Taha Smily და ეთიკური ჰაკერების ახალი თაობა იყენებენ თავიანთი უნარების ინტერნეტის უზრუნველსაყოფად

ამას წინათ მე დაჯდა Taha Smily- სთან, დამოუკიდებელი კიბერუსაფრთხოების მკვლევარისგან, ვისაუბრო იმ როლზე, რომელიც მან და ეთიკური ჰაკერების ახალი თაობის სხვა წევრებმა შეასრულეს საიტების დაცვაში.

Contents

გთხოვთ, ცოტა მომიყევით თქვენს შესახებ და იმაზე, თუ როგორ ჩაერთეთ კიბერუსაფრთხოების კვლევაში.

მე მქვია Taha Smily; მე ვარ უსაფრთხოების დამოუკიდებელი მკვლევარი და კრიპტოგრაფიის ანალიტიკოსი მაროკოდან. მე ვასწავლი რამდენიმე პროგრამირების ენას (HTML, PHP, JavaScript, CSS და პითონი), კრიპტოგრაფია, ასევე ძირითადი ქსელი, სტეგანოგრაფია და სასამართლო ექსპერტიზა. მე ასევე Flag Capture Flag- ის მოთამაშე ვარ.

ვმუშაობ Open Bug Bounty პლატფორმაზე, სადაც სხვადასხვა ვებსაიტებზე დაახლოებით 3,000 დაუცველი ვნახე რომელსაც შემდეგ ვაუწყებ საიტების მფლობელებს. ჩემი მუშაობის შედეგად, მე ვარ რამდენიმე ძირითადი კომპანიის და ორგანიზაციის, მათ შორის Microsoft, Apple, Nokia, Pivotal და Cert-Europe, დიდების დარბაზში..

რა არის თქვენი ბოლოდროინდელი უსაფრთხოების პროექტი?

ამჟამად ვარ ჩართული უსაფრთხოების რამდენიმე პროექტში, მათ შორის ვებ – სერვერის ტესტირების ინსტრუმენტების შემუშავებაში. დამატებით, ახლახან დავამთავრე წიგნის დაწერა „ვებ – უსაფრთხოების უსაფრთხოების მეთოდოლოგია“ რომელიც მალე გამოქვეყნდება.

თქვენ ასევე ხართ “უსაფრთხოების დაუცველთა ბონუების მონადირე” – რას ნიშნავს ეს?

უსაფრთხოების დაუცველთა ბონუების მონადირეები ეთიკური ჰაკერების ახალი თაობაა, რომლებიც კომპანიებს ეხმარებიან თავიანთი უსაფრთხოების შეცდომების აღმოჩენაში და გამოსწორებაში.

“Bug Bounty” არის გარიგება, რომელსაც კომპანიები სთავაზობდნენ ჩემს მსგავს ეთიკურ ჰაკერებს უსაფრთხოების შეცდომების აღმოჩენის სანაცვლოდ.. ამ შეცდომების საბუნებისმეტყველო პროგრამები იხდიან ამ აღმოჩენებს მასშტაბის პროპორციულად, შეცდომის სიმძიმის პროპორციულად.

რა არის openbugbounty.org პლატფორმა და როგორ მუშაობს იგი?

Open Bug Bounty პლატფორმა უსაფრთხოების დამოუკიდებელი მკვლევარების ჯგუფმა 2014 წლის ივნისში დაიწყო. ეს არის არაკომერციული პლატფორმა, რომელიც შექმნილია უსაფრთხოების მკვლევარებისა და ვებსაიტების მფლობელების დასაკავშირებლად გამჭვირვალე, პატივისცემით და ურთიერთგამომრიცხავი გზით. ჩვენი მიზანია, რომ ქსელი ყველას უსაფრთხო იყოს.

ჩვენ არ გვაქვს ფინანსური ან კომერციული ინტერესი პროექტის მიმართ. უფრო მეტიც, ჩვენ ვებგვერდიდან ვიღებთ მასპინძლობის ხარჯებს და ვებ – გვერდის განვითარების ხარჯებს და ღამეებს ვატარებთ ახალი წარდგენების დასადგენად.

როგორ გადაწყვიტეთ რომელი საიტების ტესტირება უსაფრთხოების ხარვეზებისთვის?

მე მომწონს ტესტირება პოპულარული საიტები და საიტები, რომლებიც, როგორც ჩანს, ძლიერი და უსაფრთხოა. რა თქმა უნდა, განსაკუთრებით მაინტერესებს საიტების ნახვა, რომლებიც შეშფოთებულნი არიან მათი უსაფრთხოებით და მათთვის, ვინც გთავაზობთ ჯილდოს.

ამას აკეთებთ გასართობად ან მოგებისთვის?

მე ამას გასართობად ვაკეთებ, რადგან ახალი გამოწვევები მაქვს, მაგრამ დიახ, ასევე მოგებისთვის!

უფრო მეტ კომპანიას მიიჩნევთ დასაფასებლად, როდესაც აცნობებთ დაუცველობას?

დიახ. ინფორმაციის და პირადი მონაცემების უსაფრთხოება და დაცვა კომპანიებისთვის დღეს დიდ შეშფოთებად იქცა.

რა არის ყველაზე გავრცელებული დაუცველობა, რომელსაც ექმნებათ?

ყველაზე გავრცელებული საკითხები, რომლებიც ვხედავ, არის ჯვარედინი საიტების დამწერლობა (XSS), ჯვარედინი საიტის მოთხოვნა გაყალბება (CSRF) და ქვემდეფის აღება..

ჯვარედინი სკრიპტირება (XSS) როდესაც მავნე სკრიპტები აისახება სხვაგვარად კეთილთვისებიან და სანდო ვებსაიტებზე. ეს შეტევები, ძირითადად, ბრაუზერის გვერდითი სკრიპტის ფორმაშია და შეუძლია ნებისმიერ ბრაუზერში შესანახად განთავსებული ნებისმიერი ქუქი-ფაილის, სესიის ნიშნის ან სხვა მგრძნობიარე ინფორმაციის ნახვა. ამ სკრიპტებს შეუძლიათ გადაწეროთ HTML გვერდის შინაარსი.

ჯვარედინი მოთხოვნის გაყალბება (CSRF) ეს არის შეტევა, რომელიც აიძულებს საბოლოო მომხმარებელს შეასრულოს არასასურველი მოქმედებები ვებ – აპლიკაციაში, რომელშიც ამჟამად ისინი დამოწმებულია. მონაცემების ქურდობა არაა, CSRF– ს წარმატებულმა შეტევამ შეიძლება აიძულოს მომხმარებელი შეასრულოს სახელმწიფოებრივად შეცვლილი მოთხოვნები, როგორიცაა სახსრების გადაცემა, მათი ელ.ფოსტის მისამართის შეცვლა და ა.შ. თუ მსხვერპლი არის ადმინისტრაციული ანგარიში, CSRF– ს შეუძლია კომპრომეტირება მოახდინოს მთელ ვებ – პროგრამაზე.

ქვესაფენის აღება დაუცველობის ტიპია, რომელიც ჩნდება, როდესაც ორგანიზაციის DNS შესვლა (ქვემდებარე სისტემა) მიუთითებს გარე მომსახურებაზე, მაგრამ მომსახურება აღარ არის გამოყენებული. თავდამსხმელს შეეძლო დარეგისტრირდეს საგარეო სამსახურში და მოითხოვოს დაზარალებული ქვე-დომენი. შედეგად, თავდამსხმელს შეეძლო ორგანიზაციის ქვესისტემაზე მავნე კოდი (მაგალითად, HTTP ქუქი-ქვის ქურდობისთვის) მასპინძლობა და მისი გამოყენება ლეგიტიმურ მომხმარებლებზე თავდასხმისთვის.

რომელია ყველაზე სერიოზული დაუცველობა, რაც გინახავთ?

ყველაზე სერიოზული სისუსტეები, რაც მე არ შემხვედრია, არის SQL ინექცია მონაცემთა ბაზაში გადაყრისთვის და დისტანციური კოდების შესრულებისთვის.

SQL ინექცია არის კოდის ინექციის ტექნიკა, რომლის თანახმად, არასასურველი SQL განცხადებები ჩასმულია შესასვლელ ველში შესასრულებლად, იმისათვის, რომ მონაცემთა ბაზაში შეიტანოს თავდამსხმელი.

დისტანციური კოდის შესრულება არის თავდამსხმელის შესაძლებლობა შეასრულოს თავდამსხმელის არჩევანის ნებისმიერი ბრძანება სამიზნე მანქანაზე ან სამიზნე პროცესში. ეს არის ერთ-ერთი ყველაზე მძლავრი შეცდომა, რადგან ის აძლევს თავდამსხმელს საშუალებას აიღოს მთლიანად აიღოს დაუცველი პროცესი. იქიდან, თავდამსხმელს შეუძლია პოტენციურად მიიღოს სრული კონტროლი მანქანაზე, რომლის პროცესიც მიმდინარეობს, რაც საშუალებას აძლევს მავნე პროგრამას კომპიუტერიზე გაუშვას, მფლობელის თანხმობის გარეშე..

როგორც კიბერუსაფრთხოების მკვლევარის გამოცდილებიდან, რა რჩევა შეგიძლიათ შემოგთავაზოთ დღევანდელი პროგრამის შემქმნელებისთვის?

ყველაზე მნიშვნელოვანი რჩევა, რისი გაკეთებაც შემიძლია დაიცავით უსაფრთხოების ხარვეზები და უახლესი განახლებები ინფორმაციის უსაფრთხოების სფეროში. გარდა ამისა, გადამწყვეტი მნიშვნელობა აქვს კიბერუსაფრთხოების მკვლევარებთან მუშაობას, რომ მოხდეს უსაფრთხოების პრობლემების გამოვლენა და დაფიქსირება საზოგადოებამდე პროდუქციის გატანამდე..

მომავალში სად ხედავთ პროგრამულ უზრუნველყოფას?

პროგრამული უზრუნველყოფის უსაფრთხოებასთან დაკავშირებული რეალური პრობლემა კიდევ უფრო ღრმაა, ვიდრე ეს საუკეთესო პრაქტიკის და სპეციალიზებული ენების მოგვარების საკითხს წარმოადგენს. სისტემური პრობლემების გადასაჭრელად საჭირო არის პროგრამული უზრუნველყოფის არქიტექტურის სრული განახლება OS- ის დონიდან და მის მიღმა..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me