В конце июня я случайно обнаружил входящее сообщение на платформе Hackerone. Меня переполняло очень много разных эмоций. Отрицательные тоже были, т.к ну крайне сложно разрулить визу в штаты, когда у тебя на это есть не больше месяца, а то и меньше. И в принципе я постарался зарешать этот вопрос, но результаты не получились такими какие я ожидал. Как итог - участие в ивенте удаленное, фоточек с мероприятия не будет 💁‍♂️.
Но все равно самое ценное - это то что меня пригласили!!! Ведь на ивент приглашают только "избранных", а критерии отбора достаточно строгие.
Приятно осознавать что мой профиль и мои старания были замечены, и организаторы посчитали что я буду полезным участником мероприятия.

2024 год на дворе.
Когда люди поймут что plain text пароли - это очень плохо? 🤔
Хотя, там говорят уже и квантовые компьютеры не далеко, которые сломают шифрование. Значит можно уже и не заморачиваться с шифрованием/хэшированием?

Встречайте очередного гостя нашего подкаста 🔥
Надеемся, что этот выпуск для вас будет полезным и интересным. По возможности оставляйте комментарии, нажимайте лайк и колокольчик 🫶
Постараемся удивлять вас дальше интересными историями и новыми героями.

Live hacking event в который я вписался от Hackerone был просто изнурительным и весьма сложным. В ближайшее время поделюсь мнением о том как это было, и почему допрыгнуть до такого уровня ивентов многим сложно, в том числе платформам, где сидят скупые программы.
Но какой хантинг без музыки. Она непрерывно на протяжении пары недель лилась из моего Spotify (Phonk, Ambient, Electronic, blending deep house, techno, progressive house). И вот я внезапно узнаю, что автор самых популярных трэков ambient оказался 17летний парнишк из Табовской области. Очень крутоый выпуск. Рекомендую посмотреть 🙂

Это было легендарно🔥
Стать участником этого мерпориятия было почётно. О критериях отбора участников я уже писал выше и оставлял ссылку. Там описаны разные категории, через которые можно попасть на ивент. И пожалуй один из важных выводов который можно сделать - стоит копать те компании, которые действительно тянут бюджеты ивентов. Ведь именно через лидерборды этих компаний и отбирается большая часть приглашенных.
В моем случае сработала годами наработанная репутация и отсуствие нарушений Code of conduct. Это кстати было весьма сложно. Порой очень хотелось поныть в твиттере о несправедливом решении той или иной компании.
Теперь надо перевести дух, и попробовать сфокусироваться на Zoom, Amazon, Paypal, Salesforce, Tiktok, CapitalOne etc (помогите продолжить список )

Когда-то писал гайд о том как собрать iphone без ssl pinning. И вот случился момент, когда тестовое приложение не может работать ниже ios 16. Пришлось суетить. На помощь пришел старенький iphoneX. Оказывается его можно сделать rootfull практически без боли и страданий.
1) Берем iphone X. Обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://burp
Буквально спустя пару часов нашел critical. Все было не зря 🦾

Когда ребята из security индустрии ждут задерживающийся рейс в аэропорту, то они могут найти весьма серьезные уязвимости. Честно говоря, читать такое немного шокирует. Эксплуатация уязвимости позволяла проходить в зону отдельного ускоренного контроля членов экипажей. При этом подменить фотку и имя члена экипажа было не сложно. И все благодаря системе в которой жила sql injection в юзернэйме. Систему безусловно разрабатывал какой-то «очень ответственный контрактор».
А потом нам рассказываю важность контроля пассажиров и x-ray для безопасности полетов. Кажется что безопасность полетов начинается с исправленных sql injection 💁🏻‍♂️
https://ian.sh/tsa

Годный cheat sheet подъехал в виде коллекции от Portswigger.
Подойдет тем кто пытается победить валидацию ssrf (и не только)
https://portswigger.net/web-security/ssrf/url-validation-bypass-cheat-sheet

Для всех санкционных подписчиков вышла очень полезная и долгожданная новость. Кажется дедушка Мартен с уходом из компании развязал руки разработчикам. И те в свою очередь добавили поддержку оплаты на прямые криптокошельки ERC20.
Астрологи прогнозируют волну новорегов на платформе 😏

