Кто такой хакер? Кого и зачем он взламывает? Как стать хакером?
Сегодня слово «хакер» чаще всего применяют именно ко взломщикам. Это люди, которые своими действиями нарушают закон. Они используют уязвимости в программном обеспечении, чтобы обойти защиту.
Зачем хакеры похищают информацию
Хакеры бывают разные
У хакеров, как и у ИТ-специалистов в целом, есть специализации. Например, фишеры собирают данные аккаунтов (в том числе банковских) через формы на фальшивых сайтах или поддельные приложения. Затем они перехватывают контроль над аккаунтом и, к примеру, опустошают банковский счет жертвы.
Хакеры могут устроить катастрофу
Что просят хакеры, когда шантажируют жертву
Плату за возврат данных или восстановление доступа, к слову, всё чаще просят в биткоинах или другой криптовалюте. Такие платежи сложнее отследить.
Добрые белые хакеры
Есть хакеры, которые занимаются взломом систем для повышения их безопасности. Это белые, или этичные хакеры. Они пытаются найти дыры в системе и способы её взлома, а затем передать данные об этом разработчикам.
Как стать хакером?
Для этого нужно иметь глубокие знания. При этом получать их придется самому, потому что на хакера в университетах не учат. Важно владеть разными языками, уметь мыслить нестандартно, быть креативным и уметь быстро находить решения непростых задач.
Анатомия хакерских группировок: кто и зачем взламывает цифровые системы
В общественном сознании сложился стереотип о том, что хакеры — это преступники, целью которых является кража чужих денег или персональных данных для собственной выгоды. Однако, как в сущности все стереотипы, это убеждение правдиво лишь отчасти.
В первую очередь, хакеры в контексте цифровых систем — это люди с незаурядными способностями, которые до мельчайших деталей понимают, как устроены онлайн-сервисы, которыми мы ежедневно пользуемся. Во-вторых, далеко не все из них используют свои знания во имя разрушения и хаоса; многие помогают обезопасить пользователей, участвуя в баунти-программах или устраняя последствия уже совершенных взломов. Кроме того, у многих хакерских группировок существует идеология, а сами они придерживаются строгих убеждений, в соответствии с которыми правительства не имеют права вмешиваться в частную жизнь людей, а интернет должен быть полностью свободным пространством без ограничений и запретов. В каком-то смысле эта идеология легла в основу биткоин-сообщества, которому свойственен протестный дух.
Тем не менее среди этих людей и организаций существуют те, кто используют свои умения во вред обывателям или же продает их заинтересованным сторонам, в частности — правительствам, которые с их помощью успешно осуществляют слежку и контроль за жизнью граждан по всему миру.
ForkLog разобрался, кто и зачем взламывает цифровые системы, в том числе и в индустрии криптовалют, и какую роль хакеры играют в развитии современных технологий и защите прав человека.
Морфология хакинг-сообщества
В сообществе хакеров существует два основных течения, а также те, кто предпочитает оставаться нейтральными и не ассоциировать себя ни с одними из них.
Представителями первого лагеря являются те хакеры, про которых преимущественно снимают фильмы в Голливуде. Именно они используют свои знания и умения для взлома различных цифровых систем, а также создают вредоносное ПО, преследуя собственные цели, которые чаще всего заключаются в получение финансовой выгоды.
Тем не менее спектр их мотиваций куда шире, чем может показаться на первый взгляд. Они могут быть вовлечены в кибершпионаж в пользу правительств или отдельных частных структур, демонстрировать свой протест против деятельности оных, при этом нанося сопутствующий ущерб простым людям. Они также могут совершать киберпреступления для удовлетворения собственного эго, поскольку способны на вещи, о которых большинство даже не подозревает.
При этом их целью не всегда является кража данных для получения выгоды за их возврат или путем продажи. Во многих случаях украденные данные просто уничтожаются, и не всегда можно определить, что именно движет этими людьми.
