Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія.
Іноді, щоб зробити вебресурсу боляче, не обов’язково намагатися його зламати. В інтернеті достатньо даних про будь-який сайт, які можуть стати доволі критичними в руках досвідченого інтернет-злодія.
Ми попросили експертів компанії GigaCloud провести розвідку OSINT: які дані про наш сайт dev.ua можна знайти в інтернеті й наскільки вони критичні.
1. Павукам вдалося накроулити, що ми видалили такі субдомени у 2022 році:
Тут можна побачити деякі спецпроєкти, які ми намагалися розробити, але деякі з них з якихось причин так і не побачили світ. Чи є серед них компромати? Нібито немає. Але могло статися й таке, що ми готували таємний проєкт, про який всі раптом дізналися.
2. Також вдалося знайти автора нашого публічного договору — Бондарович Інна. Це могло б дати змогу зловмисникам підібрати логіни/паролі до облікових записів системи. А найгірше, що могло б трапитися, — зловмисник міг би спробувати завербувати інсайдера.
3. Подальший аналіз айтішників дав зрозуміти, що на тому ж саме айпішнику, що і наші ресурси, є російський сайт bum-tv.ru.
Причина полягає в тому, що у CloudFlare, в якого ми замовляємо послуги, на одному IP, може бути безліч сайтів. І так, якщо, наприклад, держава заблокує доступ до bum-tv.ru, то теоретично, лягти може і наш сайт.
І це ще не все — вдалося знайти IP-адресу нашої адмін-панелі. Теоретично, хакери можуть атакувати не сам ресурс, а адмін-панель, щоб унеможливити подальшу роботу медіа.
4. Також вдалося зібрати назви поштових адрес наших співробітників (щоправда, не всіх). Разом з айпішником нашої пошти — це може стати інструментом у руках хакера, який буде намагатися ввійти в систему і зробити там все, що він вважає за потрібне: стеження, видалення даних, зараження вірусами та інше.
Експерти GigaCloud стверджують, що така вразливість може допомогти зловмисникам підібрати паролі до знайдених акаунтів. Інша тактика — паролі можна вкрасти, використовуючи соціальну інженерію, бо тепер зі співробітниками редакції можна зв’язатися і спробувати виманити критично важливі дані.
5. Споріднені з нами сайти, про які б ми, можливо, не хотіли, щоб дізналися інші:
Павукам вдалося знайти декілька наших проєктів, які або заморожені (bbbl.dev), або працюють опосередковано від нас: klatz-klatz.com.
У нашій ситуації тут знов же немає ніяких ризиків, бо це публічні, не сірі інтернет-проєкти. Але уявімо собі ситуацію, коли інтернет-підприємець має як білий, так і сірий бізнес одночасно. Дуже швидко можна дізнатися про те, що він намагався приховати.
6. Усі наші офіційні сторінки в соціальних мережах
Тут знов же таки немає нічого небезпечного для нас, як для медіа. Але вдалося знайти й сторінки, які нас згадували. Тут же можуть з’являтися нюанси.
У нашому випадку на акаунтах, які нас згадали, немає хейт-кампаній. Але можна припустити, що так зловмисники можуть, наприклад, знайти сторінки про інтернет-бізнесмена, які створили для того, щоб псувати йому репутацію, його небажані фотки та інший компромат.
Як пояснюють експерти GigaCloud, соцмережі дають ще додаткову інформацію про користувачів та якісь події. Наприклад, у редакції відбувся корпоратив. Про це був пост у соцмережах.
Наступний крок зловмисників — лист із посиланням «Фото з корпоративу». Там обов’язково буде фішингове посилання.
Висновок: Більшість даних про dev.ua, які є у вільному доступі в інтернеті, не несуть загрози для нашого бізнесу.
Але є і моменти, які дійсно можуть створити проблему: наприклад, російський сайт, в якого такий самий айпішник як у нас, або ж дані про поштові адреси (знахідка для хакера).
Насправді такий простий OSINT зараз проводиться по тисячам українських сайтів. І проводять його ті, хто дійсно хоче знайти вразливості і скористатися ними. Адже Україна перебуває в стадії війни з рф. І тому ворог використовує будь-які механізми, аби заподіяти нам максимальну шкоду.
Отже, що треба зробити, щоб зловмисники під час розвідки могли заволодіти якомога меншим масивом даних про ваш бізнес. Тут експерти GigaCloud радять зробити наступне:
OSINT-розвідка ― це лише один з інструментів кіберзлочинців. Окрім нього хакери використовують шкідливе програмне забезпечення, крадуть паролі, перехоплюють трафік, запускають фішингові та DDoS-атаки. Мета ― отримати доступ до IT-систем, зупинити роботу важливих вузлів IT-інфраструктури, перервати угоди та бізнес-операції, вкрасти дані та спричинити простій бізнесу.
Хакерські атаки на український бізнес та державні організації стали дуже поширеним явищем під час великої війни. Згадайте, хоча б останню атаку на ІТ-інфраструктуру «Київстар». Вона майже на тиждень паралізувала компанію, а також її партнерів.
Ті компанії, які не мають у своєму штаті фахівців із кібербезпеки, мають подбати про те, щоб вони у них з’явилися якомога швидше. А також мають подбати про безпеку своїх IT-систем.
Тим компаніям, для яких IT ― не є профільним напрямом, краще скористатися послугами хмарних операторів і перенести свої критично важливі дані та сервіси у хмару.
Наприклад, GigaCloud пропонує високий рівень кібербезпеки, включно з брандмауерами та програмним забезпеченням для моніторингу загроз. Також інформаційна безпека у хмарі підтверджена міжнародними сертифікатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP та КСЗІ.
«Щороку ми проходимо ресертифікацію наших хмарних рішень і підтверджуємо відповідність вимогам до кібербезпеки. Хмара також має більшу пропускну здатність, ніж більшість приватних мереж, тому вона, швидше за все, не вийде з ладу, якщо виявиться під тиском посилених атак», — підкреслюють у GigaCloud.
Крім того, GigaCloud пропонує хмарний сервіс DRaaS (Disaster Recovery as a Service) для аварійного відновлення роботи IT-інфраструктури на резервному майданчику, розміщеному на потужностях хмарного оператора. Тобто інфраструктура клієнта працює в хмарі чи на власному обладнанні та через певний проміжок часу копіюється в хмару GigaCloud.
Але якщо основний майданчик клієнта стає частково або повністю недоступним, то в роботу включається резервна інфраструктура. Так навіть після найпотужнішої хакерської атаки бізнес зможе продовжити працювати без простою та репутаційних втрат.
