Internet đã lâu là một sân chơi cho các hacker, cung cấp hàng trăm triệu máy chủ công khai để tìm kiếm những lỗ hổng cơ bản để khai thác. Bây giờ, một công cụ hacker chuẩn bị đưa thực hành đó đến đỉnh điểm hợp lý và cực kỳ nguy hiểm: Quét mọi trang web trên thế giới để tìm và sau đó công khai công bố những lỗ hổng có thể tận dụng của chúng, tất cả cùng một lúc — và tất cả vì mục đích làm cho Internet trở nên an toàn hơn.
Tại hội nghị hacker Defcon tuần tới, Alejandro Caceres và Jason Hopper dự định phát hành — hoặc chính xác hơn là nâng cấp và tái phát hành sau một thời gian dài vắng bóng — một công cụ mang tên PunkSpider. Cơ bản là một công cụ tìm kiếm liên tục duyệt toàn bộ web, PunkSpider tự động xác định các lỗ hổng có thể tấn công trong các trang web, và sau đó cho phép bất kỳ ai cũng có thể tìm kiếm những kết quả đó để tìm ra các trang web dễ bị tấn công từ việc thay đổi đến rò rỉ dữ liệu.
Người tạo ra PunkSpider cho biết nó sẽ liệt kê hàng trăm nghìn lỗ hổng chưa được vá khi ra mắt, làm cho tất cả chúng trở nên công khai. Caceres và Hopper thừa nhận rằng việc này có thể tiềm ẩn nguy cơ các trang web đó bị tấn công trong thế giới thực. Tuy nhiên, họ hy vọng rằng sự minh bạch sẽ buộc các quản trị viên web nhận thức rằng trang web của họ chứa những lỗ hổng đơn giản, rõ ràng và đôi khi là nguy hiểm — và hy vọng làm cho chúng được sửa chữa.
Những lỗ hổng web mà PunkSpider tìm thấy vẫn còn rất phổ biến, mặc dù đã có những cảnh báo từ nhiều năm trước. Ví dụ, vào tháng 1 năm ngoái, các nhà nghiên cứu bảo mật phát hiện ra một lỗ hổng web như vậy cho phép bất kỳ ai cũng có thể tiếp quản tài khoản Fortnite, và earlier this year another web bug allowed hacktivists to breach the right-wing social media site Gab and leak 70 gigabytes of its backend data. Cả hai đã được vá sau đó. Nhưng Caceres cho rằng PunkSpider có thể kích thích các quản trị viên web cuối cùng sửa chữa những lỗ hổng phổ biến như vậy trước khi hacker lợi dụng chúng.
"Tôi nghĩ, 'Làm thế nào nếu tôi có thể quét toàn bộ web để tìm lỗ hổng? Và để làm cho nó thêm phần thú vị, liệu có phải là điều tuyệt vời nếu tôi công bố tất cả những lỗ hổng đó miễn phí không?'" nói Caceres, người cùng Hopper làm nghiên cứu cho công ty khởi nghiệp an ninh mạng QOMPLX. "Tôi biết nó sẽ có một số hậu quả. Và sau khi tôi bắt đầu nghĩ về nó, tôi thực sự nghĩ chúng có thể là tốt."
PunkSpider sẽ tự động quét và "fuzz" các trang web để tìm bảy loại lỗ hổng có thể tận dụng, liên tục thử nghiệm các biến thể của các phương thức hack phổ biến để kiểm tra xem một trang web có lỗ hổng không. Danh sách này bao gồm các lỗ hổng SQL injection cho phép hacker nhập lệnh vào các trường nhập dữ liệu người dùng trên một trang web, đôi khi làm cho nó rò rỉ nội dung của cơ sở dữ liệu backend; các lỗ hổng cross-site scripting cho phép hacker tạo các liên kết độc hại, khi người dùng nhấp vào chúng, tải một phiên bản thay đổi của trang web có thể được sử dụng cho lừa đảo hoặc phục vụ malware; và các lỗ hổng path traversal, trong đó hacker có thể làm phiền trang web URL để đọc hoặc ghi các tệp nhạy cảm trên máy chủ chứa nó. Tất cả những lỗ hổng này thường được coi là quả dưa chín dưới đất trong thế giới hacker, nhưng vẫn tồn tại trên diện rộng trên web.
