Um dos projetos de segurança cibernética mais controversos da web será ressuscitado na próxima semana. O PunkSpider — essencialmente uma ferramenta que rastreia a internet para criar um banco de dados pesquisável de sites hackeados — será reapresentado na conferência de segurança cibernética Defcon. Segundo a revista Wired, será a primeira vez que pessoas comuns poderão usar a plataforma desde que ela foi descontinuada em 2015.
O PunkSpider funciona escaneando automaticamente sites na web aberta em busca de possíveis vulnerabilidades. Nesse caso, o software procura páginas suscetíveis a alguns dos exploits mais comuns no arsenal de um hacker, como injeções de SQL e ataques de script entre sites. Apesar de serem considerados hacks muito fáceis de realizar e se proteger contra eles, existem milhares de endereços na internet que caem em armadilhas dessas técnicas.
Em 2019, por exemplo, o HackerOne revelou que a principal vulnerabilidade relatada por meio de seu programa de recompensa de bug eram os scripts cross-site mencionados anteriormente. Ou seja, explorações que permitem que os hackers injetem links maliciosos em sites benignos. E, mais recentemente, vimos algumas páginas confiáveis serem alvo desses ataques.
O PunkSpider foi lançado há dez anos como parte de um projeto do desenvolvedor de software Alejandro Caceres e sua companhia, a Hyperion Gray. Contudo, enfrentou obstáculos técnicos e fiscais que ocasionaram o colapso total da plataforma. Só que, no início deste ano, a empresa de tecnologia QOMPLX, com sede na Virgínia (EUA), adquiriu a Hyperion Gray e anunciou que reinicializaria o PunkSpider pouco tempo depois.
O novo projeto contará com um banco de dados que os usuários podem pesquisar usando o URL de um site ou o tipo de vulnerabilidade sobre a qual estão curiosos para conhecer. O software virá junto com uma extensão de navegador baseada no Chrome que verifica os sites que você está visitando em busca de falhas de segurança aparentes. Dependendo da quantidade de bugs, o PunkSpider atribui uma classificação que avalia o nível de segurança de um site.
Em contrapartida, liberar esses mecanismos amigáveis, até então usados apenas por hackers, para o público em geral sempre gera uma questão de ética. Afinal, sempre pode haver alguém mal intencionado que explore esse tipo de técnica para fins nefastos. É sempre uma faca de dois gumes. Isso significa que, apesar de tudo de bom que a ferramenta pode estar fazendo pela comunidade de segurança cibernética, existe a possibilidade muito real de que ela abrirá alguns desses sites a ataques prejudiciais. No mínimo, essa é uma grande motivação para esses operadores começarem a levar a segurança a sério.
fique por dentro das novidades giz
Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas
