Капкан для хакера
seshanba, 13-avgust, 2019
«Дыры» есть везде. И если верить СМИ, то хакеры свободно шастают по любым компьютерам и сайтам, не прилагая к этому никаких усилий. Вот бы им поставить капкан.... А собственно, почему бы и нет? Привлечем к работе канареек!
Идея состоит в том, чтобы создать файл, ссылку, образец письма или некий код на странице сайта, при посещении которого система заморгала бы красными знаками и вывела предупреждение о присутствии хакера. Например, можно создать некий файл, положить его куда-то на видное место в системе и неким сервисом отслеживать обращения к нему. Можно сделать это самостоятельно или использовать сторонние сервисы, например https://www.stationx.net/canarytokens или https://canarytokens.org.
Чтобы узнать, как поют канарейки, воспользуемся Canary Tokens.
Открываем сервис, выбираем вид ловушки.
Для простоты выбираем документ Word. Далее указываем адрес, на который придет уведомление и собственно текст уведомления.
Файл формируется автоматически и предлагается нам для скачивания. Соглашаемся его скачать – и нам приходит уведомление, что кто-то уже заинтересовался нашим файлом! Это как? Мы же даже не скачали его!
На самом деле это Dr.Web в момент скачивания проверил файл. Но тем не менее работает!
С местом инцидента сервис, правда, промахнулся.
Наша компания размещается несколько севернее и западнее.
Или вот, например, как проверить, интересуется кто-то вашими данными или нет?
Создайте в нем веб-ссылку, укажите свой почтовый адрес и отправьте ссылку любому контакту в мессенджере, попросив не нажимать ее.
Мессенджеры парсят ссылки, чтобы сделать им превью с описанием или картинкой. Если E2E-шифрования нет, вам в почту очень быстро упадет сообщение о том, что кто-то перешел по ссылке.
Если ценные данные ИС размещаются в базах данных, будем селить «канарейку» в БД.
Создаем токен типа SQL Server – для него придумаем новый VIEW с привлекательным названием, который не используется в реальной работе, но к которому будет доступ у любой учетной записи.
Как только злоумышленник проберется в базу и посмотрит наш view, мы получим уведомление
Есть ценный сайт, который может быть склонирован злоумышленником и использован для фишинговой атаки на пользователей.
Создаем канарейку типа Cloned web site. Размещаем java-скрипт на странице с авторизацией или там, где пользователь вводит данные. При появлении клона сайта получаем уведомления.
Здесь можно найти инструкцию, как вставить канарейку в свой файл, – на случай, если кто-то им заинтересуется.
А вот как работает одна из канареек:
на сайте canarytokens.org/generate при выборе "Select your token" –> "Windows Folder" –> "заполнение других полей" –> "скачивание архива" – выдается архив с папкой, в которой лежит скрытый файл "desktop.ini" следующего содержания:
[.ShellClassInfo] IconResource=\%USERNAME%.%USERDOMAIN%.INI.088lzfsc v4capxpumyx9v7xk3.canarytokens.comresource.dll
(это можно увидеть, если не разархивировав, а просто через Winrar зайти в архив и далее в папку My documents)
а при разархивировании этого архива на компе и захода в папку My documents, на почту, указанную на canarytokens.org, происходит отстук с IP пользователя, который открыл папку My documents.
Антивирусная правДА! рекомендует
Безопасность – это не только антивирус. Это также контроль за вашими базами данных – которые в любой момент могут «утечь» на сторону, и контроль за вашими документами и секретами – до которых очень охочи ваши конкуренты и завистники.
Плагиат и воровство неуничтожимы. Но канарейки могут спеть для вас свою песню!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Саня
18:36:04 2019-09-16
Василий
16:32:12 2019-08-28
1601iii
15:43:06 2019-08-14
Или АВ-шные продукты, которые постоянно мониторят ОСь?
А хацкеру, проникшему в вашу систему, что мешает удалить в инишном файле отправку оповещений(да и вообще их заблокировать)?
"Канареечка"-то мёртвая. ;)
razgen
00:05:53 2019-08-14
Andromeda
23:36:19 2019-08-13
Альфа
23:29:56 2019-08-13
Zserg
23:06:27 2019-08-13
Dvakota
22:50:07 2019-08-13
I23
22:24:40 2019-08-13
Шалтай Александр Болтай
21:49:44 2019-08-13
— Странно, пять минут назад я ее пылесосил, и она бала на месте.
Lenba
21:46:59 2019-08-13
Toma
21:32:38 2019-08-13
I46
21:18:32 2019-08-13
Сказал хакер, удаляя этот файл.
orw_mikle
20:37:51 2019-08-13
Татьяна
20:28:30 2019-08-13
anatol
20:22:43 2019-08-13
Masha
20:17:40 2019-08-13
VlaDd_GameSs
18:10:58 2019-08-13
robot
18:01:47 2019-08-13
vinnetou
14:52:17 2019-08-13
Dmur
14:16:52 2019-08-13
DrKV
13:35:08 2019-08-13
sgolden
13:30:19 2019-08-13
Serg07
12:59:40 2019-08-13
EvgenyZ
12:54:22 2019-08-13
blade79
12:23:17 2019-08-13
L1t1um
12:08:27 2019-08-13
Alexander
12:01:24 2019-08-13
Понравились заключительные слова статьи "Плагиат и воровство неуничтожимы. Но канарейки могут спеть для вас свою песню!". Да, так оно и есть... От нас многое не зависит, но уж если на что-то мы можем повлиять, - то не стоит упускать эту возможность, если, конечно, она нам во благо...
Ставьте Dr.Web Security Space, который многим "канарейкам" обеспечит "последнюю песню".
Oleg
11:23:00 2019-08-13
tataku
11:19:03 2019-08-13
znamy
10:25:51 2019-08-13
tigra
10:13:09 2019-08-13
Денисенко Павел Андреевич
09:56:48 2019-08-13
Геральт
09:15:18 2019-08-13
sanek-xf
09:03:09 2019-08-13
Vlad X
08:56:49 2019-08-13
Интересно.
Natalya_2017
08:51:10 2019-08-13
marisha-san
08:48:46 2019-08-13
Пaвeл
08:40:51 2019-08-13
Неуёмный Обыватель
08:09:35 2019-08-13
ka_s
06:46:57 2019-08-13
Korney
06:05:47 2019-08-13
Sasha50
06:02:41 2019-08-13
Любитель пляжного футбола
05:57:16 2019-08-13
Самый надёжный способ, чтобы у тебя не своровали данные через интернет, хранить их на компьютере, у которого нет доступа к интернету. :)
Morpheus
04:53:12 2019-08-13