тук цялата истина и това, което не са ви казали за случая VirusTotal (собственост на Google) и откритието на израелската компания SafeBreach. Че не е така, както се коментира в няколко медии, включително и тази, която се оставя да бъде увлечена от източници, които предполагат нещо различно. Затова от LxA се извинявам на VT и ще се опитам да коментирам какво наистина се случи, което не е толкова сериозно, колкото изглеждаше.
Какво се подразбираше?
каквото беше загатнато за този случай е това SafeBreach, беше предполагаема слабост, открита от тази компания във VirusTotal, което също доведе до новини за предполагаеми атаки срещу услугата VT (които не бяха такива) и дори предполагаеми контакти с Google (собственик на VirusTotal чрез дъщерното дружество на Chronicle Security), така че правилно този проблем. Google обаче мълчи. Причината? Ще разберете в следващия раздел...
Предполага се, че с месечен лиценз за VirusTotal от $600 можете да получите достъп безкрайни потребителски идентификационни данни като използвате няколко прости търсения в тази услуга. Сред които може да има файлове с откраднати данни (имейл адреси, потребителски имена, пароли, идентификационни данни за достъп до социални мрежи, сайтове за електронна търговия, стрийминг платформи, онлайн правителствени услуги, онлайн банкиране и дори пароли) на частни портфейли за криптовалута).
Според Бар, един от изследователите на SafeBreach, „Нашата цел беше да идентифицираме данните, които един престъпник може да събере с лиценз на VirusTotal«, метод, който те са кръстили като VirusTotal Hacking.
"Нарушител, използващ този метод, може да събира почти неограничено количество идентификационни данни и други чувствителни потребителски данни с много малко усилия за кратък период от време, използвайки подход без инфекции. Наричаме го идеалното киберпрестъпление, не само поради факта, че няма риск и много малко усилия, но и поради невъзможността на жертвите да се предпазят от този вид дейност. След като жертвите са хакнати от оригиналния хакер, повечето имат малка видимост за това каква чувствителна информация се качва и съхранява във VirusTotal и други форуми".
Сега истината за случилото се с VirusTotal
Базираната в Малага VirusTotal пусна услуга, наречена VT Intelligence през 2009 г да се възползвате от цялата информация, която идва до това мулти антивирусна онлайн. Този портал стартира като голяма база данни за изследователи в сектора на киберсигурността и компании с отдели за сигурност, които имат достъп до всички тези данни с цел разследване и подобряване на сигурността на своите продукти и потребители.
Ограничен достъп до VT Intelligence
С други думи, нито потребителите с гореспоменатия лиценз от $600, нито други киберпрестъпници могат достъп до такива данни, нито една компания може да има достъп до VT Intelligence. Всеки, който има достъп, преминава през процес на проверка, за да потвърди, че компанията е надеждна и реномирана, в допълнение към подходящ случай на използване за достъп до тази база данни.
Съдържание и източници на база данни
Тази база данни съдържа много разнообразна информация, със заплахи от всякакъв вид, от злонамерен софтуер, до разширени експлойти, чрез комплекти за фишинг, хакерски инструменти, взети от подземни хакерски форуми, картиране, логове (записи) и файлове с идентификационни данни, които са били разкрити на тези сайтове и т.н.
Всичко това идва от различни източници:
- фирми
- CERT
- анонимни потребители
- Чрез API от много други сайтове
- Т.н.
Успокояващи потребители
Следователно, когато SafeBreach получи някой от тези файлове с идентификационни данни или регистрационни файлове с чувствителна информация, това е защото тези данни са били компрометирани или изтекли преди да достигнат до базата данни на VT Intelligence. С други думи, VirusTotal не е източникът, от който произлизат тези лични данни, а по-скоро е междинна база данни между заплахите, които позволяват тези данни да бъдат извлечени, и експеримента SafeBreach.
По този начин субектите с достъп до VT Intelligent могат да имат достъп до цялата тази информация слагайте решения или уведомете клиентите си, че може да са били засегнати от тези кибератаки или течове.
Заключение
VirusTotal не може да се използва като източник за извличане на чувствителни данни както намеква SafeBreach. Това са идентификационни данни, които огромното мнозинство вече са били променени, когато е било съобщено, че са били разкрити. И ако не са променени, вероятно няма да имат голямо влияние.
Нещо повече, ако не достигнете до VirusTotal, по същия начин те ще продължат да бъдат изложени на сайтовете, от които изследователите на киберсигурността ги извличат.
Единственото нещо, което SafeBreach направи, освен че създаде цялата тази суматоха, е мисловно упражнение за това какво би се случило, ако заподозрян нападател може да получи достъп до VT Intelligence.
Нулева драма!