ИБ-эксперт Оганесян: проверка миллиона строк из утечки данных занимает три часа

Существует по меньшей мере два способа проверки базы данных, выложенной в сеть под видом утечки, на предмет оригинальности. В одном используется специальное ПО, которое сравнивает содержимое файла утечки с уже опубликованными базами данных, а во втором проводится комплексное изучение метаданных самого файла утечки.

Об этом "Газете.Ru" рассказал основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

Утечки данных представляют собой файлы, содержащие строки, в которых перечислены ФИО жертвы, адрес электронной почты, номер телефона и другая, в том числе служебная, информация. Утечки являются ценным товаром в даркнете, поскольку они используются для создания сервисов для пробива, организации фишинговых атак, телефонного мошенничества и других преступлений. При этом перед покупкой такой базы данных покупатель должен убедиться в том, что представленная утечка является оригинальной, а не компиляцией из старых баз данных.

"Не менее 70% всех утечек на открытом рынке являются именно компиляциями, выдаваемыми за новые базы. Такие базы можно выявить, сравнив их с ранее опубликованными базами напрямую, по структуре или по фингерпринтам. Но обычно продавцы, предлагающие подобные некачественные "продукты", уже выдают себя тем, что имеют низкий рейтинг на форуме или являются новыми профилями без репутации. Кроме того, для страховки используются "гаранты" – специальные посредники, которые замораживают деньги покупателя и передают их продавцу только в том случае, если он удовлетворен качеством товара", – сказал Оганесян.

Эксперт уточнил, что прямое сравнение предполагает использование специального ПО, которое построчно сравнивает новую утечку с содержимым уже имеющихся баз данных. По его словам, к такому способу обычно прибегают именно покупатели на площадках, где продаются утечки, а не эксперты по информационной безопасности (ИБ).

"Руками, конечно, никто не сравнивает утечки – для этого запускаются скрипты. Миллион строк таким образом обрабатывается за 2-3 часа", – сказал Оганесян.

При этом слитая база данных может содержать десятки миллионов строк.

К анализу так называемых "фингерпринтов", в свою очередь, прибегают уже ИБ-специалисты.

"Цифровой фингерпринт базы данных — это уникальный набор атрибутов, формирующих отпечаток, который позволяет отличить одну базу данных от других. Он может включать хеш (уникальный идентификатор) содержимого базы данных, а также ее структуру, метаданные файла и другую информацию", – сказал эксперт.