🚀 Trustee Plus - картка європейського банку і криптогаманець. Встанови додаток 👉

Інтернет-OSINT самих себе. Або які критичні дані можна витягнути з мережі про будь-який онлайн-проєкт. Експеримент

Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія. 

Залишити коментар
Інтернет-OSINT самих себе. Або які критичні дані можна витягнути з мережі про будь-який онлайн-проєкт. Експеримент

Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія. 

Ми попросили експертів компанії GigaCloud провести розвідку OSINT: які дані про наш сайт dev.ua можна знайти в інтернеті й наскільки вони критичні.

Ось що вийшло

1. Павукам вдалося накроулити, що ми видалили такі субдомени у 2022 році:

  • team.dev.ua
  • only.dev.ua
  • mef-dev.dev.ua
  • huawei-cybersport.dev.ua
  • Favbet-job.dev.ua

Тут можна побачити деякі спецпроєкти, які ми намагалися розробити, але деякі з них з якихось причин так і не побачили світ. Чи є серед них компромати? Нібито немає. Але могло статися й таке, що ми готували таємний проєкт, про який всі раптом дізналися. 

2. Також вдалося знайти автора нашого публічного договору — ******ич *****а. Це могло б дати змогу зловмисникам підібрати логіни/паролі до облікових записів системи. А найгірше, що могло б трапитися, — зловмисник міг би спробувати завербувати інсайдера. 

3. Подальший аналіз айтішників дав зрозуміти, що на тому ж саме айпішнику, що і наші ресурси, є російський сайт bum-tv.ru.

Причина полягає в тому, що у CloudFlare, в якого ми замовляємо послуги, на одному IP, може бути безліч сайтів. І так, якщо, наприклад, держава заблокує доступ до bum-tv.ru, то теоретично, лягти може і наш сайт.

І це ще не все — вдалося знайти IP-адресу нашої адмін-панелі. Теоретично, хакери можуть атакувати не сам ресурс, а адмін-панель, щоб унеможливити подальшу роботу медіа. 

Оце так сусідство: на CloudFlare ми поряд з якимось руснявим сайтом.

4. Також вдалося зібрати назви поштових адрес наших співробітників (щоправда, не всіх). Разом з айпішником нашої пошти — це може стати інструментом у руках хакера, який буде намагатися ввійти в систему і зробити там все, що він вважає за потрібне: стеження, видалення даних, зараження вірусами та інше. 

Експерти GigaCloud стверджують, що така вразливість може допомогти зловмисникам підібрати паролі до знайдених акаунтів. Інша тактика — паролі можна вкрасти, використовуючи соціальну інженерію, бо тепер зі співробітниками редакції можна зв’язатися і спробувати виманити критично важливі дані.

5. Споріднені з нами сайти, про які б ми, можливо, не хотіли, щоб дізналися інші:

Павукам вдалося знайти декілька наших проєктів, які або заморожені (bbbl.dev), або працюють опосередковано від нас: klatz-klatz.com. 

У нашій ситуації тут знов же немає ніяких ризиків, бо це публічні, не сірі інтернет-проєкти. Але уявімо собі ситуацію, коли інтернет-підприємець має як білий, так і сірий бізнес одночасно. Дуже швидко можна дізнатися про те, що він намагався приховати.

6. Усі наші офіційні сторінки в соціальних мережах

Тут знов же таки немає нічого небезпечного для нас, як для медіа. Але вдалося знайти й сторінки, які нас згадували. Тут же можуть з’являтися нюанси.

У нашому випадку на акаунтах, які нас згадали, немає хейт-кампаній. Але можна припустити, що так зловмисники можуть, наприклад, знайти сторінки про інтернет-бізнесмена, які створили для того, щоб псувати йому репутацію, його небажані фотки та інший компромат. 

Як пояснюють експерти GigaCloud, соцмережі дають ще додаткову інформацію про користувачів та якісь події. Наприклад, у редакції відбувся корпоратив. Про це був пост у соцмережах.

Наступний крок зловмисників — лист із посиланням «Фото з корпоративу». Там обов’язково буде фішингове посилання.

Соцмережі dev.ua, які вдалося виявити 

Висновок: Більшість даних про dev.ua, які є у вільному доступі в інтернеті, не несуть загрози для нашого бізнесу.

