Dokumenty prywatne dostępne publicznie, czyli jak (nie) korzystać ze skanerów

O tym, że nie należy w publicznych serwisach umieszczać poufnych dokumentów, wiedzą chyba wszyscy. Nie wszyscy jednak zdają sobie sprawę z tego, że w niektórych serwisach wszystkie dokumenty są dostępne publicznie.

Jeśli czytasz ten artykuł, to najprawdopodobniej jesteś świadomym użytkownikiem i potrafisz ustrzec się przed najprostszymi zagrożeniami w sieci. W formie prostego testu załóżmy więc taki scenariusz – otrzymujesz e-mail, którego się nie spodziewałeś, z załącznikiem w formacie PDF. Treść wiadomości wskazuje na to, że mogą to być ważne dokumenty. Co robisz?

W większości przypadków, jeśli nie spodziewamy się poczty np. z fakturą czy umową, możemy nabrać podejrzeń – i słusznie. Część z nas wrzuci taki mail do kosza, inni sklasyfikują go jako spam. Niektórzy uruchomią załącznik w odseparowanym środowisku, sprawdzając zarówno treść, jak i potencjalną szkodliwość.

Wielu użytkowników korzysta z ogólnodostępnych usług, które oferują własny sandbox i w przejrzystej formie wyświetlają rezultaty analizy. Takie serwisy to chociażby Hybrid Analysis oraz ANY.RUN. W tym artykule skupię się na tym drugim, choć jego alternatywy również oferują opisywane funkcje.

Jeśli chcemy wgrać swoje pliki do wirtualnego środowiska, wystarczy tylko założyć konto – nawet korzystając z tymczasowego adresu e-mail, jak chociażby Guerrilla Mail. Darmowa usługa pozwala na aktywne skanowanie do pięciu minut, co najczęściej wystarcza, by wykryć zaszyty w pliku złośliwy skrypt, na przykład przekierowujący na szkodliwe strony lub pobierający osobny malware.

Często jednak możemy nie zdawać sobie sprawy (jeśli nie czytamy warunków użytkowania), że wyniki analizy są dostępne publicznie. Wniosek? Jeśli wgramy do analizy wspomniany na początku artykułu PDF z wiadomości e-mail, każdy będzie miał do niego dostęp, o ile nie mamy wykupionego abonamentu premium. Pół biedy, jeśli będzie to złośliwy dokument bez treści, za to z niebezpiecznym skryptem. Nikt nie skorzysta z niego w sposób, który mógłby nam zaszkodzić.

Co jednak, jeśli się pomyliliśmy i bank rzeczywiście wysłał nam umowę kredytową, a my „puściliśmy” ją w świat? Konsekwencje mogą być rozmaite, a dodanie naszego numeru telefonu do bazy telemarketingu to chyba najprzyjemniejszy scenariusz.

Co gorsza, działa to w dwie strony i może nam zaszkodzić bez naszej wiedzy – jeżeli to my wyślemy komuś ważne dokumenty, a odbiorca wystraszy się załącznika, to nasze dane mogą stać się nagle ogólnodostępne do pobrania.

Na potrzeby tego artykułu, uzbrojony w opisany pomysł, ruszyłem na łowy. Pod adresem https://app.any.run/submissions znajduje się wszystko, czego potrzebowałem. Dostępny na stronie wygodny filtr pozwolił mi na wyświetlenie tylko wyników, które byłyby czyste od zagrożeń i zawierały pliki PDF. Po półgodzinnej zabawie byłem przerażony. Miałem przed sobą dziesiątki faktur z danymi klientów, ale też dwa dowody osobiste, jeden paszport i skan obydwu stron karty kredytowej VISA. Ta ostatnia była wrzucona jeden dzień przed moją „zabawą”. Jest więc wysoce prawdopodobne, że nie została jeszcze zablokowana, a mój anonimowy mail do odpowiedniego banku mógł nie zdążyć zapobiec ewentualnej kradzieży. Poniżej wrzucam część rezultatów mojego wyszukiwania.

Jeśli interesowaliście się socjotechniką i czytaliście chociażby „Sztukę podstępu” Kevina Mitnicka, możecie mieć pojęcie, jak potencjalnie niegroźne dane z faktury da się wykorzystać na niekorzyść ich właściciela. Szczególnie, jeśli uwierzytelnimy się, podając na przykład pełne dane zamówienia, którego dokonał w sklepie internetowym niczego nieświadomy internauta.

Przy okazji, spora część odnalezionych dokumentów to zwyczajny spam, scam i ransomware. Jest to też przydatne przy podnoszeniu świadomości na temat zagrożeń i odkrywaniu nowych prób ataku. W ciągu swojej analizy przejrzałem dziesiątki maili, których autorzy grozili opublikowaniem „słynnych” filmików z kamery użytkowników, podczas gdy ci przeglądali strony porno. Przykładów jest na pęczki, a lektura kolejnych prób wyłudzeń to zarówno cenna lekcja, jak i nierzadko powód do śmiechu.

Dlaczego to opisuję? Wbrew pozorom, nie chcę dać broni do ręki domorosłym hakerom i wszelkiej maści script-kiddies. Uważam, że o tego typu „zbiorach danych” na ANY.RUN i jemu podobnych wie już i tak spora grupa ludzi mających nieczyste intencje. Warto więc uświadomić także zwykłych użytkowników internetu. Może to zaowocować kilkoma cennymi lekcjami.

Po pierwsze – skanery online, jak widać, publikują wszystko, co w nie wrzucimy. Nie traktujmy więc ich jako zabawki i nie wgrywajmy na serwery wszystkiego, co popadnie. Bezpieczniej jest wyodrębnić wirtualną maszynę przekształconą w środowisko testowe. ANY.RUN jest bardzo przydatny, ale raczej wtedy, kiedy mamy do czynienia z plikami malware i chcemy sprawdzić na przykład to, z jakimi serwerami się łączą, by móc je później zablokować.

Po drugie – jeśli lubisz przeglądać ogólnie dostępne treści, w wolnych chwilach szukasz otwartych kamer za pomocą ZoomEye, a dodatkowo dbasz o bezpieczeństwo w sieci – wykorzystaj swoje możliwości do dobrych celów. Znalazłeś udostępnioną grafikę, dokument PDF lub DOC, na którym jest zdjęcie czyjegoś dowodu lub karty kredytowej? Zamiast myśleć, czy da się to sprzedać w darknecie za 5 dolarów, prześlij odpowiednią informację do banku. Ktoś może dzięki temu sporo zyskać. Kto wie, może któregoś dnia, dzięki takim ludziom, to dane Twojej karty nie trafią do przykładowego nastolatka, który ma zbyt dużo wolnego czasu i ogląda wszystko, co wpadnie mu w wirtualne ręce. A problem dotyczy nie tylko serwisu ANY.RUN…