По наводке из твиттера от bratvacorp посмотрел стэндап в исполнении Will Thomas (Threat Hunter from Equinix)
Стендап на тему Русских Жакеров.
Столько выводов странных конечно сделано в процессе перезентации 🤔 Особенно понравилось что из-за изоляции падают доходы. Надо бы ему стендап Поперечного показать. И пару фоточек как ребят из REvil суперкары привозят в топовой конфигурации.
Вывод простой - не верьте телевизору 😂

На прошедшей Troopers24 Conf было много интересных докладов. Мое внимание зацепило два доклада связанных с устройствами и сервисами Apple.
1) Hacking the Apple Watch. Очень крутой технический доклад, в котором рисерчер рассказывает о Alloy протоколе, об особенностях работы Apple Watch и Iphone друг с другом через vpn тунель. И немного раскрывает проблемы, которые удалось найти в процессе рисёрчинга. И предлагает интересные идеи на тему memory corruption в Alloy topics. До кучи он написал WatchWitch приложение позволяющее упростить жизнь исследователям в этом направлении. Ну и релизнул декодер сообщений
2) Free and Global SMS Communication via Iphone Satellite. Ребят качественно забурились в протокол работы фич и ограничений разных регионов. И в результате натыкали интересных уязвимостей. Очень крутой техничский доклад, который понятным языком разложен.
Чувствую в следующий раз вырвусь и доеду физически на эту конференцию. Максимально трушный CFP без странных докладов про smm секьюрити пабликов, выгорания и.т.д.

Недавно у меня возникла необходимость изучить пару приложений для Ipad, которые благополучно устанавливаются на macbook. Но было абсолютно не ясно как пропустить трафик приложений на macbook через burpsuite. Кто-то советовал воспользоваться виртуалками, кто-то советовал зацепить второй macbook к первому через burp proxy. Еще были мысли купить и рутануть ipad. Но я не мог себе даже представить, что решение вопроса может быть на столько простым.

По подсказке одного из товарищей, если у вас на компьютере стоит десктоп приложение, которое хочется пропустить через proxy. Достаточно пойти в настройки вашего подключения и прописать там ваш 127.0.0.1:8080. Ну и важно не забыть добавить абсолютное доверие на Burpsuite сертификат в keychain.

Я искренне думал что такое не должно работать. Ведь мы как будь то делаем proxy loop. Но по всей видимости абсолютный loop не достигается из-за loopback интерфейса.
Остается найти пару критов, ради которых затевался весь этот движ 😎

Вот и приехал долгожданный мерч от HackerOne с ивента h1-702, на который я благополучно не успел поехать из-за медлительного визового процесса.
Мерч классный и будет использоваться исключительно в праздничные дни 😁
Больше всего меня удивил весьма банальный плед, но не с банальной реализацией идеи. На пледе напечатаны постеры всех HackerOne Elite Hackers. И возможностей увековечить себя в истории на самом деле не так много - или офигенно работаешь на мероприятии, или собираешь 1M$ на платформе.
Вроде бы я собирался сбавить обороты и меньше хантить… Но все эти значимые вещи кажется снова не дают замедлить чёртово беличье колесо 🙈

Раз у HackerOne не получилось свозить меня в Vegas, то видимо решили искупить вину и свозить куда-то не так далеко.
В итоге получил приглашение принять участие в Security Global Tour 24' DACH.
Если кто-то из читателей надумает сходить на ивент или поговорить за кавычки после - пингуйте в личку 😉