Але є і моменти, які дійсно можуть створити проблему: наприклад, російський сайт, в якого такий самий айпішник як у нас, або ж дані про поштові адреси (знахідка для хакера).

Насправді такий простий OSINT зараз проводиться по тисячам українських сайтів. І проводять його ті, хто дійсно хоче знайти вразливості і скористатися ними. Адже Україна перебуває в стадії війни з рф. І тому ворог використовує будь-які механізми, аби заподіяти нам максимальну шкоду.

Топ 4 поради для зменшення ризику під час OSINT-розвідки

Отже, що треба зробити, щоб зловмисники під час розвідки могли заволодіти якомога меншим масивом даних про ваш бізнес. Тут експерти GigaCloud радять зробити наступне:

  1. Зменшити поширення персоніфікованих корпоративних облікових записів. На сайтах, наприклад, вказується пошта info@PPPP, а не vasyapupkin@PPPPP. Це також стосується публікації корпоративних акаунтів на Фейсбуці, джоб-сайтах (зазвичай рекрутери залишають персоніфіковані дані та особисту пошту).
  2. Якщо ви користуєтеся гіперскейлерами безпеки типу CloudFlare, то після переїзду на них краще змінити реальну IP-адресу ресурсу, це дасть змогу закрити її від зловмисників. І зловмисники не зможуть атакувати по IP. 
  3. Коли ви публікуєте інформацію на Facebook, сайтах у будь-яких відкритих джерелах, перевірте, чи точно ця інформація не шкодить безпеці компанії. Адже з корпоративних фотографій та будь-яких даних можна зробити висновки щодо подальшого OSINT.
  4. Будь-яка PR- і маркетингова інформація може дати їжу для OSINT, навіть якщо ви не бажаєте того. Навчайте цього співробітників. Вони обов’язково мають розумно публікувати свої фото та дані

Що ще важливо знати

OSINT-розвідка ― це лише один з інструментів кіберзлочинців. Окрім нього хакери використовують шкідливе програмне забезпечення, крадуть паролі, перехоплюють трафік, запускають фішингові та DDoS-атаки. Мета ― отримати доступ до IT-систем, зупинити роботу важливих вузлів IT-інфраструктури, перервати угоди та бізнес-операції, вкрасти дані та спричинити простій бізнесу. 

Хакерські атаки на український бізнес та державні організації стали дуже поширеним явищем під час великої війни. Згадайте, хоча б останню атаку на ІТ-інфраструктуру «Київстар». Вона майже на тиждень паралізувала компанію, а також її партнерів.

Ті компанії, які не мають у своєму штаті фахівців із кібербезпеки, мають подбати про те, щоб вони у них з’явилися якомога швидше. А також мають подбати про безпеку своїх IT-систем. 

Тим компаніям, для яких IT ― не є профільним напрямом, краще скористатися послугами хмарних операторів і перенести свої критично важливі дані та сервіси у хмару

Наприклад, GigaCloud пропонує високий рівень кібербезпеки, включно з брандмауерами та програмним забезпеченням для моніторингу загроз. Також інформаційна безпека у хмарі підтверджена міжнародними сертифікатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP та КСЗІ.

«Щороку ми проходимо ресертифікацію наших хмарних рішень і підтверджуємо відповідність вимогам до кібербезпеки. Хмара також має більшу пропускну здатність, ніж більшість приватних мереж, тому вона, швидше за все, не вийде з ладу, якщо виявиться під тиском посилених атак», — підкреслюють у GigaCloud

Крім того, GigaCloud пропонує хмарний сервіс DRaaS (Disaster Recovery as a Service) для аварійного відновлення роботи IT-інфраструктури на резервному майданчику, розміщеному на потужностях хмарного оператора. Тобто інфраструктура клієнта працює в хмарі чи на власному обладнанні та через певний проміжок часу копіюється в хмару GigaCloud.

Але якщо основний майданчик клієнта стає частково або повністю недоступним, то в роботу включається резервна інфраструктура. Так навіть після найпотужнішої хакерської атаки бізнес зможе продовжити працювати без простою та репутаційних втрат. 

Підключай Megogo зі знижками за акційними тарифами.

від 99 гривень на місяць

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.