История о том, как пентестер упустил вознаграждение в $3750 из-за простой ошибки в настройках HTTP, стала вирусной в сообществе специалистов по кибербезопасности. Этот случай доказывает, что даже опытные хакеры могут ошибаться, и внимательность — ключевой фактор успеха в этой области по обе стороны баррикад. Эксперт компании «Газинформсервис» Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности (ЛРиПКК), отмечает — этот случай наглядно демонстрирует, как легко упустить критическую уязвимость, сосредоточившись на сложных сценариях атаки.

«Подобные случаи показывают, что даже самые мелкие элементы безопасности могут стать той самой уязвимой точкой, о которой никто бы не подумал. Как сказал автор, это и отличает профессионального пентестера от любителя. То же самое работает и со стороны защитников: именно внимательные педанты обеспечивают наибольшую защищенность своей инфраструктуры. Ошибки, связанные с неправильными настройками, могут привести к потере не только времени, но и денег. Важность тщательной настройки и проверки каждого шага в процессе тестирования безопасности невозможно переоценить. Даже если кажется, что система надежно защищена, всегда стоит проверять альтернативные сценарии и конфигурации. Именно такие, казалось бы, незначительные нюансы, как неправильный выбор протокола HTTP, могут скрыть уязвимость, стоящую целое вознаграждение», — объясняет Катасонов.

 Пентестер, обнаружив уязвимость, позволяющую захватить чужой аккаунт, упустил вознаграждение из-за того, что тестировал функционал на поддомене staging с использованием HTTP вместо HTTPS. Токен для сброса пароля был перехвачен, и хотя пентестер смог сбросить пароль, вознаграждение он не получил, так как программа bug bounty действовала только для основного домена с HTTPS.

«Для обеспечения безопасности от подобных атак в компании ООО "Газинформсервис" разработан Efros Defence Operations — многофункциональный комплекс по защите ИТ-инфраструктуры (сетевых и оконечных устройств, компонентов сред виртуализации), а также прикладного ПО: SCADA, RPA, СУБД. В нем реализован интерфейс для создания гостевых порталов, в котором шанс эксплуатации подобных уязвимостей стремится к нулю, а мощная система логирования и контроля конфигурации оборудования обеспечивает высокий уровень конфиденциальности, целостности и доступности», — подчеркнул эксперт.

Справка о компании:

ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности и комплексной инженерно-технической охраны. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.