O Google fez fama e muita fortuna vendendo e ofertando o que buscamos na internet. Seja um vídeo, uma música, um texto, uma notícia. Isso varia de acordo com o usuário. E os próprios buscadores se disseminaram, uns oferecendo maior privacidade como Ducduckgo ou Startpage. Porém, mesmo assim, há um público que pode querer mais que isso. Que tal ter um buscador que aponte as falhas de um site e os recursos para evitar prováveis invasões? Pois seus problemas acabaram: conheça o PunkSpider: o polêmico ‘mecanismo de busca de hackers’ que fará a varredura e publicará as vulnerabilidades do site pesquisado.
Na verdade, o novo buscador só deve estrear na próxima semana, aproveitando a realização da popular conferência de hackers Defcon. Porém, ao invés de dizermos ‘lançado’, talvez o termo mais apropriado seja ‘ressuscitado’. É que este mesmo motor de busca já esteve ativo entre 2013 e 2015 (e recebeu fundos da DARPA, a Defense Advanced Research Projects Agency).
Conheça o polêmico buscador PunkSpider voltado para hackers. O novo Google de ataques cibernéticos
Como há seis anos, o PunkSpider consistirá em um cluster com certas máquinas capazes de escanear centenas de milhões de sites diariamente, para então analisar os sites e identificar suas vulnerabilidades ‘hackeadas’. Por enquanto a página leva à instalação de uma extensão no navegador.
Na verdade, PunkSpider permitirá que você faça pesquisas com base em três critérios: palavras-chave mencionadas na URL, tipo de vulnerabilidade e sua gravidade. E ainda mais fácil: se instalarmos a extensão oficial do Chrome, podemos verificar automaticamente as vulnerabilidades dos sites à medida que os visitamos.
Tanto o buscador quanto a extensão vão classificar os sites por meio de um sistema de pontuação que, ao invés das estrelas típicas, mostrará latas de lixo em chamas: uma pontuação mais alta equivale a uma maior vulnerabilidade do site.
Mas como o PunkSpider encontrará e identificará essas vulnerabilidades? Fácil: recorrer a ‘fuzzing’. Ou seja, para processos – geralmente automatizados – que consistem em inserir dados aleatórios em um programa e analisar os resultados para encontrar erros potencialmente exploráveis.
Entre estes, o navegador vai tentar localizar vulnerabilidades em categorias, tais como a injeção SQL, cross-site scripting (XSS ou), ataques de passagem de diretório etc. Nada muito complexo e, portanto, muito mais fácil de encontrar na maioria dos servidores da web.
Uma ferramenta perigosa para hackers?
Eu pensei: ‘Não seria ótimo poder escanear toda a WWW em busca de vulnerabilidades? E para torná-lo ainda mais divertido, não seria ótimo liberar todas essas vulnerabilidades de graça?’
Quem fala assim é Alejandro Cáceres, co-criador (junto com Jason Hopper, também funcionário da startup de segurança cibernética QOMPLX) do PunkSpider. Ambos reconhecem que, ao permitir que qualquer pessoa acesse essa ferramenta, eles estão expondo todos os sites indexados a ataques cibernéticos em potencial.
No entanto, eles dizem que confiam que a visibilidade forçará os administradores de tais sites a reconhecer que seus sites contêm configurações incorretas gritantes e, em alguns casos, perigosas.
Você sabe que seus clientes podem ver e seus investidores também, então você vai consertar a bagunça rapidamente.
Há controvérsias
No entanto, mesmo organizações frequentemente pró-hacker, como a Electronic Frontier Foudation (EFF), reagiram negativamente ao relançamento do PunkSpider. De acordo com declarações da analista da EFF Karen Gullo à WIRED,
[…] Tornar essas vulnerabilidades públicas pode levar os administradores a corrigi-las, sim. Mas não recomendamos: agentes mal-intencionados podem explorar vulnerabilidades mais rapidamente do que os administradores podem corrigi-las, o que levará a mais violações.
Relutantemente, Cáceres e Hopper ofereceram a opção de usar o user-agent de seu bot de busca para que os administradores do site possam evitar a varredura , bem como uma função de opt-out no mecanismo de busca caso já tenham sido indexados.
Por outro lado, foram essas mesmas objeções que fizeram com que o projeto fosse suspenso há seis anos: o próprio ‘mundo’ da cibersegurança acusou Cáceres e Hopper de ajudar hackers ‘black hat’ em sua criação, e a Amazon chegou para despojá-los suas contas AWS.
Assim, no início de 2015 (o ano de seu primeiro fechamento), o mecanismo de busca só varria a Web em busca de vulnerabilidades uma vez por ano. No entanto, a recente compra da startup que ambos compartilharam (Hyperion Gray) pela QOMPLX, tornou-se uma oportunidade para atualizar e relançar o mecanismo de busca.
Via Genbeta