Internet od dawna jest istnym rajem dla hakerów. Mogą oni wykradać nie tylko nasze dane czy korespondencję, ale także ściśle tajne informacje dotyczące państw na świecie. Obecnie strony internetowe posiadają odpowiednie zabezpieczenia, jednak mimo to nie są zupełnie wolne od luk i błędów. Z pomocą przychodzi narzędzie, które skanując strony, pomoże w ewentualnym wychwyceniu braków w zabezpieczeniach.
Budowa strony rozpoczęła się już w 2012 roku
Wyszukiwarka nie jest nowością. Jej twórcy- Alejandro Caceres i Jason Hopper- planują uaktualnić narzędzie i po wieloletniej przerwie ponownie je wydać. Twierdzą też, że w momencie uruchomienia narzędzie skataloguje setki tysięcy luk i błędów czyniąc je publicznie dostępnymi. Przez to ich narzędzie może potencjalnie narazić te strony na ataki w świecie rzeczywistym. Mają jednak nadzieję, że widoczność tych błędów zmusi administratorów sieci do naprawy, wzmocnienia i częstszego kontrolowania skryptów zabezpieczających daną stronę.
Czytaj też: Hakerzy już wykorzystują luki bezpieczeństwa w Windows 7
Błędy, które wykrywa PunkSpider, należą do najprostszych i najpowszechniejszych jakie można popełnić w budowaniu zabezpieczeń strony,pomimo że wielokrotnie ostrzegano przed ich popełnianiem. Na przykład w styczniu zeszłego roku odkryto, że jedna z takich luk pozwalała na przejęcie kont w grze Fortnite, a na początku tego roku inny błąd pozwolił hakerom na włamanie się na portal społecznościowy i spowodowanie wycieku 70 gigabajtów danych z jego serwera.
PunkSpider automatycznie skanuje strony pod kątem siedmiu rodzajów błędów i próbuje wykorzystać metody hakowania, aby sprawdzić, czy dana strona jest podatna na ataki. Lista błędów obejmuje między innymi luki w zapytaniach SQL, które pozwalają hakerom na dostęp w trybie odczytu lub zapisu do całej bazy danych. Prościej mówiąc, hakerzy mogą mieć dostęp do loginów, haseł, a nawet mogą tworzyć pliki w systemie operacyjnym.
Wtyczka działa na razie w wersji beta
Twórcy uruchomili narzędzie także w formie rozszerzeń dodawanych do wyszukiwarek. Zarówno wyszukiwarka, jak i wtyczka przyznają każdej witrynie ocenę w skali od jednego do pięciu w zależności od tego, jak wiele luk zawiera i jak poważne one są. Jednak przez to, że informacje na temat zabezpieczeń są od razu udostępniane publicznie, twórcy są krytykowani przez środowisko informatyczne.
Nawet przyjazna hakerom organizacja pozarządowa mająca na celu walkę o wolność obywateli w świecie cyfrowym w swoim oświadczeniu zawarła, że PunkSpider może mieć niebezpieczne konsekwencje. „Mimo dobrych intencji te luki prowadzą do wielu rzeczywistych problemów- chociażby mogą powodować ataki przy pomocy złośliwego oprogramowania” -twierdzi analityk organizacji Karen Gullo.
Czytaj też: Internet zapewniany przez sieć Starlink może mieć globalny zasięg szybciej niż się spodziewamy
Najnowsza wersja PunkSpidera ujawniła już błędy w dużych serwisach internetowych. Obie strony wykazały podatność na tzw. ataki XSS- polegają one na osadzeniu w treści atakowanej strony fragmentu kodu. Wyświetlone przez użytkowników mogą doprowadzić do wykonania przez nich niepożądanych akcji. Jednak jeden z serwisów posiadał lukę, która może zostać wykorzystana do stworzenia linków, które będą udostępniać złośliwe oprogramowanie lub wyświetlać treści phishingowe na własnej stronie. O ile oczywiście użytkownik strony w taki link kliknie.
Jak dodaje Karen Gullo, testowanie techniki hakerskiej poprzez wypróbowywanie złośliwych komend w polu adresowym strony internetowej, może w niektórych przypadkach kwalifikować się jako nielegalne hakerstwo. Nawet Caceres przyznaje, że PunkSpider może wywołać niepożądane skutki. Podtrzymuje jednak, że jego wartość dla obrony bezpieczeństwa sieci przewyższa wszelkie szkody, jakie mógłby wyrządzić.