Представители второго лагеря, известные как этичные хакеры, чаще всего используют свои умения и экспертизу для обнаружения уязвимостей в цифровых системах и их устранения в рамках баунти-программ или же полноценного коммерческого контракта. Главным отличием таких хакеров является то, что они взламывают системы с разрешения владельцев, что делает процесс законным. В криптовалютный индустрии такие специалисты помогают возвращать украденные у пользователей средства или же устранять уязвимости еще до того, как ими успеют воспользоваться.
Существуют и свободные художники, которые тестируют цифровые системы на предмет устойчивости к различным атакам без разрешения их владельцев, однако делают это для саморазвития или же в надежде получить компенсацию в случае обнаружения багов [баунти-хантеры]. Чаще всего они не эксплуатируют найденные уязвимости, однако в некоторых случаях могут опубликовать информацию о них в общем доступе.
Отметим, что хакеры, непосредственно не задействованные в преступлениях и кибертерроризме, исповедуют очень четкие этические принципы, которые также близки биткоин-сообществу. Эти стандарты были по большей части выработаны в Массачусетском технологическом институте (MIT) и закреплены в книге «Хакеры: герои компьютерной революции» журналиста Леви Стивена.
Похожими принципами руководствовались и шифропанки в США, когда боролись за отмену ограничений на экспорт криптографических технологий, которые долгое время использовались исключительно в военных целях и засекречивались в соответсвии с всевозможными бюрократическими правилами.
Части сообщества хакеров свойственны твердые политические убеждения в контексте защиты свободы слова, свободы информации в частности и других прав человека в целом. Они используют свои знания и умения для продвижения этих ценностей, однако нередко подвергаются критике за радикализм даже со стороны самого сообщества. Эта философия получила название хактивизм [акты гражданского неповиновения и протеста в сети], а ее методы часто схожи с кибертерроризмом, хотя цели стоят совершенно другие.
Разумеется, намного легче представить себе хакера, который борется с государством, следуя своим убеждениям, а не наоборот, однако сколько людей, столько и мнений, и каждый сам выбирает, как использовать свои навыки.
Хорошим примером в этом контексте является бывший сотрудник АНБ и ЦРУ Эдвард Сноуден, который долгое время верил в американское правительство и помогал ему создавать цифровые системы для массовых слежек за людьми по всему миру вплоть до того момента, когда совесть не вынудила его последовать одному из основополагающих принципов (информация должна быть открытой) и рассказать обо всем миру.
Известные хакерские группировки
В мире существует десятки хакерских группировок, а также тысячи специалистов-одиночек. Тем не менее большинство этих распределенных сообществ известны лишь в узких кругах. Однако есть и те, кто заявили о себе на весь мир. О них и поговорим.
Хактивисты
Группировка Anonymous является если не крупнейшей сетью хактивистов в мире, то уж точно одной из наиболее известных. Большинству телезрителей и пользователей интернета маска Гая Фокса знакома по фильму «V — значит вендетта»; стало ли это причиной, по которой сторонники Anonymous выбрали ее в качестве одного из символов своего движения, неизвестно, однако сам факт уже говорит о том, какие именно убеждения отстаивают эти люди.
[Надпись на брошюре: «Коррупционеры боятся нас, честные поддерживают нас, а герои к нам присоединяются», 17 сентября 2011 года, Нью-Йорк]
«Мы — Anonymous. Мы — Легион. Мы не прощаем. Мы не забываем. Ждите нас», — так звучит девиз сообщества.
Примечательно, что целью акций Anonymous являлись не только правительственные сайты по всему миру, но и корпорации, частные лица и даже Церковь Сайентологов. Известно, что группировка ополчилась на всех участников блокады WikiLeaks после публикации на сайте организации разоблачающих данных об американском правительстве. Тогда досталось Mastercard, PayPal, Visa, Amazon, некоторым политикам, адвокатам и властям Швеции. Операция получила название «Расплата«.
Anonymous также осуществляли атаки против правительства Египта, российского молодежного движение «Наши», а также других проправительственных сайтов в РФ, против Интерпола, Ватикана, Европарламента и «Исламского государства» [в России организация признана террористической и запрещена]. Группировка также активно защищала сервисы Pirate Bay, MegaUpload Кима Доткома и EX.UA, выступая против антипиратских кампаний.
