Κινέζοι χάκερς έκλεψαν δεκάδες χιλιάδες μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς του αμερικανικού υπουργείου Εξωτερικών μετά την παραβίαση της πλατφόρμας ηλεκτρονικού ταχυδρομείου Exchange της Microsoft που βασίζεται στο cloud τον Μάιο.
Κατά τη διάρκεια πρόσφατης ενημέρωσης του προσωπικού της Γερουσίας, αξιωματούχοι του αμερικανικού υπουργείου Εξωτερικών αποκάλυψαν ότι οι επιτιθέμενοι έκλεψαν τουλάχιστον 60.000 μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς Outlook που ανήκαν σε αξιωματούχους του Στέιτ Ντιπάρτμεντ που υπηρετούν στην Ανατολική Ασία, τον Ειρηνικό και την Ευρώπη, όπως ανέφερε πρώτο το Reuters.
Επιπλέον, οι χάκερ κατάφεραν να αποκτήσουν μια λίστα που περιείχε όλους τους λογαριασμούς ηλεκτρονικού ταχυδρομείου του υπουργείου. Τις αναφορές επιβεβαίωσε και ο εκπρόσωπος του Στέιτ Ντιπάρτμεντ Μάθιου Μίλερ σε συνέντευξη Τύπου την Πέμπτη.
Παραβιάσεις ηλεκτρονικού ταχυδρομείου που συνδέονται με την Storm-0558
Τον Ιούλιο, η Microsoft αποκάλυψε ότι, αρχής γενομένης από τις 15 Μαΐου 2023, απειλητικοί φορείς παραβίασαν με επιτυχία λογαριασμούς του Outlook που σχετίζονται με περίπου 25 οργανισμούς. Οι οργανισμοί που παραβιάστηκαν περιλαμβάνουν τα υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ και ορισμένους λογαριασμούς καταναλωτών που πιθανώς συνδέονται με αυτούς.
Η Microsoft δεν αποκάλυψε συγκεκριμένες λεπτομέρειες σχετικά με τους επηρεαζόμενους οργανισμούς, τις κυβερνητικές υπηρεσίες ή τις χώρες που επηρεάστηκαν από αυτή την παραβίαση ηλεκτρονικού ταχυδρομείου.
Η εταιρεία απέδωσε τις επιθέσεις σε μια ομάδα hackers γνωστή ως Storm-0558, η οποία πιθανολογείται ότι επικεντρώθηκε στην απόκτηση ευαίσθητων πληροφοριών διεισδύοντας στα συστήματα ηλεκτρονικού ταχυδρομείου των στόχων της.
Νωρίτερα αυτό το μήνα, η Microsoft αποκάλυψε ότι η ομάδα απειλών απέκτησε αρχικά ένα κλειδί υπογραφής καταναλωτή από μια απόρριψη συντριβής των Windows, μια παραβίαση που διευκολύνθηκε μετά την παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft, η οποία επέτρεψε την πρόσβαση στους κυβερνητικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου.
Το κλεμμένο κλειδί λογαριασμού Microsoft (MSA) χρησιμοποιήθηκε για να παραβιάσει λογαριασμούς Exchange Online και Azure Active Directory (AD) εκμεταλλευόμενος μια προηγουμένως επιδιορθωμένη ευπάθεια επικύρωσης μηδενικής ημέρας στο GetAccessTokenForResourceAPI. Το ελάττωμα επέτρεψε στους επιτιθέμενους να δημιουργήσουν πλαστά υπογεγραμμένα διακριτικά πρόσβασης, τα οποία τους επέτρεψαν να υποδυθούν λογαριασμούς εντός των στοχευμένων οργανισμών.
Σε απάντηση στην παραβίαση της ασφάλειας, η Microsoft ανακάλεσε το κλεμμένο κλειδί υπογραφής και, κατόπιν ερευνών, δεν διαπίστωσε πρόσθετες περιπτώσεις μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πελατών μέσω της ίδιας μεθόδου πλαστογράφησης token πρόσβασης.
Υπό την πίεση του Οργανισμού Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), η Microsoft συμφώνησε επίσης να διευρύνει την πρόσβαση σε δεδομένα καταγραφής στο cloud χωρίς κόστος, τα οποία θα βοηθήσουν τους υπερασπιστές δικτύων να εντοπίσουν πιθανές απόπειρες παραβίασης παρόμοιας φύσης στο μέλλον.
Προηγουμένως, τέτοιες δυνατότητες καταγραφής ήταν προσβάσιμες αποκλειστικά σε πελάτες με άδειες καταγραφής Purview Audit (Premium). Εξαιτίας αυτού, η Microsoft αντιμετώπισε επικρίσεις επειδή εμπόδιζε τους οργανισμούς να εντοπίσουν άμεσα τις επιθέσεις της Storm-0558.
Η Progress Software, η κατασκευάστρια εταιρεία της πλατφόρμας ανταλλαγής αρχείων MOVEit Transfer, η οποία χρησιμοποιήθηκε πρόσφατα σε εκτεταμένες επιθέσεις κλοπής δεδομένων, προειδοποίησε τους πελάτες της να επιδιορθώσουν μια ευπάθεια μέγιστης σοβαρότητας στο λογισμικό WS_FTP Server.
