Her hele sannheten og hva de ikke har fortalt deg om VirusTotal-saken (eid av Google) og oppdagelsen av det israelske selskapet SafeBreach. At det ikke er slik det har blitt kommentert i flere medier, inkludert at denne lot seg rive med av kilder som antydet noe annet. Derfor ber jeg fra LxA om unnskyldning til VT og jeg vil prøve å kommentere hva som egentlig skjedde, som ikke er så alvorlig som det så ut til.
Hva ble underforstått?
Hva det ble antydet om denne saken er det SafeBreach, var en påstått svakhet oppdaget av dette selskapet i VirusTotal, som også førte til nyheter om påståtte angrep på VT-tjenesten (som ikke var slike), og til og med påståtte kontakter med Google (eier av VirusTotal gjennom Chronicle Security-datterselskapet) slik at korrekt dette problemet. Google har imidlertid vært stille. Grunnen? Du vil forstå i neste avsnitt...
Angivelig, med en $600 VirusTotal månedlig lisens du kunne få tilgang til endeløse brukerlegitimasjoner ved å bruke noen få enkle søk i denne tjenesten. Blant disse kan det være filer med stjålne data (e-postadresser, brukernavn, passord, tilgangslegitimasjon til sosiale nettverk, e-handelssider, strømmeplattformer, nettbaserte offentlige tjenester, nettbank og til og med passord) av private kryptovaluta-lommebøker).
I følge Bar, en av SafeBreach-forskerne, "Målet vårt var å identifisere dataene som en kriminell kunne samle inn med en VirusTotal-lisens«, en metode de har døpt som VirusTotal Hacking.
"En lovbryter som bruker denne metoden kan samle inn en nesten ubegrenset mengde legitimasjon og andre sensitive brukerdata med svært liten innsats i løpet av kort tid ved å bruke en infeksjonsfri tilnærming. Vi kaller det den perfekte nettkriminalitet, ikke bare på grunn av det faktum at det ikke er noen risiko og svært lav innsats, men også på grunn av ofrenes manglende evne til å beskytte seg mot denne typen aktivitet. Etter at ofrene er hacket av den opprinnelige hackeren, har de fleste lite innsyn i hvilken sensitiv informasjon som lastes opp og lagres på VirusTotal og andre fora".
Nå er sannheten om hva som skjedde med VirusTotal
Malaga-baserte VirusTotal lanserte en tjeneste kalt VT Intelligence i 2009 å dra nytte av all informasjon som kommer til dette online multi-antivirus. Denne portalen ble lansert som en stor database for forskere i cybersikkerhetssektoren og selskaper med sikkerhetsavdelinger, som kunne få tilgang til alle disse dataene med sikte på å undersøke og forbedre sikkerheten til deres produkter og brukere.
Begrenset tilgang til VT Intelligence
Med andre ord, verken brukere med den nevnte $600-lisensen eller andre nettkriminelle kunne tilgang til slike data, og heller ikke noe selskap kunne få tilgang til VT Intelligence. Alle som har tilgang går gjennom en vetting-prosess for å verifisere at selskapet er pålitelig og anerkjent, i tillegg til å ha en passende brukssak for å få tilgang til databasen.
Databaseinnhold og kilder
Den databasen inneholder svært mangfoldig informasjon, med trusler av alle slag, fra skadelig programvare, til avanserte utnyttelser, gjennom phishing-sett, hackingverktøy hentet fra underjordiske hackingfora, carding, logger (poster) og filer med legitimasjon som har blitt avslørt på disse nettstedene, etc.
Alt det kommer fra ulike kilder:
- Virksomhet
- CERT-er
- anonyme brukere
- Via API fra mange andre nettsteder
- Etc.
Betryggende brukere
Derfor, når SafeBreach har skaffet noen av disse filene med legitimasjon eller logger med sensitiv informasjon, er det fordi at data ble kompromittert eller lekket før de nådde VT Intelligence-databasen. VirusTotal er med andre ord ikke kilden som disse private dataene kommer fra, men det er snarere en mellomdatabase mellom truslene som gjorde at disse dataene kunne trekkes ut og SafeBreach-eksperimentet.
Enheter med tilgang til VT Intelligent kan dermed få tilgang til all denne informasjonen sette løsninger eller gi kundene beskjed om at de kan ha blitt påvirket av disse nettangrepene eller lekkasjene.
Konklusjon
VirusTotal kan ikke brukes som kilde for å trekke ut sensitive data som SafeBreach tips. Dette er legitimasjon som de aller fleste allerede har blitt modifisert da det ble rapportert at de var blitt avslørt. Og hvis de ikke har blitt endret, vil de sannsynligvis ikke ha stor innvirkning.
Dessuten, hvis du ikke når VirusTotal, på samme måte ville de fortsatt bli avslørt på nettstedene som cybersikkerhetsforskere hentet dem fra.
Det eneste SafeBreach har gjort, bortsett fra å skape alt dette oppstyret, er en tankeøvelse om hva som ville skje hvis en mistenkt angriper kunne få tilgang til VT Intelligence.
Null drama!