Uniscan Web vulnerability scanner - история одного пентеста.
Если вы не веб-разработчик и не программер, то нельзя быть уверенным до конца, что вам сделают сайт на совесть, а так же, обеспечат надлежащую безопасность. Поэтому, сейчас входит в моду, нанимать пентестеров или хакеров, как вам будет угодно назвать этих спецов.
Вот мой сегоняшный пример. Сразу оговорюсь, я только начинаю изучать данную сферу, но, при наличии нужных тулз, добуду и дам достаточно сведений, которые невозможно достать на различных онлайн-сервисах, предлагающих аналогичные услуги, причем за деньги. А от бесплатных, вы получите пару строк минимальных сведений.
Моя знакомая, раньше занималась тем, что помогала готовить наивкуснейшие блюда на Дни Рождения, свадьбы, похороны, юбилеи и прочее. Накопив нужную сумму, оформила ИП, арендовала небольшое помещение, взяла в помощники парочку поваров. Но, реклама в газете - это одно, а когда в тырнэте висит красивый сайт с описанием услуг/цен/и хрензнамочаво - совсем другое! А что для этого нужно? Правильно - САЙТ визитку.
Дама, готовит отменно, но по сайтам, она полный ноль! Что в таком случае делают? Прально - бегут к специалисту. Нашла пару фирмочек, которые именно сайтами и занимаются, выбрала понравившуюся и сделала заказ. Оговаривалась: защита, красивое оформление, помощь в продвижении и прочие нюансы. Заказчица осталась довольна, заплатила, сайтик ей сделали. Работает сайтик... неделю, другую, без нареканий, приносит потихоньку доход. Да вот только.. наткнулся её муженек или сынок (это не уточняла) на статью, где смысл текста такой, что клиент может заказать проведение пентеста и сканирования своего сайта на наличие уязвимостей.
Тыр-пыр, владелица сайта забеспокоилась - заметалась, а где искать подобных людей - не в курсах. И нужно и боязно - мало ли на кого нарвёшься. И свела нас судьба, на прогулке с собаками. Среди собачников, есть программер, он же и сайты делает. Собрались мы кучкой, пока собаки играют, хозяева о свём трепятся. Я как то больше с программером, остальные, в другой кучке. Подходит эта Дама к... назову его Олегом. Ну и про тест сайта ему с просьбой. Он так плечами пожал и сказал, что сайты только делает, но не тестирует, и почему не обратилась к нему с заказом. Ответила, что просто вылетело из головы, что есть среди нас такой умелец.
Потом, Олег переводит взгляд на меня и спрашивает - займёшься? А я чё, да я ничё - как то струхнула я. С чего то надо начинать - был ответ Олега. Сразу предупредила её, что я из начинающих... но Олег поддержал - пришли отчёты, логи или то, что там получишь и перекинь мне. Вместе разберёмся.
И так, поехали...
Сначала запускается одна программушка, которая попроще. Но и она, даст немало сведений, главное, её правильно настроить и объяснить, что от этой красавы требуется.
Сбор данных пошел...И получено немало сведений. Для тех, кто полностью поймёт всё выданное из отчёта, может начать уже другого рода атаку на сайт. Данная атака, предназначена для добычи нужных сведений., чтоб облегчить работу атакующему.
Сведений, доставленных данной программой, было больше чем предостаточно! Не понадобилось запускать другие.
Что самое главное выяснилось. Исполнитель, который обещал сделать конфетку - сайтик, заказчицу обманул в нескольких пунктах и взял за это хорошие деньги!.
Указал один движок сайта, а на деле оказался другой.
Обещал супер шифрование админского пароля, а на деле, влепил самый распространённый алгоритм шифрования и даже не "присолил", что хакеру было сложнее расшифровать пароль. Обещал за щиту от DDoS, а небольшая стресс нагрузка, тормознула сайтик и неслабо. Еле ворочался бедолажка.
Это фрагмент сайта до проверки и спустя какое то время, после неё.
Это, фрагмент сайта, во время проверки, которая длилась примерно полчаса.
Картинки не отображаются, страницы еле грузятся, на сайт идёт неслабая нагрузка, а попросту - атака, которая жутко тормозит развёртывание страниц. Это доказывает, что антиддос на сайте не установлен.
Далее, всё данные логов, были переправлены Олегу. Он разобрался, созвонился с этой Дамой и поехали в фирмочку. Олег, как профи, растёр халтурщиков веб-разработчиков в порошок, натыкал им в морду распечатками сведений, добытыми мною, а Дама, хорошо поскандалила. В итоге, извинились, большую часть денег вернули. Заехали ко мне, посильно поблагодарили.
И последнее, почему Олег не занимается пентестом. Для этого, нужно официальное образование, корочка, типа как у детектива, на законное занятие данной деятельностью. Иначе, это нарушение закона, а попросту, атаки на сайты, то бишь - ХА_КЕР_СТВО,
Комментарии
С одной стороны - законодатели,поскольку они в этих делах вообще ничего не смыслят,если и доберутся до регулирования в этой сфере,то очень нескоро.
С другой стороны - хакеров можно условно поделить на две категории: откровенно криминальные и некриминальные.
"Хакеров" некриминальных разработчики сайтов,ПО и т.п. должны бы с удовольствием брать на работу в свои фирмы для производства действительно защищённой продукции - то есть для честной работы по выполнению заказов. Только кто ж хочет работать честно? Отчего-то немало разработчиков стараются обмануть заказчика (взять с "лоха" больше денег ничего не делая); государство (не платить налоги) - то есть сами переходят в криминал.
Вот и остаётся заниматься этим делом на свой страх и риск. И нет никакой гарантии,что очередной "заказчик" не окажется ментовским провокатором по выявлению преступлений в сфере IT.
Умный и осторожный хакер, с разгону не бросится выполнять заказ, а сначала ломанёт того же заказчика, прощупает, кто он на самом деле. И отвалит в сторону, если заказчик мутный.
Ментов, не только хакеры на дух не переносят, но и обычные айтишники-железячники. У меня, сосед, майор полиции, накрылось в системнике шото из железа. Вызовет мастера, он приедет и с порога смывается. А выяснилось вот что, в прихожей висит китель ментовский и фуражка на полке, мастер как увидит и ходу! Как правило, ребята занимаются ремонтом, отладкой, не имея никаких разрешений, то бишь - нелегально. И кому на опу нужны неприятности?