на основе опыта.
vilgeforce
Получить денег на телефон или 10 килобаксов за {{ '7'*7 }} (https://hackerone.com/reports/125980) — пускай каждый начинающий решает за себя.
Помощь окружающим на (наверняка)безвозмездной основе имеет смысл если времени на нее практически не тратится
mrMendoza Автор
Ну так ведь наш же «Кулхацкер» не знал, что ему не заплатят. А до hackerone еще не дорос.