Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Google Virus Total lekt lijst met spookachtige e-mailadressen

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 101
by Paul Ducklin

Vroege disclaimer: dit is niet echt de moeder van alle datalekken, en misschien zelfs niet een jongere neef, dus u kunt zich meteen terugtrekken uit Blue Alert.

Voor zover wij kunnen nagaan, zijn in het ten onrechte gedeelde document alleen namen, e-mailadressen en werkgevers gelekt.

Maar wat voor namen waren dat!

De gelekte lijst vormde blijkbaar een handige e-mail Wie is wie lijst van wereldwijde cyberbeveiligingsexperts van inlichtingendiensten, wetshandhavingsgroepen en dienend militair personeel.

Bedreigingsinformatiebedrijf Opgenomen toekomst en Duitse nieuwssite der Spiegel hebben een breed scala aan slachtoffers opgesomd, waaronder de NSA, de FBI en het Amerikaanse Cyber ​​Command in Amerika, het Duitse BSI (Federal Office for Information Security), het Britse National Cybersecurity Centre...

…en we kunnen doorgaan.

Andere landen met getroffen ministeries zijn blijkbaar, in willekeurige volgorde: Taiwan, Litouwen, Israël, Nederland, Polen, Saoedi-Arabië, Qatar, Frankrijk, de Verenigde Arabische Emiraten, Japan, Estland, Turkije, Tsjechië, Egypte, Colombia, Oekraïne , en Slowakije.

Der Spiegel suggereert dat ook tal van grote Duitse bedrijven werden getroffen, waaronder BMW, Allianz, Mercedes-Benz en Deutsche Telekom.

In totaal werden ongeveer 5600 namen, e-mails en organisatorische affiliaties gelekt.

Hoe is het lek ontstaan?

Het helpt om te onthouden dat Virus Total draait om het delen van monsters, waarbij iedereen ter wereld (of ze nu betalende Virus Total-klanten zijn of niet) verdachte bestanden kan uploaden om twee snelle resultaten te bereiken:

  • Scan de bestanden op malware met behulp van tientallen deelnemende producten. (Sophos is er een.) Merk op dat dit geen manier is om detectiepercentages te vergelijken of om producten te "testen", omdat er slechts één klein onderdeel in elk product wordt gebruikt, namelijk de pre-uitvoering, op bestanden gebaseerde anti-malwarescanner. Maar het is een zeer snelle en handige manier om de vele verschillende detectienamen voor veelvoorkomende malwarefamilies waarmee verschillende producten onvermijdelijk eindigen, ondubbelzinnig te maken.
  • Deel geüploade bestanden snel en veilig met deelnemende leveranciers. Elk bedrijf waarvan het product in de detectiemix zit, kan nieuwe monsters downloaden, of ze deze nu al hebben gedetecteerd of niet, voor verdere analyse en onderzoek. In de begindagen van anti-malwareonderzoek waren programma's voor het delen van voorbeelden doorgaans afhankelijk van PGP-coderingsscripts en gesloten mailinglijsten, maar het op accounts gebaseerde veilige downloadsysteem van Virus Total is veel eenvoudiger, sneller en schaalbaarder dan dat.

In de begindagen van de detectie en preventie van malware waren de meeste voorbeelden zogenaamd uitvoerbare bestandenof programma's die zelden of nooit persoonlijk identificeerbare informatie bevatten.

Hoewel het behulpzaam delen van een met malware geïnfecteerd voorbeeld van een propriëtair programma uiteindelijk zou kunnen leiden tot een klacht van de verkoper op grond van auteursrechten, werd dat soort bezwaar eenvoudig opgelost door het bestand later te verwijderen, aangezien het niet de bedoeling was dat het bestand werd bewaard. geheim, alleen om de juiste licentie te krijgen.

(In het echte leven waren er maar weinig leveranciers die het erg vonden, aangezien de bestanden nooit op grote schaal werden gedeeld, zelden een volledige applicatie-installatie vormden en hoe dan ook specifiek werden gedeeld voor malware-analysedoeleinden, niet voor piraterij.)

Niet-uitvoerbare bestanden die malware bevatten, werden zelden gedeeld en konden gemakkelijk en automatisch worden geïdentificeerd als u er per ongeluk een probeerde te delen, omdat ze de veelbetekenende startbytes van een typisch programmabestand misten.

Voor het geval je het je afvraagt, DOS en Windows .EXE bestanden zijn vanaf de vroegste dagen van MS-DOS begonnen met de teksttekens MZ, die uitkomen als 77 90 in decimaal en als 0x4D 0x5A in hexadecimaal. Hierdoor zijn EXE's gemakkelijk te herkennen en zijn alle niet-EXE's even snel te herkennen. En voor het geval je je afvraagt ​​waarom MZ werd gekozen, is het antwoord dat dit de initialen zijn van Microsoft-programmeur Mark Zbikowski, die in de eerste plaats het bestandsformaat bedacht. Voor wat het waard is, en als bijkomend leuk feit, begonnen geheugenblokken die door DOS werden toegewezen allemaal met de byte M, behalve de allerlaatste in de lijst, die was gemarkeerd met Z.

Gegevensbestanden met toegevoegde code

In 1995 verscheen het eerste Microsoft Word-virus, genaamd Concept want dat is precies wat het was, zij het een nutteloze.

Vanaf dat moment bestaat een aanzienlijk deel van de actieve malwarevoorbeelden uit bestanden die voornamelijk uit privégegevens bestaan, maar waaraan later ongeautoriseerde malwarecode is toegevoegd in de vorm van scripts of programmeermacro's.