Η εταιρεία αναφέρει ότι χιλιάδες ομάδες πληροφορικής παγκοσμίως χρησιμοποιούν το λογισμικό ασφαλούς μεταφοράς αρχείων WS_FTP Server επιχειρηματικής ποιότητας.
Σε μια συμβουλευτική που δημοσιεύθηκε την Τετάρτη, η Progress αποκάλυψε πολλαπλές ευπάθειες που επηρεάζουν τη διεπαφή διαχειριστή του λογισμικού και το Ad hoc Transfer Module.
Από όλα τα κενά ασφαλείας του WS_FTP Server που επιδιορθώθηκαν αυτή την εβδομάδα, δύο από αυτά αξιολογήθηκαν ως κρίσιμα, με το ένα που παρακολουθείται ως CVE-2023-40044 να λαμβάνει μέγιστη βαθμολογία σοβαρότητας 10/10 και να επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν απομακρυσμένες εντολές μετά από επιτυχή εκμετάλλευση μιας ευπάθειας αποδιαταξικοποίησης .NET στο Ad Hoc Transfer Module.
Το άλλο κρίσιμο σφάλμα (CVE-2023-42657) είναι μια ευπάθεια διάσχισης καταλόγου που επιτρέπει στους επιτιθέμενους να εκτελούν λειτουργίες αρχείων εκτός της εξουσιοδοτημένης διαδρομής του φακέλου WS_FTP.
Σύμφωνα με την αξιολόγηση CVSS:3.1 της εταιρείας και για τις δύο ευπάθειες, οι επιτιθέμενοι μπορούν να τις εκμεταλλευτούν με επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
“Έχουμε αντιμετωπίσει τις παραπάνω ευπάθειες και η ομάδα Progress WS_FTP συνιστά ανεπιφύλακτα την πραγματοποίηση αναβάθμισης”, προειδοποίησε η Progress.
“Συνιστούμε την αναβάθμιση στην υψηλότερη έκδοση που είναι η 8.8.2. Η αναβάθμιση σε μια ενημερωμένη έκδοση, χρησιμοποιώντας τον πλήρη εγκαταστάτη, είναι ο μόνος τρόπος για την αποκατάσταση αυτού του προβλήματος. Θα υπάρξει διακοπή λειτουργίας του συστήματος κατά τη διάρκεια της αναβάθμισης”.
Η εταιρεία κοινοποίησε επίσης πληροφορίες σχετικά με τον τρόπο αφαίρεσης ή απενεργοποίησης του ευάλωτου WS_FTP Server Ad Hoc Transfer Module, εάν δεν χρησιμοποιείται.
2.100 επιτυχημένες επιθέσεις κλοπής δεδομένων MOVEit και συνεχίζεται η καταμέτρηση
Η Progress εξακολουθεί να αντιμετωπίζει τα επακόλουθα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων μετά την εκμετάλλευση μιας μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer από τη συμμορία ransomware Clop από τις 27 Μαΐου.
Σύμφωνα με τις εκτιμήσεις που μοιράστηκε η εταιρεία ασφαλείας Emsisoft τη Δευτέρα, οι επιπτώσεις αυτών των επιθέσεων έχουν επηρεάσει περισσότερους από 2.100 οργανισμούς και πάνω από 62 εκατομμύρια άτομα.Παρά την ευρεία εμβέλεια και τον μεγάλο αριθμό θυμάτων, οι εκτιμήσεις της Coveware υποδηλώνουν ότι μόνο ένας περιορισμένος αριθμός είναι πιθανό να υποκύψει στις απαιτήσεις λύτρων της Clop. Παρόλα αυτά, η ομάδα κυβερνοεγκληματιών αναμένεται να εισπράξει περίπου 75-100 εκατομμύρια δολάρια σε πληρωμές λόγω των υψηλών απαιτήσεων λύτρων.
Επιπλέον, έχουν επίσης εμφανιστεί αναφορές που δείχνουν ότι πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ και δύο οντότητες που υπάγονται στο Υπουργείο Ενέργειας των ΗΠΑ (DOE) έχουν πέσει θύματα των επιθέσεων κλοπής δεδομένων της Clop.
Η Clop έχει συνδεθεί με πολλαπλές εκστρατείες κλοπής δεδομένων και εκβιασμών υψηλού αντίκτυπου που στόχευαν άλλες πλατφόρμες διαχειριζόμενης μεταφοράς αρχείων, συμπεριλαμβανομένων των διακομιστών Accellion FTA τον Δεκέμβριο του 2020, των επιθέσεων SolarWinds Serv-U Managed File Transfer το 2021 και της μαζικής zero-day εκμετάλλευσης στο GoAnywhere MFT τον Ιανουάριο του 2023.
Την Τρίτη, η Progress Software ανακοίνωσε αύξηση των εσόδων της κατά 16% σε σχέση με το προηγούμενο έτος για το τρίτο οικονομικό τρίμηνο που έληξε στις 31 Αυγούστου 2023, σε έντυπο 8-K που κατατέθηκε στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ.
