💳 Термінова новина! Trustee Plus — найкраще рішення для розрахунку криптою 👉
Вікторія ГорбікИстории
3 ноября 2022, 09:55
2022-11-03
Будущий Робин Гуд на киберфронте. 17-летний школьник разработал веб-сканер для поиска уязвимостей, не имеющий аналогов
Есть такие люди, желающие сделать этот мир лучше, даже в киберпространстве. Так многочисленные хакерские атаки побудили Илью Герегу из Ивано-Франковска, ученика физико-технического лицея и участника Малой академии наук, разработать веб-сканер для анализа и поиска уязвимостей. С ним он одержал победу на международном шоу-инновации INOVA 2022, проходившем в октябре в Осеке (Хорватия).
Он рассказал dev.ua, как пришел к такой идее, какие уязвимости может найти его сканер и почему он уникален в своем роде.
Есть такие люди, желающие сделать этот мир лучше, даже в киберпространстве. Так многочисленные хакерские атаки побудили Илью Герегу из Ивано-Франковска, ученика физико-технического лицея и участника Малой академии наук, разработать веб-сканер для анализа и поиска уязвимостей. С ним он одержал победу на международном шоу-инновации INOVA 2022, проходившем в октябре в Осеке (Хорватия).
Он рассказал dev.ua, как пришел к такой идее, какие уязвимости может найти его сканер и почему он уникален в своем роде.
На пути белого хакера
Илья самый старший среди четырех детей, у него еще два младших брата и сестра, и семья всячески поддерживает все его начинания. Родители — частные предприниматели, и, возможно, как говорит парень, стартаперская жилка ему досталась в наследство.
Говорит, что кибербезопасностью он заинтересовался сам, а вот знание получал от знакомых и специалистов этого дела. Кроме того, он общается со многими системными администраторами.
«Сисадмины тоже своего рода специалисты по кибербезопасности, потому что должны понимать, как защищать ресурсы и сервера компании», — объясняет парень.
Но, кроме общения, больше информации он получил через обучение. Сам перечитал и изучил много разных материалов, посмотрел не один курс по кибербезопасности, и в итоге, как говорит, «оно дало свое».
Илья пишет на Python уже четыре года, и последние два года изучает кибербезопасность.
Илья Грега у постера, с которым он проводил презентацию проекта на INOVA (фото из личного архива)
Сначала смотрел курсы по банальному системному администрированию, как создавать сети, чтобы понять основы. После этого просматривался все профильные материалы в свободном доступе.
Скорректировать в верном направлении и согласовать идею помог научный руководитель. Он же участвовал в оформлении проекта в текстовом варианте для МАНА и последующих турниров.
Рождение идеи
К идее создания веб-сканера Илью побуждал 2020-й год, когда во время пандемии и карантина многие компании и программы потерпели от взломов и вмешательства.
«Где-то базу данных слили, где-то еще что-то, и мне это было странно, как такие крупные компании не смогли себя защитить, и я решил хоть что-то сделать в этом направлении», — отметил парень.
Юноша исследовал, что для того, чтобы провести аудит сайта, нужно иметь очень много специализированного ПО, а именно около 10 программ, выполняющих различные функции. И часто, как он говорит, это супер неудобно.
Илья Грега где-то на поляне у Говерлы (фото из личного архива)
Так пришла идея сделать один инструмент, который мог бы проводить различные типы проверок качественно, быстро и максимально удобно.
Поводом к созданию ПО стал проект для Малой академии наук осенью 2021 года, участником которой является Илья. К концу года продукт был готов.
Техническая часть
Веб-сканер разработан на языке программирования Python. Также для того, чтобы и обрабатывать данные, используется база данных SQLITE, которая не требует установки отдельного программного обеспечения.
«И это очень удобно. Это как своего рода Excel, но покруче», — говорит он.
Большинство модулей школьник написал самостоятельно, читая документацию и пояснения о каждой уязвимости. Несколько включил в сканер уже готовых.
Веб-сканер, интерфейс программы в командной строке (фото из личного архива Ильи Гереги)
С помощью своей разработки Илья просканировал сайт своего лицея — там все хорошо, — и сайты локальных компаний, строительных и сетей магазинов. Названия Илья называть не захотел, но отметил, что сеть «Эпицентр» не сканировал.
«Я знаю, что у меня фамилия такая, но я никакого отношения к нему не имею», — пошутил он.
Что находит сканер
«В большинстве случаев сайты содержат минимальные уязвимости, которые почти ничего за собой не несут, но потенциально могут создавать проблемы», — акцентирует разработчик.
Веб-сканер, таблица в базе данных, в которой хранится информация об уязвимостях, обнаруженных на сайте (фото из личного архива Ильи Гереги)
Его веб-сканер находит:
неправильные http-заголовки, выдаваемые сайтами;
уязвимость, при которой сайты возвращают в ответ на запрос версию веб-сервера, на котором они работают — это случается в 90% случаев и так злоумышленники могут спокойно искать уязвимости, эксплойты и попытаться взломать сайт;
кириллицу в ссылке — это может привести к ряду DDOS и кибератак;
резервная копия сайта, хранящаяся на самом сайте — это одна из критических уязвимостей, которая позволяет просмотреть весь код сайта и получить доступ ко всей информации;
SQL-инъекции, с помощью которых можно отправлять команды в базу данных и с их помощью удалить данные оттуда или извлечь необходимую информацию, как аккаунты и персональные данные пользователей;
уязвимость, позволяющая изменять файл .htacess, распределяющий доступы пользователей к отдельной информации сайта — если изменить этот файл, то у простого пользователя появится возможность получить доступы, пароли и прочее;
неправильно сформированный XML-файл, который неверно отдается веб-сервером пользователю — этим тоже можно воспользоваться, чтобы получить доступ.