Trang web mà Caceres và Hopper đã xây dựng cung cấp một cơ sở dữ liệu có thể tìm kiếm theo từ khóa URL, loại lỗ hổng hoặc mức độ nghiêm trọng của những lỗ hổng đó. Ngoài công cụ tìm kiếm, họ cũng đã xây dựng một plugin Chrome kiểm tra mọi trang web mà người dùng truy cập để tìm lỗ hổng có thể tận dụng. Cả công cụ tìm kiếm và plugin trình duyệt đều đánh giá mỗi trang web bằng điểm "dumpster fire" từ một đến năm dumpster fire, tùy thuộc vào số lượng lỗ hổng mà nó chứa và độ nghiêm trọng của chúng. "PunkSpider tìm thấy lỗ hổng, nó thực hiện một số công việc ở phía sau để xác định khả năng chúng có thể tận dụng, và sau đó nó công bố chúng ngay lập tức cho công chúng," nói Caceres. "Phần cuối cùng đó là điều tôi có chút vấn đề đôi khi."
Ngay cả Electronic Frontier Foundation, một tổ chức thân thiện với hacker nói chung, đã viết trong một tuyên bố cho MINPRICE rằng PunkSpider có thể gây ra hậu quả nguy hiểm. "Công cụ này đầy ý định tốt — những lỗ hổng này dẫn đến nhiều vấn đề thực tế, ransomware là một trong số chúng, và việc công bố chúng có thể làm cho quản trị viên sửa chữa chúng. Nhưng chúng tôi không khuyến khích nó," Karen Gullo, nhà phân tích EFF, viết cho MINPRICE trong một email. "Những nhân vật xấu có thể khai thác những lỗ hổng nhanh hơn so với việc quản trị viên bảo mật chúng, dẫn đến nhiều vụ vi phạm hơn."
Caceres thừa nhận mở cửa cho những hacker độc hại có thể sử dụng PunkSpider để xác định các trang web để tấn công. Nhưng anh ta lập luận rằng các công cụ quét tìm lỗ hổng web luôn tồn tại. Cái này chỉ làm cho kết quả trở nên công khai. "Bạn biết khách hàng của bạn có thể nhìn thấy nó, các nhà đầu tư của bạn có thể nhìn thấy nó, vì vậy bạn sẽ sửa cái đó nhanh chóng," Caceres nói.
Cuộc nói chuyện của Caceres và Hopper tại Defcon đánh dấu sự xuất hiện lần thứ hai của PunkSpider. Ý tưởng cho công cụ này ra đời cách đây một thập kỷ, vào mùa hè năm 2011, khi tập thể hacker Anonymous và nhóm phân nhánh LulzSec đang trong thời kỳ đánh cắp dữ liệu và làm đen danh tiếng, phần lớn là do những lỗ hổng web đơn giản. ("Tại sao SQL injection xuất hiện ở mọi nơi?" là điệp khúc của một bài hát hip-hop tưởng nhớ của LulzSec.)
Caceres lúc đó nhận thấy rằng ngay cả những hacker tương đối không tinh vi có vẻ không gặp khó khăn gì khi tìm ra một lượng lớn lỗ hổng web. Anh ấy bắt đầu tự hỏi liệu giải pháp duy nhất có thể là công bố mọi lỗ hổng web trong một cuộc thanh trừng khổng lồ. Vì vậy vào năm 2012, anh ấy bắt đầu xây dựng PunkSpider để thực hiện chính điều đó; anh ấy trình bày nó tại hội nghị hacking Shmoocon vào đầu năm 2013. Công ty nghiên cứu và phát triển bảo mật nhỏ của anh ấy, Hyperion Gray, cũng nhận được nguồn tài trợ từ Darpa.