Еще одной бесспорно известной группировкой хактивистов являлась LulzSec. В отличие от Anonymous, в этой организации, вероятно, состояло всего шесть человек и у нее был лидер, который в итоге сдал участников властям. Изначально организация совершала атаки смеха ради, однако впоследствии переориентировалась на политически мотивированные действия.
Ее жертвами стали Сенат США, ЦРУ, корпорация Sony, социальная сеть LinkedIn и другие. Группа также принимала участие в операции Antisec совместно с Anonymous и другими хакерами.
Примечательно, что некоторые обозреватели считают хактивистами и группу Lizard Squad («Отряд ящериц»), однако ее представители так и не объяснили, с какой целью совершали атаки против онлайн-игр, северокорейского интернета и малайзийских авиалиний.
Среди группировок, которые так или иначе причисляются к хактивистам, числятся RedHack, Cult of the Dead Cow, Chaos Computer Club и многие другие. Стоит отметить, что в последнее время хакерские группы, распространяющие секретную информацию о деятельности спецслужб западных стран, в частности — США, а также осуществляющие атаки против соответствующих ведомств и политиков, в международных СМИ часто обвиняют в связях с российским правительством. Однако доказать такую аффилированность довольно сложно и пока никто не предоставил достаточно убедительных свидетельств существования спонсируемой государством программы.
Киберпреступники
Одной из наиболее известных групп этой направленности является Lazarus, которую некоторые аналитики связывают со спецслужбами КНДР. Так, вероятно, свою первую атаку они осуществили на правительство Южной Кореи еще в 2007 году, затем на финансовые компании и медиа-организации этой страны в 2011 году, внутреннюю сеть корпорации Sony Pictures в 2014 году, а также ряд местных криптовалютных бирж, среди которых Yapizon, Coinis, YouBit, Bithumb и Coincheck. В США Lazarus также считают причастной к распространению вируса-вымогателя WannaCry, эпидемия которого произошла в 2017 году.
Некоторые обозреватели убеждены, что украденные в ходе атак и эпидемии криптовалютные средства были использованы КНДР для обхода международных санкций, однако механика такого процесса остается довольно туманной.
Другой предельно одиозной группировкой можно назвать подразделение хакеров «Исламского государства» или «Объединенный киберхалифат». Эта группа осуществила ряд серьезных атак в интересах упомянутой террористической группировки, в частности против австралийских бизнесов в 2016 году, баз данных Минобороны США с последующей публикацией персональной информации некоторых военных, электронных почт членов кабинета министров Великобритании, а также французской медиа-компании TV5Monde.
Нашумевшей группировкой, которой приписывают российское происхождение и связи со спецслужбами РФ, является Fancy Bear. Эта организация якобы причастна к предполагаемому вмешательству в выборы во Франции, Германии и США, а также ко множественным атакам на журналистов по всему миру и военных в Украине.
Имя нам Легион
В мире еще много различных хакерских группировок и отдельных специалистов, которые профессионально занимаются взломом цифровых систем. Однако стоит знать, что не все они стремятся навредить простым обывателям. Многие отстаивают права человека, свободу слова и свободу интернета, хотя их методы далеко не безобидны.
Подчеркнем, что идеологии хактивистов и биткоин-сообщества во многом похожи. Нет цензуре, нет репрессиям, нет массовым слежкам и нет неправомерному использованию личных данных, а также нет любым формам дискриминации. Сторонниками этих идей являются люди со всего мира, вне зависимости от религии, возраста, расы, статуса или профессии. Это те, кому не все равно, и имя им Легион.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Live — вся лента новостей, ForkLog — самые важные новости и опросы.
Зачем хакеры крадут данные пользователей?
