Сервис проверки на вредность – кладезь бизнес-данных

10.04.2017 | 14:02
Веб-сервисы сканирования файлов на наличие вредоносного ПО, такие как VirusTotal, могут стать очередным постом прослушивания для киберкриминала и хакеров на государевой службе. Из-за того, что некоторые организации взяли за правило подавать на проверку каждый файл, документ и письмо, на таких сайтах скапливается уйма персональной, корпоративной и даже закрытой информации.

Ряды экспертов, предостерегающих организации от этой порочной практики, растут, и на саммите SAS были представлены новые тому доказательства. Руководитель подразделения вирусной аналитики в Swisscom AG Маркус Найс (Markus Neis) рассказал, что, исследуя проблему, он создал несколько специализированных Yara-правил, позволивших обнаружить на VirusTotal тысячи писем, помеченных как конфиденциальные, а также корпоративные бизнес-планы и правительственную переписку.

Более того, среди неприятных находок присутствовали 800 циркуляров стандарта STIX, спущенных министерством внутренних дел США с грифом «ДСП», а также 60 уведомлений от ФБР, предназначенных лишь для внутреннего пользования или для распространения в пределах конкретной отрасли. Найс также отметил, что в документах, загруженных на VirusTotal (и наверняка на другие аналогичные сервисы) часто встречаются ключи PGP, идентификаторы к VPN и закрытые SSH-ключи.

В прошлом году на онлайн-сервисе VirusTotal, принадлежащем Google, были приняты меры по ограничению злоупотреблений, однако лицензированным пользователям предоставляется право скачивать файлы (такое возможно далеко не на всех онлайн-сканерах). Так, Найс загрузил на VirusTotal документ Word со специальным токеном («сигнальной канарейкой»), предупреждающем о каждом доступе к файлу, и за два дня этот файл был растиражирован: его скачали пользователи из США, Германии, России и Польши.

По свидетельству Найса, одним из самых рьяных поставщиков конфиденциальной информации на VirusTotal являются деловые партнеры. Бизнес-данные, предоставляемые аутсорсерам, зачастую автоматически выгружаются на вирусный сканер без ведома их законного владельца. «Подобные загрузки – похоже, общая практика для поставщиков или аутсорсеров в Индии, – говорит Найс. – Индия – один из наиболее активных загрузчиков данных на VirusTotal».

«Беда в том, что вы полностью теряете контроль над своей информацией и шифрование в данном случае бесполезно, – добавляет эксперт. – Поставщик расшифровывает ее и отправляет на VirusTotal».

Доступность критически важных данных весьма привлекательна для тех, кто занимается корпоративным шпионажем или ведет разведку на уровне государства. Так, один производитель оборудования выложил закрытый бизнес-план, принадлежащий американскому интернет-провайдеру. На VirusTotal также обнаружены конфиденциальные данные вендоров элитных автомобилей, телекоммуникационных компаний и многих предприятий из списка Forbes 2000. Найс, с его слов, пытался поставить ФБР в известность о сливе документов с грифом «ДСП», но ответа не получил.

На самом деле исследование Найс начал совсем с другой целью, он просто хотел предупредить возможные атаки на свою компанию. Созданные им Yara-правила позволяли отыскивать информацию, способную затронуть Swisscom, и получать предупреждение, если в загруженном файле присутствуют конкретные данные – к примеру, PGP-ключ.

«Вначале подход был именно таким, но в итоге я занялся поиском данных, помеченных как конфиденциальные, для начала взяв за основу маркировку, предусмотренную TLP-протоколом, так как она очень приметная», – рассказывает Найс. (TLP определяет гриф ограничения доступа цветом: белый – неограниченный, зеленый – в пределах отрасли или комьюнити, желтый – для служебного пользования, красный – лишь для поименованных адресатов.)

На VirusTotal исследователь обнаружил также отчеты о вредоносном ПО, составленные по всем правилам и поданные специалистами по ИБ, привлеченными к расследованию. «Эти парни не доверяют даже ИБ-компаниям, у которых просят отчеты, и загружают эти отчеты на VirusTotal», – с изумлением констатирует Найс.

Похоже, что небезопасная практика автоматической загрузки получаемых файлов на онлайн-сканер – явление долговременное. «Надеюсь, со временем до всех дойдет, что репозиторий вредоносного ПО или сервис сканирования не стоит включать в стратегические планы, используя их лишь для того, чтобы удостовериться, что только что полученные данные не представляют угрозы, – заключает Найс. – Не лучше ли вместо этого обратиться за помощью в собственную ИБ-службу? Многие просто тонут во входящем потоке email-писем и вложений, и винить их нельзя, но организациям пора предоставить служащим возможность научиться справляться с этими объемами. А ИБ-службам следует ввести блокировку VirusTotal на прокси-серверах и создать что-нибудь собственное на замену, какой-нибудь центральный перевалочный пункт, с тем чтобы сотрудники службы сами решали, выгружать данные в интернет или нет».
Сервис, проверка на вредность, бизнес-данные
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код