Un white-hacker român a câștigat topul anual de web-hacking pentru 2021

Un white-hacker român a câștigat topul anual de web-hacking pentru 2021

Un white-hacker român a câștigat topul anual de web-hacking pentru 2021

  • acum o săptămână
  • postat de: NSHOST

Alex Bîrsan a luat banii de la Apple, Microsoft, Tesla, Uber și Netflix, după ce le-a arătat cum pot fi atacate. White hacker pasionat de identificarea problemelor de securitate pentru companiile cliente sau care a programe publice de bounty bug hunting, Alex a reușit să intre în sistemele interne ale organizațiilor menționate mai sus, câștigând recompense de peste 130.000 USD în acest proces.

Nominalizat pentru topul anual de web-hacking al PortSwigger, ajunge în top 10 tehnici de hacking cu renumita sa tehnică ‘confuzia dependențelor’ și apoi ocupă locul 1. Tehnica sa  demonstrează că un atacator este capabil să execute programe malware în rețeaua unei companii, înlocuind pachetele software utilizate în mod privat – așa-numitele „dependențe” – cu pachete publice rău intenționate cu același nume.

Majoritatea  limbajelor de programare, cum ar fi Python, vin cu o metodă ușoară, mai mult sau mai puțin oficială de a instala dependențe pentru proiectele dezvotlate. Aceste programe de instalare sunt, de obicei, legate de librării publice, pe care oricine le poate încărca liber pachete de cod pentru ca și alții să le folosească.

Foarte celebru sunt  și Node cu npm, pip-ul lui Python folosește PyPI (Indexul pachetului Python), sau Ruby cu gems, toate acestea putând fi găsite și instalate de către orice programator.

Când descărcăm și utilizăm un pachet din oricare dintre aceste surse, avem practic încredere în creatorul/editorul său pentru a rula cod pe server/PC. Poate fi exploatată această încredere oarbă de către actori rău intenționați? Evident, da. 

După ce Alex a găsit, în codul postat de companii pe internet, câteva nume de dependențe private, pentru care nu exista nicio informație online, s-a gândit să creeze și el niște dependențe, care să aibă exact aceleași nume, dar care să fie publice. Sperând că va crea confuzie și poate, în felul ăsta, se va rula cod scris de el în softurile marilor companii.

Ideea a avut succes. Când o astfel de dependență era instalată de un soft, era accesată de multe ori dependența publică, scrisă de Bîrsan, și nu cea privată și internă a companiei. “Se pare că developerii, sau chiar sistemele automate ale companiilor, nu se asigurau întotdeauna că instalează dependențe din sursa corectă”, spune informaticianul. „Motivele pot fi multiple și complexe, dar rezultatul e întotdeauna același: un atacator ar fi putut rula cod malițios pe sistemele companiilor afectate.” Fiind un white-hat hacker, Alex nu a rulat cod malițios, ci doar a notificat companiile și a încasat recompensele oferite.

Alex e recunoscut în lumea vânătorilor de recompense, câștigând multe dintre competițiile la care a participat. „Îmi place industria de bug bounty”, spune el. „E o piață foarte liberă, în care companiile concurează pentru timpul hackerilor cu recompense din ce în ce mai mari.”

Anul trecut, de exemplu, Google le-a plătit 6,7 milioane de dolari hackerilor care au raportat responsabil vulnerabilități, în creștere față de 2019. Microsoft a dat aproape 14 milioane în perioada 2019-2020, iar PayPal aproape 3 milioane de dolari. Deși sumele par mari la o primă vedere, ele sunt mult mai mici decât costurile unor eventuale incidente de securitate grave. Oricât ar fi de scumpi, hackerii buni sunt mai ieftini decât cei răi.

Având costuri foarte mici locuind la Iași, Alex își trăiește visul: „Recompensele sunt suficiente pentru mine pentru a trăi confortabil”. După o victorie mare, cum a fost și asta, își ia de obicei o pauză lungă, în care se relaxează și învață. Asta va face și acum. Va avea program de voie timp de „câteva luni”.

Top 10 tehnici de web hacking

Topul anual de web-hacking al PortSwigger are scopul de a identifica cele mai semnificative cercetări de securitate web publicate în anul precedent și pentru 2021 au fost pete 40 de nominalizări, în top 10 ajungând următoarele tehnici:

  1. Dependency Confusion - prin care Alex Birsan dezvăluie defecte critice de proiectare și configurare care afectează librării de cod foarte importante, exploatând ambiguitatea numelui pachetului pentru a obține RCE pentru numeroase companii importante și pentru a câștiga cu mult peste 130.000 USD în recompense. Măsurile de prevenție și combatere sunt încă în desfășurare pentru acest atac și suntem curioși să vedem unde merge această cale de cercetare. Este atacul atât de elegant încât nu poate fi îmbunătățit? Sau acesta este doar începutul umil al unei noi clase de atac persistente? Felicitări lui Alex pentru o victorie bine meritată!
  2. HTTP/2: „Te-ai întrebat vreodată ce ar putea merge prost la conversia între protocoalele binare și ASCII?” „Această cercetare are tot ce are nevoie un cititor. Pe lângă cercetarea reală și rezultatul, calitatea redactării, instrumentele și prezentarea fac acest lucru foarte special.” „Aceasta este o cercetare bună despre modul în care HTTP2 crește enorm complexitatea întregii situații. Întrucât utilizarea HTTP2 este încă în curs de adoptare, contrabanda cererilor va fi și mai relevantă cu ajutorul (down)upgradeului nesfârșit.”
  3. O nouă zonă de atac pe MS Exchange - Orange Tsai prezintă ca o „introducere fără cusur în arhitectura și suprafața de atac a Exchange, cu exploatări de încredere și un impact uriaș” și o „cutie de viermi” care „a schimbat modul în care mulți au privit această soluție populară de corespondență și ne-a reamintit că până și cele mai (aparent) sigure aplicații pot fi sparte cu ușurință cu persistență și atenție la toate detaliile”.
  4. Exploiting Client-Side Prototype Pollution in the wild - descrisă de filedescriptor ca fiind „probabil o clasă de erori defavorizate, deoarece este exploatată doar ocazional”, Prototype Pollution a fost strict o tehnică pentru entuziaști până la această cercetare fenomenală, care definește o metodologie clară și perspicace pentru identificarea și exploatarea practică. Este remarcabil și pentru distribuția de stele, în frunte cu s1r1us - în cuvintele lui Soroush „Se simte ca și cum ai urmări Răzbunătorii!”
  5. Hidden OAuth attack vectors. Hackerii se concentrează, de obicei, pe punctele finale care sunt fie direct vizibile, fie descoperite în timpul recunoașterii. În vectorii de atac OAuth ascunși, Michael Stepankin adoptă o abordare alternativă privind specificațiile OAuth și OpenID pentru a descoperi punctele finale ascunse și defecte de proiectare care creează scena pentru enumerare, manipularea sesiunii și SSRF. Michael a actualizat, de asemenea, atât listele de cuvinte pentru descoperirea ActiveScan++, cât și Burp, pentru a putea monitoriza și a se asigura că această suprafață de atac nu trece neobservată.
  6. Cache Poisoning at Scale. Youstin dovedește că manipularea cache web este încă endemică și este încă neglijată pe scară largă. Vulnerabilitățile DoS sunt adesea respinse de cercetători, dar eliminările persistente, cu o singură solicitare, oferite de otrăvirea cache-ului web sunt în mod clar luate în serios de multe companii. Aceasta este, de asemenea, o demonstrație solidă a artei de a înlănțui mici inconsecvențe cu anteturi secrete și configurări greșite pentru a crea o vulnerabilitate gravă.
  7. JSON Interoperability Vulnerabilities. Vulnerabilitățile de interoperabilitate JSON de Jake Miller analizează în profunzime cum să declanșeze inconsecvențele de parsing JSON și unde pot deveni exploatabile, acestea fiind de obicei inofensive. 
  8. Practical HTTP Header Smuggling. Daniel Thatcher izolează o componentă de bază a HTTP Request Smuggling și o reorganizează elegant într-o strategie care face posibilă identificarea atât a vulnerabilităților CL.CL, cât și a atacurilor generice de antet ascunse, toate integrate în Param Miner. 
  9. HTTP Smuggling via Higher HTTP Versions. La începutul anului 2021, se credea că HTTP/2 nu are probleme de securitate majore, dincolo de atacurile de sincronizare și preocupările minore privind DoS. Contrabanda HTTP a lui Emil Lerner prin versiuni HTTP mai înalte a distrus acest mit, folosind instrumente personalizate și tehnici inovatoare pentru a dezvălui numeroase găuri în conversia HTTP/2 în HTTP/1.1. 
  10. Fuzzing for XSS via nested parsers. Cu un subiect vechi precum XSS, este prea ușor să credem că știm tot ce este de știut pe temă. Însă Psych0tr1a ne arată cum se pot întoarce regulile de dezinfectare HTML stivuite unul împotriva celuilalt, cu rezultate incredibile. 

Securitatea nu mai este opțională. Ne bazăm pe web pentru a conecta nevoile cu soluțiile oferite. Din păcate însă, prea multe companii se luptă să-și securizeze software-ul și riscă să-și piardă încrederea clienților.

Vă încurajăm să investiți într-un plan de găzduire securizat și optim - alegând oricare dintre pachetele de hosting NSHOST web shared, VPS sau Cloud și să alocați timpul necesar unei politici de caching potrivite afacerii dvs pentru a asigura timpi record de încărcare a fiecărei pagini web.