Месяца не проходит, чтобы какую-нибудь крупную компанию не взломали. JPMorgan Chase & Co, Target, Morgan Stanley, Sony, Anthem — примеры крупнейших организаций, данные которых были украдены за последние несколько месяцев. В 2014 году в США данные украли 783 раза, а с 2005 года взломов было 5029 — злоумышленники получили 675 миллионов записей.
Специалисты в области безопасности из компании Bitglass решили провести эксперимент и выяснить, куда попадают украденные данные.
Сервис The Dark Web — это чёрный рынок. Он доступен через Tor, на нем продаются инструменты для хакеров, информация, наркотики и оружие. И на нем можно бесплатно скачать размещенные анонимно файлы, чем и воспользовались специалисты Bitglass в своем эксперименте.
Excel-файл с 1568 поддельными записими несуществующих сотурдников компании разместили на один из файлообменников The Dark Web. Файл оснастили небольшим «сюрпризом» — специальной ватермаркой, которая помогает специалистам определить место, где открывали документ — географическую локацию, IP-адрес и тип устройства. Специалисты отметили, что эту ватермарку невозможно удалить, а при копировании данных из этого файла в другой она также помечает копию.
Несколько дней спустя команда получила информацию о том, что поддельные записи скачали в 5 странах на 2 континентах и просмотрели 200 раз. На 12 день файл получил 1080 кликов и распространился в 22 страны на 5 континентах.
Результаты эксперимента в PDF.
Специалисты в области безопасности из компании Bitglass решили провести эксперимент и выяснить, куда попадают украденные данные.
Сервис The Dark Web — это чёрный рынок. Он доступен через Tor, на нем продаются инструменты для хакеров, информация, наркотики и оружие. И на нем можно бесплатно скачать размещенные анонимно файлы, чем и воспользовались специалисты Bitglass в своем эксперименте.
Excel-файл с 1568 поддельными записими несуществующих сотурдников компании разместили на один из файлообменников The Dark Web. Файл оснастили небольшим «сюрпризом» — специальной ватермаркой, которая помогает специалистам определить место, где открывали документ — географическую локацию, IP-адрес и тип устройства. Специалисты отметили, что эту ватермарку невозможно удалить, а при копировании данных из этого файла в другой она также помечает копию.
Несколько дней спустя команда получила информацию о том, что поддельные записи скачали в 5 странах на 2 континентах и просмотрели 200 раз. На 12 день файл получил 1080 кликов и распространился в 22 страны на 5 континентах.
К концу эксперимента поддельный документ о сотрудниках побывал в Северной Америке, Южной Америке, Азии, Европе и Африке. Страны, которые часто ассоциируется с киберпреступной деятельностью, в том числе Россия, Китай и Бразилия, были наиболее частыми точками доступа для этих данных.
Результаты эксперимента в PDF.
Комментарии (6)
m0Ray
14.04.2015 02:32+3Гы. Интересно, сколько народу открыло этот файл в LibreOffice/OpenOffice и «ватермарка» не сработала?
maximw
Какая-то нестыковка выходит.
Охрененная защита у этих обитателей dark web. Какой-то excel-файл позволяет отследить их IP и тип устройства. Как их до сих пор не отловили всех.EndUser
Не все коммуникации компа проходят через TOR. Достаточно добавить в офисный документ картинку, которая подгружается по URL, как офис самостоятельно побежит в инет без участия секурного браузера. Вряд ли вы можете назвать Excel анонимным браузером. Предполагаю, что он и юзерагент подставляет как «Excel 20NN с операционки Windows NN». Равно как и другие офисы.
Правда я не понял как это так «удалить метку невозможно». Просто народ не искал прозрачный пиксел, вставленный в 40000 строке в 1000 колонке.
maximw
Это довольно очевидные вещи, даже для меня, далекого от всей этой хакерской тусовки с торговлей оружием и фальшивими персональными данными.
Можно же настроить сеть так, что ничего в обход Тора загружаться не будет.
Для «гуру» офисных пакетов можно еще и выключить нафиг все внешнее содержимое.
В конце-концов, можно банально выключить вай-фай, выдернуть шнур,
выдавить стеклоперед тем, как открыть эксель-файл?maximw
Не знаю, из-за чего кому-то не понравился предыдущий комментарий.
Как мне кажется, единственное спорное утверждение в нем: «Можно же настроить сеть так, что ничего в обход Тора загружаться не будет.»
Чтоб не быть голословным, например, как направить весь tcp-трафик с гостевой Windows системы через Tor.
EvilFox
Школонимусы просто забывают о существовании фаэрвола и даже не думают его настроить.