Этичный хакинг (pentest) 0


AliExpress RU&CIS

Этичный хакинг

За последние несколько десятков лет IT технологии охватили все сферы жизни человека. Интернет, который появился как специализированный инструмент научных работников проник в каждый дом, став частью жизни каждого человека.

Это повлекло за собой проблему безопасности, защиты чувствительных данных и противодействию атакам хакеров.

Кто такие хакеры?

Хакерами называют специалистов, которые досконально понимают принципы работы компьютерных систем. Они могут использовать ошибки ПО для достижения собственных целей.

В 80-х хакерство было занятием немногочисленной группы техно-гиков, которые эксплуатировали найденные уязвимости скорее из любопытства.

Ситуация стала меняться, когда в Интернет переместилась финансовая сфера, сфера документооборота, e-commerce и даже оборонная промышленность. Хакерство из увлечения интеллектуалов стало превращаться в преступную деятельность.

Появились хакерские группы которые занимались мошенничеством и промышленным шпионажем.

Потребность в этичном взломе

Взломщики стали проблемой для руководства крупных компаний. Внутренние IT отделы не всегда могли им противостоять.

Для моделирования реальных атак нужны были люди, которые действуют как настоящие злоумышленники. Системные администраторы и программисты, которые ежедневно занимались рутинной работой, могли оставить много слепых зон. Они не занимались взломом, поэтому не понимали как обеспечить безопасность.

Так для тестирования стали привлекать этичных хакеров. Их работой было искать бреши в сетевой защите.

Кто такие whitehat, blackhat, grayhat хакеры

Разница в целях взлома создала условное разделение хакеров на whitehat и blackhat.

Первые работают в рамках заданных заказчиком требований (например: ищут  внешние уязвимости, тестируют определенных диапазон IP адресов и тд). После тестирования хакеры предоставляют отчет руководству. Такую работу называют этичным хакингом.

Blackhat хакеры - те кто занимается взломом в преступных целях. Они не ограничены в векторах атаки и инструментах.

Среди специалистов по безопасности существует еще одна классификация – grayhat.

Часто это взломщики, которые не имеют изначально преступного умысла, но и не ограничивают себя в используемых векторах атаки и области тестирования (scope).

Компания может не пострадать напрямую от действий такого хакера, ведь им обычно движет любопытство. Но и обязательств у такого хакера нет, поэтому информация о найденных уязвимостях часто уходит на тематические форумы и чаты, в руки blackhat коллег.

Правовые аспекты

Действия тех, кто занимается неправомерным взломом попадают под ст. 272, 273, 274 гл. 28 УК РФ (Преступления в сфере компьютерной информации).

Бывают случаи когда взломщик находит уязвимость и отправляет организации или администратору сайта письмо, где просит денежное вознаграждение, угрожая (прямым текстом или косвенно) обнародовать ее. Часто в письме он рисует картины серьезных финансовых последствий и нагоняет страха. Такой подход не имеет ничего общего с работой whitehat пентестера, а является обычным шантажом.

Где найти заказы на этичный хакинг?

Для этичного хакинга существуют официальные площадки, где компании могут разместить задачи для пентестеров, указав размеры вознаграждений, а также разрешенные области тестирования. Это называется bug-bounty и участвовать в таком тестировании могут любые специалисты.

Самой известной площадок является HackerOne, среди участников которой такие крупные фирмы как Microsoft, Google, Toyota, PayPal, HBO и другие. Есть на ней и российские проекты (Яндекс, Mail.ru, QIWI и др.)

Помимо этого есть фирмы, которые занимаются комплексным аудитом информационной безопасности под заказ. Они всегда в поиске квалифицированных сотрудников. Если у вас хорошие навыки, вы можете пройти собеседование и стать частью такой команды.

Сколько зарабатывают на этичном хакинге?

Если говорить о bug-bounty, то размеры полученных вознаграждений за найденную уязвимость зависит от ее опасности. Так, например, за критические уязвимости средняя награда составляет около 5000$. В некоторых случаях эксплуатация одной уязвимости раскрывает новые векторы атаки, и тогда уже размер вознаграждения может быть в несколько раз больше.

Стоимость комплексного пентеста от аудитора ИБ может составлять 500,000 руб и выше.

Можно ли сделать тестирование самому?

Для того чтобы найти уязвимый сервис, не всегда обязательно быть опытным специалистом. Большая часть хакерских атак можно было бы предотвратить регулярно обновляя ПО и правильно настраивая его конфигурацию. Например, эксплоит EternalBlue использующий уязвимость в реализации протокола SMB по прежнему актуален, хотя патч вышел еще в 2017 году.

Чтобы обезопасить себя от таких векторов атаки, не требуется привлечения команды безопасников. Системному администратору достаточно использовать сканеры безопасности, например https://spyse.com/ и проверить диапазон IP адресов на открытые порты, и Spyse Score. Сервис укажет на уязвимые версии ПО.

Как не допустить взлома?

Основная причина проблем безопасности - халатность и невнимательность сотрудников. Системный администратор не установил своевременно патчи, пользователь использовал для рабочей учетной записи пароль - 1234, открыл письмо с вложением, проигнорировав уведомление об опасности открытия макросов. Такие векторы составляют 80% всех атак которые позволяют попасть из внешнего периметра атаки во внутренний.

В 2018 году 15 летний британский подросток Кейн Гэмбл получил доступ к секретной информации сбросив пароли учетных записей экс-главы ЦРУ. Сделать это удалось даже без использования эксплоитов или фишинга, благодаря социальной инженерии.

Представившись жертвой он смог убедить тех.поддержку сотового оператора Verizon сменить пароль учетной записи. Получив таким образом доступ к SMS , он смог сделать восстановление пароля для Icloud и других сервисов. Не помогла даже 2FA авторизация.

Никто не застрахован от человеческого фактора и глупых ошибок. Не стоит их недооценивать.

Полезные ссылки и сервисы

В интернете есть множество площадок и специализированных сервисов, которые могут помочь в работе, а также попрактиковаться в поиске уязвимостей.

1) https://www.hackthebox.eu/ – В этом сервисе собрано более 100 виртуальных машин которые имитируют реальные цели для тестирования. Каждую неделю разработчики выпускают новые задания. Существует платная подписка, которая позволяет скачать себе любую виртуальную машину. Также по подписке доступны официальные write-up которые помогут пройти задание.

2) Root-me – В веб-интерфейсе сервиса собрано более 200 заданий по разным тематикам. Это и web пентест, и форензика, и даже реверс-инжиниринг. Сервис бесплатный и проводит регулярные CTF где можно соревноваться с другими пользователями.

3)  bWAPP – Проект с открытым исходным кодом который включает более 100 заданий по OWASP Top 10. Здесь собраны самые распространенные ошибки, которые встречаются в web сервисах. Благодаря открытым исходникам можно не только практиковаться в эксплуатировании уязвимости, но и разобраться почему они возникают. Полезно не только для пентестеров, но и для разработчиков, которые хотят писать безопасный код.

 




Комментарии (0):