Стас ЮрасовГоряченькое
26 декабря 2023, 14:45
2023-12-26
Интернет-OSINT самих себя. Или какие критические данные можно извлечь из сети о любом онлайн-проекте. Эксперимент
Иногда, чтобы сделать веб-ресурсу больно, не обязательно пытаться его сломать. В интернете достаточно данных о любом сайте, которые могут стать достаточно критичными в руках опытного интернет-мошенника.
Мы попросили экспертов компании GigaCloud провести разведку OSINT: какие данные о нашем сайте dev.ua можно найти в интернете и насколько они критичны.
Вот что получилось
1. Паукам удалось накроулить, что мы удалили такие субдомены в 2022 году:
team.dev.ua
only.dev.ua
mef-dev.dev.ua
huawei-cybersport.dev.ua
Favbet-job.dev.ua
Здесь можно увидеть некоторые спецпроекты, которые мы пытались разработать, но некоторые из них по каким-то причинам так и не вышли. Есть ли среди них компроматы? Вроде бы нет. Но могло произойти и такое, что мы готовили секретный проект, о котором все вдруг узнали.
2. Также удалось найти автора нашего публичного договора — Бондарович Инна. Это могло бы дать возможность злоумышленникам подобрать логины/пароли к учетным записям системы. А хуже всего, что могло бы случиться — злоумышленник мог бы попытаться завербовать инсайдера.
3. Дальнейший анализ айтишников дал понять, что на том же айпишнике, что и наши ресурсы, существует российский сайт bum-tv.ru.
Причина в том, что у CloudFlare, у которого мы заказываем услуги, на одном IP, может быть множество сайтов. И таким образом, если, например, государство заблокирует доступ к bum-tv.ru, то теоретически лечь может и наш сайт.
И это еще не все — удалось найти IP-адрес нашей админ-панели. Теоретически, хакеры могут атаковать не сам ресурс, а админ-панель, чтобы сделать невозможным дальнейшую работу медиа.
4. Также удалось собрать названия почтовых адресов наших сотрудников (правда, не всех). Вместе с айпишном нашей почты — это может стать инструментом в руках хакера, который будет пытаться войти в систему и сделать там все, что он считает нужным: слежка, удаление данных, заражение вирусами и прочее.
Эксперты GigaCloud утверждают, что такая уязвимость может помочь злоумышленникам подобрать пароли к найденным аккаунтам. Другая тактика — пароли можно украсть, используя социальную инженерию, потому что теперь с сотрудниками редакции можно связаться и попытаться выманить критически важные данные.
5. Родственные с нами сайты, о которых бы мы, возможно, не хотели, чтобы узнали другие:
Паукам удалось найти несколько наших проектов, которые либо заморожены (bbbl.dev), либо работают косвенно от нас: klatz-klatz.com.
В нашей ситуации здесь опять-таки нет никаких рисков, потому что это публичные, не серые интернет-проекты. Но представим себе ситуацию, когда у интернет-предпринимателя есть как белый, так и серый бизнес одновременно. Очень быстро можно узнать, что он пытался скрыть.
6. Все наши официальные страницы в социальных сетях
Здесь опять-таки нет ничего опасного для нас, как для СМИ. Но удалось найти и упоминавшие нас страницы. Здесь могут появляться нюансы.
В нашем случае на аккаунтах, которые нас упомянули, нет хейт-кампаний. Но можно предположить, что таким образом злоумышленники могут, например, найти страницы об интернет-бизнесменах, созданных для того, чтобы портить ему репутацию, его нежелательные фотки и другой компромат.
Как объясняют эксперты GigaCloud, соцсети дают еще дополнительную информацию о пользователях и событиях. К примеру, в редакции состоялся корпоратив. Об этом был пост в соцсетях.
Следующий шаг злоумышленников — письмо со ссылкой «Фото из корпоратива». Там обязательно будет фишинговая ссылка.
Вывод: Большинство данных о dev.ua, которые есть в свободном доступе в интернете, не представляют угрозы для нашего бизнеса.
Но есть и моменты, которые действительно могут создать проблему: например, российский сайт, у которого такой же IP-адрес как у нас, или же данные о почтовых адресах (находка для хакера).
На самом деле такой простой OSINT сейчас проводится по тысячам украинских сайтов. И провожают его те, кто действительно хочет найти уязвимости и воспользоваться ими. Ведь Украина находится в стадии войны с рф. Для этого враг использует любые механизмы, чтобы нанести нам максимальный вред.
Топ-4 совета для уменьшения риска во время OSINT-разведки
Итак, что нужно сделать, чтобы злоумышленники во время разведки могли завладеть как можно меньшим массивом данных о вашем бизнесе. Здесь эксперты GigaCloud советуют сделать следующее:
Уменьшить распространение персонифицированных корпоративных аккаунтов. На веб-сайтах, к примеру, указывается почта info@PPPP, а не vasyapupkin@PPPPP. Это также касается публикации корпоративных аккаунтов на Facebook, джоб-сайтах (обычно рекрутеры оставляют персонифицированные данные и личную почту).
Если вы пользуетесь гиперскейлерами безопасности типа CloudFlare, то после переезда на них лучше изменить реальный IP-адрес ресурса, это позволит закрыть его от злоумышленников. И злоумышленники не смогут атаковать по IP.
Когда вы публикуете информацию на Facebook, сайтах в любых открытых источниках, проверьте, точно ли эта информация не вредит безопасности компании. Ведь из корпоративных фотографий и любых данных можно сделать выводы о дальнейшем OSINT.
Любая PR- и маркетинговая информация может дать еду для OSINT, даже если вы этого не желаете. Учите этому сотрудников. Они обязательно должны разумно публиковать свои фото и данные
Что же важно знать
OSINT-разведка — это лишь один из инструментов киберпреступников. Кроме него хакеры используют вредоносное программное обеспечение, воруют пароли, перехватывают трафик, запускают фишинговые и DDoS-атаки. Цель — получить доступ к IT-системам, остановить работу важных узлов IT-инфраструктуры, прервать сделки и бизнес-операции, украсть данные и вызвать простой бизнес.
Хакерские атаки на украинский бизнес и государственные организации стали очень распространенным явлением во время войны. Вспомните хотя бы последнюю атаку на ИТ-инфраструктуру «Киевстар». Она почти на неделю парализовала компанию, а также ее партнеров.
Те компании, которые не имеют в своем штате специалистов по кибербезопасности, должны позаботиться о том, чтобы они у них появились как можно скорее. А также должны позаботиться о безопасности своих IT-систем.
Тем компаниям, для которых IT — не профильное направление, лучше воспользоваться услугами облачных операторов и перенести свои критически важные данные и сервисы в облако.
К примеру, GigaCloud предлагает высокий уровень кибербезопасности, включая брандмауэры и программное обеспечение для мониторинга угроз. Информационная безопасность в облаке подтверждена международными сертификатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP и КСЗИ.
Кроме того, GigaCloud предлагает облачный сервис DRaaS (Disaster Recovery as a Service) для аварийного возобновления работы IT-инфраструктуры на резервной площадке, размещённой на мощностях облачного оператора. То есть инфраструктура клиента работает в облаке или на собственном оборудовании и через определенный промежуток времени копируется в облако GigaCloud.
Но если основная площадка клиента становится частично или полностью недоступна, то в работу включается резервная инфраструктура. Таким образом, даже после самой мощной хакерской атаки бизнес сможет продолжить работать без простой и репутационных потерь.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).