Заметили, что утечка данных становится проблемой номер один? Как сообщает издание Fortune, со ссылкой на Центр по борьбе с хищениями персональных данных (Identity Theft Resource Center), по состоянию на 6 октября 2021 года количество инцидентов (1291) на 17% превысило число случаев утечки информации, зафиксированных в 2020 году (1108). В основном хакеры применяют фишинг и программы-вымогатели (ransomware).
Поэтому в компании ExpressVPN решили разобраться, что представляет из себя техническая сторона утечки данных. А заодно разработали бесплатные инструменты, которые позволят это отследить.
Как происходит утечка данных?
С помощью инструмента для проверки утечки DNS от ExpressVPN можно отследить, кому известен ваш IP-адрес и не открыли ли вы доступ к микрофону и камере приложениям, отслеживающим вашу активность. Почему это актуально? Давайте разбираться.
Как сообщает Symantec, с 2019 года ежемесячно 4800 сайтов сталкиваются с таким явлением, как form-jacking (атаки с помощью кражи форм). В специальную форму сайта встраивается код, и после того, как покупатель зашел на онлайн-площадку, выбрал товар и приготовился оплатить, его банковские данные попадают в руки к мошенникам. В дальнейшем этими сведениями пользуются снова, их перепродают в даркнете.
Разумеется, человек, ставший жертвой мошенничества, ничего не подозревает.
Организации и сайты, которые становятся орудием в руках киберпреступников, также терпят убытки из-за утечек данных. По подсчетам IBM, в среднем утечка информации обходится компании в $3,86 млн. Каждый месяц эта цифра растет.
Как создавался инструмент
Специалисты создали программы и выложили их в открытом доступе на Github, чтобы все желающие смогли мониторить свои системы на предмет утечки данных. Инструмент разработан на базе Python, так как:
- этот язык программирования поддерживает кроссплатформенные решения, а также позволяет использовать функционал ПО без дополнительных конфигураций или модификаций;
- многие разработчики используют Python;
- для тестирования фреймворка нет требований по производительности;
- написанный код прост для понимания.
Рассмотрим распространенные случаи, в которых вам пригодятся доступные всем инструменты мониторинга утечек данных.
«Ваниль»: кейс с изюминкой
Этот вид утечки означает, что VPN-сервис не защищает IP-адрес пользователя, DNS-запросы и трафик. Даже в условиях нормального функционирования не помогает ни стабильная сеть, ни системная среда. В зоне риска оказывается приватность и безопасность юзера.
Утечка под кодовым названием «Ваниль» включает в себя слив информации, связанной с IP-адресом, DNS и IP-трафиком.
Рассмотрим подробнее утечку DNS. Здесь возможны три сценария развития событий:
- DNS-запросы не проходят через туннель VPN. Вместо этого поступают через DNS-сервер, принадлежащий сторонним лицам. Активность пользователей может отслеживать любой посредник, в том числе интернет-провайдер. Также заинтересованные лица смогут идентифицировать вас по IP-адресу.
- Вместо того, чтобы проходить через туннель VPN, DNS-запросы поступают на DNS-сервер VPN-продукта. Запросы не защищены шифрованием, и третьи лица, при желании, получат доступ к онлайн-активности пользователя, а также его личному IP.
- DNS-запросы проходят через туннель VPN, но поступают на DNS-сервер, принадлежащий третьим лицам. В этом случае ситуация лучше, чем в двух описанных выше. Запросы зашифрованы и «наблюдатели» не могут определить личность пользователя, отправлявшего запросы DNS. Но если киберпреступник использует усовершенствованное оборудование, этот вариант тоже открывает пространство для атаки и утечки персональных данных.
Что касается утечки IP, арбитражный трафик, поступающий с устройства, не проходит через туннель. Как правило, утечка трафика подобного рода означает, что раньше уже были проблемы с утечкой DNS.
WebRTC: браузерная технология в зоне риска
Утечка IP может произойти через WebRTC. Сайты, использующие API на базе JavaScript, запрашивают у браузера IP-адрес устройства. После сбора IP эти данные отправляются на сервер и используются для получения информации о том, кто посещает конкретные онлайн-ресурсы.
WebRTC определяет IP-адрес исходя из двух технологий:
- серверы STUN/TURN проверяют общественные IP (в этом случае нельзя говорить об утечке IP через VPN);
- раскрытие порт-кандидатов host дает возможность браузерам напрямую следить за вашей системой и интерфейсом сети, в зону внимания хакеров попадают и ваши IP.
Зная, как происходит утечка данных через WebRTC, становится ясно, почему специалисты в области кибербезопасности не советуют вести корпоративные дела, подключившись к Wi-Fi-соединению в общественном месте.
Утечка через WebRTC происходит по двум сценариям:
- сайты не просят разрешение, но их владельцы получают доступ к IP-адресам пользователей при помощи API WebRTC;
- сайты просят разрешение получить доступ к камере и микрофону (так происходит, потому что сама технология WebRTC лежит в основе двухточечной коммуникации, такой как видеозвонки или конференции).
Простые решения для сложных задач
Специалисты основывались на модульном тестировании: каждый тест проверяет наличие утечки данных в определенных условиях, а затем сообщает о прохождении испытания, неудаче или ошибке. В основе каждого теста лежит знакомая всем формула «setup, test и teardown».
Простейший тип тестирования предназначен для одного устройства, и за возможностью утечки наблюдаем только на конкретном девайсе. Например, вы можете осуществить всестороннее тестирование на предмет утечек в Windows только на устройстве, работающем на базе Windows. Усложненные тесты включают в себя проверку с использованием VPN, маршрутизатора и анализатора трафика.
Хотя большинство тестов автоматизированы, кое-что придется настроить вручную. Самое трудное в этом случае — мониторить VPN-приложения. Но хорошая новость в том, что в большинстве тестов это единственный компонент, на который не распространяется автоматизация.
В целом тесты разработаны для таких операционных систем как Linux, Windows и MacOS. Для тестирования рекомендуем воспользоваться виртуальными машинами — с их помощью легко создавать и настраивать конфигурацию новых интерфейсов сети. Да и проще зафиксировать трафик, исходящий из виртуальной машины, чем с реального устройства. Также они позволяют перестроить конфигурацию снапшотов и отменять изменения, когда это необходимо.
Проводите серьезное тестирование? Ловите совет: помимо виртуальных машин, используйте реальное аппаратное обеспечение — и сравните результаты. Удачи!
Этот материал – не редакционный, это – личное мнение его автора. Редакция может не разделять это мнение.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: