Dokumenty prywatne dostępne publicznie, czyli jak (nie) korzystać ze skanerów

[Grandalf]

O tym, że nie należy w publicznych serwisach umieszczać poufnych dokumentów, wiedzą chyba wszyscy. Nie wszyscy jednak zdają sobie sprawę z tego, że w niektórych serwisach wszystkie dokumenty są dostępne publicznie.

Jeśli czytasz ten artykuł, to najprawdopodobniej jesteś świadomym użytkownikiem i potrafisz ustrzec się przed najprostszymi zagrożeniami w sieci. W formie prostego testu załóżmy więc taki scenariusz – otrzymujesz e-mail, którego się nie spodziewałeś, z załącznikiem w formacie PDF. Treść wiadomości wskazuje na to, że mogą to być ważne dokumenty. Co robisz?

W większości przypadków, jeśli nie spodziewamy się poczty np. z fakturą czy umową, możemy nabrać podejrzeń – i słusznie. Część z nas wrzuci taki mail do kosza, inni sklasyfikują go jako spam. Niektórzy uruchomią załącznik w odseparowanym środowisku, sprawdzając zarówno treść, jak i potencjalną szkodliwość.

Wielu użytkowników korzysta z ogólnodostępnych usług, które oferują własny sandbox i w przejrzystej formie wyświetlają rezultaty analizy. Takie serwisy to chociażby Hybrid Analysis oraz ANY.RUN. W tym artykule skupię się na tym drugim, choć jego alternatywy również oferują opisywane funkcje.

Jeśli chcemy wgrać swoje pliki do wirtualnego środowiska, wystarczy tylko założyć konto – nawet korzystając z tymczasowego adresu e-mail, jak chociażby Guerrilla Mail. Darmowa usługa pozwala na aktywne skanowanie do pięciu minut, co najczęściej wystarcza, by wykryć zaszyty w pliku złośliwy skrypt, na przykład przekierowujący na szkodliwe strony lub pobierający osobny malware.

Często jednak możemy nie zdawać sobie sprawy (jeśli nie czytamy warunków użytkowania), że wyniki analizy są dostępne publicznie. Wniosek? Jeśli wgramy do analizy wspomniany na początku artykułu PDF z wiadomości e-mail, każdy będzie miał do niego dostęp, o ile nie mamy wykupionego abonamentu premium. Pół biedy, jeśli będzie to złośliwy dokument bez treści, za to z niebezpiecznym skryptem. Nikt nie skorzysta z niego w sposób, który mógłby nam zaszkodzić.

Co jednak, jeśli się pomyliliśmy i bank rzeczywiście wysłał nam umowę kredytową, a my „puściliśmy” ją w świat? Konsekwencje mogą być rozmaite, a dodanie naszego numeru telefonu do bazy telemarketingu to chyba najprzyjemniejszy scenariusz.

Co gorsza, działa to w dwie strony i może nam zaszkodzić bez naszej wiedzy – jeżeli to my wyślemy komuś ważne dokumenty, a odbiorca wystraszy się załącznika, to nasze dane mogą stać się nagle ogólnodostępne do pobrania.

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!