Online scanners kunnen nuttige tools zijn om schadelijke bestanden of URL's te identificeren. Sommige veelvoorkomende gedragingen van gebruikers kunnen echter leiden tot onbedoelde gegevenslekken. Dit artikel geeft een kort overzicht van hoe dat kan gebeuren, en wat u kunt doen om het te voorkomen.
Wat veroorzaakt datalekken?
Om ervoor te zorgen dat online scanners kunnen werken, moeten gebruikers informatie uploaden, meestal bestanden of URL's. Dat creëert onmiddellijk een situatie waarin informatie de grenzen van uw organisatie verlaat. Bovendien delen veel platformen die gegevens met een aantal van hun gebruikers voor onderzoeksdoeleinden.
Dat zegt ook Virustotal, tot op vandaag de grootste online scanner: "De inhoud van ingediende bestanden of pagina's kan ook worden gedeeld met premium VirusTotal-klanten. Het totale bestandenpakket dat in VirusTotal wordt gecreëerd, biedt cyberbeveiligingsprofessionals en ontwikkelaars van beveiligingsproducten waardevolle inzichten in het gedrag van opkomende cyberdreigingen en malware. Via ons commercieel aanbod van premiumdiensten bezorgt VirusTotal gekwalificeerde klanten en antiviruspartners tools om complexe, op criteria gebaseerde zoekopdrachten uit te voeren om op die manier schadelijke bestanden te identificeren en voor verder onderzoek te openen. Dat helpt organisaties om nieuwe bedreigingen te ontdekken en te analyseren en om nieuwe mitigatie- en verdedigingstools te ontwerpen."
Wanneer gebruikers in uw organisatie gevoelige bestanden uploaden, kan de volledige inhoud van die bestanden dus beschikbaar worden voor onbekende derden.
Ook URL's kunnen potentieel gevoelige informatie bevatten. Dat wordt vaak onderschat omdat de informatie meestal publiekelijk beschikbaar is op het internet. Via sommige tools kan die informatie echter per ongeluk informatie onthullen over de surfgewoonten van uw gebruikers.
Een dergelijk geval dat ons onlangs werd gemeld, betreft Belnet Advanced Mail Security (BAMS). Een kenmerk van die dienst is dat het links in e-mails controleert en de eindgebruiker BAMS laat doorlopen voordat hij een potentieel gevaarlijke site bereikt. Een neveneffect van die functie is dat de eindgebruiker links kan tegenkomen die voorafgegaan worden door het "[naam organisatie].bams.belnet.be"-domein.
Als gebruikers dergelijke URL's regelmatig gaan controleren, ontstaat een geheel van gegevens die men kan doorzoeken en analyseren. Urlscan.io, bijvoorbeeld, biedt die functie aan iedereen aan:
Derden kunnen zo mogelijk inzicht krijgen in welke sites uw gebruikers bezoeken. Ze zouden zelfs bij wijze van test phishingmails kunnen sturen om na te gaan of uw gebruikers die links wel of niet naar publieke scanners sturen.
Wat kunt u daartegen doen?
Het is belangrijk om binnen uw organisatie mensen daarvan bewust te maken om ervoor te zorgen dat uw gebruikers de risico's begrijpen die gepaard gaan met het gebruik van online scanners. In het ideale scenario informeert u hen over wie ze bij verdachte bestanden of links intern kunnen contacteren om de afhankelijkheid van externe tools te verminderen.
Ook een opleiding over de verschillende beveiligingstools die u gebruikt, kan nuttig zijn. Met de antivirusoplossing die u aanbiedt, kan u gebruikers bijvoorbeeld op verzoek bestanden lokaal laten scannen en door hen vertrouwd te maken met tools zoals Belnet Advanced Mail Security, kan u voorkomen dat ze gewijzigde URL's als verdacht gaan beschouwen. Tot slot kunt u uw gebruikers ook trainen in manieren om online scanners op een verantwoorde manier te gebruiken. Dat aspect zullen we hieronder verder bespreken.
Goede praktijken
Voor gebruikers zijn er een aantal gedragingen die ze kunnen aannemen om de risico's van het gebruik van externe scanners te elimineren of te verminderen.
Het belangrijkste is om nooit bestanden te uploaden die gevoelige informatie kunnen bevatten. Als u bijvoorbeeld een verdacht bestand ontvangt van hr/accounting/een projectmanager enzovoort, kan u dat bestand wellicht best niet uploaden en in plaats daarvan op een andere manier laten bevestigen (bv. per telefoon of persoonlijk) of de mail al dan niet legitiem is.
Als u ervoor kiest de scanner toch te gebruiken, zijn er enkele opties beschikbaar om dat veiliger te maken. Urlscan.io, die we eerder al bespraken, laat u bijvoorbeeld toe om het zichtbaarheidsniveau van uw zoekopdracht te kiezen, d.w.z. wie de URL's kan zien die u heeft gecontroleerd. De standaardinstelling is openbaar, maar u kunt ze met een paar clicks op privé zetten:
Voor bestanden kunt u met de meeste tools zoeken op bestandshashes. In plaats van het bestand zelf te uploaden, controleert u in dat geval of het bestand al door iemand anders werd geüpload door de hash ervoor als een "unieke" identificatiecode te gebruiken. De resultaten zijn niet even volledig omdat dat vereist dat iemand anders hetzelfde bestand heeft ontvangen, maar het kan helpen bij het detecteren van een phishingcampagne terwijl het risico op het per ongeluk lekken van gegevens wordt geëlimineerd.
De hash van een bestand kan op verschillende manieren worden verkregen, bijvoorbeeld in Windows met het commando: 'certutil -hashfile [file name] MD5' in Powershell of cmd.
Linux-gebruikers kunnen 'md5sum [file name]' gebruiken. De output van 32 tekens kan vervolgens in de zoekbalk van de online tool worden gekopieerd.
Benjamin Baugnies studeerde burgerlijk ingenieurswetenschappen in Louvain-la-Neuve en werkt sinds 6 jaar als beveiligingsanalist bij Belnet. Naast de dagelijkse beveiligingsactiviteiten heeft hij meegewerkt aan projecten zoals vulnerability scanning, netflow monitoring en DDoS-bescherming. Buiten het werk is hij vaak te vinden op een tennisbaan, in de keuken, of op een of andere online game.