Інтернет-OSINT самих себе. Або які критичні дані можна витягнути з мережі про будь-який онлайн-проєкт. Експеримент

Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія. 

Залишити коментар
Інтернет-OSINT самих себе. Або які критичні дані можна витягнути з мережі про будь-який онлайн-проєкт. Експеримент

Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія. 

Ми попросили експертів компанії GigaCloud провести розвідку OSINT: які дані про наш сайт dev.ua можна знайти в інтернеті й наскільки вони критичні.

Ось що вийшло

1. Павукам вдалося накроулити, що ми видалили такі субдомени у 2022 році:

  • team.dev.ua
  • only.dev.ua
  • mef-dev.dev.ua
  • huawei-cybersport.dev.ua
  • Favbet-job.dev.ua

Тут можна побачити деякі спецпроєкти, які ми намагалися розробити, але деякі з них з якихось причин так і не побачили світ. Чи є серед них компромати? Нібито немає. Але могло статися й таке, що ми готували таємний проєкт, про який всі раптом дізналися. 

2. Також вдалося знайти автора нашого публічного договору — Бондарович Інна. Це могло б дати змогу зловмисникам підібрати логіни/паролі до облікових записів системи. А найгірше, що могло б трапитися, — зловмисник міг би спробувати завербувати інсайдера. 

Bondarovich Inna дійсно колись працювала на dev. 

3. Подальший аналіз айтішників дав зрозуміти, що на тому ж саме айпішнику, що і наші ресурси, є російський сайт bum-tv.ru.

Причина полягає в тому, що у CloudFlare, в якого ми замовляємо послуги, на одному IP, може бути безліч сайтів. І так, якщо, наприклад, держава заблокує доступ до bum-tv.ru, то теоретично, лягти може і наш сайт.

І це ще не все — вдалося знайти IP-адресу нашої адмін-панелі. Теоретично, хакери можуть атакувати не сам ресурс, а адмін-панель, щоб унеможливити подальшу роботу медіа. 

Оце так сусідство: на CloudFlare ми поряд з якимось руснявим сайтом.

4. Також вдалося зібрати назви поштових адрес наших співробітників (щоправда, не всіх). Разом з айпішником нашої пошти — це може стати інструментом у руках хакера, який буде намагатися ввійти в систему і зробити там все, що він вважає за потрібне: стеження, видалення даних, зараження вірусами та інше. 

Експерти GigaCloud стверджують, що така вразливість може допомогти зловмисникам підібрати паролі до знайдених акаунтів. Інша тактика — паролі можна вкрасти, використовуючи соціальну інженерію, бо тепер зі співробітниками редакції можна зв’язатися і спробувати виманити критично важливі дані.

5. Споріднені з нами сайти, про які б ми, можливо, не хотіли, щоб дізналися інші:

Павукам вдалося знайти декілька наших проєктів, які або заморожені (bbbl.dev), або працюють опосередковано від нас: klatz-klatz.com. 

У нашій ситуації тут знов же немає ніяких ризиків, бо це публічні, не сірі інтернет-проєкти. Але уявімо собі ситуацію, коли інтернет-підприємець має як білий, так і сірий бізнес одночасно. Дуже швидко можна дізнатися про те, що він намагався приховати.

6. Усі наші офіційні сторінки в соціальних мережах

Тут знов же таки немає нічого небезпечного для нас, як для медіа. Але вдалося знайти й сторінки, які нас згадували. Тут же можуть з’являтися нюанси.

У нашому випадку на акаунтах, які нас згадали, немає хейт-кампаній. Але можна припустити, що так зловмисники можуть, наприклад, знайти сторінки про інтернет-бізнесмена, які створили для того, щоб псувати йому репутацію, його небажані фотки та інший компромат. 

Як пояснюють експерти GigaCloud, соцмережі дають ще додаткову інформацію про користувачів та якісь події. Наприклад, у редакції відбувся корпоратив. Про це був пост у соцмережах.

Наступний крок зловмисників — лист із посиланням «Фото з корпоративу». Там обов’язково буде фішингове посилання.

Соцмережі dev.ua, які вдалося виявити 

Висновок: Більшість даних про dev.ua, які є у вільному доступі в інтернеті, не несуть загрози для нашого бізнесу.

