Pull to refresh
143.33

PunkSpider: поисковик уязвимых сайтов готов к рестарту

Reading time 4 min
Views 5.7K


История развивается по спирали. На хакерской конференции DEF CON 29 в 2021 году состоялся анонс новой версии PunkSpider — поисковой системы по уязвимостям в веб-приложениях, своеобразного аналога Shodan, только для веб-сайтов. Сканер уязвимостей с фаззингом (перебор всех вариантов) проверяет сайты на наличие самых распространённых, удобно эксплуатируемых багов — и сообщает о них всему интернету.

PunkSpider успешно работал с 2014 по 2018 годы. Потом его пришлось закрыть из-за множества жалоб от компаний, чьи сайты становились лёгкими мишенями для взлома. Но сейчас разработчики разобрались с юридическими проблемами и готовы возобновить проект.

На данную минуту PunkSpider ещё не запустили, на сайте висит заглушка, опубликована только ссылка на расширение для Chrome.

Разработчик Алехандро Касерес (Alejandro Caceres) aka hyp3ri0n говорит, что за последние годы полностью перестроил и расширил систему. Теперь она стала гораздо более эффективна благодаря распределённым вычислениям в реальном времени с базой из десятков тысяч уязвимостей. Поиск позволяет находить сайты в том числе по конкретным типам уязвимостей.



Одной из причин перезапуска PunkSpider он называет эпидемию вирусов-вымогателей в последние годы из-за тотальной незащищённости веб-инфраструктуры. PunkSpider предлагает «простой и масштабируемый инструмент мониторинга, который быстро выявляет пробелы в коллективной защите, указывая, какие веб-сайты могут легко стать жертвой злоумышленников».

Таким образом, PunkSpider позиционируется как полезный инструмент для сообщества информационной безопасности, Поисковик находит распространённые уязвимости, представляющие риск для всех. Неспроста ведь изначально он создавался на деньги агентства DARPA, которое финансирует перспективные и полезные исследования.

Ещё одной причиной возвращения создатели называют «многочисленные просьбы» хакерского сообщества.

Собственный провайдер и ЦОД


В презентации на DEF CON Касерес рассказал о новой версии PunkSpider и новом бэкенде.

Восемь лет назад PunkSpider работал из кластера Hadoop/MapReduce с бэкендом на распределённом поисковом движке Solr, а потом Hbase. Для сканирования сети использовался проприетарный набор инструментов IOStation (мониторинг сертификатов SSL, массовое сканирование портов, сеть пассивных сенсоров, мониторинг дарквеба).


IOStation

Для полноценной работы системы был зарегистрирован собственный провайдер и открыт собственный мини-ЦОД, потому что обычным хостерам не нравился клиент, который круглосуточно сканирует весь интернет.


Первая серверная PunkSpider образца 2014 года

Сейчас дата-центр выглядит гораздо мощнее, обработкой запросов занимается Kafka, при необходимости запрашивая данные в системах IOStation.

Поддержку поисковика взяла на себя компания QOMPLX, в которой Касерес занимает должность «директора по взлому компьютерных сетей» (director of computer network exploitation).

Поиск по справочникам венчурных инвестиций говорит нам, что QOMPLX — это перспективный стартап в области ИБ, основанный бывшими американскими военными. Один из соотснователей — бывший советник генерального командующего U.S. Army Cyber Command. Бизнес получил щедрое финансирование и оценивается в $1,5 млрд. Этот «единорог» и купил маленькую фирму Hyperion Gray, запустившую PunkSpider почти десять лет назад, тем самым подарив хакерскому проекту вторую жизнь.

В прошлой инкарнации сайт проработал несколько лет и страдал от нехватки финансирования. Сейчас такой проблемы нет.

Расширение для Chrome


Расширение PunkSpider действительно работает. На Хабре оно ничего не нашло, но на некоторых других сайтах результат положительный. Например, XSS на kickstarter.com и archive.org.



В расширении указана дата последней проверки. Здесь же можно подать заявку на сканирование любого сайта.


XSS на archive.org

Как и Shodan, деятельность PunkSpider вызывает вопросы юридического характера. Недовольны владельцы сайтов, которые терпят прямые убытки из-за взломов. Но создатели поисковых систем объясняют, что не несут за это ответственности. Поисковая система индексирует только общедоступную информацию и помогает владельцам сайтов заранее выявить бреши в своей защите.

Не все специалисты считают благом наличие таких инструментов в публичном доступе. В комментарии для Wired аналитик EFF Карен Гулло выразила мнение, что хотя у людей, стоящих за PunkSpider, «добрые намерения», обнародование уязвимостей может привести к обратному эффекту, противоположному тому, на который рассчитывали его создатели. Злоумышленники могут воспользоваться уязвимостями быстрее, чем администраторы успеют их устранить, что приведёт к новым взломам. И это мнение EFF, очень дружественной к хакерам организации.

Но другие специалисты поддерживают запуск поисковика. Например, эксперт по кибербезопасности Стивен Фрей говорит, что «невозможно управлять тем, что нельзя измерить». Эксплуатация уязвимостей сейчас происходит втихую, а публичная огласка — это способ исправить ситуацию.


Так или иначе, сейчас перед публичным запуском поисковой системы у админов есть возможность проверить свои серверы, пока информация не выложена в открытый доступ. А дальше уже «кто не спрятался — я не виноват».

Алехандро Касерес согласен, что запуск такой поисковой системы может привести к непредвиденным последствиям. Но предлагает рискнуть, попробовать и посмотреть, что получится.




GlobalSign предлагает PKI-решения для малого и среднего бизнеса
Свяжитесь с нами, чтобы узнать подробнее: +7 (499) 678 2210, sales-ru@globalsign.com.
Tags:
Hubs:
+10
Comments 2
Comments Comments 2

Articles

Information

Website
www.globalsign.com
Registered
Founded
1996
Employees
501–1,000 employees
Location
Япония