Šeit visu patiesību un to, ko viņi jums nav pastāstījuši par VirusTotal gadījumu (pieder Google) un Izraēlas uzņēmuma SafeBreach atklāšana. Ka tas nav tā, kā tas ir komentēts vairākos plašsaziņas līdzekļos, tostarp šajā, ļaujot sevi aizraut avotiem, kas netieši norāda uz kaut ko citu. Tāpēc no LxA atvainojos VT un mēģināšu komentēt, kas īsti noticis, kas nav tik nopietni kā likās.
Kas bija domāts?
Ko tas tika dots mājiens par šo lietu ir tā SafeBreach, bija iespējamais vājums, ko šis uzņēmums atklāja programmā VirusTotal, kas arī izraisīja ziņas par iespējamiem uzbrukumiem VT pakalpojumam (kas tādi nebija) un pat iespējamiem kontaktiem ar Google (VirusTotal īpašnieks caur Chronicle Security meitasuzņēmumu), lai pareizi šī problēma. Tomēr Google ir klusējusi. Iemesls? Nākamajā sadaļā jūs sapratīsit...
Domājams, ka jūs varētu piekļūt ar 600 USD VirusTotal ikmēneša licenci bezgalīgi lietotāja akreditācijas dati izmantojot dažus vienkāršus meklējumus šajā pakalpojumā. Starp tiem var būt faili ar nozagtiem datiem (e-pasta adreses, lietotājvārdi, paroles, piekļuves akreditācijas dati sociālajiem tīkliem, e-komercijas vietnēm, straumēšanas platformām, tiešsaistes valdības pakalpojumiem, tiešsaistes bankām un pat paroles).
Saskaņā ar Bar, viens no SafeBreach pētniekiem, "Mūsu mērķis bija identificēt datus, ko noziedznieks varētu savākt ar VirusTotal licenci", metode, kuru viņi ir nodēvējuši par VirusTotal Hacking.
"Pārkāpējs, kurš izmanto šo metodi, var iekasēt gandrīz neierobežots daudzums akreditācijas datu un citu sensitīvu lietotāja datu ar ļoti nelielu piepūli īsā laika periodā, izmantojot pieeju bez infekcijas. Mēs to saucam par perfektu kibernoziegumu ne tikai tāpēc, ka nav riska un ļoti zemas pūles, bet arī tāpēc, ka upuri nespēj sevi pasargāt no šāda veida darbībām. Pēc tam, kad upurus ir uzlauzis sākotnējais hakeris, lielākajai daļai ir maz redzama, kāda sensitīva informācija tiek augšupielādēta un saglabāta VirusTotal un citos forumos.".
Tagad patiesība par to, kas notika ar VirusTotal
Malagā bāzētais VirusTotal atklāja pakalpojumu ar nosaukumu VT izlūkošana 2009. gadā lai izmantotu visu ar to saistīto informāciju multi antivīruss tiešsaistē. Šis portāls tika izveidots kā liela datubāze kiberdrošības nozares pētniekiem un uzņēmumiem ar drošības departamentiem, kas var piekļūt visiem šiem datiem ar mērķi izpētīt un uzlabot savu produktu un lietotāju drošību.
Ierobežota piekļuve VT Intelligencei
Citiem vārdiem sakot, ne lietotāji ar iepriekš minēto 600 USD licenci, ne citi kibernoziedznieki nevarēja piekļūt šādiem datiem, kā arī neviens uzņēmums nevarēja piekļūt VT Intelligencei. Ikviens, kuram ir piekļuve, veic pārbaudes procesu, lai pārliecinātos, ka uzņēmums ir uzticams un cienījams, kā arī tam ir piemērots lietošanas gadījums, lai piekļūtu šai datubāzei.
Datu bāzes saturs un avoti
Šī datubāze satur ļoti daudzveidīga informācija, ar visu veidu draudiem, sākot no ļaunprātīgas programmatūras un beidzot ar uzlabotiem izmantošanas veidiem, izmantojot pikšķerēšanas komplektus, uzlaušanas rīkus, kas iegūti no pazemes hakeru forumiem, kāršanu, žurnālus (ierakstus) un failus ar akreditācijas datiem, kas ir atklāti šajās vietnēs utt.
Viss tas nāk no dažādiem avotiem:
- Bizness
- CERT
- anonīmi lietotāji
- Izmantojot API no daudzām citām vietnēm
- Utt
Lietotāju pārliecināšana
Tāpēc, ja SafeBreach ir ieguvis kādu no šiem failiem ar akreditācijas datiem vai žurnāliem ar sensitīvu informāciju, tas ir tāpēc, ka ka dati tika apdraudēti vai nopludināti, pirms tie tika sasniegti VT izlūkošanas datu bāzē. Citiem vārdiem sakot, VirusTotal nav šo privāto datu avots, bet gan starpposma datubāze starp draudiem, kas ļāva iegūt šos datus, un SafeBreach eksperimentu.
Tādējādi vienības, kurām ir piekļuve VT Intelligent, var piekļūt visai šai informācijai likt risinājumus vai paziņojiet saviem klientiem, ka viņus varētu būt skāruši šie kiberuzbrukumi vai informācijas noplūdes.
Secinājums
VirusTotal nevar izmantot kā avotu sensitīvu datu iegūšanai kā norāda SafeBreach. Tie ir akreditācijas dati, kuru lielākā daļa jau ir mainīti, kad tika ziņots, ka tie ir atklāti. Un, ja tie nav mainīti, visticamāk, tiem nebūs lielas ietekmes.
Turklāt, ja nesasniedzat VirusTotal, tādā pašā veidā viņi turpinātu tikt pakļauti vietnēs, no kurām kiberdrošības pētnieki tos ieguva.
Vienīgais, ko SafeBreach ir paveicis, neskaitot visas šīs kņadas radīšanu, ir domu vingrinājums par to, kas notiktu, ja aizdomās turētais uzbrucējs varētu piekļūt VT izlūkošanai.
Nulle drāma!