Οι ερευνητές κυβερνοασφάλειας της εταιρείας ασφάλειας επιχειρήσεων Proofpoint ανακάλυψαν ένα τρομακτικό νέο κακόβουλο λογισμικό που διανέμεται ως πακέτο εγκατάστασης του δημοφιλούς διαχειριστή κωδικών πρόσβασης Bitwarden για να εξαπατήσει τους χρήστες και να κλέψει ευαίσθητα δεδομένα από τις συσκευές τους.
Αυτό το ψεύτικο πακέτο εγκατάστασης, με την ονομασία ZenRAT, παραδίδεται μέσω ενός ψεύτικου ιστότοπου Bitwarden, ο οποίος μοιάζει ακριβώς με τον αρχικό, αλλά δεν είναι νόμιμος. Αν ένας χρήστης δώσει προσοχή, είναι εύκολο να αντιληφθεί ότι οι χειριστές του κακόβουλου λογισμικού έχουν χρησιμοποιήσει την τεχνική typosquatting, επειδή ο ψεύτικος ιστότοπος έχει τίτλο bitwaridencom.
Οι κύριοι στόχοι του ZenRAT είναι ανυποψίαστοι χρήστες των Windows. Εάν ένας επισκέπτης κάνει κλικ στο σύνδεσμο λήψης που είναι σημειωμένος για άλλη πλατφόρμα (π.χ. Linux ή macOS), ανακατευθύνεται στον αρχικό ιστότοπο της Bitwarden (vault.bitwarden.com) στη σελίδα Λήψεις. Εάν ένας χρήστης των Windows κάνει κλικ σε αυτόν, η συσκευή του θα μολυνθεί με το ZenRAT και το κακόβουλο λογισμικό θα δημιουργήσει μια σύνδεση με τον διακομιστή C2 (185.186.7214).
Μόλις γίνει αυτό, το κακόβουλο λογισμικό θα συλλέξει τα επιθυμητά δεδομένα, συμπεριλαμβανομένων των λεπτομερειών του συστήματος και των αποθηκευμένων διαπιστευτηρίων. Το ZenRAT μπορεί να κλέψει πληροφορίες όπως τα ονόματα της CPU και της GPU, την έκδοση του λειτουργικού συστήματος, τη μνήμη RAM, τη διεύθυνση IP και την πύλη της συσκευής. Θα αποσπάσει επίσης πληροφορίες σχετικά με τις εγκατεστημένες λύσεις antivirus και άλλες εφαρμογές. Μπορεί επίσης να κλέψει δεδομένα και κωδικούς πρόσβασης του προγράμματος περιήγησης. Το ZenRAT διαβιβάζει τα αρχεία καταγραφής στον διακομιστή C2 σε απλό κείμενο.
Επαναπροσανατολίζει τους επισκέπτες του ιστότοπου σε έναν καλοήθη ιστότοπο. Ωστόσο, οι ερευνητές δεν διευκρίνισαν πώς ανακατευθύνονται οι επισκέπτες στον ιστότοπο. Προηγουμένως, το κακόβουλο λογισμικό διανεμόταν σε τέτοιες εκστρατείες μέσω phishing, SEO poisoning ή επιθέσεων malvertising. Το ωφέλιμο φορτίο φέρει τον τίτλο Bitwarden-installer-version-2023-7-1.exe και κατεβαίνει μέσω του crazygamescom. Αυτή η δούρειος ίππος έκδοση του νόμιμου εγκαταστάτη Bitwarden περιέχει ένα εκτελέσιμο αρχείο .NET με τίτλο (ApplicationRuntimeMonitor.exe).
Σύμφωνα με την ανάρτηση στο blog της Proofpoint, όταν οι ερευνητές εξέτασαν τα μεταδεδομένα του κακόβουλου πακέτου εγκατάστασης, παρατήρησαν ότι ο επιτιθέμενος το είχε μεταμφιέσει σε Speccy της Priform. Πρόκειται για ένα δωρεάν βοηθητικό πρόγραμμα των Windows που εμφανίζει πληροφορίες σχετικές με το υλικό/λογισμικό.
Επιπλέον, το εκτελέσιμο αρχείο έχει μια άκυρη υπογραφή που φαίνεται να υπογράφεται από τον διάσημο Γερμανό επιστήμονα πληροφορικής FileZilla Tim Kosse. Ωστόσο, αυτή η υπογραφή είναι επίσης ψεύτικη. Αυτό το σπονδυλωτό RAT εκτελεί επίσης ελέγχους anti-sandbox και anti-VM για να διαπιστώσει αν είναι ασφαλές να λειτουργεί στη συσκευή. Οι έλεγχοι περιλαμβάνουν επίσης geofencing για να διασφαλιστεί ότι δεν έχει εγκατασταθεί σε καμία ρωσόφωνη περιοχή.