Từ khi bắt đầu, dự án đã đối mặt với những thách thức. Khán giả Shmoocon đã đặt câu hỏi liệu Caceres có đang ủng hộ những hacker đen và vi phạm Đạo luật Lạm dụng và Xâm phạm Máy tính trong quá trình này hay không. Sớm, Amazon liên tục đuổi anh ta ra khỏi các tài khoản Amazon Web Services mà anh ta sử dụng để cung cấp năng lượng cho công cụ tìm kiếm, sau khi nhận được các báo cáo lạm dụng từ các quản trị viên web tức giận. Anh ta buộc phải liên tục tạo tài khoản burner mới để duy trì nó.
Đến năm 2015, Caceres chỉ quét web để tìm lỗ hổng mới khoảng một lần mỗi năm. Anh ta gặp khó khăn trong việc duy trì PunkSpider trực tuyến và chi trả các chi phí liên quan. Không lâu sau đó, anh ta để dự án trôi qua.
Trong năm nay, tuy nhiên, Hyperion Gray đã được QOMPLX mua lại, và công ty startup lớn hơn đã đồng ý tái sinh một phiên bản mới và cải tiến của công cụ tìm kiếm lỗ hổng web của anh ta. Bây giờ Caceres và Hopper nói rằng công cụ quét mới của họ được cung cấp bởi một cụm máy tính dựa trên đám mây có hàng trăm máy, có khả năng quét hàng trăm triệu trang web mỗi ngày - cập nhật kết quả cho toàn bộ web một cách liên tục hoặc quét các URL mục tiêu theo yêu cầu của người dùng. Các cuộc quét hàng năm của PunkSpider cũ trên toàn bộ web mất gần một tuần để hoàn thành.
Caceres từ chối tiết lộ nhà cung cấp dịch vụ lưu trữ hiện tại của mình, nhưng anh ta nói rằng anh ta đã hiểu ra một thỏa thuận với công ty về động cơ của PunkSpider, hy vọng điều này sẽ ngăn chặn tài khoản của anh ta bị cấm lại. Anh ta cũng đã, mặc dù không mấy háo hức, thêm một tính năng cho phép quản trị viên web nhận ra sự đánh giá của PunkSpider dựa trên đại lý người dùng giúp xác định người truy cập trang web, và bao gồm một địa chỉ email và một tính năng bỏ lựa chọn cho phép các trang web loại bỏ chúng khỏi các cuộc tìm kiếm của công cụ. "Tôi không hạnh phúc với điều đó, thực sự," Caceres nói. "Tôi không thích ý tưởng về việc người ta có thể từ chối các vấn đề an ninh và chôn đầu mình trong cát. Nhưng đó là một vấn đề về bền vững và cân bằng."
Phiên bản tái sinh của PunkSpider đã phát hiện ra những lỗ hổng thực sự trên các trang web lớn. Caceres đã cho MINPRICE xem các bức ảnh chụp màn hình chứng minh lỗ hổng cross-site scripting trên cả Kickstarter.com và LendingTree.com. Trong trường hợp của LendingTree, Caceres nói rằng lỗ hổng có thể được sử dụng để tạo liên kết mà, nếu người dùng có thể bị đánh lừa để nhấp vào chúng, sẽ chứa phần mềm độc hại trên trang web hoặc hiển thị các cảnh báo lừa đảo trên trang web của LendingTree. Lỗ hổng trên Kickstarter, theo Caceres, sẽ cho phép hacker tạo liên kết mà, nếu nạn nhân nhấp vào nó, có thể tương tự hiển thị cảnh báo lừa đảo hoặc tự động thực hiện thanh toán từ thẻ tín dụng của họ cho một dự án Kickstarter.
"LendingTree áp dụng nhiều lớp kiểm soát để bảo vệ trang web của chúng tôi và tính bảo mật và bí mật của dữ liệu người tiêu dùng," công ty nói trong một tuyên bố. "Điều này bao gồm tường lửa ứng dụng web, kiểm thử xâm nhập từ bên ngoài và đánh giá mã tĩnh/dynamic để xác định và khắc phục các lỗ hổng. Ngoài ra, chúng tôi nghiêm túc xem xét và nhanh chóng điều tra và giải quyết bất kỳ vấn đề nào được phát hiện." KickStarter viết trong một email gửi đến MINPRICE rằng họ đang "chủ động giải quyết" lỗ hổng web của mình.
