Cas VirusTotal i SafeBreach: Tota la veritat i res més que la veritat

Isaac

4 minuts

VirusTotal, SafeBreach

Aquí tota la veritat i allò que no t'han explicat sobre el cas de VirusTotal (propietat de Google) i el descobriment de la companyia israeliana SafeBreach. Que no és tal com s'ha comentat en diversos mitjans, inclòs aquest mateix deixant-se portar per fonts que donaven a entendre una cosa diferent. Per tant, des de LxA demano perdó a VT i intentaré comentar el que realment ha passat, que no és tan greu com semblava.

Què es va donar a entendre?

el que es va donar a entendre sobre aquest cas és que SafeBreach, era una suposada debilitat descoberta per aquesta empresa a VirusTotal, que va derivar també en notícies sobre suposats atacs al servei VT (que no van ser tals), i fins i tot suposats contactes amb Google (propietària de VirusTotal a través de la subsidiària Chronicle Security) perquè corregís aquest problema. No obstant això, Google ha estat guardant silenci. El motiu? Ho comprendràs al següent apartat…

Suposadament, amb una llicència mensual de VirusTotal de 600$ es podia aconseguir accedir a una infinitat de credencials d'usuaris usant unes senzilles cerques dins aquest servei. Entre les quals hi pot haver arxius amb dades robades (adreces de correus electrònics, noms d'usuari, contrasenyes, credencials d'accés a xarxes socials, a llocs de comerç electrònic, plataformes de streaming, serveis governamentals en línia, de banca en línia, i fins i tot claus de billeteres privades de criptomonedes).

Segons Bar, un dels investigadors de SafeBreach, «El nostre objectiu era identificar les dades que un delinqüent podria recopilar amb una llicència de VirusTotal«, un mètode al qual han batejat com a VirusTotal Hacking.

"Un delinqüent que utilitza aquest mètode pot recopilar una quantitat gairebé il·limitada de credencials i altres dades confidencials de l'usuari amb molt poc esforç en un curt període de temps fent servir un enfocament lliure d'infeccions. En diem el ciberdelicte perfecte, no només pel fet que no hi ha risc i l'esforç és molt baix, sinó també per la incapacitat de les víctimes per protegir-se d'aquest tipus d'activitats. Després que el pirata informàtic original pirateja les víctimes, la majoria té poca visibilitat de quina informació confidencial es carrega i emmagatzema a VirusTotal i altres fòrums".

Ara la veritat sobre el que ha passat amb VirusTotal

La malaguenya VirusTotal va llançar un servei anomenat VT Intelligence el 2009 per aprofitar tota la informació que arriba a aquest multi-antivirus en línia. Aquest portal es va llançar com una gran base de dades per a investigadors del sector de la ciberseguretat i empreses amb departaments de seguretat, i va poder accedir a totes aquestes dades amb l'objectiu d'investigar i millorar la seguretat dels seus productes i usuaris.

Accés restringit a VT Intelligence

És a dir, que ni usuaris amb aquesta llicència de 600$, ni altres cibercriminals podrien accedir a aquestes dades, ni tampoc qualsevol empresa podria accedir a VT Intelligence. Tots els que hi tenen accés passen per un procés de vetting per verificar que l'empresa sigui fiable i amb bona reputació, a més de tenir un cas d'ús adequat per accedir a aquesta bbdd.

Contingut de la bbdd i fonts

Aquesta base de dades conté molt diversa informació, amb amenaces de tota mena, des de malware, fins a exploits avançats, passant per kits de phishing, eines de hacking tretes de fòrums underground de hacking, carding, logs (registres) i fitxers amb credencials que han quedat exposats en aquests llocs, etc.

tot això procedeix de diverses fonts:

  • Empreses
  • CERTs
  • usuaris anònims
  • Via API des de molts altres llocs
  • Etc...

Tranquil·litzant els usuaris

Per tant, quan SafeBreach ha obtingut algun d'aquests fitxers amb credencials o logs amb informació sensible, és perquè aquestes dades van quedar compromeses o es van filtrar amb anterioritat a arribar a la bbdd de VT Intelligence. En altres paraules, VirusTotal no és la font de la qual emanen aquestes dades privades, sinó que és una bbdd intermèdia entre les amenaces que van permetre extreure aquestes dades i l'experiment de SafeBreach.

Les entitats amb accés a VT Intelligent poden així accedir a tota aquesta informació per posar solucions o avisar els seus clients que van poder quedar afectats per aquests ciberatacs o filtracions.

Conclusió

VirusTotal no es pot utilitzar com a font per extreure dades sensibles com insinua SafeBreach. Són credencials que en la seva immensa majoria ja han estat modificats quan es va reportar que havien quedat exposats. I si no han estat modificats, és probable que no tinguin un impacte gaire important.

És més, de no arribar a VirusTotal, de la mateixa manera seguirien exposats als llocs des d'on els investigadors de ciberseguretat els van extreure.

L'únic que ha fet SafeBreach, a banda de generar tot aquest enrenou, és un exercici de reflexió sobre què passaria si un suposat atacant pogués tenir accés a VT Intelligence.

Zero drames!


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.