Всеволод Кокорин рассказал об аудите защищенности изданию Cyber Media
Всеволод Кокорин (Slonser), исследователь информационной безопасности компании SolidLab, автор тг‑канала «Заметки Слонсера», рассказал порталу Cyber Media о том, почему пентест — это творческая профессия, где и как искать критичные баги, а также о своем опыте в анализе защищенности.
Cyber Media: Пентест называют творческой профессией. На Ваш взгляд, в чем на практике выражается ее творческая составляющая?
Всеволод Кокорин: Для меня творческий аспект заключается в сочетании знаний для разработки новых векторов атаки. Важно осознавать, что в аудите приложений не существует единого правильного подхода. Каждый новый сервис уникален и стимулирует к исследованиям и созданию новых техник.
Cyber Media: Многие исследователи безопасности, особенно начинающие, всецело полагаются на работу популярных сканеров уязвимостей. Насколько такие инструменты совершенны, можно ли обходиться только ими и, например, регулярно находить уязвимости в рамках багбаунти‑программ?
Всеволод Кокорин: Очевидно, что говорить о «совершенстве» таких инструментов не приходится. На мой взгляд, начинающим специалистам в области ИБ стоит меньше делать акцент на автоматизации.
В контексте багбаунти‑программ, использование стандартных сканеров зачастую не позволяет обнаружить серьезные уязвимости, поскольку такие сканеры, как правило, запустили до вас. По моему опыту, эффективными оказываются только индивидуальные автоматизированные решения, нацеленные на специфические виды проверок, но написать такой инструмент без опыта — невозможно.
Хотя в зрелых продуктах автоматизация вряд ли поможет найти критические уязвимости, полностью отказываться от нее не стоит. Автоматизация способствует более быстрому погружению в продукт, помогает в составлении схемы архитектуры приложения и т.д.
Cyber Media: Не так давно Вы нашли уязвимость в Chromium. Можете подробнее рассказать о том, как Вы это сделали и немного о степени ее критичности?
Всеволод Кокорин: Я очень много читаю исходный код опенсорс‑проектов. В ходе прочтения исходного кода Chromium я и наткнулся на тот самый недостаток. Команда безопасности Google оценила его как недостаток высокого уровня критичности, что фактически является максимальным уровнем для багов, которые не приводят к исполнению кода на устройстве пользователя вне изоляции. Уязвимость позволяла исполнить JS‑код на огромном количестве веб-ресурсов (например, Gitlab), что могло привести к утечке конфиденциальных данных пользователей.