Мережа вже давно стала ігровим майданчиком для хакерів: доступні сотні мільйонів публічних серверів для тестування їхніх вразливостей. Нещодавно почав набувати популярности інструмент, який доводить цю практику до максимуму — він сканує кожен сайт, шукає вразливість і публікує її у відкритий доступ. Презентується концепція під егідою «покращення безпеки в інтернеті». На основі публікації від Wired спробуємо розібратися, добре це чи погано.

Навіщо його зробили?

Інструмент називається PunkSpider. По суті це пошукова система, яка моніторить інтернет і автоматично виявляє вразливості на сайтах. Будь-хто може потрапити на такий «кривий» сайт і скористатися вразливостями. Наприклад, зіпсувати, завантажити чи видалити дані.

Творці PunkSpider визнають, що реєстр відкритих вразливостей наражатиме сайти на небезпеку. Але їхня риторика обертається навколо того, що адміністратори цих сайтів мусять визнати й прибрати наявні вразливості.

Вразливості, які знаходить PunkSpider, не завжди сенсаційні. 2020 року було відомо про баг у доступі до всіх обліковок Fortnite, а цього року злили 70 гігабайтів даних сайту Gab. Вразливості, звісно, прибрали, але засновники PunkSpider наполягають, що завдяки відкритому реєстру адміністратори це можна лагодити швидше за хакерів.

Я подумав: було б круто просканувати весь інтернет на наявність вразливостей. А ще крутіше було б опублікувати їх безплатно

Алехандро Касерес, один з творців PunkSpider

Сам PunkSpider сканує сайти на предмет різних помилок та різними методами. Наприклад, SQL-injections, які дозволяють перехопити вміст форм на сайті; скриптинг, який створює потрібні посилання на кнопках, завантажує змінену версію сайту і далі все в найкращих традиціях фішингу. Суть в тому, що ці вразливості є досить відомими серед кібербезпекових експертів, але вони все ще присутні на більшості сайтів.

У PunkSpider (який наразі недоступний) можна шукати сайти за ступенем небезпеки чи типам вразливостей. Крім того, в них є робочий плагін для Chrome, який дозволяє перевіряти сайти на наявність вразливостей.

Засновники заявляють, що інструменти для такого аналізу існували завжди, а PunkSpider просто робить результати публічними. Наприклад, знаючи про вразливості завдяки PunkSpider, ви як бізнесмен впевненіше почуватиметесь перед клієнтами чи інвесторами.

Наразі суперечки навколо PunkSpider базуються на тому, чи може такий інструмент «перевіряти» безпеку сайтів без відома адміністраторів. Одне діло — просто блукати сторінками, а зовсім інше — цілеспрямовано шукати вразливості. У ідеальному світі розкриття вразливостей не гарантувало б судовий позов, але ми не в ідеальному світі.

Я не думаю про судові позови. Я просто сподіваюся, що люди побачать, що ми намагаємося чинити правильно.

Алехандро Касерес, один з творців PunkSpider

В сухому залишку, інструменти на кшталт PunkSpider мають бути, адже лише наголошують на кепському стані кібербезпеки у світі. До зламу сайтів приводять самі вразливості, а не ті, хто публічно про них заявляє. Самі засновники PunkSpider вважають, що цінність продукту для кібербезпеки перевищують будь-яку ймовірну шкоду, що можна заподіяти ним.

Тут немає чорного чи білого. І якщо ми створили монстра, то лише тому, що намагалися щось вдіяти із цим всім.

Алехандро Касерес, один з творців PunkSpider

Читайте також

Коменти

Правда переможе

Гарний сервіс, хай буде!