Можно ответить на этот вопрос коротко – чтобы заработать деньги. Сегодня в огромных масштабах воруются данные, чтобы либо их продать, либо использовать для незаконного заработка. Как правило, хакеры стремятся получить доступ к тем данным пользователей, которые привязаны к банковским счетам, банковским картам или другим важным документам, например, паспорту, водительскому удостоверению, медицинской страховке и т.д.
Такие сделки обычно совершаются на «темной стороне луны» — в даркнете, черном рынке хакеров. Там продаются различные средства для взлома, вирусные программы, ботнеты, трояны и многие другие вещи, которые помогают взламывать компьютеры. Злоумышленники также могут там купить уже украденные базы данных. Для хакеров гораздо интереснее продать уже готовую базу. Скажем, если в среднем стоимость средств-вредоносов или специальных технических средств для взлома составляют от сотен до десятков тысяч долларов, то стоимость базы данных может начинаться от сотен тысяч до миллиона долларов.
Что может быть интересно потенциальным покупателям? Во-первых, конкретные персональные данные клиентов, которые привязаны к их документам, водительским удостоверениям, медицинским книжкам, паспортам. Их можно подделывать и использовать в незаконных целях. Например, получать доступ к услугам, деньгам и еще чему-то. Многие пользователи используют одни и те же пароли как для соцсетей, так и для онлайн-банкинга. Получив большую базу таких паролей, можно пытаться использовать эти пароли для доступа к счетам у мобильных операторов и в мобильных банковских приложениях. А это уже непосредственный доступ к деньгам пользователей. Такая информация, разумеется, пользуется очень большим спросом на черном рынке.
Во-вторых, недобросовестным бизнесменам интересны базы конкретных телефонов, имейлов, адресов, которые можно использовать для спам-рассылок, назойливого маркетинга. Часто, когда вам звонят, пишут на адреса электронной почты, предлагая сомнительные услуги или пытаясь совершить мошеннические действия, означает, что информация о вас попала из базы, оказавшейся у злоумышленников. Существует большая вероятность, что взломали даже не вас, а какую-либо организацию, где хранились ваши данные. Кроме того, проникновение в сети разных компаний дает доступ сразу ко многим видам информации: данные клиентов, коммерческие тайны, — все, что помогает недобросовестным предпринимателям переманивать клиентов, вести промышленный шпионаж и шантажировать конкурентов.
Как действуют хакеры, воруя ключи и пароли?
Я занимаюсь поиском уязвимостей в различных системах безопасности. В определённый момент мне стало понятно, что мои клиенты недостаточно хорошо знакомы (если вообще знакомы) с базовыми приёмами «хакинга». Ключи к API, пароли, SSH-ключи, сертификаты — всё это отличные механизмы защиты. Но это так до тех пор, пока их держат в секрете. После того, как подобные данные оказываются доступными тем, у кого доступа к ним быть не должно, оказывается, что сложность паролей и продвинутость алгоритмов хеширования уже значения не имеют. В этом материале я хочу рассказать о концепциях, методах и инструментах, применяемых исследователями систем безопасности для нахождения секретных данных. Такие данные используются для взлома систем. Я, кроме того, расскажу тут о простых последовательностях действий, которые помогут снизить риск успешной хакерской атаки.
Важно отметить то, что «игра» в нападение и защиту, в которую играют хакеры и владельцы компьютерных систем, это — нечестная игра. Атакующему достаточно, чтобы проникнуть в систему, выиграть лишь раз. А тому, кто защищается, выиграть можно лишь всегда побеждая. Главная сложность тут — знать о том, на что надо обращать внимание. Но после того, как защитник будет знать о том, через какие именно виртуальные «двери» в его систему может проникнуть хакер, эти «двери» можно защитить с помощью достаточно простых механизмов. Я полагаю, что простота этих механизмов иногда принижает их важность и является причиной того, что многие защитники компьютерных систем упускают эти механизмы из виду.
Как же действуют хакеры, находя пароли и секретные ключи? Какими инструментами они пользуются?