Technisch gezien zijn er manieren om dergelijke bestanden eerst van de meeste persoonlijke informatie te ontdoen, zoals het overschrijven van elke numerieke cel in een spreadsheet met de waarde 42, of het vervangen van elk afdrukbaar niet-spatieteken in een document door X or x, maar zelfs dat soort voorbewerking is vatbaar voor problemen.

Ten eerste slaan tal van malwarefamilies stiekem ten minste een deel van hun eigen benodigde gegevens op als toegevoegde informatie in het persoonlijke deel van dergelijke bestanden, zodat het proberen de gevoelige, "niet-deelbare" delen van het bestand te buigen, redigeren of herschrijven, ervoor zorgt dat de malware stopt werken of zich anders gedragen.

Dit verpest eerder het doel van het verzamelen van een real-life monster.

Ten tweede is het op betrouwbare wijze redigeren van alle persoonlijke informatie in complexe, uit meerdere delen bestaande bestanden op zichzelf al een onoplosbaar probleem.

Zelfs ogenschijnlijk opgeschoonde bestanden kunnen niettemin persoonlijke gegevens lekken als u niet oppast, vooral als u bestanden probeert te redigeren die zijn opgeslagen in eigen formaten waarvoor u weinig of geen officiële documentatie heeft.

Kortom, elk uploadsysteem dat bestanden van willekeurig type accepteert, inclusief programma's, scripts, configuratiegegevens, documenten, spreadsheets, afbeeldingen, video's, audio en nog veel meer...

… brengt het risico met zich mee dat zo nu en dan, zonder dat het de bedoeling is, iemand met de beste wil van de wereld onbedoeld een bestand deelt dat nooit had mogen worden vrijgegeven, zelfs niet op basis van werken voor het algemeen belang.

Juiste bestand, verkeerde plaats

En dat is precies wat hier gebeurde.

Een bestand met een gestructureerde lijst van zo'n 5600 namen, e-mailadressen en cyberbeveiligingsrelaties van Virus Total-klanten is per ongeluk geüpload naar de scan- en deelservice van Virus Total...

…door een medewerker binnen Virus Total.

Dit lijkt echt een onschuldige fout te zijn geweest die het bestand onbedoeld met precies de verkeerde mensen heeft gedeeld.

En voordat je tegen jezelf zegt: "Wat dachten ze?"...

…vraag uzelf af hoeveel verschillende bestandsuploadservices uw eigen bedrijf gebruikt voor verschillende doeleinden, en of u ervoor zou terugdeinzen om zelf nooit het juiste bestand op de verkeerde plaats te plaatsen.

Veel bedrijven gebruiken tegenwoordig immers tal van verschillende uitbestede diensten voor verschillende delen van hun zakelijke workflow, dus u kunt volledig verschillende web-uploadportals hebben voor uw vakantieaanvragen, onkostendeclaraties, urenstaten, reisaanvragen, pensioenbijdragen, trainingen, broncode check-ins, verkooprapporten en meer.

Als je ooit de juiste e-mail naar de verkeerde persoon hebt gestuurd (en dat is ook zo!), moet je ervan uitgaan dat het uploaden van het juiste bestand naar de verkeerde plaats het soort fout is dat ook jij zou kunnen maken, waardoor je jezelf afvraagt: "Wat dacht ik?"

Wat te doen?

Hier zijn drie tips, die allemaal veranderingen in de digitale levensstijl zijn in plaats van instellingen of selectievakjes die u eenvoudig kunt inschakelen.

Het is een onpopulair advies, maar uitloggen van online accounts wanneer u ze niet echt gebruikt, is een geweldige manier om te beginnen.

Dat betekent niet noodzakelijk dat u niet stopt met uploaden naar sites die openstaan ​​voor anonieme gebruikers, zoals Virus Total (voor downloads is een ingelogd account vereist, maar voor uploads niet).

Maar het vermindert het risico op onbedoelde interactie met andere sites aanzienlijk, zelfs als alles wat je doet onbedoeld per ongeluk een bericht op sociale media lijkt, terwijl je dat niet wilde.

Als je in het IT-team zit, overweeg controles te plaatsen waarop gebruikers wat voor soort bestanden naar wie kunnen sturen.

U zou kunnen overwegen om firewall uploadregels om te beperken welke bestandstypen naar welke sites kunnen worden verzonden, of om verschillende te activeren beleid ter voorkoming van gegevensverlies in uw endpoint-beveiligingssoftware om gebruikers te waarschuwen wanneer het lijkt alsof ze iets ergens heen willen sturen waar ze dat niet zouden moeten doen.

En als je niet in de IT zit, vat het niet persoonlijk op als u op een dag merkt dat uw uploadvrijheden worden beperkt door een bevel van het beveiligingsteam.

U krijgt tenslotte altijd een tweede kans om een ​​bestand te verzenden dat de eerste keer niet zou worden verzonden, maar u krijgt nooit de kans om het verzenden van een bestand ongedaan te maken dat helemaal niet had moeten worden verzonden.

We durven te wedden dat de Google-medewerker die bij dit incident het verkeerde bestand heeft geüpload, liever nu gaat zitten om met de IT-afdeling te onderhandelen over het versoepelen van al te strikte uploadbeperkingen...

…dan gaan zitten om aan het beveiligingsteam uit te leggen waarom ze het juiste bestand op de verkeerde plaats hebben geüpload.

Als Pink Floyd zou hebben gezongen, in hun vroege dagen, 'Voorzichtig met dat dossier, Eugene!'

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.