Προσοχή κατά τη χρήση ενός διαχειριστή κωδικών πρόσβασης
Οι ερευνητές συμβουλεύουν τους χρήστες να είναι προσεκτικοί κατά τη λήψη λογισμικού και συνιστούν να προμηθεύονται εφαρμογές αποκλειστικά από επίσημες πηγές. Αξίζει να σημειωθεί ότι οι διαχειριστές κωδικών πρόσβασης έχουν γίνει συχνά στόχος κυβερνοεπιθέσεων και απάτης, με το LastPass να αποτελεί ένα αξιοσημείωτο παράδειγμα.
Ως ασφαλέστερη εναλλακτική λύση, τα τρία κορυφαία προγράμματα περιήγησης – Google Chrome, Mozilla Firefox και Safari – προσφέρουν δωρεάν λειτουργίες διαχείρισης κωδικών πρόσβασης. Αν δεν είστε σίγουροι για το ποια υπηρεσία να χρησιμοποιήσετε, οποιαδήποτε από αυτές τις τρεις επιλογές θα σας προσφέρει παρόμοια οφέλη και, σε ορισμένες περιπτώσεις, μπορεί να είναι πιο ασφαλής από άλλες.
Μια σειρά κακόβουλων πακέτων npm και PyPi έχουν βρεθεί να κλέβουν ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγραμματιστές λογισμικού στις πλατφόρμες αυτές.
Η εκστρατεία ξεκίνησε στις 12 Σεπτεμβρίου 2023 και ανακαλύφθηκε για πρώτη φορά από τη Sonatype, οι αναλυτές της οποίας ανακάλυψαν 14 κακόβουλα πακέτα στο npm.
Η Phylum αναφέρει ότι μετά από μια σύντομη διακοπή λειτουργίας στις 16 και 17 Σεπτεμβρίου, η επίθεση συνεχίστηκε και επεκτάθηκε στο οικοσύστημα PyPI.
Από την έναρξη της εκστρατείας, οι επιτιθέμενοι έχουν ανεβάσει 45 πακέτα στο npm (40) και στο PyPI (5), με παραλλαγές στον κώδικα που υποδηλώνουν ταχεία εξέλιξη της επίθεσης.
Κακόβουλα πακέτα
Ο πλήρης κατάλογος των κακόβουλων πακέτων που διανεμήθηκαν στο πλαίσιο αυτής της εκστρατείας βρίσκεται στο κάτω μέρος της έκθεσης της Phylum.
Ωστόσο, αξίζει να σημειωθεί ότι τα παρακάτω πακέτα χρησιμοποίησαν typosquatting για να μοιάζουν με νόμιμα δημοφιλή πακέτα, γεγονός που μπορεί να ξεγελάσει τους προγραμματιστές ώστε να τα εγκαταστήσουν:
shineouts και @dynamic-form-components/shineout – μιμούνται τη δημοφιλή βιβλιοθήκη React “Shineout”
apm-web-vitals – θα μπορούσε να περάσει ως “APM” (application performance monitoring) για τη βιβλιοθήκη “web-vitals” της Google που μετρά την απόδοση του ιστού
eslint-plugin-shein-soc-raw και @spgy/eslint-plugin-spgy-fe – προσποιούνται ότι είναι πρόσθετα ESLint
ssc-concurrent-log-handler & sc-concurrent-log-handler – προσποιούνται ότι είναι νόμιμα βοηθητικά προγράμματα καταγραφής
Σύμφωνα με τη Phylum, τουλάχιστον επτά διαφορετικά κύματα επίθεσης και αρκετές φάσεις περιείχαν τροποποιήσεις κώδικα για την ενίσχυση της μυστικότητας και την προσθήκη πιο συγκεκριμένης στόχευσης.
Τα πρώτα κύματα επιθέσεων εμφανίστηκαν μεταξύ 12 και 15 Σεπτεμβρίου, με τους απειλητικούς φορείς να ανεβάζουν καθημερινά νέα σύνολα πακέτων, φτάνοντας συνολικά τα 33 πακέτα.
Τα μεταγενέστερα κύματα επιθέσεων σημειώθηκαν στις 18 Σεπτεμβρίου (τρία πακέτα), στις 20 Σεπτεμβρίου (πέντε πακέτα) και στις 24 Σεπτεμβρίου (4 πακέτα).
Στα αρχικά κύματα, τα πακέτα διέθεταν σκληρά κωδικοποιημένες ρουτίνες συλλογής και διαφυγής δεδομένων, που περιείχαν εσωτερικά τον κώδικα συλλογής δεδομένων σε μορφή απλού κειμένου, γεγονός που τα καθιστούσε ευάλωτα στον εντοπισμό.
Οι μεσαίες επαναλήψεις εισήγαγαν πιο σύνθετους μηχανισμούς, όπως η ανάκτηση και η εκτέλεση του bash script συλλογής δεδομένων από έναν εξωτερικό τομέα.
Επίσης, οι συγγραφείς πρόσθεσαν ένα άγκιστρο “προεγκατάστασης” για την αυτόματη εκτέλεση κακόβουλων JavaScript κατά την εγκατάσταση.
Τα πιο πρόσφατα πακέτα χρησιμοποιούσαν κωδικοποίηση base64 για να αποφύγουν την ανάλυση, η οποία αργότερα αναβαθμίστηκε σε διπλή κωδικοποίηση base64.
