Caceres admet librement que des pirates malveillants pourraient utiliser PunkSpider pour identifier les sites Web à pirater. Mais il soutient que les scanners qui détectent les vulnérabilités Web ont toujours existé. Celui-ci ne fait que rendre les résultats publics. “Vous savez que vos clients peuvent le voir, vos investisseurs peuvent le voir, alors vous allez réparer cette merde rapidement”, explique Caceres.
Prendre deux
La conférence Defcon de Caceres et Hopper marque la deuxième incarnation de PunkSpider. L’idée de l’outil est née il y a dix ans, à l’été 2011, alors que le collectif de hackers Anonymous et son groupe dissident LulzSec étaient au milieu d’un déchaînement de vols de données et de dégradations, dont une grande partie a été rendue possible par de simples vulnérabilités Web. (“Pourquoi y a-t-il des injections SQL partout ?”, disait le refrain d’une chanson hip-hop hommage à LulzSec.)
Caceres a noté à l’époque que même les pirates informatiques relativement peu sophistiqués n’avaient apparemment aucun mal à trouver une prépondérance de bogues Web. Il a commencé à se demander si la seule solution serait de révéler toutes les vulnérabilités du Web lors d’une purge massive. Donc, en 2012, il a commencé à construire PunkSpider pour faire exactement cela ; il l’a présenté à la conférence sur le piratage Shmoocon début 2013. Sa petite entreprise de R&D en sécurité, Hyperion Gray, a également reçu un financement de la Darpa.
Dès le début, cependant, le projet a fait face à des défis. Le public de Shmoocon s’est demandé si Caceres autorisait les pirates informatiques et violait la loi sur la fraude et les abus informatiques dans le processus. Bientôt, Amazon le démarrait à plusieurs reprises à partir des comptes Amazon Web Services qu’il utilisait pour alimenter le moteur de recherche, après avoir reçu des rapports d’abus d’administrateurs Web en colère. Il a été obligé de créer constamment de nouveaux comptes de graveur pour le faire fonctionner.
En 2015, Caceres analysait le Web à la recherche de nouvelles vulnérabilités seulement une fois par an environ. Il a lutté pour garder PunkSpider en ligne et couvrir ses coûts. Peu de temps après, il a laissé tomber le projet.
Plus tôt cette année, cependant, Hyperion Gray a été acquis par QOMPLX, et la plus grande startup a accepté de relancer une nouvelle version améliorée de son moteur de recherche de piratage Web. Maintenant, Caceres et Hopper affirment que les analyses de leur outil remanié sont alimentées par un cluster basé sur le cloud de centaines de machines, capables d’analyser des centaines de millions de sites par jour, en mettant à jour ses résultats pour l’ensemble du Web de manière continue ou en analysant les URL cibles à la demande d’un utilisateur. Les scans annuels de l’ancien PunkSpider sur l’ensemble du Web ont pris près d’une semaine.
Caceres a refusé de nommer son fournisseur d’hébergement actuel, mais il dit qu’il s’est entendu avec la société sur les motivations de PunkSpider, qui, espère-t-il, empêcheront ses comptes d’être à nouveau interdits. Il a également, bien qu’à contrecœur, ajouté une fonctionnalité qui permet aux administrateurs Web de repérer le sondage de PunkSpider en fonction de l’agent utilisateur qui aide à identifier les visiteurs d’un site Web, et a inclus une adresse e-mail et une fonction de désinscription qui permet aux sites Web de se retirer de l’outil. recherches. “Je n’en suis pas content, honnêtement”, dit Caceres. “Je n’aime pas l’idée que les gens puissent se retirer des activités de sécurité et se mettre la tête dans le sable. Mais c’est une question de durabilité et d’équilibre.”
Toile de PunkSpider
La version réincarnée de PunkSpider a déjà révélé de vrais défauts dans les principaux sites Web. Caceres a montré des captures d’écran WIRED qui démontraient les vulnérabilités des scripts intersites dans Kickstarter.com et LendingTree.com. Dans le cas de LendingTree, Caceres affirme que la vulnérabilité pourrait être utilisée pour créer des liens qui, si les utilisateurs pouvaient être amenés à cliquer dessus, hébergeraient des logiciels malveillants sur le site ou afficheraient des invites de phishing sur le propre site de LendingTree. Le bogue de Kickstarter, selon Caceres, permettrait aux pirates de créer un lien qui, si une victime cliquait dessus, pourrait de la même manière afficher des invites de phishing ou effectuer automatiquement un paiement de leur carte de crédit vers un projet Kickstarter.
“LendingTree utilise plusieurs niveaux de contrôle pour protéger notre site ainsi que la confidentialité et l’intégrité des données des consommateurs”, a déclaré la société dans un communiqué. « Cela inclut les pare-feu d’applications Web, les tests de pénétration externes et la revue de code statique/dynamique pour identifier et corriger les vulnérabilités. De plus, nous prenons au sérieux toutes les vulnérabilités de sécurité signalées et enquêtons et résolvons rapidement tout problème détecté. » KickStarter a écrit dans un e-mail à WIRED qu’il « s’attaque activement » à sa faille Web.
.
