Веб-сервисы сканирования файлов на наличие вредоносного ПО, такие как VirusTotal, могут стать очередным постом прослушивания для киберкриминала и хакеров на государевой службе. Из-за того что некоторые организации взяли за правило подавать на проверку каждый файл, документ и письмо, на таких сайтах скапливается уйма персональной, корпоративной и даже закрытой информации.

Ряды экспертов, предостерегающих организации от этой порочной практики, растут, и на саммите SAS были представлены новые тому доказательства. Руководитель подразделения вирусной аналитики в Swisscom AG Маркус Найс (Markus Neis) рассказал, что, исследуя проблему, он создал несколько специализированных Yara-правил, позволивших обнаружить на VirusTotal тысячи писем, помеченных как конфиденциальные, а также корпоративные бизнес-планы и правительственную переписку.

Более того, среди неприятных находок присутствовали 800 циркуляров стандарта STIX, спущенных министерством внутренних дел США, с грифом «ДСП», а также 60 уведомлений от ФБР, предназначенных лишь для внутреннего пользования или для распространения в пределах конкретной отрасли. Найс также отметил, что в документах, загруженных на VirusTotal (и наверняка на другие аналогичные сервисы), часто встречаются ключи PGP, идентификаторы к VPN и закрытые SSH-ключи.

В прошлом году на онлайн-сервисе VirusTotal, принадлежащем Google, были приняты меры по ограничению злоупотреблений, однако лицензированным пользователям предоставляется право скачивать файлы (такое возможно далеко не на всех онлайн-сканерах). Так, Найс загрузил на VirusTotal документ Word со специальным токеном («сигнальной канарейкой»), предупреждающим о каждом доступе к файлу, и за два дня этот файл был растиражирован: его скачали пользователи из США, Германии, России и Польши.

По свидетельству Найса, одним из самых рьяных поставщиков конфиденциальной информации на VirusTotal являются деловые партнеры. Бизнес-данные, предоставляемые аутсорсерам, зачастую автоматически выгружаются на вирусный сканер без ведома их законного владельца. «Подобные загрузки, похоже, общая практика для поставщиков или аутсорсеров в Индии, — говорит Найс. — Индия — один из наиболее активных загрузчиков данных на VirusTotal».

«Беда в том, что вы полностью теряете контроль над своей информацией и шифрование в данном случае бесполезно, — добавляет эксперт. — Поставщик расшифровывает ее и отправляет на VirusTotal».

Доступность критически важных данных весьма привлекательна для тех, кто занимается корпоративным шпионажем или ведет разведку на уровне государства. Так, один производитель оборудования выложил закрытый бизнес-план, принадлежащий американскому интернет-провайдеру. На VirusTotal также обнаружены конфиденциальные данные вендоров элитных автомобилей, телекоммуникационных компаний и многих предприятий из списка Forbes 2000. Найс, с его слов, пытался поставить ФБР в известность о сливе документов с грифом «ДСП», но ответа не получил.

На самом деле исследование Найс начал совсем с другой целью — он просто хотел предупредить возможные атаки на свою компанию. Созданные им Yara-правила позволяли отыскивать информацию, способную затронуть Swisscom, и получать предупреждение, если в загруженном файле присутствуют конкретные данные, к примеру PGP-ключ.

«Вначале подход был именно таким, но в итоге я занялся поиском данных, помеченных как конфиденциальные, для начала взяв за основу маркировку, предусмотренную TLP-протоколом, так как она очень приметная», — рассказывает Найс. (TLP определяет гриф ограничения доступа цветом: белый — неограниченный, зеленый — в пределах отрасли или комьюнити, желтый — для служебного пользования, красный — лишь для поименованных адресатов.)

На VirusTotal исследователь обнаружил также отчеты о вредоносном ПО, составленные по всем правилам и поданные специалистами по ИБ, привлеченными к расследованию. «Эти парни не доверяют даже ИБ-компаниям, у которых просят отчеты, и загружают эти отчеты на VirusTotal», — с изумлением констатирует Найс.

Похоже, что небезопасная практика автоматической загрузки получаемых файлов на онлайн-сканер — явление долговременное. «Надеюсь, со временем до всех дойдет, что репозиторий вредоносного ПО или сервис сканирования не стоит включать в стратегические планы, используя их лишь для того, чтобы удостовериться, что только что полученные данные не представляют угрозы, — заключает Найс. — Не лучше ли вместо этого обратиться за помощью в собственную ИБ-службу? Многие просто тонут во входящем потоке email-писем и вложений, и винить их нельзя, но организациям пора предоставить служащим возможность научиться справляться с этими объемами. А ИБ-службам следует ввести блокировку VirusTotal на прокси-серверах и создать что-нибудь собственное на замену, какой-нибудь центральный перевалочный пункт, с тем чтобы сотрудники службы сами решали, выгружать данные в Интернет или нет».

Категории: Аналитика, Главное, Кибероборона