Когда я вкатывал в bug bounty, то старался объяснить сам себе эффект Santiago Lopez. Это парнишка из Buenos Aires(Argentina), который одним из первых сделал 1M$ на платформе Hackerone. В профиле у него был всегда не самый высокий Impact/Signal. И его выплаты всегда были в размере 250-500$ за уязвимость - это всегда баги уровня low(иногда medium).
Однако за месяц у него могло быть 20-50 репортов с такими выплатами. В "хорошие" месяцы он буквально вынимает 25k$.
И вот с недавних пор он решил запустить свой приватный клуб для будущих миллионеров, где можно послушать "крутые" советы от мастера.
Ну и долго ждать не пришлось, пока кто-то возьмет и сольет запись одной из встреч такого клуба. На видео он рассказывает свою методологию. И она абсолютно совпадает с метриками, размером выплат, и стилем хакинга.
Если лень пересматривать эту встречу, то вот вам короткое summary:
- Берете максимально комплексную систему, например salesforce, atlassian, и начинаете её смотреть с точки зрения соответствий документации и поведения.
- Фиксируете все баги и расхождения в формате vulnerability reports
- Максимально играете на уровне custom settings продукта и проверяете поведение по документации. Что-то не сошлось - баг.
- Ищем XSS заполняя все поля и пытаем найти где можно обойти синтаксис для выполнения js
- Фокусируемся только на permissions model issues
- Не стремитесь искать сложное, опасное, из категории High-Critical. Лучше взять количеством.
- Регулярно тестируете даже в выходные. Не ведете заметки и чеклисты. Не выполняете recon. Не делаем автоматизацию.

У меня есть основания подозревать, что у него есть "миньоны", которые в тайне за процентик выполняют часть работы. Т.к чисто физически насыпать 1к репортов в Atlassian за пару месяцев и при этом продолжать исследовать Salesforce - кажется не реалистично для одного человека.
Зная как работают такие компании, и как выполняется продуктовое тестирование - охотно верю что QA Santiago Lopez может абьюзить систему и находить там одинаковые патерны ошибок опустошая security budget. Salesforce кажется вообще не умеет решать классовые проблемы продукта. Сам когда-то "абьюзил" их же системы, и все что они могли сделать - это triage и reward. Видимо легче заплатить чем решить проблему на корню.
Еще в стриме есть формулировка "I don't feel like the product is broken". И многие это не понимают. Но это очень часто помогает и мне, когда ты находишь какую-то фигню не связанную с security и она не исправлена, то скорее всего там может быть много ошибок связанных с security.

Вот теперь уже можно официально признать тот факт что DELL могли закрыть проблему год назад, но предпочли сэкономить 2500$ на critical репорте, засунули его в informative state и даже ничего не исправили!
Это реалии bug bounty management и policy. Когда важнее рисёрчера поставить на место, чем разбираться в проблеме, которая как будто не в твоей зоне отетственности. При этом как мне правильно подметили в комментах в твиттере - "Threat actors don't care about your bugbounty program's scope".

Теперь в новостях даже написано что "Hackers claim a second Dell data breach within a week, exposing sensitive internal files via compromised Atlassian tools. Allegedly, data from Jira, Jenkins, and Confluence was leaked.". Список затронутых систем в действительности более жирный - git, jira, confluence, jenkins, artifactory etc

Сейчас они героически порасследуют и скажут что ничего серьезного не украдено.
Однако сама проблема не в том что могло быть что-то украдено. А в том что обнаруженная нами ранее supply chain issue связанная с одним из подрядчиков, позволяла комитить в main, и ходить по репозиториям собирая hardcoded secrets от следующих сервисов. А вы что думали компания с офигенной капитализацией умеет в secret management? 😂

Когда мы это нашли, то ощущения были весьма стремные. Прикиньте такая большая контора, которая технику поставляет огромным корпорациям, а вы берете, заходите в их деплой системы и можете вредоноса оставить, и в системах закрепиться, и никто это даже исправлять не хочет 🫠

Думаю многие из вас слышали такую компаний как Detectify. И думаю многие из вас знают что одним из кофаундеров этого проекта, и основным "двигателем прогресса" был Frans Rosén. Он делал для компании маркетинг через секьюрити рисёрчи. Продвигал возможности исследователям монетизации уязвимостей через платформу. Вообще для меня Detectify был а ассоциации с Frans Rosén.
В начале сентября его доля в компании была передана в пользу текущего руководства. Подозреваю что он бы не оставил "своего ребенка" после стольких лет работы. Очень жаль что текущее руководство выбрало странный стиль управления и развития компании. Максимально спорное решение, которое в перспективе ни к чему хорошему не приведет.

Но Франс такой человек, который точно не нуждается в том, что его нужно жалеть. Пару дней назад он забрал уже четвертый MVH титул на Live Hacking Event, где основным кастомером был Amazon. С учетом что это достаточно сложный таргет, Франс в очередной раз доказал свое место в индустрии. Респект!