Стас ЮрасовГаряченьке
26 грудня 2023, 14:45
2023-12-26
Інтернет-OSINT самих себе. Або які критичні дані можна витягнути з мережі про будь-який онлайн-проєкт. Експеримент
Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія.
Ми попросили експертів компанії GigaCloud провести розвідку OSINT: які дані про наш сайт dev.ua можна знайти в інтернеті й наскільки вони критичні.
Ось що вийшло
1. Павукам вдалося накроулити, що ми видалили такі субдомени у 2022 році:
team.dev.ua
only.dev.ua
mef-dev.dev.ua
huawei-cybersport.dev.ua
Favbet-job.dev.ua
Тут можна побачити деякі спецпроєкти, які ми намагалися розробити, але деякі з них з якихось причин так і не побачили світ. Чи є серед них компромати? Нібито немає. Але могло статися й таке, що ми готували таємний проєкт, про який всі раптом дізналися.
2. Також вдалося знайти автора нашого публічного договору — ******ич *****а. Це могло б дати змогу зловмисникам підібрати логіни/паролі до облікових записів системи. А найгірше, що могло б трапитися, — зловмисник міг би спробувати завербувати інсайдера.
3. Подальший аналіз айтішників дав зрозуміти, що на тому ж саме айпішнику, що і наші ресурси, є російський сайт bum-tv.ru.
Причина полягає в тому, що у CloudFlare, в якого ми замовляємо послуги, на одному IP, може бути безліч сайтів. І так, якщо, наприклад, держава заблокує доступ до bum-tv.ru, то теоретично, лягти може і наш сайт.
І це ще не все — вдалося знайти IP-адресу нашої адмін-панелі. Теоретично, хакери можуть атакувати не сам ресурс, а адмін-панель, щоб унеможливити подальшу роботу медіа.
4. Також вдалося зібрати назви поштових адрес наших співробітників (щоправда, не всіх). Разом з айпішником нашої пошти — це може стати інструментом у руках хакера, який буде намагатися ввійти в систему і зробити там все, що він вважає за потрібне: стеження, видалення даних, зараження вірусами та інше.
Експерти GigaCloud стверджують, що така вразливість може допомогти зловмисникам підібрати паролі до знайдених акаунтів. Інша тактика — паролі можна вкрасти, використовуючи соціальну інженерію, бо тепер зі співробітниками редакції можна зв’язатися і спробувати виманити критично важливі дані.
5. Споріднені з нами сайти, про які б ми, можливо, не хотіли, щоб дізналися інші:
Павукам вдалося знайти декілька наших проєктів, які або заморожені (bbbl.dev), або працюють опосередковано від нас: klatz-klatz.com.
У нашій ситуації тут знов же немає ніяких ризиків, бо це публічні, не сірі інтернет-проєкти. Але уявімо собі ситуацію, коли інтернет-підприємець має як білий, так і сірий бізнес одночасно. Дуже швидко можна дізнатися про те, що він намагався приховати.
6. Усі наші офіційні сторінки в соціальних мережах
Тут знов же таки немає нічого небезпечного для нас, як для медіа. Але вдалося знайти й сторінки, які нас згадували. Тут же можуть з’являтися нюанси.
У нашому випадку на акаунтах, які нас згадали, немає хейт-кампаній. Але можна припустити, що так зловмисники можуть, наприклад, знайти сторінки про інтернет-бізнесмена, які створили для того, щоб псувати йому репутацію, його небажані фотки та інший компромат.
Як пояснюють експерти GigaCloud, соцмережі дають ще додаткову інформацію про користувачів та якісь події. Наприклад, у редакції відбувся корпоратив. Про це був пост у соцмережах.
Наступний крок зловмисників — лист із посиланням «Фото з корпоративу». Там обов’язково буде фішингове посилання.
Висновок: Більшість даних про dev.ua, які є у вільному доступі в інтернеті, не несуть загрози для нашого бізнесу.
Але є і моменти, які дійсно можуть створити проблему: наприклад, російський сайт, в якого такий самий айпішник як у нас, або ж дані про поштові адреси (знахідка для хакера).
Насправді такий простий OSINT зараз проводиться по тисячам українських сайтів. І проводять його ті, хто дійсно хоче знайти вразливості і скористатися ними. Адже Україна перебуває в стадії війни з рф. І тому ворог використовує будь-які механізми, аби заподіяти нам максимальну шкоду.
Топ 4 поради для зменшення ризику під час OSINT-розвідки
Отже, що треба зробити, щоб зловмисники під час розвідки могли заволодіти якомога меншим масивом даних про ваш бізнес. Тут експерти GigaCloud радять зробити наступне:
Зменшити поширення персоніфікованих корпоративних облікових записів. На сайтах, наприклад, вказується пошта info@PPPP, а не vasyapupkin@PPPPP. Це також стосується публікації корпоративних акаунтів на Фейсбуці, джоб-сайтах (зазвичай рекрутери залишають персоніфіковані дані та особисту пошту).
Якщо ви користуєтеся гіперскейлерами безпеки типу CloudFlare, то після переїзду на них краще змінити реальну IP-адресу ресурсу, це дасть змогу закрити її від зловмисників. І зловмисники не зможуть атакувати по IP.
Коли ви публікуєте інформацію на Facebook, сайтах у будь-яких відкритих джерелах, перевірте, чи точно ця інформація не шкодить безпеці компанії. Адже з корпоративних фотографій та будь-яких даних можна зробити висновки щодо подальшого OSINT.
Будь-яка PR- і маркетингова інформація може дати їжу для OSINT, навіть якщо ви не бажаєте того. Навчайте цього співробітників. Вони обов’язково мають розумно публікувати свої фото та дані
Що ще важливо знати
OSINT-розвідка ― це лише один з інструментів кіберзлочинців. Окрім нього хакери використовують шкідливе програмне забезпечення, крадуть паролі, перехоплюють трафік, запускають фішингові та DDoS-атаки. Мета ― отримати доступ до IT-систем, зупинити роботу важливих вузлів IT-інфраструктури, перервати угоди та бізнес-операції, вкрасти дані та спричинити простій бізнесу.
Хакерські атаки на український бізнес та державні організації стали дуже поширеним явищем під час великої війни. Згадайте, хоча б останню атаку на ІТ-інфраструктуру «Київстар». Вона майже на тиждень паралізувала компанію, а також її партнерів.
Ті компанії, які не мають у своєму штаті фахівців із кібербезпеки, мають подбати про те, щоб вони у них з’явилися якомога швидше. А також мають подбати про безпеку своїх IT-систем.
Тим компаніям, для яких IT ― не є профільним напрямом, краще скористатися послугами хмарних операторів і перенести свої критично важливі дані та сервіси у хмару.
Наприклад, GigaCloud пропонує високий рівень кібербезпеки, включно з брандмауерами та програмним забезпеченням для моніторингу загроз. Також інформаційна безпека у хмарі підтверджена міжнародними сертифікатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP та КСЗІ.
Крім того, GigaCloud пропонує хмарний сервіс DRaaS (Disaster Recovery as a Service) для аварійного відновлення роботи IT-інфраструктури на резервному майданчику, розміщеному на потужностях хмарного оператора. Тобто інфраструктура клієнта працює в хмарі чи на власному обладнанні та через певний проміжок часу копіюється в хмару GigaCloud.
Але якщо основний майданчик клієнта стає частково або повністю недоступним, то в роботу включається резервна інфраструктура. Так навіть після найпотужнішої хакерської атаки бізнес зможе продовжити працювати без простою та репутаційних втрат.