19-metis Billas sugalvojo, kaip vienu metu nustatyti keletą pažeidžiamumų ir juos ištaisyti.
19-metis nepriklausomas tyrėjas ir baltasis įsilaužėlis Billas Demirkapi sukūrė metodą, leidžiantį nustatyti didelio masto interneto pažeidžiamumus naudojant nestandartinius duomenų šaltinius.
Rezultatai buvo pristatyti Las Vegase vykusioje „Defcon“ konferencijoje. Tarp mažiausiai 15 000 rastų paslapčių (sakydami „paslaptys“ turime omenyje neskelbtinus duomenis, pavyzdžiui, slaptažodžius, API raktus, autentifikavimo tokenus) buvo šimtai paskyrų, susijusių su Nebraskos Aukščiausiuoju teismu ir jo IT sistemomis, taip pat prieigos prie Stanfordo universiteto „Slack“ kanalų duomenys.
Ypatingo dėmesio sulaukė daugiau nei tūkstantis API raktų, priklausančių „OpenAI“ klientams. Tarp organizacijų, kurios netyčia atskleidė savo slaptus duomenis, buvo vienas didžiausių išmaniųjų telefonų gamintojų, finansinių technologijų bendrovės klientai ir daugiamilijardinė kibernetinio saugumo korporacija.
Demirkapi taip pat sukūrė automatizuotą sistemą, kuri atšaukia kompromituotus duomenis ir paverčia juos beverčiais potencialiems įsilaužėliams.
Antroji tyrimų sritis buvo skirta svetainių pažeidžiamumui. Įsilaužėlis aptiko 66 000 interneto svetainių, turinčių pažeidžiamumų nenaudojamuose („kabančiuose“) subdomenuose. Tarp pažeistų buvo keletas didžiausių pasaulio interneto išteklių, įskaitant bandomąjį domeną, priklausantį laikraščiui „The New York Times“.
Siekdamas parodyti pažeidžiamų subdomenų pavojų, Demirkapi atliko eksperimentą. Jis laikinai „The New York Times“ bandomajame domene paskelbė satyrinį straipsnį su provokuojančia antrašte „JAV skelbia karą Rusijai, didėjant įtampai, o tai sukėlė šoką tarptautinėje bendruomenėje“. Straipsnis buvo prieinamas maždaug savaitę. Šis eksperimentas vaizdžiai parodė, kaip pažeidžiamumas gali būti išnaudojamas dezinformacijai skleisti arba sukčiavimo atakoms vykdyti.
Norėdamas rasti slaptus raktus, tyrėjas kreipėsi į „VirusTotal“ – „Google“ priklausančią paslaugą, paprastai naudojamą failams tikrinti dėl kenkėjiškų programų. Naudodamas funkciją „Retrohunt“ ir YARA taisykles, jis išanalizavo daugiau nei 1,5 mln. pavyzdžių, ieškodamas slaptų duomenų.
Norėdamas įsitikinti, kad rasti raktai ir paslaptys yra aktualūs, Demirkapi atliko API užklausas. Tai padėjo patvirtinti, kad rasta informacija tebėra aktyvi ir gali būti panaudota įsilaužėlių.
Norėdamas nustatyti pažeidžiamas svetaines, ekspertas taikė pasyvaus DNS replikavimo duomenis. Tai padėjo aptikti daugiau nei 78 000 nesaugių debesijos paslaugų, susijusių su 66 000 aukščiausiojo lygio domenų.
Kompanijos „Wiz“ kibernetinių grėsmių tyrimų viceprezidentas Alonas Shindelis pažymi, kad yra labai daug įvairių jautrių duomenų, kuriuos kūrėjai gali netyčia palikti kode arba atskleisti programinės įrangos kūrimo proceso metu. Tai slaptažodžiai, šifravimo raktai, API prieigos žetonai, debesijos paslaugų teikėjų paslaptys ir TLS sertifikatai. Schindelis pabrėžia: pagrindinis pavojus yra tas, kad juos atskleidus užpuolikai gali gauti neteisėtą prieigą prie kodo bazių, duomenų bazių ir kitos jautrios skaitmeninės infrastruktūros.
Pasak Demirkapi, problemų aptikimas yra tik pusė darbo. Jis taip pat ėmėsi itin svarbių veiksmų rastoms problemoms ištaisyti. Pavyzdžiui, jis informavo „OpenAI“ apie daugiau nei 1 000 atskleistų API raktų, po to bendrovė suteikė jam viešą API raktą, kad galėtų automatiškai atšaukti pažeistus duomenis.
Tačiau ne visos įmonės buvo linkusios bendradarbiauti. Bendrovės „GitHub“ ir „Amazon Web Services“ neleido naudotis esamomis ataskaitų teikimo priemonėmis. Tai privertė Demirkapį ieškoti apėjimo būdų, įskaitant naudojimąsi „GitHub“ automatiškai įkelti paslaptis, kad būtų aktyvuota platformos neskelbtinų duomenų nuskaitymo sistema.
Bendrovės „Palo Alto Networks“ vyresnysis tyrimų vadovas Daipingas Liu sako, kad kabančių domenų problema yra plačiai paplitusi. Pasak jo, bet kuriuo metu kyla pavojus dešimtims tūkstančių įrašų. Liu priduria, kad didesni domenai gali būti ypač pažeidžiami dėl šios problemos, nes juos sunkiau valdyti ir didesnė žmogiškosios klaidos tikimybė. Tai paaiškina, kodėl net tokios milžinės kaip „The New York Times“ gali atsidurti pavojuje.