Интернет слишком небезопасен: нам нужно больше хакеров

ПОВЫШЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ

Интернет слишком небезопасен: нам нужно больше хакеров

Письмо веб-разработчика

Изменить (16.07.2020): Twitter только что взломали. Я придерживаюсь всех своих позиций в этой статье. Нам все еще нужно больше хакеров.

Инициирование хакера

Вы заинтересованы в этичном взломе? В таком случае, возможно, вам понравится этот новый учебник.

Некоторое время назад я наткнулся на уязвимость на веб-сайте с миллионами пользователей.

Да, вы не ослышались: наткнулся.

Дело в том, что я не хакер. Вовсе нет - я никогда ничего не пробовал взламывать.

Я просматривал веб-сайт как обычно и понял, что он потенциально уязвим. А потом я испугался, очень испугался.

Я знал достаточно об этих вещах, чтобы знать следующее:

а) То, что я обнаружил, может потенциально быть для них очень опасным

б) Неправильный шаг при обладании этими знаниями может быть для меня проблематичным.

Итак, я сделал то, что вы должны были сделать - я сообщил об этом. 4 раза.

Проблема в том, что у них не было Политики ответственного раскрытия информации. Это означает, что у меня не было формального способа проинформировать команду об этой проблеме, и у меня не было рекомендаций относительно того, как они обрабатывают такое раскрытие информации.

Это самое страшное. Без такой политики люди, которые обнаруживают уязвимости в сервисе, даже если случайно, должны выбирать между своим чувством моральной ответственности и собственной безопасностью.

Я не знаю, раскрыла ли обнаруженная мною уязвимость конфиденциальные данные, но теоретически это возможно. Я не пытался выяснить, это не мое дело, и попытка заглянуть глубже может стать серьезной проблемой.

Я нашел это, сообщил об этом, убрался оттуда к черту и провел бессонную ночь - хотя я не сделал ничего плохого.

Хорошие парни не допускаются

У истории выше счастливый конец.

Компания получила мой отчет, немедленно исправила его и поблагодарила меня за его раскрытие.

Однако так бывает не всегда. Если вы проведете какое-то время на онлайн-форумах по кибербезопасности, вы обнаружите, что часто уязвимости, обнаруженные надлежащими исследователями, игнорируются или не сообщаются из-за опасений возмездия со стороны компании.

Отсутствие Политики ответственного раскрытия информации или ответные меры против хакеров с добрыми намерениями (хакеров, которые взламывают навсегда) - все равно что поставить перед своим заведением вывеску с надписью «Хорошие парни не допускаются».

И там, где не допускаются хорошие парни, плохие парни любят тусоваться.

Создать веб-сайт так же просто, как 1–2–3

(И это взламывает)

Мы прошли долгий путь с момента изобретения Интернета, и теперь почти у каждого может быть свой веб-сайт.

Приобрести необходимые навыки для создания и запуска веб-сайта можно бесплатно примерно за неделю. А если они не хотят создавать его сами, существует множество сервисов, которые сделают это за вас.

Это отличная вещь.

Замечательно, что теперь мы можем так легко делиться своими мыслями, рекламировать наши продукты и общаться с другими, но за это приходится платить.

Взломать их становится все проще, как создавать веб-сайты и программное обеспечение в целом.

Я имею в виду, мы все видели сообщения о взломах подростков правительственными организациями и крупными компаниями.

Это происходит потому, что все, что есть в Интернете, доступно всем и каждому, и некоторые люди обязательно попытаются его взломать.

Это знает каждый, кто когда-либо запускал веб-сервер. Ваш сервер будет получать сотни, если не тысячи, очень странных запросов каждый день, включая запросы на такие вещи, как PDF-файлы о русской истории 1700-х годов. Все это попытки найти хотя бы одну ошибку, которая поставит под угрозу всю безопасность вашего сайта.

Научиться использовать простые, но опасные уязвимости не так уж сложно, и существует также множество инструментов, которые сканируют эти уязвимости за вас полностью автоматически.

Для менее сложных эксплойтов хакеры могут также настроить инструменты для поиска в Интернете проблем, которыми они могут воспользоваться, и выйти из дома, чтобы выпить кофе. И они это делают.

В результате каждый год мы получаем новости о различных серьезных взломах, некоторые из которых обнаруживают проблемы со стороны крупных компаний, которые настолько тривиальны, что даже стажер должен был справиться с ними.

Примеры включают XSS в Tweetdeck, iPhone Integer Underflow, WhatsApp's Black Dot, Lenovo, поставляющие устройства с вредоносным ПО Superfish, ужасная защита паролей Adobe и многие другие.

Только в прошлом году хакер (или группа) по имени GnosticPlayers раскрыл почти 1 миллиард (да, это b) пользовательских записей в всего несколько месяцев .

Утечки и разрывы повсюду вокруг нас.

