Pastebin – популярный сайт для хранения и общего использования текста. Хотя по большей части он используется для распространения легитимных данных, судя по всему его часто используют в качестве репозитория для украденной информации (детали конфигурации сетей, аутентификационные записи). Различные хакерские группировки и индивидуальные хакеры распространяют с помощью этого сервиса свою добычу. За последние недели в этом особо отличилась группировка LulzSec.
Чтобы узнать, какая информация доступна на Pastebin, посмотрим на страницу Trending Pastes Page:
Чем Pastebin притягивает сообщество хакеров? И почему там упорно продолжают появляться скомпрометированные записи? Чтобы разобраться в этих вопросах, я задал в твиттере вопрос: «почему именно этот, а не какой-либо другой ресурс, стал популярной платформой для размещения украденных данных?» Полученные ответы подчеркнули основные возможности Pastebin:
А Джайп (Jipe) указал мне на статью Мэта Брайена (Matt Brian) Pastebin: How a popular code-sharing site became the ultimate hacker hangout (Pastebin: Как популярный сервис для общего использования кода стал основным местом сбора хакеров).
Более всего в статье Мэта меня заинтересовал комментарий Жерона Вадера (Jeroen Vader), владельца Pastebin, касающийся использования сайта для хранения украденных данных. Он сказал:
«Pastebin – сайт, который ежемесячно используют миллионы, и кто-то из них размещает здесь конфиденциальную информацию. Мы используем хорошую систему мониторинга таких проявлений, которая работает круглосуточно».
Жерон объяснил, что «если приходит отчет о том, что пост содержит конфиденциальную информацию, то он может быть немедленно удален».
Этого достаточно? Я могу понять, почему ресурс не хочет взять на себя обязанность модерирования контента. Тем не менее, идентификация и пометка файлов, которые могут содержать конфиденциальную информацию, не слишком сложная задача. Для начала, Pastebin мог бы просто рассматривать записи, которые входят в топ страницы Trending Pastes.
Pastebin мог бы также автоматически проводить сигнатурный анализ размещаемых данных на предмет содержания конфиденциальной информации. Фактически, это сделал Джейм Бласко (Jaime Blasco), создавший сервис PastebinLeaks, который автоматически идентифицирует украденные данные на Pastebin. Сервис довольно точный, и его находки, опубликованные в твиттере, поражают:
Идея ничем не отличается от парсинга социальных сетей для выявления фактов опубликования данных компаний.
Исследовать технологические, исторические и социологические причины популярности Pastebin для размещения украденных данных – весьма интересное занятие. Возможно, более важным является то, что нам нужно понять, как компании могут идентифицировать факт публикации их данных на ресурсах типа Pastebin. Также, я надеюсь, что такие сайты будут внедрять проактивный мониторинг и разбираться с возможными утечками данных до формального обращения к ним с этой проблемой.
Что популярно на Pastebin
Чтобы узнать, какая информация доступна на Pastebin, посмотрим на страницу Trending Pastes Page:
- листинги адресов подсетей, принадлежащих различным организациям;
- дампы скомпрометированных аккаунтов Facebook вместе с адресами электронной почты и паролями;
- базы данных пользователей скомпрометированных веб-сайтов, включая адреса электронной почты, привилегии доступа и хэши паролей;
- результаты экспорта таблиц пользователей из скомпрометированных баз данных, включая логины и пароли.
Почему хакерам нравится Pastebin
Чем Pastebin притягивает сообщество хакеров? И почему там упорно продолжают появляться скомпрометированные записи? Чтобы разобраться в этих вопросах, я задал в твиттере вопрос: «почему именно этот, а не какой-либо другой ресурс, стал популярной платформой для размещения украденных данных?» Полученные ответы подчеркнули основные возможности Pastebin:
- сервисом легко пользоваться;
- сервис может хранить большие текстовые файлы;
- нет премодерации;
- опубликование не требует регистрации;
- сервис уходит корнями в IRC.
А Джайп (Jipe) указал мне на статью Мэта Брайена (Matt Brian) Pastebin: How a popular code-sharing site became the ultimate hacker hangout (Pastebin: Как популярный сервис для общего использования кода стал основным местом сбора хакеров).
Работа над удалением записей
Более всего в статье Мэта меня заинтересовал комментарий Жерона Вадера (Jeroen Vader), владельца Pastebin, касающийся использования сайта для хранения украденных данных. Он сказал:
«Pastebin – сайт, который ежемесячно используют миллионы, и кто-то из них размещает здесь конфиденциальную информацию. Мы используем хорошую систему мониторинга таких проявлений, которая работает круглосуточно».
Жерон объяснил, что «если приходит отчет о том, что пост содержит конфиденциальную информацию, то он может быть немедленно удален».
Этого достаточно? Я могу понять, почему ресурс не хочет взять на себя обязанность модерирования контента. Тем не менее, идентификация и пометка файлов, которые могут содержать конфиденциальную информацию, не слишком сложная задача. Для начала, Pastebin мог бы просто рассматривать записи, которые входят в топ страницы Trending Pastes.
Автоматический поиск украденных данных на Pastebin
Pastebin мог бы также автоматически проводить сигнатурный анализ размещаемых данных на предмет содержания конфиденциальной информации. Фактически, это сделал Джейм Бласко (Jaime Blasco), создавший сервис PastebinLeaks, который автоматически идентифицирует украденные данные на Pastebin. Сервис довольно точный, и его находки, опубликованные в твиттере, поражают:
Идея ничем не отличается от парсинга социальных сетей для выявления фактов опубликования данных компаний.
Исследовать технологические, исторические и социологические причины популярности Pastebin для размещения украденных данных – весьма интересное занятие. Возможно, более важным является то, что нам нужно понять, как компании могут идентифицировать факт публикации их данных на ресурсах типа Pastebin. Также, я надеюсь, что такие сайты будут внедрять проактивный мониторинг и разбираться с возможными утечками данных до формального обращения к ним с этой проблемой.