εδώ Όλη η αλήθεια και όσα δεν σου έχουν πει για την υπόθεση VirusTotal (η ιδιοκτησία της Google) και η ανακάλυψη της ισραηλινής εταιρείας SafeBreach. Ότι δεν είναι όπως έχει σχολιαστεί σε διάφορα μέσα, συμπεριλαμβανομένου αυτού, αφήνοντας τον εαυτό του να παρασυρθεί από πηγές που υπονοούσαν κάτι διαφορετικό. Ως εκ τούτου, από το LxA ζητώ συγγνώμη από το VT και θα προσπαθήσω να σχολιάσω αυτό που πραγματικά συνέβη, το οποίο δεν είναι τόσο σοβαρό όσο φαινόταν.
Τι υπονοήθηκε;
ως υπονοήθηκε για αυτή την υπόθεση είναι ότι SafeBreach, ήταν μια υποτιθέμενη αδυναμία που ανακάλυψε αυτή η εταιρεία στο VirusTotal, η οποία οδήγησε επίσης σε ειδήσεις για υποτιθέμενες επιθέσεις στην υπηρεσία VT (που δεν ήταν τέτοιες), ακόμη και υποτιθέμενες επαφές με την Google (ιδιοκτήτη του VirusTotal μέσω της θυγατρικής Chronicle Security) ώστε να διορθωθούν αυτό το πρόβλημα. Ωστόσο, η Google σιωπά. Ο λόγος? Θα το καταλάβετε στην επόμενη ενότητα…
Υποτίθεται ότι με μια μηνιαία άδεια VirusTotal $600 θα μπορούσατε να έχετε πρόσβαση ατελείωτα διαπιστευτήρια χρήστη χρησιμοποιώντας μερικές απλές αναζητήσεις σε αυτήν την υπηρεσία. Μεταξύ των οποίων ενδέχεται να υπάρχουν αρχεία με κλεμμένα δεδομένα (διευθύνσεις email, ονόματα χρήστη, κωδικοί πρόσβασης, διαπιστευτήρια πρόσβασης σε κοινωνικά δίκτυα, ιστότοποι ηλεκτρονικού εμπορίου, πλατφόρμες ροής, διαδικτυακές κυβερνητικές υπηρεσίες, ηλεκτρονική τραπεζική, ακόμη και κωδικοί πρόσβασης ιδιωτικών πορτοφολιών κρυπτονομισμάτων).
Σύμφωνα με τον Bar, έναν από τους ερευνητές του SafeBreach, «Στόχος μας ήταν να εντοπίσουμε τα δεδομένα που θα μπορούσε να συλλέξει ένας εγκληματίας με μια άδεια VirusTotal.», μια μέθοδο που έχουν ονομάσει VirusTotal Hacking.
"Ένας εγκληματίας που χρησιμοποιεί αυτή τη μέθοδο μπορεί να εισπράξει σχεδόν απεριόριστο αριθμό διαπιστευτηρίων και άλλων ευαίσθητων δεδομένων χρήστη με πολύ λίγη προσπάθεια σε σύντομο χρονικό διάστημα χρησιμοποιώντας μια προσέγγιση χωρίς μόλυνση. Το ονομάζουμε τέλειο έγκλημα στον κυβερνοχώρο, όχι μόνο λόγω του γεγονότος ότι δεν υπάρχει κίνδυνος και η προσπάθεια είναι πολύ χαμηλή, αλλά και λόγω της αδυναμίας των θυμάτων να προστατευτούν από αυτού του είδους τη δραστηριότητα. Αφού ο αρχικός χάκερ εισβάλει στα θύματα, οι περισσότεροι έχουν μικρή ορατότητα σχετικά με το ποιες ευαίσθητες πληροφορίες μεταφορτώνονται και αποθηκεύονται στο VirusTotal και σε άλλα φόρουμ.".
Τώρα η αλήθεια για το τι συνέβη με το VirusTotal
Η VirusTotal από τη Μάλαγα ξεκίνησε μια υπηρεσία που ονομάζεται VT Intelligence το 2009 για να εκμεταλλευτείτε όλες τις πληροφορίες που έρχονται σε αυτό multi antivirus online. Αυτή η πύλη ξεκίνησε ως μια μεγάλη βάση δεδομένων για ερευνητές στον τομέα της κυβερνοασφάλειας και εταιρείες με τμήματα ασφαλείας, με δυνατότητα πρόσβασης σε όλα αυτά τα δεδομένα με στόχο τη διερεύνηση και τη βελτίωση της ασφάλειας των προϊόντων και των χρηστών τους.