Например, данные, связанные с моим предыдущим электронным письмом, просочились как минимум шесть раз:

Мы все можем по отдельности предпринять шаги, чтобы защитить наши данные, и я рекомендую всем их принять. Я, например, в последние годы одержим помешательством на приватность.

Однако есть другое (маловероятное) решение, которое поможет уменьшить количество и влияние нарушений безопасности.

Принятие хакеров как решения

Хотите верьте, хотите нет, но многие проблемы, упомянутые выше, можно было бы решить, просто обратившись к хакерам.

Для большинства из нас термин «хакер» по-прежнему имеет негативный оттенок, но это ошибочная точка зрения.

Если мы будем исходить из предположения, что у большинства людей добрые намерения, тот же принцип применим и к хакерам.

И действительно, есть хакеры в белых и черных шляпах - один ваш злейший враг, а другой должен быть вашим лучшим другом.

Хакеры в черной шляпе - это те, о которых мы слышим в новостях, в сегментах о вмешательстве в выборы или об утечке сведений о пользователях с вашего любимого веб-сайта с графическим дизайном.

Однако на другой стороне спектра находятся хакеры в белых шляпах. Хорошие парни. Это «этичные хакеры», которые пытаются находить уязвимости на веб-сайтах не для того, чтобы использовать их, а для того, чтобы помочь службам исправить их и не дать хакерам в черной шляпе их найти.

Эти хакеры, вероятно, являются одной из главных причин, по которым Интернет не является полностью небезопасным и все еще пригодным для использования.

Но проблема в том, что мы их недостаточно поддерживаем.

В этом отношении Big Tech понимает. Это одна из немногих вещей, о которых я и Big Tech согласны. Facebook, Google, Amazon, Microsoft и большинство других ведущих технологических компаний имеют широкую программу ответственного раскрытия информации / Bug Bounty, которая хорошо оплачивается и защищает белых хакеров.

«Найдите способ взломать сайт вашего местного кафе, и вас могут посадить в тюрьму. Найдите способ взломать Facebook, и вы станете миллионером ».

Несмотря на наличие огромных отделов кибербезопасности и информационной безопасности, эти компании по-прежнему осознают ценность поддержки сообщества белых хакеров для их же блага.

Некоторые правительства тоже это понимают. Пентагон запустил программы для белых хакеров, а также Министерство юстиции Великобритании и многие другие.

Они понимают, что безопасность - это всегда компромисс между предельной стоимостью исправления следующей уязвимости и предполагаемой предельной выгодой от этого. Поэтому наши дома окружают стены высотой 2 метра, а не 20 метров. Стоимость будет слишком высока для незначительного незначительного повышения безопасности.

Другими словами, невозможно сделать ваш сервис на 100% безопасным, поэтому вам необходимо соответствующим образом распределить свои ограниченные ресурсы и расставить приоритеты, какие уязвимости исправить, если вы даже можете знать их все.

После этого вы можете открыть свою службу для всеобщего обозрения и вознаградить их за то, что они помогли вам обезопасить те области обслуживания, которые вы не могли найти или у вас недостаточно ресурсов, чтобы исправить себя.

Все выигрывают.

Такие веб-сайты, как HackerOne или Bugcrowd, позволяют компаниям легко запускать надежную программу ответственного раскрытия информации и помогают компаниям выявлять критические проблемы в их продуктах и ​​услугах.

Более того: многие компании даже не предлагают денежное вознаграждение. Хакеры часто проводят часы или дни, тестируя услуги бесплатно, только для интеллектуального вызова, возможности выиграть футболку или, возможно, быть названными на веб-сайте компании.

Не каждый может позволить себе сотни тысяч долларов в год, необходимые для работы разумного отдела кибербезопасности. Но каждый владелец веб-сайта может позволить себе файл security.txt и поощрять хакерские атаки на своем веб-сайте.

Наше повышенное внимание к созданию цифровых продуктов в сочетании с отсутствием инвестиций в кибербезопасность и маргинализацией белых хакеров вредит всем.

Это означает, что те, кто являются опытными хакерами, с большей вероятностью перейдут на «темную сторону» из-за отсутствия поддержки, а те, кто думает о карьере в области этичного хакерства, могут быть вынуждены дважды подумать.

Разрыв на рынке рабочих мест в сфере кибербезопасности уже исчисляется миллионами и быстро растет, и я могу полностью понять, почему.

Спросите меня сегодня: «Хотели бы вы быть этичным хакером?»

И мой ответ был бы таким:

«Черт возьми, я лучше буду спать по ночам».

Примечание автора ✍️

Спасибо за прочтение! Если вы считаете, что эта статья была полезной, не стесняйтесь поддержать меня аплодисментами 👏👏.

Если вас интересуют вопросы кибербезопасности и этического взлома, вам также может понравиться техническое руководство, написанное как продолжение этой статьи: Изучите внутреннее устройство Git, взломав веб-сайт.