VirusTotal: золотое дно для сбора данных

Веб ресурсы для проверки файлов на вредоносное ПО, могут стать кладезем, для сбора персональной и бизнес информации.

Маркус Найс, руководитель подразделения вирусной аналитики в Swisscom AG, на саммите SAS  рассказал о своем эксперименте, который доказал, что с подобных ресурсов информация может очень быстро уйти на сторону. Он создал несколько специализированных Yara-правил, которые позволили ему на веб-ресурсе VirusTotal находить файлы и письма, помеченные, как конфиденциальные, и он их нашел! И не только конфиденциальную информацию, но и бизнес-планы и даже правительственную переписку.

Маркус обнаружил около 800 циркуляров стандарта STIX с грифом «ДСП» (для служебного пользования) от министерства внутренних дел США,  а так же около 60-ти документов от ФБР предназначенных для внутреннего пользования. Немаловажным фактом является и то, что в некоторых документах были обнаружены ключи PGP, внутренние идентификаторы VPN, а так же закрытые SSH-ключи, что может крайне негативно сказаться на кибербезопасности.

Несмотря на то, что Google, которая владеет VirusTotal, ранее, приняла ряд защитных мере, очень многие лицензированные пользователи VirusTotal могут с легкостью скачать любой загруженный документ. Маркус провел следующий эксперимент, он создал документ Word со специальным токеном («сигнальной канарейкой»), который предупреждал его всякий раз, когда к его файлу было обращение. Всего за пару дней, этот файл был скачан несколько раз, пользователями из США, России, Германии и Польши.

Маркус так же заявил, что глобальным поставщиком персональной информации на VirusTotal являются деловые партнеры, многочисленные аутсорсеры автоматом выгружают все поступающие документы на этот вирусный сканер, зачастую без ведома владельца этой информации. Самыми яростными «сливщиками» персональной и деловой информации являются аутсорсеры Индии.

Самое печальное в том, что загрузив такую информацию на VirusTota и ему подобные веб-ресурсы, вы полностью теряете контроль над этой информацией, а это в свою очередь может навредить не только безопасности, но и бизнесу. Как пример, на все том же веб-ресурсе VirusTotal был обнаружен закрытый бизнес-план одного из поставщиков оборудования.

Что можно предпринять в этом случае?

Самая простая рекомендация, это тщательно проверять, какую информацию вы  и ваши партнеры загружаете на подобные веб-ресурсы. Если вы представители бизнеса, создайте собственное ИБ, которое будет следить и принимать решения, что загружать на эти веб-ресурсы, а что нет.