qui tutta la verità e quello che non ti hanno detto sul caso VirusTotal (di proprietà di Google) e la scoperta della società israeliana SafeBreach. Che non sia come è stato commentato in diversi media, compreso questo che si è lasciato trasportare da fonti che lasciavano intendere qualcosa di diverso. Pertanto, da LxA mi scuso con VT e cercherò di commentare quello che è successo davvero, che non è così grave come sembrava.
Cosa era implicito?
Che cosa è stato accennato su questo caso è quello SafeBreach, è stata una presunta debolezza scoperta da questa azienda in VirusTotal, che ha portato anche a notizie su presunti attacchi al servizio VT (che non erano tali), e persino presunti contatti con Google (proprietario di VirusTotal tramite la sussidiaria Chronicle Security) in modo che corretto questo problema. Tuttavia, Google ha taciuto. La ragione? Capirai nella prossima sezione...
Presumibilmente, con una licenza mensile VirusTotal da $ 600 a cui potresti accedere credenziali utente infinite utilizzando alcune semplici ricerche all'interno di questo servizio. Tra i quali potrebbero esserci file con dati rubati (indirizzi email, nomi utente, password, credenziali di accesso ai social network, siti di e-commerce, piattaforme di streaming, servizi governativi online, banking online e persino password) di portafogli di criptovaluta privati).
Secondo Bar, uno dei ricercatori di SafeBreach, "Il nostro obiettivo era identificare i dati che un criminale poteva raccogliere con una licenza VirusTotal«, un metodo che hanno battezzato come VirusTotal Hacking.
"Un trasgressore che utilizza questo metodo può raccogliere una quantità quasi illimitata di credenziali e altri dati utente sensibili con uno sforzo minimo in un breve periodo di tempo utilizzando un approccio privo di infezioni. Lo chiamiamo il cybercrime perfetto, non solo per il fatto che non c'è alcun rischio e uno sforzo molto basso, ma anche per l'incapacità delle vittime di proteggersi da questo tipo di attività. Dopo che le vittime sono state violate dall'hacker originale, la maggior parte ha poca visibilità su quali informazioni sensibili vengono caricate e archiviate su VirusTotal e altri forum".
Ora la verità su quello che è successo con VirusTotal
VirusTotal, con sede a Malaga, ha lanciato un servizio chiamato VT Intelligence nel 2009 per sfruttare tutte le informazioni che arrivano a questo multi antivirus online. Questo portale è stato lanciato come un grande database per i ricercatori del settore della sicurezza informatica e le aziende con dipartimenti di sicurezza, potendo accedere a tutti questi dati con l'obiettivo di indagare e migliorare la sicurezza dei loro prodotti e utenti.
Accesso limitato a VT Intelligence
In altre parole, né gli utenti con la suddetta licenza da $ 600 né altri criminali informatici potrebbero farlo accedere a tali dati, né alcuna azienda potrebbe accedere a VT Intelligence. Tutti coloro che hanno accesso passano attraverso un processo di verifica per verificare che l'azienda sia affidabile e rispettabile, oltre ad avere un caso d'uso adatto per accedere a quel database.
Contenuto e fonti del database
Quel database contiene informazioni molto diverse, con minacce di ogni genere, dal malware, agli exploit avanzati, attraverso kit di phishing, strumenti di hacking presi da forum di hacking sotterranei, carding, log (record) e file con credenziali che sono stati esposti su quei siti, ecc.
Tutto quello proviene da varie fonti:
- Aziende
- CERT
- utenti anonimi
- Via API da molti altri siti
- Etc.
Utenti rassicuranti
Pertanto, quando SafeBreach ha ottenuto uno di quei file con credenziali o registri con informazioni riservate, è perché quei dati sono stati compromessi o trapelati prima di raggiungere il database di VT Intelligence. In altre parole, VirusTotal non è la fonte da cui provengono questi dati privati, ma piuttosto è un database intermedio tra le minacce che hanno permesso di estrarre questi dati e l'esperimento SafeBreach.
Le entità con accesso a VT Intelligent possono quindi accedere a tutte queste informazioni mettere soluzioni o informa i tuoi clienti che potrebbero essere stati colpiti da questi attacchi informatici o perdite.
Conclusione
VirusTotal non può essere utilizzato come fonte per estrarre dati sensibili come suggerisce SafeBreach. Si tratta di credenziali che la stragrande maggioranza è già stata modificata quando è stato riferito che erano state smascherate. E se non sono stati modificati, probabilmente non avranno un grande impatto.
Inoltre, se non raggiungi VirusTotal, allo stesso modo continuerebbero ad essere esposti sui siti da cui i ricercatori di cybersecurity li hanno estratti.
L'unica cosa che SafeBreach ha fatto, oltre a creare tutto questo trambusto, è un esercizio di pensiero su cosa accadrebbe se un sospetto aggressore potesse accedere a VT Intelligence.
Zero dramma!