Tutaj cała prawda i to, czego Ci nie powiedzieli o sprawie VirusTotal (własność Google) oraz odkrycie izraelskiej firmy SafeBreach. Że nie jest tak, jak komentowano w kilku mediach, w tym w tym dającym się porwać źródłom, które sugerowały coś innego. Dlatego z LxA przepraszam VT i postaram się skomentować to, co naprawdę się wydarzyło, co nie jest tak poważne, jak się wydawało.
Co było sugerowane?
Lo que to było zasugerowane w tej sprawie jest to Bezpieczne naruszenie, była rzekomą słabością wykrytą przez tę firmę w VirusTotal, która doprowadziła również do wiadomości o rzekomych atakach na usługę VT (które nie były takimi), a nawet rzekomych kontaktach z Google (właścicielem VirusTotal za pośrednictwem spółki zależnej Chronicle Security), aby ten problem. Jednak Google milczy. Powód? Zrozumiesz w następnej sekcji...
Podobno z miesięczną licencją VirusTotal o wartości 600 USD można uzyskać dostęp do niekończące się dane uwierzytelniające użytkownika za pomocą kilku prostych wyszukiwań w ramach tej usługi. Wśród których mogą znajdować się pliki ze skradzionymi danymi (adresy e-mail, nazwy użytkowników, hasła, dane uwierzytelniające dostęp do sieci społecznościowych, witryn e-commerce, platform streamingowych, internetowych usług rządowych, bankowości internetowej, a nawet haseł) prywatnych portfeli kryptowalutowych).
Według Bar, jednego z badaczy SafeBreach, „Naszym celem było zidentyfikowanie danych, które przestępca może zebrać z licencją VirusTotal«, metoda, którą ochrzcili jako VirusTotal Hacking.
"Przestępca korzystający z tej metody może pobierać prawie nieograniczona ilość danych uwierzytelniających i innych wrażliwych danych użytkownika przy bardzo małym wysiłku w krótkim czasie przy użyciu podejścia wolnego od infekcji. Nazywamy to cyberprzestępczością idealną, nie tylko ze względu na brak ryzyka i bardzo mały wysiłek, ale także ze względu na niezdolność ofiar do ochrony przed tego typu działaniami. Po zhakowaniu ofiar przez oryginalnego hakera większość z nich ma niewielki wgląd w to, jakie poufne informacje są przesyłane i przechowywane na VirusTotal i innych forach".
Teraz prawda o tym, co stało się z VirusTotal
VirusTotal z siedzibą w Maladze uruchomił usługę o nazwie Inteligencja VT w 2009 r. wykorzystać wszystkie informacje, które do tego sprowadzają się multi-antywirus online. Portal ten został uruchomiony jako duża baza danych dla badaczy z sektora cyberbezpieczeństwa i firm posiadających działy bezpieczeństwa, które mają dostęp do wszystkich tych danych w celu zbadania i poprawy bezpieczeństwa swoich produktów i użytkowników.
Ograniczony dostęp do VT Intelligence
Innymi słowy, ani użytkownicy ze wspomnianą licencją za 600 dolarów, ani inni cyberprzestępcy nie mogli: uzyskać dostęp do takich danych, ani żadna firma nie może uzyskać dostępu do VT Intelligence. Każdy, kto ma dostęp, przechodzi proces weryfikacji, aby sprawdzić, czy firma jest godna zaufania i godna zaufania, a także ma odpowiedni przypadek użycia, aby uzyskać dostęp do tej bazy danych.
Zawartość i źródła bazy danych
Ta baza danych zawiera bardzo różnorodne informacje, z wszelkiego rodzaju groźbami, od złośliwego oprogramowania po zaawansowane exploity, poprzez zestawy phishingowe, narzędzia hakerskie zaczerpnięte z podziemnych forów hakerskich, carding, logi (zapisy) i pliki z danymi uwierzytelniającymi, które zostały ujawnione na tych stronach itp.
Wszystko to pochodzi z różnych źródeł:
- firmy
- CERT
- anonimowi użytkownicy
- Przez API z wielu innych stron
- Itd.
Uspokajanie użytkowników
Dlatego też, gdy SafeBreach uzyskał którykolwiek z tych plików z danymi uwierzytelniającymi lub dziennikami zawierającymi poufne informacje, dzieje się tak, ponieważ że dane zostały naruszone lub wyciekły przed dotarciem do bazy danych VT Intelligence. Innymi słowy, VirusTotal nie jest źródłem, z którego emanują te prywatne dane, ale raczej pośrednią bazą danych między zagrożeniami, które pozwoliły na wyodrębnienie tych danych, a eksperymentem SafeBreach.
Podmioty z dostępem do VT Intelligent mogą w ten sposób uzyskać dostęp do wszystkich tych informacji, aby: umieścić rozwiązania lub powiadom swoich klientów, że te cyberataki lub wycieki mogły ich dotknąć.
Wnioski
VirusTotal nie może być używany jako źródło do wyodrębniania wrażliwych danych jako wskazówki SafeBreach. Są to dane uwierzytelniające, które zdecydowana większość została już zmodyfikowana, gdy zgłoszono, że zostały ujawnione. A jeśli nie zostały zmienione, prawdopodobnie nie będą miały większego wpływu.
Co więcej, jeśli nie osiągniesz VirusTotal, w taki sam sposób, w jaki byłyby nadal narażone na stronach, z których wyciągnęli je badacze cyberbezpieczeństwa.
Jedyną rzeczą, którą zrobił SafeBreach, oprócz wywołania całego tego zamieszania, jest ćwiczenie myśli o tym, co by się stało, gdyby podejrzany atakujący mógł uzyskać dostęp do VT Intelligence.
Zero dramatu!