her hele sandheden og hvad de ikke har fortalt dig om VirusTotal-sagen (ejet af Google) og opdagelsen af det israelske selskab SafeBreach. At det ikke er, som det er blevet kommenteret i flere medier, heriblandt denne, der lod sig rive med af kilder, der antydede noget andet. Derfor undskylder jeg fra LxA til VT, og jeg vil forsøge at kommentere på, hvad der virkelig skete, hvilket ikke er så alvorligt, som det så ud til.
Hvad blev antydet?
uanset hvad det blev antydet om denne sag er det SafeBreach, var en påstået svaghed opdaget af dette firma i VirusTotal, hvilket også førte til nyheder om påståede angreb på VT-tjenesten (som ikke var sådan), og endda påståede kontakter med Google (ejer af VirusTotal gennem Chronicle Security-datterselskabet), så det korrekte dette problem. Google har dog holdt stille. Grunden? Du vil forstå i næste afsnit...
Angiveligt, med en $600 VirusTotal månedlig licens, du kunne få adgang til endeløse brugeroplysninger ved at bruge nogle få simple søgninger i denne tjeneste. Heriblandt kan der være filer med stjålne data (e-mail-adresser, brugernavne, adgangskoder, adgangsoplysninger til sociale netværk, e-handelswebsteder, streamingplatforme, online offentlige tjenester, netbank og endda adgangskoder). af private kryptovaluta-punge).
Ifølge Bar, en af SafeBreach-forskerne, "Vores mål var at identificere de data, som en kriminel kunne indsamle med en VirusTotal-licens«, en metode, de har døbt som VirusTotal Hacking.
"En gerningsmand, der bruger denne metode, kan indsamle en næsten ubegrænset mængde legitimationsoplysninger og andre følsomme brugerdata med meget lidt indsats på kort tid ved at bruge en infektionsfri tilgang. Vi kalder det den perfekte cyberkriminalitet, ikke kun på grund af det faktum, at der ikke er nogen risiko og meget lav indsats, men også på grund af ofrenes manglende evne til at beskytte sig selv mod denne type aktivitet. Efter at ofrene er blevet hacket af den originale hacker, har de fleste ringe indsigt i, hvilke følsomme oplysninger der uploades og gemmes på VirusTotal og andre fora".
Nu sandheden om, hvad der skete med VirusTotal
Malaga-baserede VirusTotal lancerede en tjeneste kaldet VT Intelligence i 2009 at drage fordel af alle de oplysninger, der kommer til dette multi antivirus online. Denne portal blev lanceret som en stor database for forskere i cybersikkerhedssektoren og virksomheder med sikkerhedsafdelinger, der kunne få adgang til alle disse data med det formål at undersøge og forbedre sikkerheden for deres produkter og brugere.
Begrænset adgang til VT Intelligence
Med andre ord kunne hverken brugere med den førnævnte $600-licens eller andre cyberkriminelle få adgang til sådanne data, og heller ikke nogen virksomhed kunne få adgang til VT Intelligence. Alle, der har adgang, gennemgår en kontrolproces for at verificere, at virksomheden er troværdig og velrenommeret, ud over at have en passende brugssag til at få adgang til databasen.
Databaseindhold og kilder
Den database indeholder meget forskelligartet information, med trusler af enhver art, fra malware, til avancerede udnyttelser, gennem phishing-kits, hackingværktøjer taget fra underjordiske hackingfora, carding, logfiler (registreringer) og filer med legitimationsoplysninger, der er blevet afsløret på disse websteder, osv.
Alt kommer fra forskellige kilder:
- virksomheder
- CERT'er
- Anonyme brugere
- Via API fra mange andre sider
- Osv
Betryggende brugere
Når SafeBreach har opnået nogen af disse filer med legitimationsoplysninger eller logfiler med følsomme oplysninger, er det derfor pga. at data blev kompromitteret eller lækket, før de nåede VT Intelligence-databasen. Med andre ord er VirusTotal ikke kilden, hvorfra disse private data stammer, men det er snarere en mellemdatabase mellem de trusler, der gjorde det muligt at udtrække disse data, og SafeBreach-eksperimentet.
Enheder med adgang til VT Intelligent kan således få adgang til alle disse oplysninger sætte løsninger eller underret dine kunder om, at de kan være blevet påvirket af disse cyberangreb eller lækager.
Konklusion
VirusTotal kan ikke bruges som kilde til at udtrække følsomme data som SafeBreach antyder. Det er legitimationsoplysninger, som langt de fleste allerede er blevet ændret, da det blev rapporteret, at de var blevet afsløret. Og hvis de ikke er blevet ændret, vil de sandsynligvis ikke have den store indflydelse.
Hvad mere er, hvis du ikke når VirusTotal, på samme måde ville de blive ved med at blive afsløret på de websteder, hvorfra cybersikkerhedsforskere har udvundet dem.
Det eneste, SafeBreach har gjort, udover at skabe al denne ballade, er en tankeøvelse om, hvad der ville ske, hvis en formodet angriber kunne få adgang til VT Intelligence.
Nul drama!