Dalsze szkolenie, kolejne kursy, uzyskiwanie następnych certyfikatów? Jak najbardziej tak, zauważyłem, że zawsze istnieje szansa, że dowiemy się czegoś nowego, poznamy nowe podatności i sposoby ich wykorzystywania. Postawiłem na szkolenie we własnym zakresie w darmowej Portswigger Academy, aby uzyskać Burp Suite Certified Practitioner, czyli popularnie mówiąc „certyfikat z Burpa” — obecnie większość przeprowadzanych pentestów odbywa się na aplikacjach webowych – ta wiedza to taki „must have”. Po cichu marzę o OSWA od Offsec, ale to już spory wydatek. Na szczęście niedługo będzie black friday – trzeba będzie pilnie śledzić wszystkie okazje i promocje!
Zawody typu Capture The Flag (CTF). Któż nie lubi rywalizacji i sprawdzania swojej wiedzy w praktyce? Powoli pogrążam się w tym świecie, konkursów jest bardzo dużo, społeczność niesamowita (doceniam wszystkich tych, którzy przygotowują swoje zadania, abyśmy mogli się nad nimi głowić), można także dołączyć lub stworzyć własną drużynę, aby rywalizować np. na arenie międzynarodowej.
Przyznam, że spędzam teraz sporo czasu nad szukaniem flag, to niesamowite, ile rzeczy można się przy okazji nauczyć, zwłaszcza, że niektóre typ wyzwań (np. wirtualne maszyny) przypominają to, z czym do tej pory spotykałem się np. na egzaminach.
Programy Bug Bounty. Umożliwiają zarabianie, czasem całkiem sporych pieniędzy, w zależności od tego, czy i jakiego rodzaju uda nam się znaleźć podatności w (przede wszystkim) aplikacjach webowych firm, które zezwalają badaczom na testowanie ich oprogramowania. Musimy zarejestrować się na odpowiednim portalu (np. intigriti.com), zapoznać się z wytycznymi i można przystąpić do pracy.
To już jest duże wyzwanie, ponieważ są to zazwyczaj strony internetowe dużych, często globalnych firm, przetestowane przez zespoły w tych firmach pracujące, a konkurencja wśród poszukiwaczy bardzo duża. Potrzebna jest duża wiedza i doświadczenie, ale także trochę szczęścia, aby wpaść na coś ciekawego.
Black Hat. To typ (nieetycznego) hakera, który wykorzystuje swoje umiejętności do nielegalnych działań i łamania zabezpieczeń systemów komputerowych. Hakerzy tego typu zazwyczaj działają w celu osiągnięcia własnych korzyści, takich jak kradzież danych, wyłudzanie pieniędzy, naruszanie prywatności lub wprowadzanie złośliwego oprogramowania.
Tyle mówi sama definicja, postanowiłem sprawdzić, jak wygląda to w praktyce i jakie są możliwości dla tego typu przestępców. Chciałbym od razu zastrzec, że nie prowadziłem żadnych nielegalnych działań, jedynie rozejrzałem się w temacie.
Ktoś kiedyś mi powiedział, że hackerzy, jak to ludzie, z natury są raczej leniwi, więc jeśli nie mają konkretnego zlecenia, będą atakować ludzi i miejsca, które są najsłabiej zabezpieczone, a do tego celu służą znane wyszukiwarki, typu shodan.io.
Na wskazanym portalu możemy wyszukiwać np. urządzenia podłączone do Internetu na całym świecie, wg naszych wytycznych. Co ciekawe, wraz z wynikami otrzymujemy także informacje o znalezionych podatnościach. Weźmy na przykład usługę SMB:
Jak widać na zrzucie ekranu, gdzie to możliwe, zwracane są informacje o udostępnionych zasobach, które można eksplorować w łatwy sposób, jeśli nie są zabezpieczone hasłem.
Jeśli nasz komputer nie będzie odpowiednio zabezpieczony, pewnego dnia istnieje możliwość, że dane z naszego komputera wyciekną lub zostaną zaszyfrowane, a przestępca będzie próbował wyłudzić od nas bitcoiny w zamian za odszyfrowanie, oto przykład wiadomości, jakie zostawiają:
Znam przypadek, gdzie w wyniku takiego ataku firma straciła owoce tygodnia pracy (projekty graficzne), reszta na szczęście była zabezpieczona w formie backupu w bezpiecznym miejscu.
Innym przykładem tego typu wyszukiwarki jest niedawno odkryty przeze mnie portal buckets.grayhatwarfare.com. Umożliwia on przeszukiwanie publicznie dostępnych bucketów (czyli „kubełków” przechowujących dane) na podstawie słów kluczowych.
Dzięki temu można znaleźć publicznie dostępne zasoby, które mogły zostać pozostawione bez odpowiednich zabezpieczeń, umożliwiając dostęp do danych takich jak pliki, dokumenty, obrazy, pliki konfiguracyjne, kopie zapasowe, itp. Naprawdę można tam czasem znaleźć ciekawe rzeczy, które niekoniecznie właściciel chciałby udostępniać całemu światu.
Tym ostatnim punktem chciałbym zwrócić uwagę wszystkich na korzyści płynące z pracy pentesterów, których zadaniem jest właśnie m.in. wyszukiwanie takich naszych słabości i błędów konfiguracyjnych, których wykorzystanie przez nieodpowiednie osoby może przynieść nieduże, albo naprawdę poważne konsekwencje.
Zacznijmy od używania skomplikowanych haseł (kilkunastoliterowy zlepek trzech polskich słów z odmianą w zupełności wystarczy, a łatwo go zapamiętać) oraz używania menadżerów haseł – nie tych wbudowanych w przeglądarki internetowe. Każdy hacker, który zdobędzie dostęp do naszego komputera w pierwszej kolejności pobierze wszystkie dane zapisane w takiej przeglądarce.