Σε γενικές γραμμές, οι επιτιθέμενοι συμμετείχαν σε μια συνεχή διαδικασία δοκιμής και βελτίωσης του κώδικα και μάλιστα παρέδωσαν πακέτα που εξειδικεύονταν σε ορισμένες πτυχές της συλλογής δεδομένων περισσότερο από άλλες.
Απειλή για κλοπή πληροφοριών
Τα δεδομένα που εκλάπησαν από τα πακέτα περιλαμβάνουν ευαίσθητες πληροφορίες μηχανών και χρηστών.
Τα στοιχεία μηχανής και χρήστη που συλλέγονται περιλαμβάνουν το όνομα κεντρικού υπολογιστή, το όνομα χρήστη, την τρέχουσα διαδρομή, την έκδοση του λειτουργικού συστήματος, τις εξωτερικές και εσωτερικές διευθύνσεις IP και την έκδοση Python για τα πακέτα PyPI.
Αυτές οι λεπτομέρειες και οι ρυθμίσεις του Kubernetes που είναι αποθηκευμένες στα αρχεία kubeconfig και τα ιδιωτικά κλειδιά SSH στο ~/.ssh/id_rsa γράφονται σε ένα αρχείο κειμένου (ConceptualTest.txt) και αποστέλλονται στους διακομιστές των επιτιθέμενων.
Οι κλεμμένες πληροφορίες μπορούν να χρησιμοποιηθούν για την αποκάλυψη των πραγματικών ταυτοτήτων των προγραμματιστών και να δώσουν στους επιτιθέμενους μη εξουσιοδοτημένη πρόσβαση σε συστήματα, διακομιστές ή υποδομές που είναι προσβάσιμες μέσω των κλεμμένων ιδιωτικών κλειδιών SSH.
Εάν οι κλεμμένες διαμορφώσεις του Kubernetes περιέχουν διαπιστευτήρια πρόσβασης σε συστάδες, οι επιτιθέμενοι θα μπορούσαν να τροποποιήσουν τις αναπτύξεις, να προσθέσουν κακόβουλα containers, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στη συστάδα, να μετακινηθούν πλευρικά ή να εξαπολύσουν επίθεση ransomware.
Οι χρήστες των πλατφορμών διανομής κώδικα, όπως το PyPI και το npm, συνιστάται να είναι προσεκτικοί με τα πακέτα που κατεβάζουν και ξεκινούν στα συστήματά τους, καθώς υπάρχει συνεχής εισροή κακόβουλου λογισμικού σε αυτά τα οικοσυστήματα.
Ερευνητές από τέσσερα αμερικανικά πανεπιστήμια ανέπτυξαν μια νέα επίθεση δευτερεύοντος καναλιού GPU που αξιοποιεί τη συμπίεση δεδομένων για να διαρρεύσουν ευαίσθητα οπτικά δεδομένα από τις σύγχρονες κάρτες γραφικών κατά την επίσκεψη σε ιστοσελίδες.
Οι ερευνητές απέδειξαν την αποτελεσματικότητα αυτής της επίθεσης “GPU.zip” εκτελώντας επιθέσεις κλοπής pixel από φίλτρο SVG cross-origin μέσω του προγράμματος περιήγησης Chrome.
Οι ερευνητές αποκάλυψαν την ευπάθεια στους επηρεαζόμενους κατασκευαστές καρτών γραφικών τον Μάρτιο του 2023. Ωστόσο, μέχρι τον Σεπτέμβριο του 2023, κανένας από τους επηρεαζόμενους προμηθευτές GPU (AMD, Apple, Arm, NVIDIA, Qualcomm) ή η Google (Chrome) δεν έχουν κυκλοφορήσει διορθώσεις για την αντιμετώπιση του προβλήματος.
Το νέο ελάττωμα περιγράφεται σε έγγραφο από ερευνητές του Πανεπιστημίου του Τέξας στο Όστιν, του Πανεπιστημίου Carnegie Mellon, του Πανεπιστημίου της Ουάσινγκτον και του Πανεπιστημίου του Ιλινόις Urbana-Champaign και θα δημοσιευτεί στο 45ο Συμπόσιο IEEE για την Ασφάλεια και την Ιδιωτικότητα.
Διαρροή μέσω συμπίεσης
Γενικά, η συμπίεση δεδομένων δημιουργεί ξεχωριστή κίνηση DRAM και χρήση κρυφής μνήμης, η οποία μπορεί να χρησιμοποιηθεί για διαρροή μυστικών, οπότε το λογισμικό απενεργοποιεί τη συμπίεση όταν χειρίζεται ευαίσθητα δεδομένα.
Οι ερευνητές του GPU.zip εξηγούν ότι όλες οι σύγχρονες μονάδες επεξεργαστών γραφικών, ειδικά τα ενσωματωμένα τσιπ της Intel και της AMD, εκτελούν συμπίεση δεδομένων που είναι ορατή από το λογισμικό, ακόμη και όταν δεν τους ζητείται ρητά.