Хакеры находят секретные данные в JavaScript-файлах
Ключи к API разбросаны по всему интернету. Воспользоваться ими может кто угодно. Это — факт. Часто у того, что ключи оказываются в общем доступе, нет каких-то особых причин. Разработчики просто повсюду их забывают. Например, ключи попадают в код по следующим причинам:
Хотя многие хакеры самостоятельно читают код JavaScript-файлов, такие файлы, в основном, ищут с помощью инструментов вроде meg, а потом проверяют то, что нашли, на наличие там соответствующих паттернов.
Нередко у того, что ключи появляются в коде, есть совершенно нормальные причины, но такие ключи не защищены от посторонних. Приведу пример. Один клиент, с которым я работал, пользовался внешним сервисом картографической информации. Так делается во многих проектах. Для того чтобы загружать картографическую информацию и работать с ней, нужно было выполнять обращения к соответствующему API с использованием ключа. Но мой клиент забыл настроить применяемый им сервис так, чтобы ограничить источники, с которых в этот сервис могут поступать запросы, использующие этот конкретный ключ. Несложно представить себе простую атаку, которая заключается в том, чтобы истощить квоту на использование ресурсов картографического сервиса путём отправки к нему множества запросов. Это может стоить пользователю такого сервиса больших денег. Или, что ещё «лучше» (с точки зрения атакующего), такая атака может привести к тому, что те части проекта клиента, которые завязаны на картах, попросту «упадут».
JS-файлы используются хакерами не только для поиска секретных данных. Ведь такие файлы — это код вашего приложения, который может увидеть любой, кому этот код интересен. Хороший хакер может, внимательно прочтя код, разобраться в используемом в нём подходе к именованию сущностей, выяснить пути к API, может обнаружить ценные комментарии. Подобные находки оформляются в виде списка слов, передаваемого автоматическим сканерам. Это — то, что называется «интеллектуальным автоматизированным сканированием» («intelligent automated scan»), когда хакер комбинирует автоматические инструменты и собранную им информацию о конкретном проекте.
Вот реальный комментарий с домашней страницы одного проекта, в котором открытым текстом говорится о незащищённых API, данные из которых может получить кто угодно:
▍Что делать?
Хакеры анализируют информацию из прошлого, пользуясь интернет-архивами
Архив Интернета (известный ещё как «Wayback Machine») хранит периодически создаваемые снимки веб-сайтов. Этот проект позволяет увидеть то, каким был интернет многие годы тому назад. Данные архива представляют немалый интерес для хакеров, которым нужно собрать сведения о некоем проекте. Сканировать файлы старых вариантов веб-сайтов можно с помощью инструментов наподобие waybackurls (он основан на waybackurls.py). Это значит, что даже если вы нашли в коде сайта ключ и убрали его оттуда, но не произвели ротацию ключей, хакеры могут найти этот ключ в старой версии сайта и воспользоваться этим ключом для взлома системы.
Вот что нужно сделать в том случае, если вы нашли ключ там, где его быть не должно:
▍Архив Интернета — это не единственное место, где можно найти ключи
Старый код даёт злоумышленникам самую разную интересующую их информацию.
Хакеры пользуются GitHub
GitHub — это настоящая золотая жила для хакеров. Если знать о том, где искать, то, воспользовавшись простыми инструментами поиска, можно найти много всего интересного. Если учётная запись вашей организации на GitHub не защищена механизмом многофакторной аутентификации, то все без исключения сотрудники организации представляют собой ходячие дыры системы безопасности. Вполне реально то, что некоторые из сотрудников используют везде один и тот же пароль, и то, что этот пароль уже был украден у них через какую-то другую систему. Хакер, которого интересует некая организация, может легко автоматизировать поиск скомпрометированных паролей, да что там говорить, он может найти такие пароли и вручную.
Список сотрудников организации можно создать, воспользовавшись методами разведки, основанной на открытых источниках (Open source intelligence, OSINT). Помочь в этом злоумышленнику может LinkedIn или общедоступный список сотрудников компании с GitHub.
