Вы ничего не заподозрите: как проверить, сливают ли ваши данные прямо сейчас

Заметили, что утечка данных становится проблемой номер один? Как сообщает издание Fortune, со ссылкой на Центр по борьбе с хищениями персональных данных (Identity Theft Resource Center), по состоянию на 6 октября 2021 года количество инцидентов (1291) на 17% превысило число случаев утечки информации, зафиксированных в 2020 году (1108). В основном хакеры применяют фишинг и программы-вымогатели (ransomware).

Поэтому в компании ExpressVPN решили разобраться, что представляет из себя техническая сторона утечки данных. А заодно разработали бесплатные инструменты, которые позволят это отследить. 

Как происходит утечка данных?

С помощью инструмента для проверки утечки DNS от ExpressVPN можно отследить, кому известен ваш IP-адрес и не открыли ли вы доступ к микрофону и камере приложениям, отслеживающим вашу активность. Почему это актуально? Давайте разбираться. 

Как сообщает Symantec, с 2019 года ежемесячно 4800 сайтов сталкиваются с таким явлением, как form-jacking (атаки с помощью кражи форм). В специальную форму сайта встраивается код, и после того, как покупатель зашел на онлайн-площадку, выбрал товар и приготовился оплатить, его банковские данные попадают в руки к мошенникам. В дальнейшем этими сведениями пользуются снова, их перепродают в даркнете.

Разумеется, человек, ставший жертвой мошенничества, ничего не подозревает.

Организации и сайты, которые становятся орудием в руках киберпреступников, также терпят убытки из-за утечек данных. По подсчетам IBM, в среднем утечка информации обходится компании в $3,86 млн. Каждый месяц эта цифра растет. 

Как создавался инструмент

Специалисты создали программы и выложили их в открытом доступе на Github, чтобы все желающие смогли мониторить свои системы на предмет утечки данных. Инструмент разработан  на базе Python, так как:

• этот язык программирования поддерживает кроссплатформенные решения, а также позволяет использовать функционал ПО без дополнительных конфигураций или модификаций;
• многие разработчики используют Python;
• для тестирования фреймворка нет требований по производительности;
• написанный код прост для понимания.

Рассмотрим распространенные случаи, в которых вам пригодятся доступные всем инструменты мониторинга утечек данных.

«Ваниль»: кейс с изюминкой

Этот вид утечки означает, что VPN-сервис не защищает IP-адрес пользователя, DNS-запросы и трафик. Даже в условиях нормального функционирования не помогает ни стабильная сеть, ни системная среда. В зоне риска оказывается приватность и безопасность юзера. 

Утечка под кодовым названием «Ваниль» включает в себя слив информации, связанной с IP-адресом, DNS и IP-трафиком.

Рассмотрим подробнее утечку DNS. Здесь возможны три сценария развития событий:

1. DNS-запросы не проходят через туннель VPN. Вместо этого поступают через DNS-сервер, принадлежащий сторонним лицам. Активность пользователей может отслеживать любой посредник, в том числе интернет-провайдер. Также заинтересованные лица смогут идентифицировать вас по IP-адресу.
2. Вместо того, чтобы проходить через туннель VPN, DNS-запросы поступают на DNS-сервер VPN-продукта. Запросы не защищены шифрованием, и третьи лица, при желании, получат доступ к онлайн-активности пользователя, а также его личному IP.
3. DNS-запросы проходят через туннель VPN, но поступают на DNS-сервер, принадлежащий третьим лицам. В этом случае ситуация лучше, чем в двух описанных выше. Запросы зашифрованы и «наблюдатели» не могут определить личность пользователя, отправлявшего запросы DNS. Но если киберпреступник использует усовершенствованное оборудование, этот вариант тоже открывает пространство для атаки и утечки персональных данных.

Что касается утечки IP, арбитражный трафик, поступающий с устройства, не проходит через туннель. Как правило, утечка трафика подобного рода означает, что раньше уже были проблемы с утечкой DNS. 

WebRTC: браузерная технология в зоне риска

Утечка IP может произойти через WebRTC. Сайты, использующие API на базе JavaScript, запрашивают у браузера IP-адрес устройства. После сбора IP эти данные отправляются на сервер и используются для получения информации о том, кто посещает конкретные онлайн-ресурсы. 

WebRTC определяет IP-адрес исходя из двух технологий:

• серверы STUN/TURN проверяют общественные IP (в этом случае нельзя говорить об утечке IP через VPN);
• раскрытие порт-кандидатов host дает возможность браузерам напрямую следить за вашей системой и интерфейсом сети, в зону внимания хакеров попадают и ваши IP.

Зная, как происходит утечка данных через WebRTC, становится ясно, почему специалисты в области кибербезопасности не советуют вести корпоративные дела, подключившись к Wi-Fi-соединению в общественном месте.

Утечка через WebRTC происходит по двум сценариям:

• сайты не просят разрешение, но их владельцы получают доступ к IP-адресам пользователей при помощи API WebRTC;
• сайты просят разрешение получить доступ к камере и микрофону (так происходит, потому что сама технология WebRTC лежит в основе двухточечной коммуникации, такой как видеозвонки или конференции).

Простые решения для сложных задач

Специалисты основывались на модульном тестировании: каждый тест проверяет наличие утечки данных в определенных условиях, а затем сообщает о прохождении испытания, неудаче или ошибке. В основе каждого теста лежит знакомая всем формула «setup, test и teardown».

Простейший тип тестирования предназначен для одного устройства, и за возможностью утечки наблюдаем только на конкретном девайсе. Например, вы можете осуществить всестороннее тестирование на предмет утечек в Windows только на устройстве, работающем на базе Windows. Усложненные тесты включают в себя проверку с использованием VPN, маршрутизатора и анализатора трафика. 

Хотя большинство тестов автоматизированы, кое-что придется настроить вручную. Самое трудное в этом случае — мониторить VPN-приложения. Но хорошая новость в том, что в большинстве тестов это единственный компонент, на который не распространяется автоматизация. 

В целом тесты разработаны для таких операционных систем как Linux, Windows и MacOS. Для тестирования рекомендуем воспользоваться виртуальными машинами — с их помощью легко создавать и настраивать конфигурацию новых интерфейсов сети. Да и проще зафиксировать трафик, исходящий из виртуальной машины, чем с реального устройства. Также они позволяют перестроить конфигурацию снапшотов и отменять изменения, когда это необходимо. 

Проводите серьезное тестирование? Ловите совет: помимо виртуальных машин, используйте реальное аппаратное обеспечение — и сравните результаты. Удачи!