Περιορισμένη πρόσβαση στο VT Intelligence
Με άλλα λόγια, ούτε οι χρήστες με την προαναφερθείσα άδεια 600 $ ούτε άλλοι εγκληματίες στον κυβερνοχώρο μπορούσαν πρόσβαση στα εν λόγω δεδομένα, ούτε κάποια εταιρεία θα μπορούσε να έχει πρόσβαση στο VT Intelligence. Όλοι όσοι έχουν πρόσβαση περνούν από μια διαδικασία ελέγχου για να επαληθεύσουν ότι η εταιρεία είναι αξιόπιστη και αξιόπιστη, εκτός από την κατάλληλη περίπτωση χρήσης για πρόσβαση σε αυτήν τη βάση δεδομένων.
Περιεχόμενο και πηγές βάσης δεδομένων
Αυτή η βάση δεδομένων περιέχει πολύ διαφορετικές πληροφορίες, με κάθε είδους απειλές, από κακόβουλο λογισμικό, έως προηγμένες εκμεταλλεύσεις, μέσω κιτ phishing, εργαλεία εισβολής που λαμβάνονται από υπόγεια φόρουμ πειρατείας, λαναρίσματα, αρχεία καταγραφής (εγγραφές) και αρχεία με διαπιστευτήρια που έχουν εκτεθεί σε αυτούς τους ιστότοπους κ.λπ.
Ολα αυτά προέρχεται από διάφορες πηγές:
- εταιρείες
- πιστοποιητικά
- ανώνυμοι χρήστες
- Μέσω API από πολλούς άλλους ιστότοπους
- Κλπ
καθησυχάζοντας τους χρήστες
Επομένως, όταν το SafeBreach έχει αποκτήσει οποιοδήποτε από αυτά τα αρχεία με διαπιστευτήρια ή αρχεία καταγραφής με ευαίσθητες πληροφορίες, είναι επειδή αυτά τα δεδομένα παραβιάστηκαν ή διέρρευσαν πριν φτάσουν στη βάση δεδομένων VT Intelligence. Με άλλα λόγια, το VirusTotal δεν είναι η πηγή από την οποία προέρχονται αυτά τα ιδιωτικά δεδομένα, αλλά είναι μια ενδιάμεση βάση δεδομένων μεταξύ των απειλών που επέτρεψαν την εξαγωγή αυτών των δεδομένων και του πειράματος SafeBreach.
Οι οντότητες με πρόσβαση στο VT Intelligent μπορούν έτσι να έχουν πρόσβαση σε όλες αυτές τις πληροφορίες βάλε λύσεις ή ειδοποιήστε τους πελάτες σας που θα μπορούσαν να επηρεαστούν από αυτές τις κυβερνοεπιθέσεις ή διαρροές.
Συμπέρασμα
Το VirusTotal δεν μπορεί να χρησιμοποιηθεί ως πηγή για την εξαγωγή ευαίσθητων δεδομένων όπως υπονοείται από το SafeBreach. Είναι διαπιστευτήρια που η συντριπτική πλειοψηφία έχει ήδη τροποποιηθεί όταν αναφέρθηκε ότι είχαν εκτεθεί. Και αν δεν έχουν αλλάξει, πιθανότατα δεν θα έχουν μεγάλο αντίκτυπο.
Επιπλέον, εάν δεν φτάσετε στο VirusTotal, με τον ίδιο τρόπο θα συνέχιζαν να εκτίθενται στους ιστότοπους από τους οποίους οι ερευνητές κυβερνοασφάλειας τα απέσπασαν.
Το μόνο πράγμα που έχει κάνει το SafeBreach, εκτός από το ότι δημιούργησε όλο αυτό το buzz, είναι μια άσκηση προβληματισμού για το τι θα συνέβαινε εάν ένας ύποπτος εισβολέας μπορούσε να αποκτήσει πρόσβαση στο VT Intelligence.
Μηδέν δράμα!