Всеволод Кокорин, SolidLab: То, что вы считаете критическим риском, может не представлять серьезной угрозы для бизнеса, и это нормально

Всеволод Кокорин (Slonser), исследователь информационной безопасности компании SolidLab, автор тг-канала «Заметки Слонсера», рассказал порталу Cyber Media о том, почему пентест — это творческая профессия, где и как искать критичные баги, а также о своем опыте в анализе защищенности.

Cyber Media: Пентест называют творческой профессией. На Ваш взгляд, в чем на практике выражается ее творческая составляющая?

Всеволод Кокорин: Для меня творческий аспект заключается в сочетании знаний для разработки новых векторов атаки. Важно осознавать, что в аудите приложений не существует единого правильного подхода. Каждый новый сервис уникален и стимулирует к исследованиям и созданию новых техник.

Cyber Media: Многие исследователи безопасности, особенно начинающие, всецело полагаются на работу популярных сканеров уязвимостей. Насколько такие инструменты совершенны, можно ли обходиться только ими и, например, регулярно находить уязвимости в рамках багбаунти-программ?

Всеволод Кокорин: Очевидно, что говорить о «совершенстве» таких инструментов не приходится. На мой взгляд, начинающим специалистам в области ИБ стоит меньше делать акцент на автоматизации.

В контексте багбаунти-программ, использование стандартных сканеров зачастую не позволяет обнаружить серьезные уязвимости, поскольку такие сканеры, как правило, запустили до вас. По моему опыту, эффективными оказываются только индивидуальные автоматизированные решения, нацеленные на специфические виды проверок, но написать такой инструмент без опыта — невозможно.

Хотя в зрелых продуктах автоматизация вряд ли поможет найти критические уязвимости, полностью отказываться от нее не стоит. Автоматизация способствует более быстрому погружению в продукт, помогает в составлении схемы архитектуры приложения и т.д.

Cyber Media: Не так давно Вы нашли уязвимость в Chromium. Можете подробнее рассказать о том, как Вы это сделали и немного о степени ее критичности?

Всеволод Кокорин: Я очень много читаю исходный код опенсорс-проектов. В ходе прочтения исходного кода Chromium я и наткнулся на тот самый недостаток. Команда безопасности Google оценила его как недостаток высокого уровня критичности, что фактически является максимальным уровнем для багов, которые не приводят к исполнению кода на устройстве пользователя вне изоляции. Уязвимость позволяла исполнить JS-код на огромном количестве веб-ресурсов (например, Gitlab), что могло привести к утечке конфиденциальных данных пользователей.

Cyber Media: Вы участвуете в CTF-соревнованиях в составе CBS. Насколько опыт CTF помогает Вам в работе, насколько таски CTF-соревнований вообще соотносятся с реальной практикой?

Всеволод Кокорин: Зачастую, когда мы говорим о CTF-тасках, начинаются споры о «синтетичности» данных задач. Я согласен с мнением, что CTF-таски часто выглядят «синтетично». Но в этом их плюс.

Автор может сконцентрироваться на конкретной идее, которую он хочет показать сообществу. Хорошим примером является то, что благодаря одному CTF, который проходил недавно, я смог наткнуться на еще один недостаток в работе браузеров на основе Chromium.

Cyber Media: Опираясь на Ваш опыт, насколько сложно найти «криты» в зрелых, с точки зрения ИБ, продуктах, которые уже неоднократно изучали другие исследователи, в рамках пентестов или программ багбаунти?

Всеволод Кокорин: При обсуждении «зрелых с точки зрения информационной безопасности продуктов», важно понимать, что зрелость подразумевает не только регулярные аудиты и наличие долгосрочной программы багбаунти, но и эффективно организованные внутренние процессы в компании.

Таким образом, наличие «древней» программы багбаунти не обязательно указывает на повышенную сложность поиска уязвимостей. Однако в таких проектах действительно часто требуется находить более сложные «архитектурные» ошибки и использовать цепочку из нескольких недостатков для достижения максимального эффекта. Тут главной помощью является глубокое знакомство с продуктом и понимание его механизмов внутренней работы.

Cyber Media: Какие рекомендации Вы могли бы дать коллегам, которые стремятся найти критические уязвимости, но получается находить только лоу- и медиум-баги?

Всеволод Кокорин: В общем, я бы не ставил перед собой задачу искать исключительно критические недостатки. Мне кажется важным, всегда проводить комплексный анализ приложения. В процессе таких исследований вы, возможно, не обнаружите критического недостатка, но с выпуском новых версий приложения вы сможете понять, как новые функции могут приводить к ошибкам.

Также важно уделять большое внимание открытым зависимостям в проектах. Если вы идентифицировали, что целевое приложение использует определенные проекты с открытым исходным кодом в своих зависимостях, то стоит провести их анализ. Ведь внутренние службы информационной безопасности компаний редко проводят аудит таких зависимостей, а качество проектов с открытым исходным кодом зачастую бывает средним.

Cyber Media: В комьюнити часто можно столкнуться с историями, когда исследователь и компания не могут сойтись в оценке критичности уязвимости. Исходя из Вашего опыта, каким образом исследователь может сократить риски возникновения разногласий касательно оценки уязвимости?

Всеволод Кокорин: Проблема оценки рисков всегда была актуальна, полностью избежать ее невозможно. Однако, если багхантер видит, что потенциальная атака может быть спорной, я бы порекомендовал ему тщательно описывать различные векторы атаки. Это важно, поскольку без этого триажер может не полностью понять суть найденной уязвимости. Также стоит помнить: то, что вы считаете критическим риском, может не представлять серьезной угрозы для бизнеса, и это нормально.