"Nếu điều đó khiến một công ty như Kickstarter sửa chữa lỗ hổng của họ, đó chính là điều chúng tôi hy vọng sẽ xảy ra," Hopper nói.
Về pháp lý của việc đánh giá của PunkSpider, trong khi đó, vẫn còn không chắc chắn. Hacker web nổi tiếng và người sáng lập Bit Discovery, Jeremiah Grossman, ví dụ, nói rằng anh ta sẽ không bao giờ thử nghiệm những loại kiểm thử trên một trang web mà PunkSpider thực hiện mà không có sự cho phép của chủ sở hữu trang web. "Bạn có thể crawl trang web, nhưng ngay khi bạn thực sự cố gắng gây ra một lỗ hổng với nội dung độc hại, điều đó dường như sẽ khiến một quan tòa đến từ đâu đó, và đó không phải là cuộc gọi bạn muốn," Grossman nói. Kiểm thử một kỹ thuật hacking bằng cách thử các lệnh độc hại trong một trường địa chỉ trên một trang web, ví dụ, có thể theo một số biện pháp nào đó được coi là hack bất hợp pháp dưới Đạo luật Lạm dụng và Xâm phạm Máy tính. EFF, một tổ chức thường xuyên bảo vệ hacker khỏi đe dọa pháp lý, và thậm chí đã tư vấn cho PunkSpider trong những năm đầu tiên trực tuyến, đã bày tỏ một lo ngại tương tự với MINPRICE: "Trong một thế giới hoàn hảo, việc tiết lộ các lỗ hổng không nên mở ra khả năng bị kiện, nhưng chúng ta không ở đó," EFF's Gullo viết.
Caceres nói rằng họ sẽ đánh cược. "Tôi không không nghĩ về" những rủi ro pháp lý, anh ta nói. "Tôi chỉ hy vọng mọi người thấy chúng tôi đang cố gắng làm đúng điều."
Nhưng khi nói đến đạo đức của việc tiết lộ trạng thái tồi tệ nói chung của bảo mật web, PunkSpider đang đứng trên mặt đất vững chắc, là quan điểm của Katie Moussouris, CEO của Luta Security và một giọng nói được tôn trọng trong các cuộc tranh luận của cộng đồng hacker về nghiên cứu và tiết lộ lỗ hổng. "Rất nhiều người không biết và ngây thơ về những loại lỗ hổng này sẽ kêu gọi, 'Hãy nghĩ đến trẻ em,'" Moussouris nói. "Nhưng hãy chắc chắn về điều đó. Những lỗ hổng chính là điều dẫn đến việc hack trang web. Một công cụ như thế này chỉ làm cho những lỗ hổng đó trở nên rõ ràng."
Caceres chính bản thân thừa nhận rằng PunkSpider có thể có hậu quả không mong muốn. Nhưng anh ta vẫn tuân theo niềm tin rằng giá trị của nó đối với sự phòng thủ của web vượt qua mọi thiệt hại có thể gây ra. "Đó là một dự án gây tranh cãi. Nó không phải là đen trắng. Nhưng chúng ta cần phải thử một cái gì đó mới," Caceres nói.
- 📩 Cập nhật mới nhất về công nghệ, khoa học, và nhiều hơn nữa: Nhận bản tin của chúng tôi!
- Khi đại dịch động vật tiếp theo xảy ra, phòng thí nghiệm này có thể ngăn chặn nó không?
- Đây là cách người ngoài hành tinh có thể tìm kiếm cuộc sống của con người
- Khi du lịch hồi phục, các hãng hàng không đang tìm hiểu cách xử lý tình huống
- Twitch streamers và sự bùng nổ đánh cược tiền điện tử đen tối
- Cách làm cho tìm kiếm web của bạn an toàn hơn
- 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
- 🎮 MINPRICE Games: Nhận những mẹo mới nhất, đánh giá, và nhiều hơn nữa
- 📱 Bị rơi vào sự lựa chọn giữa các chiếc điện thoại mới nhất? Đừng lo lắng - kiểm tra hướng dẫn mua iPhone của chúng tôi và những chiếc điện thoại Android yêu thích của chúng tôi