Aici tot adevărul și ceea ce nu ți-au spus despre cazul VirusTotal (deținut de Google) și descoperirea companiei israeliene SafeBreach. Că nu este așa cum s-a comentat în mai multe mass-media, inclusiv aceasta lăsându-se dusă de surse care presupuneau ceva diferit. Prin urmare, de la LxA îmi cer scuze la VT și voi încerca să comentez ce s-a întâmplat cu adevărat, ceea ce nu este atât de grav pe cât părea.
Ce a fost implicat?
indiferent de s-a dat de înțeles despre acest caz este că SafeBreach, a fost o presupusă slăbiciune descoperită de această companie în VirusTotal, care a dus și la știri despre presupuse atacuri la adresa serviciului VT (care nu erau așa), și chiar despre presupuse contacte cu Google (proprietarul VirusTotal prin filiala Chronicle Security) astfel încât să corecteze această problemă. Cu toate acestea, Google a rămas tăcut. Motivul? Veți înțelege în secțiunea următoare...
Se presupune că, cu o licență lunară VirusTotal de 600 USD ai putea avea acces acreditări de utilizator nesfârșite folosind câteva căutări simple în cadrul acestui serviciu. Printre care pot fi și fișiere cu date furate (adrese de e-mail, nume de utilizator, parole, acreditări de acces la rețelele sociale, site-uri de comerț electronic, platforme de streaming, servicii guvernamentale online, servicii bancare online și chiar parole) ale portofelelor private cu criptomonede).
Potrivit lui Bar, unul dintre cercetătorii SafeBreach, „Scopul nostru a fost să identificăm datele pe care un criminal le-ar putea colecta cu o licență VirusTotal«, o metodă pe care au botezat-o drept VirusTotal Hacking.
Un infractor care utilizează această metodă poate colecta o cantitate aproape nelimitată de acreditări și alte date sensibile ale utilizatorului cu foarte puțin efort într-o perioadă scurtă de timp folosind o abordare fără infecții. O numim crima cibernetică perfectă, nu doar din cauza faptului că nu există risc și efort foarte mic, ci și din cauza incapacității victimelor de a se proteja de acest tip de activitate. După ce victimele sunt piratate de hackerul original, majoritatea au puțină vizibilitate asupra informațiilor sensibile care sunt încărcate și stocate pe VirusTotal și alte forumuri".
Acum adevărul despre ce sa întâmplat cu VirusTotal
VirusTotal din Malaga a lansat un serviciu numit VT Intelligence în 2009 pentru a profita de toate informațiile care vin în acest sens multi antivirus online. Acest portal a fost lansat ca o bază de date mare pentru cercetătorii din sectorul securității cibernetice și companiile cu departamente de securitate, putând accesa toate aceste date cu scopul de a investiga și îmbunătăți securitatea produselor și utilizatorilor acestora.
Acces restricționat la VT Intelligence
Cu alte cuvinte, nici utilizatorii cu licența de 600 USD menționată anterior și nici alți infractori cibernetici nu ar putea accesează astfel de date, nici vreo companie nu ar putea accesa VT Intelligence. Toți cei care au acces trec printr-un proces de verificare pentru a verifica dacă compania este de încredere și de renume, în plus față de un caz de utilizare adecvat pentru a accesa acea bază de date.
Conținutul și sursele bazei de date
Acea bază de date conține informatii foarte diverse, cu amenintari de tot felul, de la malware, la exploit-uri avansate, prin truse de phishing, instrumente de hacking preluate de pe forumuri de hacking underground, carding, jurnal (înregistrări) și fișiere cu acreditări care au fost expuse pe acele site-uri etc.
Tot ceea ce provine din diverse surse:
- Companii
- CERT-uri
- utilizatori anonimi
- Prin API de pe multe alte site-uri
- Etc
Liniştirea utilizatorilor
Prin urmare, atunci când SafeBreach a obținut oricare dintre acele fișiere cu acreditări sau jurnale cu informații sensibile, se datorează faptului că acele date au fost compromise sau scurse înainte de a ajunge la baza de date VT Intelligence. Cu alte cuvinte, VirusTotal nu este sursa din care emană aceste date private, ci mai degrabă este o bază de date intermediară între amenințările care au permis extragerea acestor date și experimentul SafeBreach.
Entitățile cu acces la VT Intelligent pot astfel accesa toate aceste informații la pune solutii sau notifică-ți clienții că este posibil să fi fost afectați de aceste atacuri cibernetice sau scurgeri de informații.
Concluzie
VirusTotal nu poate fi folosit ca sursă pentru a extrage date sensibile după cum sugerează SafeBreach. Acestea sunt acreditări pe care marea majoritate au fost deja modificate când s-a raportat că au fost expuse. Și dacă nu au fost schimbate, probabil că nu vor avea un impact prea mare.
În plus, dacă nu ajungi la VirusTotal, în același mod ar continua să fie expuși pe site-urile de pe care cercetătorii în securitate cibernetică le-au extras.
Singurul lucru pe care SafeBreach l-a făcut, în afară de a crea toată această agitație, este un exercițiu de gândire despre ce s-ar întâmpla dacă un atacator suspectat ar putea obține acces la VT Intelligence.
Zero dramă!