💳 Термінова новина! Trustee Plus — найкраще рішення для розрахунку криптою 👉
Вікторія ГорбікІсторії
3 листопада 2022, 09:55
2022-11-03
Майбутній Робін Гуд на кіберфронті. 17-річний школяр розробив вебсканер для пошуку вразливостей, який не має аналогів
Є такі люди, які бажають зробити цей світ кращим, навіть у кіберпросторі. Так численні атаки хакерів спонукали Іллю Герегу з Івано-Франківська, учня фізико-технічного ліцею та учасника Малої академії наук, розробити вебсканер для аналізу та пошуку вразливостей. З ним він здобув перемогу на міжнародному шоу-інновацій INOVA 2022, що проходив в жовтні в Осеку (Хорватія).
Ілля розповів dev.ua, як прийшов до такої ідеї, які вразливості може знайти його сканер та чому він єдиний у своєму роді.
Є такі люди, які бажають зробити цей світ кращим, навіть у кіберпросторі. Так численні атаки хакерів спонукали Іллю Герегу з Івано-Франківська, учня фізико-технічного ліцею та учасника Малої академії наук, розробити вебсканер для аналізу та пошуку вразливостей. З ним він здобув перемогу на міжнародному шоу-інновацій INOVA 2022, що проходив в жовтні в Осеку (Хорватія).
Ілля розповів dev.ua, як прийшов до такої ідеї, які вразливості може знайти його сканер та чому він єдиний у своєму роді.
На шляху до білого хакера
Ілля найстарший серед чотирьох дітей, в нього ще два молодші брати та сестра, і родина всіляко підтримує усі його починання. Батьки — приватні підприємці, і, можливо, як каже хлопець, стартаперська жилка йому дісталась у спадок.
Каже, що кібербезпекою він зацікавився сам, а ось знання отримував від знайомих та фахівців цієї справи. Крім того, він спілкується з багатьма системними адміністраторами.
«Сисадміни теж свого роду спеціалісти з кібербезпеки, бо мають розуміти, як захищати ресурси та сервери компанії», — пояснює хлопець.
Але, крім спілкування, найбільше інформації він отримав через навчання. Сам перечитав і вивчив багато різних матеріалів, передивився не один курс з кібербезпеки, і в підсумку, як каже, «воно дало своє».
Ілля пише на Python уже 4 роки, і останні два роки вивчає кібербезпеку.
Ілля Грега біля постера, з яким він проводив презентацію проєкту на INOVA (фото з особистого архіву)
Спершу дивився курси з банального системного адміністрування про те, як створювати мережі, щоб зрозуміти основи. Після цього передивлявся всі профільні матеріали у вільному доступі.
Скорегувати в вірному напрямку та погодити ідею допоміг науковий керівник. Він же брав участь в оформленні проєкту в текстовий варіант для МАНу та наступних турнірів.
Народження ідеї
До ідеї створення вебсканера Іллю спонукав 2020-й рік, коли під час пандемії та карантину багато компаній і програм зазнали злому та втручань.
«Десь базу даних злили, десь ще щось, і для мене це було дивно, як такі великі компанії не змогли себе захистити, і я вирішив хоч щось зробити в цьому напрямі», — зазначив хлопець.
Юнак дослідив, що для того, щоб провести аудит сайту, потрібно мати дуже багато спеціалізованого ПО, а саме близько 10 програм, які виконують різні функції. І часто, як він говорить, це супернезручно.
Ілля Грега десь на галявині біля Говерли (фото з особистого архіву)
Так прийшла ідея зробити один інструмент, який би міг проводити різні типи перевірок якісно, швидко та максимально зручно.
Приводом для створення ПЗ став проєкт для Малої академії наук восени 2021 року, учасником якої є Ілля. До кінця року продукт був готовий.
Технічна частина
Вебсканер розроблений мовою програмування Python. Також для того, щоб опрацьовувати дані, використовується база даних SQLITE, яка не потребує встановлення окремого програмного забезпечення.
«І це дуже зручно. Це як свого роду Excel, але крутіший», — говорить він.
Більшість модулів школяр написав самостійно, читаючи документацію та пояснення про кожну вразливість. Декілька включив до сканера вже готових.
Вебсканер, інтерфейс програми в командному рядку (фото з особистого архіву Іллі Гереги)
За допомогою своєї розробки Ілля просканував сайт свого ліцею — «там все добре», — та сайти локальних компаній, будівельних і мереж магазинів. Назви Ілля називати не захотів, але зазначив, що мережу «Епіцентр» не сканував.
«Я знаю, що в мене прізвище таке, але я ніякого відношення до нього не маю», — пошуткував він.
Що знаходить сканер
«У більшості випадків сайти містять мінімальні вразливості, які майже нічого за собою не несуть, але потенційно можуть створювати проблеми», — акцентує розробник.