Если, например, кто-то решил взломать компанию Tesla, то он вполне может начать изучение компании с этой страницы:
А даже если компания не использует GitHub в качестве git-платформы, на GitHub, всё равно, можно найти что-то ценное. Достаточно, чтобы этой платформой пользовался хотя бы один из сотрудников компании, например, для домашнего проекта. Если в коде этого проекта (или в истории git) появится что-то секретное, относящееся к компании, этого будет достаточно для того чтобы проникнуть в системы этой компании.
Отслеживание полной истории изменений, вносимых в каждый проект, это — природа git. В свете вопросов безопасности этот факт играет огромную роль. Другими словами, каждое изменение, внесённое в код любым, кто имеет доступ к каким-либо системам некоей организации, подвергает эту организацию опасности.
▍Почему это происходит?
▍Основы использования особых поисковых запросов в GitHub
Существует такое понятие, как «дорки» («dorks») — особые поисковые запросы, использующие различные возможности поисковых систем для нахождения того, что имеет отношение к определённым данным. Вот — интересный список подобных поисковых запросов для Google, подготовленный exploit-db.com.
Если вы хотите углубиться в эту тему, а я рекомендую это сделать, то, прежде чем давать вам краткий список строк, используемых для поиска ключей и паролей на GitHub, предлагаю ознакомиться с этим ценнейшим материалом, написанным талантливым исследователем безопасности систем. Он рассказывает о том, как, что и где искать на GitHub, как пользоваться дорками, детально расписывает ручной процесс поиска секретных данных.
Дорки, применимые на GitHub, не так сложны, как те, которыми можно пользоваться в Google. Дело тут в том, что GitHub просто не предлагает пользователю столь же продвинутых поисковых возможностей, которые предлагает Google. Но, несмотря на это, правильный поиск по GitHub-репозиториям может прямо-таки творить чудеса. Попробуйте поискать в интересующем вас репозитории по следующим строкам:
▍Меры по снижению рисков, связанных с GitHub
Применяйте везде, где используется парольный вход в систему, сложные и уникальные пароли. Но учитывайте то, что сложный пароль — это не обязательно такой, который представляет собой таинственную мешанину из букв, цифр и специальных символов. Сейчас лучшей стратегией считается использование в качестве паролей длинных фраз. Мне хотелось бы сделать одно примечание по поводу менеджеров паролей. Хотя, определённо, такими программами пользоваться стоит, всё равно лучше использовать пароли, представляющие собой фразы, которые пользователи помнят и могут вводить самостоятельно.
Вот что говорит пользователь @corymcdonald:
Там, где я работаю, всем выдают аппаратные средства многофакторной аутентификации. У каждого имеется по 2 устройства YubiKey. Кроме того, каждая команда пользуется менеджером паролей 1Password, для каждой команды создано собственное хранилище паролей. Когда некий сотрудник покидает компанию, команда техподдержки выполняет ротацию паролей в каждом хранилище, к которому был доступ у этого сотрудника. Лично я, например, совершил непростительную ошибку, выложив на GitHub ключи для доступа к AWS. Рекомендовано, перед выполнением коммитов, проверять материалы с использованием git-secrets. Это позволит не дать уйти в общий доступ тому, что напоминает секретные сведения.
Хакеры используют Google
Теперь, когда мы в общих чертах познакомились с дорками, мы можем поговорить о применении особых поисковых запросов в Google. Тут с их помощью можно найти просто невероятные вещи. Google — мощная поисковая система, которая позволяет строить запросы, описывая строки, которые должны и не должны присутствовать в искомых данных. Google, кроме прочего, позволяет искать файлы с определёнными расширениями, умеет выполнять поиск по заданным доменам, по URL. Взгляните на следующую поисковую строку:
Другие интересные поисковые строки могут быть рассчитаны на поиск RSA-ключей или учётных данных AWS. Вот ещё один пример:
Тут перед нами открываются безграничные возможности. Качество поиска зависит лишь от уровня креативности исследователя и от того, насколько хорошо он знаком с различными системами. Вот, если хотите поэкспериментировать, большой список Google-дорков.