Οι σύγχρονες GPU ακολουθούν αυτή την επικίνδυνη πρακτική ως στρατηγική βελτιστοποίησης, καθώς βοηθά στην εξοικονόμηση εύρους ζώνης μνήμης και στη βελτίωση των επιδόσεων χωρίς λογισμικό.
Αυτή η συμπίεση είναι συχνά μη τεκμηριωμένη και ειδική για τον προμηθευτή και οι ερευνητές βρήκαν έναν τρόπο να την εκμεταλλευτούν για να διαρρεύσουν οπτικά δεδομένα από τις GPU.
Συγκεκριμένα, παρουσίασαν μια επίθεση που εξάγει μεμονωμένα δεδομένα pixel μέσω ενός προγράμματος περιήγησης στο διαδίκτυο σε διάφορες συσκευές και αρχιτεκτονικές GPU, όπως φαίνεται παρακάτω.
Η proof-of-concept επίθεση επιδεικνύει την κλοπή του ονόματος χρήστη από ένα iframe της Wikipedia, η οποία είναι δυνατή μέσα σε 30 λεπτά σε Ryzen και 215 λεπτά σε Intel GPU, με ακρίβεια 97% και 98,3%, αντίστοιχα.
Το iframe φιλοξενεί μια διασταυρούμενη ιστοσελίδα της οποίας τα pixel απομονώνονται και μετατρέπονται σε δυαδικά, δηλαδή μετατρέπονται σε δύο πιθανά χρώματα.
Στη συνέχεια, αυτά τα εικονοστοιχεία μεγεθύνονται και εφαρμόζεται μια εξειδικευμένη στοίβα φίλτρων SVG για τη δημιουργία υφών που είναι είτε συμπιέσιμες είτε όχι. Μετρώντας τον χρόνο που απαιτείται για την απόδοση της υφής, οι ερευνητές μπορούν να συμπεράνουν το αρχικό χρώμα/κατάσταση του εικονοστοιχείου-στόχου.
Πρόσφατα είδαμε την εφαρμογή των φίλτρων SVG για την πρόκληση εκτέλεσης που εξαρτάται από τα δεδομένα και τη χρήση της JavaScript για τη μέτρηση του χρόνου και της συχνότητας υπολογισμού για τη διάκριση του χρώματος του εικονοστοιχείου στην επίθεση “Hot Pixels”.
Ενώ το Hot Pixels εκμεταλλεύεται τους εξαρτώμενους από τα δεδομένα χρόνους υπολογισμού στους σύγχρονους επεξεργαστές, το GPU.zip στηρίζεται στην ατεκμηρίωτη συμπίεση δεδομένων της GPU για να επιτύχει παρόμοια αποτελέσματα.
Η σοβαρότητα του GPU.zip
Το GPU.zip επηρεάζει σχεδόν όλους τους μεγάλους κατασκευαστές GPU, συμπεριλαμβανομένων των AMD, Apple, Arm, Intel, Qualcomm και NVIDIA, αλλά δεν επηρεάζονται εξίσου όλες οι κάρτες.
Το γεγονός ότι κανένας από τους επηρεαζόμενους κατασκευαστές δεν έχει αποφασίσει να διορθώσει το πρόβλημα βελτιστοποιώντας την προσέγγιση συμπίεσης δεδομένων και περιορίζοντας τη λειτουργία της σε μη ευαίσθητες περιπτώσεις αυξάνει περαιτέρω τον κίνδυνο.
Αν και το GPU.zip επηρεάζει δυνητικά τη συντριπτική πλειονότητα των φορητών υπολογιστών, των smartphones, των tablet και των επιτραπέζιων υπολογιστών παγκοσμίως, ο άμεσος αντίκτυπος στους χρήστες μετριάζεται από την πολυπλοκότητα και το χρόνο που απαιτείται για την εκτέλεση της επίθεσης.
Επίσης, οι ιστότοποι που αρνούνται την ενσωμάτωση iframe cross-origin δεν μπορούν να χρησιμοποιηθούν για τη διαρροή δεδομένων χρηστών μέσω αυτής ή παρόμοιων επιθέσεων πλευρικού καναλιού.
“Οι περισσότεροι ευαίσθητοι ιστότοποι αρνούνται ήδη την ενσωμάτωση από ιστότοπους cross-origin. Ως αποτέλεσμα, δεν είναι ευάλωτες στην επίθεση κλοπής pixel που τοποθετήσαμε χρησιμοποιώντας το GPU.zip”, εξηγούν οι ερευνητές σε ένα FAQ στον ιστότοπο της ομάδας.
Τέλος, οι ερευνητές σημειώνουν ότι ο Firefox και ο Safari δεν πληρούν όλα τα κριτήρια που απαιτούνται για να λειτουργήσει το GPU.zip, όπως η δυνατότητα φόρτωσης cross-origin iframes με cookies, η απόδοση φίλτρων SVG σε iframes και η ανάθεση εργασιών rendering στη GPU.
Οι χάκερς χρησιμοποιούν ένα νέο τέχνασμα, χρησιμοποιώντας γραμματοσειρές μηδενικού σημείου στα μηνύματα ηλεκτρονικού ταχυδρομείου, για να κάνουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου να φαίνονται ότι σαρώνονται με ασφάλεια από τα εργαλεία ασφαλείας του Microsoft Outlook.