Уникальность и конкурентные преимущества
Есть несколько фич, по словам Ильи, которые позволяют веб-сканеру считать его уникальным.
Это в первую очередь выясняющий модуль, какой движок использует сайт, а также модуль, который перебирает различные ссылки на сайте для того, чтобы найти резервную копию, через которую злоумышленники могут получить доступ ко всей информации на сайте.
Кроме того, веб-сканер разработчика может работать по сети Tor (The Onion Router), браузер, созданный для обеспечения анонимности в сети Интернет.
«При блокировке IP это помогает переключиться в сети на другой IP-адрес и сканировать дальше», — объясняет юноша.
С этой же целью у веб-сканера есть функция изменения прокси-сервера и увеличение количества потоков, чтобы сканировать не 4 страницы, как указано по умолчанию, а больше.
«Это нагружает компьютер, сервер и сам сайт, но иногда необходимо», — акцентирует Илья.
Веб-сканер, структура базы данных вебсканера (фото из личного архива Ильи Гереги)
Он уточняет, что прописал многие подобные параметры, которые тоже можно настраивать отдельно. Например, глубина вмешательства сканера на сайт, соответственно корневой ссылке.
Преимущество над существующими на рынке аналогами ПО Гереги имеет в количестве проведенных проверок и в мобильности настроек. С помощью разработанного веб-сканера, Илья может проводить 17 различных проверок на несколько уязвимостей.
Будущая бизнес-стратегия
В дальнейшем Илья планирует развивать свой продукт и создать сервис, с помощью которого пользователи сканировали бы необходимые сайты. Он считает, что монетизировать этот инструмент будет лучше подпиской.
«Пользователь может, например, платить тариф, проверять сайты сколько угодно и получать отчеты о возможных уязвимостях», — говорит он.
Илья планирует в отчеты добавить ссылку, по которой можно было бы прочитать о той или иной уязвимости. А также инструкции о том, как найденные повреждения можно исправить, например с помощью различных патчей или, банально, обновив ПО.
Планируя на будущее развитие своей разработки как бизнеса, парень отмечает, что может заинтересовать пользователей ценой и параметрами сканирования и полезными отчетами.
Илья говорит, что он анализировал рынок и считает, что его проект может развиваться как стартап.
«Можно привлекать посторонние инвестиции, заручиться чьей-то поддержкой и создать сервис, который в будущем может перерасти в серьезную компанию», — планирует парень.
Окончательная цель
Дальше свою судьбу парень хочет связать тоже с кибербезопасностью, говорит, что за границу он точно не хочет ехать, но из Ивано-Франковска, вероятно, поедет, потому что здесь нет ВУЗов, где он мог бы учиться по своей специальности.
Илья считает, что хакер и специалист по кибербезопасности — это почти одно и то же, если человек занимается своим делом легально.
«Если нелегально, то я это для себя даже не рассматриваю и такого не поддерживаю, потому что хочу использовать свои знания для полезных целей, делать жизнь людей лучше и легче», — утверждает он.
«Погреб для городских жителей». 17-летняя хмельничанка создала экохолодильник: как он работает, где можно использовать технологию и за что она благодарна коронавирусу
15-летний школьник из Львова создает мощные повербанки для военных: один прибор может зарядить 15 телефонов. История доброго дела
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
«Погреб для городских жителей». 17-летняя хмельничанка создала эко-холодильник: как он работает, где можно использовать технологию и за что она благодарна коронавирусу
Семнадцатилетняя выпускница Славутского лицея в Хмельницкой области, МАНовка Елизавета Герасимчук, создала прототип эко-холодильника, который работает от солнечных панелей и аккумуляторов. Прототип девушка представила на многих украинских конкурсах и олимпиадах. В частности, несмотря на полномасштабную войну России в Украине, Лиза заняла третье место в категории Технические науки, подкатегория авиа- и ракетостроения, машиностроения и робототехника в финале ежегодного Конкурса-защиты научно-исследовательских работ учеников-членов Малой академии наук Украины, и может принять участие в международных олимпиадах и конкурсах от МАН.
dev.ua она рассказала подробности разработки и идеи, а также свои планы на научное будущее, у девушки есть идеи для разработок.
17-летний школьник разработал дрон-миноискатель вместо вечного двигателя, чтобы помочь саперам. Как он работает и как выглядит
Украина непобедима, если даже во время военного вторжения украинцы всех возрастов не перестают учиться и создавать разработки, которые помогают и военным, и гражданским. На этот раз героем нашего материала стал старшеклассник из лицея КПИ Игорь Клименко, разработавший дрон-миноискатель. Вдохновила его на разработку война, которая началась еще восемь лет назад.
С проектом дрона-миноискателя в прошлом году в Малой Академии Наук школьник, получил второе место, в этом году — первое место. Сейчас готовится дальше к всеукраинскому этапу. Самое большое вознаграждение — золото на Malaysia Technology Expo, одной из крупнейших ежегодных выставок технологий и инноваций в Юго-Восточной Азии, и серебро на выставке изобретений в Женеве The International Exhibition of Inventions.
Он рассказал нам, как дрон работает, и что понадобилось, чтобы его создать.