Хакеры тщательно изучают интересующие их системы
Когда некая система очень интересует исследователя безопасности (или мотивированного хакера), он приступает к глубокому изучению этой системы. Он близко знакомится с ней. Его интересуют конечные точки API, соглашения по именованию сущностей, особенности взаимодействия внутренних частей систем, наличие доступа к разным версиям системы в том случае, если одновременно используются её разные версии.
Не очень хороший подход к защите API заключается в том, чтобы усложнять пути доступа к ним, скрывать их с использованием чего-то вроде генератора случайных символов. Это не заменяет реальных механизмов обеспечения безопасности. Исследователи безопасности пытаются найти незащищённые пути доступа к системам, конечные точки API, например, пользуясь инструментами для «нечёткого» поиска уязвимостей. Такие инструменты используют списки слов, строят из них пути и проверяют эти пути, анализируя получаемые при попытке обращения к ним ответы. Подобный сканер не найдёт конечную точку, путь к которой представлен совершенно случайным набором символов. Но такие инструменты прекрасно показывают себя в деле идентификации паттернов и в нахождении конечных точек, о которых владельцы системы либо забыли, либо никогда и не знали.
Помните о том, что «безопасность через неясность» («security through obscurity») — это не лучший способ защиты систем (хотя полностью игнорировать его не стоит).
Тут на помощь злоумышленникам и приходят GitHub-дорки, о которых мы говорили выше. Знание о том, какие правила используются при составлении путей к конечным точкам системы (например — нечто вроде api.mydomain.com/v1/payments/. ) может оказать хакеру огромную помощь. Поиск по GitHub-репозиторию компании (и по репозиториям её сотрудников) на предмет строк, связанных с API, часто позволяет находить и пути, включающие в себя случайные символы.
Вот — потрясающий репозиторий SecLists, который содержит множество строк, используемых при именовании сущностей. Им пользуются практически все, имеющие отношение к индустрии защиты данных. Часто эти материалы модифицируют под конкретную систему. Ещё один инструмент, который можно использовать для поиска «зашифрованных» путей, это FFuf — чрезвычайно быстрая программа, основанная на нечёткой логике, написанная на Go.
Итоги
Вопросы безопасности часто обходят вниманием в стартапах. Программисты и менеджеры обычно делают приоритетом скорость разработки и частоту выхода новых версий продукта, жертвуя качеством и безопасностью. Тут встречается включение в код, попадающий в репозитории, секретных сведений, использование в разных местах системы одних и тех же ключей, применение ключей доступа там, где можно воспользоваться чем-то ещё. Иногда может показаться, что нечто подобное позволяет ускорить работу над проектом, но, со временем, это может привести к очень плохим последствиям.
В этом материале я попытался показать вам то, как строки, которые, как кажется, защищены тем, что хранятся в закрытом репозитории, могут легко уйти в общий доступ. То же касается и клона репозитория, сделанного сотрудником из лучших побуждений и не предназначенного для чужих глаз, но оказавшегося общедоступным. Но можно создать базу для безопасной работы, воспользовавшись инструментом для организации безопасного совместного использования паролей, применив централизованное хранилище секретных данных, настроив политики безопасности паролей и многофакторную аутентификацию. Это позволит, не игнорируя безопасность, не замедлить скорость работы над проектом.
Если говорить о защите информации, то тут не очень хорошо работает идея, в соответствии с которой скорость — это самое главное.
Приобретение знаний о том, как работают хакеры, обычно представляет собой очень хороший первый шаг на пути к пониманию того, что такое информационная безопасность. Это — первый шаг к защите систем. Защищая системы, учитывайте вышеперечисленные способы проникновения в них, и то, что хакеры используют достаточно ограниченный набор таких способов. Рекомендуется рассматривать с точки зрения безопасности абсолютно всё, что так или иначе имеет отношение к некоей системе, вне зависимости от того, идёт ли речь о внешних или внутренних механизмах.
Защита систем иногда может восприниматься как дело не особо важное, но трудозатратное и беспокойное. Но будьте уверены: предпринятые вами простые действия по защите ваших систем способны избавить вас от огромных неприятностей.