Але є і моменти, які дійсно можуть створити проблему: наприклад, російський сайт, в якого такий самий айпішник як у нас, або ж дані про поштові адреси (знахідка для хакера).

Насправді такий простий OSINT зараз проводиться по тисячам українських сайтів. І проводять його ті, хто дійсно хоче знайти вразливості і скористатися ними. Адже Україна перебуває в стадії війни з рф. І тому ворог використовує будь-які механізми, аби заподіяти нам максимальну шкоду.

Топ 4 поради для зменшення ризику під час OSINT-розвідки

Отже, що треба зробити, щоб зловмисники під час розвідки могли заволодіти якомога меншим масивом даних про ваш бізнес. Тут експерти GigaCloud радять зробити наступне:

  1. Зменшити поширення персоніфікованих корпоративних облікових записів. На сайтах, наприклад, вказується пошта info@PPPP, а не vasyapupkin@PPPPP. Це також стосується публікації корпоративних акаунтів на Фейсбуці, джоб-сайтах (зазвичай рекрутери залишають персоніфіковані дані та особисту пошту).
  2. Якщо ви користуєтеся гіперскейлерами безпеки типу CloudFlare, то після переїзду на них краще змінити реальну IP-адресу ресурсу, це дасть змогу закрити її від зловмисників. І зловмисники не зможуть атакувати по IP. 
  3. Коли ви публікуєте інформацію на Facebook, сайтах у будь-яких відкритих джерелах, перевірте, чи точно ця інформація не шкодить безпеці компанії. Адже з корпоративних фотографій та будь-яких даних можна зробити висновки щодо подальшого OSINT.
  4. Будь-яка PR- і маркетингова інформація може дати їжу для OSINT, навіть якщо ви не бажаєте того. Навчайте цього співробітників. Вони обов’язково мають розумно публікувати свої фото та дані

Що ще важливо знати

OSINT-розвідка ― це лише один з інструментів кіберзлочинців. Окрім нього хакери використовують шкідливе програмне забезпечення, крадуть паролі, перехоплюють трафік, запускають фішингові та DDoS-атаки. Мета ― отримати доступ до IT-систем, зупинити роботу важливих вузлів IT-інфраструктури, перервати угоди та бізнес-операції, вкрасти дані та спричинити простій бізнесу. 

Хакерські атаки на український бізнес та державні організації стали дуже поширеним явищем під час великої війни. Згадайте, хоча б останню атаку на ІТ-інфраструктуру «Київстар». Вона майже на тиждень паралізувала компанію, а також її партнерів.

Ті компанії, які не мають у своєму штаті фахівців із кібербезпеки, мають подбати про те, щоб вони у них з’явилися якомога швидше. А також мають подбати про безпеку своїх IT-систем. 

Тим компаніям, для яких IT ― не є профільним напрямом, краще скористатися послугами хмарних операторів і перенести свої критично важливі дані та сервіси у хмару

Наприклад, GigaCloud пропонує високий рівень кібербезпеки, включно з брандмауерами та програмним забезпеченням для моніторингу загроз. Також інформаційна безпека у хмарі підтверджена міжнародними сертифікатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP та КСЗІ.

«Щороку ми проходимо ресертифікацію наших хмарних рішень і підтверджуємо відповідність вимогам до кібербезпеки. Хмара також має більшу пропускну здатність, ніж більшість приватних мереж, тому вона, швидше за все, не вийде з ладу, якщо виявиться під тиском посилених атак», — підкреслюють у GigaCloud

Крім того, GigaCloud пропонує хмарний сервіс DRaaS (Disaster Recovery as a Service) для аварійного відновлення роботи IT-інфраструктури на резервному майданчику, розміщеному на потужностях хмарного оператора. Тобто інфраструктура клієнта працює в хмарі чи на власному обладнанні та через певний проміжок часу копіюється в хмару GigaCloud.

Але якщо основний майданчик клієнта стає частково або повністю недоступним, то в роботу включається резервна інфраструктура. Так навіть після найпотужнішої хакерської атаки бізнес зможе продовжити працювати без простою та репутаційних втрат. 

Ukrainian Underdogs до 2-ї річниці повномасштабного вторгнення росії.

Про малий і середній технологічний бізнес, заснований під час війни

УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.