Digital Dumpster Diving vol 1

Elsőfontos megjegyzés: amit lehetett azt lejelentettem az adott cégnek. Ahol lehetett közvetlen, ahol nem ott pedig Cyber Intelligence cég által vagy a privát kontaktjaimon át!

Régen azt hívták Dumpster Divingnak Security szempontból mikor olyan adatokat találtál a cégek szemetében amiket nem feltétlen kellett volna.
Mára ez is picit digitalizálódott, így lehet olyan dokumentumokat találni különböző helyeken amire nem is gondolna az ember.
Mikor unalmas óráimat töltöm nézelődni szoktam különböző file sharing oldalakon és sandboxokban hogy miket töltenek fel az emberek. És néha tényleg egészen elképesztő dolgok vannak.
A sanboxokat általában jobban szeretem mert van olyan ember aki konkrétan kb mindent feltölt amit el tudsz képzelni, sőt van olyan aki ezt automatizálja és API-val tölti fel.
Maga a sandbox ugye arra van hogy tesztelje az ember hogy az adott file mit csinál, legyen az malware vagy dropper. Régebben akkor használták csak ha szinte biztosra tudták hogy az adott file egy malware és bedobták sandboxba hogy mit csinál. Mára ez picit kaotikusá vált, boldog boldogtalan tölt fel adatokat.

De mi történik akkor ha valaki feltölt olyat ami nem tartozik ezek alá? Legyen az egy MSG file vagy olyan doksi ami confidental. Pssword file, SQL file, vagy dumpok.
Találkoztam olyannal aki a cégnél aho ldolgozik konkrétan minden levelet amibe attachment van feltölti és scannelteti Virustotalon és ha ott X-nél több azt jelzi hogy malware akkor automatán átdobja neki hybrid analysis-re. Ez papíron nagyon jól hangzik! Egy manager meetingen rockstarként tekintenek rád ha ilyen jó ötlettel jössz elő. Szerinte(ük) ez jó megoldás.

Nem szeretek vitatkozni mert általában mindneki okosabb ebben a témában. A felkerült fileok a szolgáltatóstól függetlenűl tárolásra kerülnek és azt a cég tovább használja. Lehet az VirusTotalra, vagy Hybrid Analysis-re, vagy malwr.com, vagy joesandbox, vagy any.run. Sok sandbox cég él ebből hogy ezeket megosztja így VirusTotalon elő lehet fizetni API-ra és letöltögetheted az összes létező submitelt filet. Van pár cég ahol nem share-elnek mindent és nem engedik letölteni. Persze a legtöbb oldalra felmész, regisztrálsz és töltesz le fileokat.
Ami pedig csak sima file sharing oldal ott még regisztrálni se kell. rghost, 4shared, mediafire...

Elsőnek legyen pár kevésbé érdekes inkább vicces találat:
Nem hittem vonla hogy még vannak ennyire borzalmas szabályok egy banknál

Ez kép egy banki auditból (jelentve CIC)

valid US ID (jelentve DHS)

Ezeken max mosolyog az ember. Vicces, ki volt aki feltöltötte és de béna.

De mi van ha valaki pl a daily SQL backupot postolja mindig egy sima file sharing oldalra Public accessel?

Egyszerűen mindig van valami ami érdekes. (jelentve CIC)

És akkor jöjjön pár komolyabb finding:
Ez egy cégnek a belső doksija egy investigation-ről hogy hozzáfértek adatokhoz idegenek. (Megnéztem az oldalukat sehol nem írták ki hogy esetleg ügyfél adatokat érintett e)

Vagy éppen egy Qradar scan egy banknál:(jelentve direct)

Ez szerintem elég meredek információ amit feltöltöttek. Ha rossz oldalon állnék azért lenne benne pár hasznos információ hogy mit csinálnék és mit nem. És a dokumentumban voltak meredekebb hibák. Gondolom mindenki ilyen SIEM bevezetésről álmodik :D.

Vagy itt ez az amerikai kormányzati adat, hogy melyik kocsi melyik személyhez tartozik. (VIN validatorral is ellenőriztem, illetve a neveket is megnéztem és valós info.)

És hogy a végére legyen még egy ami kemény, nem közvetlen NASA dokumentum hanem 3rd party: (jelentve DHS)

Magyar/Román OTP:
Igen, ez náluk is megesett a belső levelezéssel. Nem 1-2 levélről beszélünk. Természetesen az is jelentve lett azonnal CERT-en át, illetve az oldalukon is kértem azonnali visszahívást a dologgal kapcsolatban (sose hívtak). Január 8.án kezdték el az investigationt hogy mi történhetett, azt a visszajelzést kaptam hogy felvették az adott szolgáltatóval a kapcsolatot és töröltetik a leveleket. (Ebben a pillanatban még nem lettek törölve)

Az még egy érdekes ötlet lehet hogy bent vagy a cégnél és infokat akarsz kivinni tőlük, és ehhez használod valemelyik sandboxot mert azok általában whitelisten vannak. Tuti siker lenne. Mondjuk valljuk be nem is nehéz elhozni bármely cégtől adatokat mint belsős. Akkor se ha nincs admin jogod, és akkor sem ha nincs USB access.

Ez most csak egy nagyon felületes post pár találatról. Rengeteg clear text jelszó van fent és settings beállítások. Itt külön kitérhetnék GitHub-ra.
Még mindig vannak olyan XLSX file-ok amiben van MACRO és remote-ba húz le adatokat, természetesen login usernév és password-el csatolva.

Megnézheted e azt amit mások feltöltöttek (sandbox esetén)?
Erre szerintem nincs pontos válasz, hisz mikor feltöltöd a filet akkor elfogadod a "Terms & Conditions" és "Data protections" részt. Ez viszont tartalmazza a legtöbb esetben hogy nem tölthető fel Confidental dokumentum, illetve és ha mégis feltöltöd akkor ők ezt nem fogják confidental-ként kezelni. Illetve van pár olyan hely is ahol be lehet jelölni hogy az adott file ne legyen letölthető más számára. Ezen felül mikor kapsz előfizetést valemlyik vendornál akkor Ő biztosít róla hogy nem futsz bele használhatatlan adatokba. És egy malware analysis sandboxnál egy ilyen sima text file valljuk be használhatatlan az Ő szempontukból.

Megnézheted e azt amit mások feltöltöttek (file sharing oldal esetén)?
Itt is kifejezetten elfogadod hogy amit feltöltesz az milyen adat, sőt van oldal ahol figyelmeztet hogy más látni fogja és itt ne tárolja sensitive adatokat hanem fizess elő accountra.

A lényeg hogy mindkét esetben elfogadták amit ők feltöltenek az az Ő tulajdonuk vagy van joguk feltölteni. És tudtják hogy a feltöltésre került file-hoz más is hozzáférhet.

"You retain all ownership rights in any submission you may make and you confirm that you are the original owner of any content you submit or that you have the necessary rights and permissions to authorise us to use your content. In particular, you promise that you have obtained the permission of all of the people featured or referred to in the Content (and if they are under 18 their parents or guardians as well) to our use of the Content on the Services. You agree to give us evidence of all such rights and permissions if so requested by us."

Utolsó fontos megjegyzés: amit lehetett azt lejelentettem az adott cégnek. Ahol lehetett közvetlen, ahol nem ott pedig Cyber Intelligence cég által vagy a privát kontaktjaimon át!