VirusTotal – és a nem kívánt mellékhatások

vt-privacy.png

VirusTotal olyan, mint bármely pirula: kis mennyiségben gyógyszer, nagy mennyiségben azonban drágán fizetsz érte. Használd, de tudd, hogy mit csinálsz, és milyen adatokat töltessz fel ellenőrzésre – különben Te magad okozol adatszivárgást.

A VirusTotal egy igen jó és hasznos eszköz, multiscanning víruskergetőként sokmotoros ellenőrzésnek veti alá a feltöltött fájlokat.

Egy láb jó, több láb még jobb: minél több AV/AM termékkel ellenőrzöd a fájlt, annál biztosabb lehetsz, hogy nem kártékony. (Elvileg, mert azért ez ebben a formában nem igaz, a VirusTotal sem csodaszer, csak olyan fertőzést ismer fel, amelyet legalább egy AV/AM vendor megoldása felismer)

A VirusTotal (és minden más online fájlellenőrző) használata azonban olyan mellékhatással jár, amelyre nagyon sok helyen és nagyon sok alkalommal fel kell hívni a figyelmet, mert az IT-s  (és persze mindenki más is, aki le akar valamit ellenőrizni) előszeretettel nyúl a VT-hez anélkül, hogy végig gondolnák, mi történik a VirusTotal-ra feltöltött fájlokkal.

Mert mi történik?

Amikor anélkül, hogy tudnánk, milyen tartalma van a fájlnak, és feltöltjük ellenőrzésre a VT-re, szenzitív adattartalom esetében tulajdonképpen átadjuk a fájlt és az egyébként védendő és érzékeny adatot egy harmadik félnek.

Az adat bizalmassága sérül, ez pedig nem más, mint incidens, még pedig adatszivárgási incidens.

A VT ugyanis a feltöltött fájlokat átadja (eladja) a vele szerződésben állóknak, és nem csak azoknak a gyártóknak, akiknek a motorja benne van a szolgáltatásban, hanem bárkinek, aki fizet érte.

Egyébként erre a VT is felhívja a figyelmet, sőt, még FAQ-ban is szerepelteti, hogy mi a teendő, ha véletlenül szenzitív tartalmú fájlt töltöttünk fel ellenőrzésre.

vt-faq.png

Tehát csak olyan fájlt szabad ellenőrizni, amelyről biztosak vagyunk, hogy nem tartalmaz érzékeny és védendő adatot, különben saját magunk okozunk adatszivárgást.

Futtatható és bináris fájlok esetében ettől a mellékhatástól el lehet tekinteni, viszont dokumentumok és más adatfájlok esetében a feltöltés előtt ellenőrizni kell a fájl adattartalmát.

Persze nem úgy, hogy megnyitjuk és megnézzük (kivéve, ha erre a célra egy „eldobható” gépet használunk), hanem valamilyen módon ki kell nyerni a dokumentumból az adattartalmat, és ha az alapján nem ítéljük kockázatosnak, feltölthetjük a fájlt a VirusTotal-ra. (A fájl hashét viszont minden további nélkül ellenőrizhetjük, hiszen abból nem lehet a fájl adattartalmát előállítani.)

Hogyan és mivel ellenőrizzünk?

Adattartalom kinyerésére csomó lehetőségünk van, én a TIKA alkalmazás rajongója vagyok, amely tulajdonképpen egy JAVA .jar fájl, így Linuxon, Windowson, Macen is gond nélkül használható.

vt-tika1.png

A -t vagy -T kapcsolóval a Tika a dokumentum adattartalmát mutatja meg (office, rtf és pdf esetében érdemes használni).

vt-tika2.png

A Tika egyébként csomó más mindenre is jó, például kiválóan lehet vele a fájlok metaadatait ellenőrizni, nagymennyiségű fájlhalmazt feldolgozni, akár szerver-kliens felépítésben is.

További mellékhatások

A VirusTotal nem csak fájlok, de URL-ek, domain címek ellenőrzésére is kiválóan alkalmas – azonban itt már azonnali problémával nézhetünk szembe.

Bizony az ellenőrzött URL-ek bárki számára hozzáférhetőek (a fájlokhoz csak a szerződött partnerek jutnak hozzá), az URL-ekben viszont sok esetben olyan információk vannak, amelyek ugyancsak szenzitívek: email címek, tokenek, API kulcsok, új jelszót generáló kulcs/token, stb.

vt-ncore.png

Jól látható, hogy az Ncore torrent oldal esetében az ellenőrzött URL-ek tartalmazzák az adott fájl azonosítóját (ID), illetve az adott felhasználó (API) kulcsát. A linket kimásolva természetesen a .torrent objektum letöltődik, és a felhasználó nevében hozzájutunk a  tényleges fájlhoz. 

Több ilyen esetre is volt már példa, erről a HackerOne-on is jelent meg riport, de fizetős szolgáltatásból származó ajándékkuponos címekkel is történt már hasonló, amikor az URL tartalmazta magát a kupon kódot, amelyet a Virus Total-ról megszerezve simán be lehetett váltani (persze ahelyett, aki a szolgáltatásért fizetett).  

Az Open Source Intelligence (OSINT) művelői, vagy esetleg az etikus (és kevésbé etikus) hackerek a tevékenységük során recon/footprinting céllal jó adatforrásként tudják használni a VirusTotal-t, néha egészen meglepő adatok kerülnek elő belőle.

(pl. ilyen érdekességeket tartalmaz a Files Refering tab, ahol olyan fájlokat jelenít meg a VirusTotal, amelyben a keresett domain cím megtalálható)

Összefoglalva

A VirusTotal egy igen kiváló megoldás, a sokmotoros multiscanning miatt nagyon megnyugtató lehet fájlokat ellenőrizni az alkalmazással, azonban minden ellenőrzés előtt érdemes átgondolni, hogy vajon most milyen adatot osztunk meg a VirusTotal-al, partnereivel, és természetesen a fenti példa alapján a széles nagyvilággal.

A VirusTotal biztonságos használatához legalább az alábbi alapvető dolgokra érdemes odafigyelni:

  • Első lépésben csak az ellenőrzendő fájl hashét érdemes a VT-n keresni, sok esetben már arra is lesz találat, a hashből pedig nem lehet a tényleges adattartalomra visszakövetkeztetni.
  • Ismeretlen tartalmú dokumentumot csak előzetes adatellenőrzés után szabad a VirusTotal-ra feltölteni.
  • URL címek ellenőrzésekor is meg kell arról győződni, hogy az URL nem tartalmaz tokent, API kulcsot, vagy egyéb más érzékeny adatot.
  • Futtatható és más bináris állományt nyugodtan fel lehet tölteni (kivéve persze ha maga a fájl védendő és nem kerülhet harmadik fél kezébe)