Уязвимые интерактивные государственные услуги на пороге Нового Года (часть 5/5)

Итоги

«Помните: вас – тех, кто может что-то делать, а не разговаривать, очень мало. Гораздо меньше, чем кажется. Не надо тратить свое время впустую. Действия, а не слова приводят человека к успеху»

– Павел Дуров, основатель Telegram


Наверное, для логического завершения проделанной работы, нахватает только подсчёта потраченных ресурсов и снова без математики обойтись не получится. Ресурсов конечно много: электричество, кофе и прочие, но это не так важно, гораздо важнее будет оценить только один и одновременно самый важный – время, причем потраченное на исследование, а не на ожидание. Итак, процесс исследования оф. сайтов, занял некоторое время, которое отражено в таблице:

№ цели

Время

1

~ 41 мин.

2

~ 45 мин.

3

~ 12 мин.

4

~ 8 мин.

5

~ 2 мин.

6

~ 10 мин.

После проведенного исследования, изучение и практика были продолжены, согласно изначальному плану – 20 часов еще не прошли, а времени которого оставалось было достаточно, чтобы пусть и поверхностно, но познакомиться с многопоточностью, инструментами профилирования и отлаживания (дебаггинг) кода, а также выбрать фреймворк для проведения юнит-тестирования. К концу 20 часов обучения которые растянулись, до последнего рабочего дня 2017 года, были реализованы для личного пользования несколько скриптов автоматизации, благодаря которым, упростилась работа и отпала необходимость в проведении повторяющихся действий по исследованию сети. В комплексной работе по анализу также существенно помогают готовые скрипты NSE (Nmap Scripting Engine) и заточенная, под это дело IDE. А учитывая еще тот факт, что не редко приходится анализировать большие объемы трафика, было найдено место для автоматизации и ряд моментов теперь закрываются без траты человеко-часов, что сэкономило времени почти равному рабочему дню в неделю.После каждого исследования одного выбранного объекта, производилась смена прокси и когда попадались отзывчивые, это немного ускоряло процесс. Не сложно подсчитать, что весь процесс исследования занял почти 2 часа. Приблизительно, столько же времени (с перерывами) заняли чтение документации для погружения в язык программирования Lua с попутной практикой, реализация самого скрипта-исследователя, ну и других идей по проекту с итоговыми исправлениями.

Прогулявшись на GitHub и заглянув в тренды, нашлось много интересных проектов на Lua, но среди всех сложно было не заметить «nmap / nmap» (не пожалейте звезды!). Также много проектов с открытыми issues, встречаются интересные, которые можно будет закрыть благодаря недавно полученными знаниями и даже такой не продолжительной практикой, таким образом поучаствовать и поддержать ряд проектов.

Нужно также отметить, в первом письме от Центра информационной и общественной безопасности уже стало понятно, что имеется интерес к исследователям, а в дальнейшей переписке этот факт был повторно обозначен вполне конкретно. Возможно, кто-то увидит в этом перспективу, для других стать хорошим шансом, которым судя по всему вполне реально воспользоваться. Цитата из следующего письма:

… Мы со своей стороны заинтересованы в наличии свободных исследователей (ресерчеров) в области ИБ.

При выявлении других подобных случаев, а также в целях оперативного

реагирования, прошу обращаться напрямую к нам по контактам: …

Как видно, общение проходило на основе взаимоуважения сторон и в крайне вежливой манере. В целом, отзыв о сотрудничестве вполне достоин быть позитивным. К сожалению, не всегда хорошие отзывы, имеют такие же последствия. Поэтому, остается надеяться, что в отношении к работе, отзыв магическим образом придаст сотрудникам еще большей мотивации.

Еще хотелось бы выразить надежду, что организации станут внимательнее и серьезнее относится к своему присутствию в веб пространстве, а также адекватно, и своевременно реагировать на различные вызовы из виртуального мира. Прошли времена, когда считалось, что «Незаменимых людей нет», оказывается есть, более того, люди были и остаются ценнейшим ресурсом организации, в обучение и обеспечение которых нужно инвестировать. Особенно в век бескрайних технологических возможностей. Совершенно прав был министр нефтяной промышленности Саудовской Аравии Заки Ямани, который еще в 70-е годы сказал: «Каменный век закончился не потому, что в мире кончились камни. Также и нефтяной век закончится не потому, что у нас кончится нефть».

Остается добавить, что на начало 2018 года, никакого профита за виртуальную активность, не предусмотрено, ничего подобного нет, до Bug Bounty по-видимому в Узнете еще далеко, как Илону Маску до марса, но это никак не влияет на исследовательский энтузиазм, который даже по примерным, оценкам не должен иссякнуть, как минимум – никогда. Интернет уже давно превратился в среду обитания, работы над полезностью и безопасностью остается еще очень много, но действительно замечательным является то, что каждый может принять участие в созидательном процессе.

Предполагаю, статья получилась сумбурной, скорее всего потому, что это первый подобный опыт, к тому же написание происходило поэтапно, а это затрудняло производить подсчет времени. Если примерно, то цифра наверняка значительная, радует только то, что это вряд ли число. И все-таки надеюсь, местами информация могла оказаться полезной, на этом всё. Удачи и спасибо.


Izohlar (0)

Авторизуйтесь, чтобы добавлять комментарии
Bizga xabar yuboring