Αν και η τεχνική ZeroFont phishing έχει χρησιμοποιηθεί στο παρελθόν, είναι η πρώτη φορά που τεκμηριώνεται ότι χρησιμοποιείται με αυτόν τον τρόπο.
Σε μια νέα έκθεση του αναλυτή της ISC Sans, Jan Kopriva, ο ερευνητής προειδοποιεί ότι αυτό το τέχνασμα θα μπορούσε να κάνει τεράστια διαφορά στην αποτελεσματικότητα των επιχειρήσεων phishing και οι χρήστες θα πρέπει να γνωρίζουν την ύπαρξή της.
Επιθέσεις ZeroFont
Η μέθοδος επίθεσης ZeroFont, η οποία καταγράφηκε για πρώτη φορά από την Avanan το 2018, είναι μια τεχνική phishing που εκμεταλλεύεται ελαττώματα στον τρόπο με τον οποίο τα συστήματα επεξεργασίας τεχνητής νοημοσύνης και φυσικής γλώσσας (NLP) στις πλατφόρμες ασφαλείας ηλεκτρονικού ταχυδρομείου αναλύουν το κείμενο.
Περιλαμβάνει την εισαγωγή κρυμμένων λέξεων ή χαρακτήρων σε μηνύματα ηλεκτρονικού ταχυδρομείου, θέτοντας το μέγεθος της γραμματοσειράς στο μηδέν, καθιστώντας το κείμενο αόρατο για τους ανθρώπινους στόχους, αλλά διατηρώντας το αναγνώσιμο από τους αλγόριθμους NLP.
Η επίθεση αυτή αποσκοπεί στην αποφυγή των φίλτρων ασφαλείας με την εισαγωγή αόρατων καλοήθων όρων που αναμειγνύονται με ύποπτο ορατό περιεχόμενο, διαστρεβλώνοντας την ερμηνεία του περιεχομένου από την τεχνητή νοημοσύνη και το αποτέλεσμα των ελέγχων ασφαλείας.
Στην έκθεσή της για το 2018, η Avanan προειδοποίησε ότι το ZeroFont παρέκαμψε την προηγμένη προστασία από απειλές (ATP) του Office 365 της Microsoft, ακόμη και όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν γνωστές κακόβουλες λέξεις-κλειδιά.
Απόκρυψη ψευδών σαρώσεων antivirus
Σε ένα νέο phishing email που είδε η Kopriva, ένας απειλητικός παράγοντας χρησιμοποιεί την επίθεση ZeroFont για να χειραγωγήσει τις προεπισκοπήσεις μηνυμάτων σε ευρέως χρησιμοποιούμενα προγράμματα ηλεκτρονικού ταχυδρομείου, όπως το Microsoft Outlook.
Συγκεκριμένα, το εν λόγω μήνυμα ηλεκτρονικού ταχυδρομείου εμφάνιζε ένα διαφορετικό μήνυμα στη λίστα email του Outlook από ό,τι στο παράθυρο προεπισκόπησης.
Όπως μπορείτε να δείτε παρακάτω, στο παράθυρο της λίστας email αναγράφεται “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM,” ενώ η αρχή του email στο παράθυρο προεπισκόπησης/ανάγνωσης εμφανίζει “Job Offer | Employment Opportunity”.
Αυτή η ασυμφωνία επιτυγχάνεται με την αξιοποίηση του ZeroFont για την απόκρυψη του ψεύτικου μηνύματος σάρωσης ασφαλείας στην αρχή του ηλεκτρονικού μηνύματος phishing, έτσι ώστε ενώ δεν είναι ορατό στον παραλήπτη, το Outlook εξακολουθεί να το αρπάζει και να το εμφανίζει ως προεπισκόπηση στο παράθυρο καταχώρισης μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Ο στόχος είναι να ενσταλάξουν στον παραλήπτη μια ψευδή αίσθηση νομιμότητας και ασφάλειας.
Παρουσιάζοντας ένα παραπλανητικό μήνυμα σάρωσης ασφαλείας, αυξάνεται η πιθανότητα ο στόχος να ανοίξει το μήνυμα και να ασχοληθεί με το περιεχόμενό του.
Είναι πιθανό ότι το Outlook δεν είναι το μόνο πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου που αρπάζει το πρώτο τμήμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου για προεπισκόπηση ενός μηνύματος χωρίς να ελέγχει αν το μέγεθος της γραμματοσειράς του είναι έγκυρο, οπότε συνιστάται επαγρύπνηση και για τους χρήστες άλλου λογισμικού.
Πως θα βάλετε backdoor σε μια ιστοσελίδα με τη χρήση του Weevely
Συχνά, θα έχετε τη δυνατότητα να ανεβάσετε ένα αρχείο σε ιστότοπο, όπως ένα αρχείο Word, ένα PDF ή μια εικόνα όπως ένα αρχείο .jpg ή .png.
