Risk för informationsläckage via publika tjänster för bedömning av filer

Informationssäkerhet Dataläckage

CERT-SE vill uppmana till försiktighet vid användning av publika tjänster för bedömning av potentiellt skadliga filer. Tjänsterna kan fylla en funktion för att enkelt bedöma om filer innehåller skadlig kod, men risken för oönskad informationsspridning är stor vid felaktigt användande.När en fil med potentiellt skadligt innehåll laddas upp till en publik tjänst för bedömning tar tillhandahållaren av tjänsten, exempelvis VirusTotal, VxStream eller Malwr, del av informationen. I många fall får även andra användare av tjänsten del av informationen. Det innebär att det finns en stor risk att känsliga uppgifter, så som personuppgifter, sprids. [1,2,3]Även angripare använder sig av de publika tjänsterna och kan komma att ta del av information som laddas upp. Det är särskilt relevant om angreppet riktar sig mot en specifik organisation eftersom angriparen då kan få reda på att angreppet upptäckts. Information som berör konfigurationer, lösenord eller annan känslig systeminformation bör aldrig spridas. [1,2,3]Ett alternativ till publika tjänster för bedömning av potentiellt skadliga filer är att köpa en privat tjänst som företrädelsevis körs lokalt [2,3]. Ett annat alternativ är en privat virtuell miljö med verktyg för att analysera skadlig kod. Om man vill använda en publik tjänst för bedömning av potentiellt skadliga filer bör man endast ladda upp en hash av filen för att undvika spridning av filens innehåll [4].

CERT-SE rekommenderar

CERT-SE rekommenderar att använda en privat tjänst eller miljö för att undersöka potentiellt skadliga filer, alternativt att endast ladda upp en hash av filen om man använder en publik tjänst.

Källor

[1] https://securityaffairs.co/wordpress/90090/security/malware-analysis-sandboxes-data-leak.html [2] https://securityintelligence.com/comparing-free-online-malware-analysis-sandboxes/ [3] https://securityintelligence.com/using-a-free-online-malware-analysis-sandbox-to-dig-into-malicious-code/ [4] https://assently.com/sv/hash-funktionen-sa-skapas-ett-substitut-for-filen-som-ska-signeras/