Вебсканер, таблиця в базі даних, у якій зберігається інформація про вразливості, які були виявлені на сайті (фото з особистого архіву Іллі Гереги)
Його вебсканер знаходить:
неправильні http-заголовки, що віддають сайти;
вразливість, при якій сайти повертають у відповідь на запит версію вебсервера, на якому вони працюють — це трапляється в 90% випадків і так зловмисники можуть спокійно шукати вразливості, експлойти та спробувати зламати сайт;
кирилицю в посиланні — це може призвести до ряду DDOS і кібератак;
резервну копію сайту, яка зберігається на самому сайті — це одна з критичних вразливостей, яка дозволяє переглянути весь код сайту та отримати доступ до всієї інформації;
SQL-ін’єкції, за допомогою яких можна надсилати команди до бази даних і з їх допомогою видалити дані звідти або витягнути необхідну інформацію, як акаунти та персональні дані користувачів;
вразливість, яка дозволяє змінювати файл .htacess, що розподіляє доступи користувачів до окремої інформації сайту — якщо змінити якось цей файл, то у простого користувача з’явиться можливість отримати доступи, паролі та інше;
неправильно сформований XML-файл, який невірно віддається вебсервером користувачу — цим можна також скористатись, щоб отримати доступ.
Унікальність і конкурентні переваги
Є декілька фіч, за словами Іллі, які дозволяють вебсканеру вважати його унікальним.
Це в першу чергу модуль, який з’ясовує, який рушій використовує сайт, а також модуль, який перебирає різні посилання на сайті для того, щоб знайти резервну копію, через яку зловмисники можуть отримати доступ до всієї інформації на сайті.
Крім того, вебсканер розробника може працювати через мережу Tor (The Onion Router), браузер, створений для забезпечення анонімності в мережі Інтернет.
«При блокуванні IP це допомагає переключитись в мережі на іншу IP-адресу та сканувати далі», — пояснює юнак.
Також з цією ж метою у вебсканера є функція зміни проксі-сервера та збільшення кількості потоків, щоб сканувати не 4 сторінки, як вказано за замовчуванням, а більше.
«Це навантажує комп’ютер, сервер і сам сайт, але іноді необхідно», — акцентує Ілля.
Вебсканер, структура бази даних вебсканеру (фото з особистого архіву Іллі Гереги)
Він уточнює, що прописав багато подібних параметрів, які теж можна налаштовувати окремо. Наприклад, глибину втручання сканера на сайт, відповідно до кореневого посилання.
Перевагу над аналогами, які існують на ринку, ПЗ Гереги має у кількості проведених перевірок та в мобільності налаштувань. За допомогою розробленого вебсканера Ілля може проводити 17 різних перевірок на декілька вразливостей.
Майбутня бізнес-стратегія
Надалі Ілля планує розвивати свій продукт і створити сервіс, за допомогою якого б користувачі сканували необхідні сайти. Він вважає, що монетизуватись цей інструмент буде краще за підпискою.
«Користувач може, наприклад, платити тариф, перевіряти сайти, скільки захоче, та отримувати звіти про можливі вразливості», — говорить він.
Ілля планує у звіти додати посилання, за якими можна було б прочитати про ту чи іншу вразливість. А також інструкції про те, як знайдені ушкодження можна виправити, наприклад, за допомогою різних патчів або, банально, оновивши ПЗ.
Плануючи на майбутнє розвиток своєї розробки як бізнесу, хлопець зазначає, що може зацікавити користувачів ціною та параметрами сканування та корисними звітами.
Ілля зазначає, що він аналізував ринок і вважає, що його проєкт має можливість розвиватися як стартап.
«Можна залучати сторонні інвестицій, заручитись чиєюсь підтримкою та створити сервіс, який в майбутньому може перерости в серйозну компанію», — планує хлопець.
Остаточна мета
Далі свою долю хлопець хоче пов’язати теж з кібербезпекою, каже, що за кордон він точно не хоче їхати, але з Івано-Франківська, певно, поїде, бо тут не має ВУЗів, де б він міг би вчитися за своєю спеціальністю.
Ілля вважає, що хакер та спеціаліст з кібербезпеки — це майже одне і те саме, якщо людина займається своєю справою легально.
«Якщо нелегально, то я це для себе навіть не розглядаю і такого не підтримую, бо хочу використовувати свої знання для корисних цілей, робити життя людей кращим та легшим», — стверджує він.
«Льох для міських жителів». 17-тирічна хмельничанка створила екохолодильник: як він працює, де можна використати технологію та за що вона вдячна коронавірусу
15-річний школяр зі Львова створює потужні повербанки для військових: один прилад може зарядити 15 телефонів. Історія доброї справи
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».