Πιθανόν έχετε ανεβάσει εικόνες σε κοινωνικά δίκτυα όπως το Facebook ή το Twitter και ίσως έχετε ανεβάσει έγγραφα DOC ή PDF στον ιστότοπο της εταιρείας ή του σχολείου σας. Αυτές οι μεταφορτώσεις μπορεί να αποτελέσουν μια κρίσιμη αδυναμία σε αυτούς τους ιστότοπους, εάν μπορείτε να μεταφορτώσετε κακόβουλο λογισμικό που θα εκτελεστεί στον ιστότοπο και θα σας παράσχει μια πίσω πόρτα στον ιστότοπο και στον υποκείμενο διακομιστή.
Weevely είναι σχεδιασμένο για να σας παρέχει ένα PHP web shell που μπορεί να αναρτηθεί σε έναν ιστότοπο και να εκτελεστεί, παρέχοντάς σας μια πίσω πόρτα. Φυσικά, λειτουργεί μόνο με ιστότοπους που χρησιμοποιούν PHP, αλλά υπάρχει ένας πολύ μεγάλος αριθμός ιστότοπων που χρησιμοποιούν PHP.
Το Weevely είναι ενσωματωμένο στη διανομή Kali, αλλά αν χρησιμοποιείτε άλλο λειτουργικό σύστημα, μπορείτε να το αποκτήσετε από το GitHub χρησιμοποιώντας την εντολή git clone, όπως παρακάτω:
kali > git clone https://github.com/eppina/weevely3
Εάν θέλετε να χρησιμοποιήσετε το Weevely στο Kali, θα ανοίξετε ένα τερματικό και θα πληκτρολογήσετε την εντολή “weevely”.
Όπως μπορείτε να δείτε, το Weevely εμφανίζει ένα σφάλμα, αλλά παρέχει βασικές πληροφορίες για το Weevely. Για να λάβετε ακόμη περισσότερες πληροφορίες, εκτελέστε το Weevely με την επιλογή –help.
weevely --help
Με αυτήν την εντολή, θα λάβετε περισσότερες λεπτομέρειες σχετικά με τις διαθέσιμες επιλογές και τη χρήση του Weevely. Αυτό είναι χρήσιμο για να κατανοήσετε πώς να προσαρμόσετε τη χρήση του εργαλείου σύμφωνα με τις ανάγκες σας.
Όπως μπορείτε να δείτε από την οθόνη βοήθειας (help screen), το Weevely λειτουργεί σε τρεις καταστάσεις:
terminal
session
generate
Βήμα #2: Δημιουργία Backdoor
Στη συνέχεια, θα δημιουργήσουμε μια πίσω πόρτα (backdoor) με το Weevely. Για να το κάνουμε αυτό, θα χρησιμοποιήσουμε την ακόλουθη σύνταξη: weevely generate <password> <output.php>
Στην εντολή αυτή, αντικαταστήστε το <password> με τον κωδικό πρόσβασης που θέλετε να χρησιμοποιήσετε για την πίσω πόρτα και το <output.php> με το όνομα αρχείου που θα δημιουργηθεί για την πίσω πόρτα (π.χ., backdoor.php).
Μετά την εκτέλεση αυτής της εντολής, θα δημιουργηθεί ένα αρχείο backdoor.php που θα λειτουργεί ως πίσω πόρτα με τον καθορισμένο κωδικό πρόσβασης. Αυτό το αρχείο μπορείτε στη συνέχεια να ανεβάσετε σε έναν ιστότοπο για να χρησιμοποιήσετε την πίσω πόρτα που δημιουργήσατε.
Βήμα #3: Δοκιμή του backdoor μέσα απο το Damn Vulnerable Web Application (DVWA)
Για να δοκιμάσουμε το backdoor που δημιουργήσαμε, θα το κάνουμε μέσα απο το DVWA. Το DVWA είναι ενσωματωμένο στο Metasploitable, αλλά μπορείτε να το εγκαταστήσετε σχεδόν σε οποιοδήποτε λειτουργικό σύστημα.
Ανοίξτε έναν περιηγητή και μεταβείτε στο DVWA. Αν χρησιμοποιείτε το Metasploitable, πλοηγηθείτε στη διεύθυνση IP του συστήματός σας και επιλέξτε το DVWA. Όταν το κάνετε, θα εμφανιστεί ένα παράθυρο σύνδεσης όπως το παρακάτω.
Τα στοιχεία πρόσβασης για το DVWA είναι “admin” και “password”.
Στη συνέχεια, κάντε κλικ στην καρτέλα “Upload” στο αριστερό μέρος της οθόνης.
Θα σας κάνει ανακατεύθυνση σε μια σελίδα στην οποία μπορούμε να ανεβάσουμε το αρχείο μας.
Κάντε κλικ στο κουμπί “Browse” και επιλέξτε το backdoor που δημιουργήσαμε παραπάνω με το Weevely.
Και πατήστε στο upload
Όταν το κάνετε, θα εμφανίσει τη διαδρομή όπου έχει ανέβει το backdoor σας. Φυσικά, στον πραγματικό κόσμο, η εφαρμογή δεν θα σας πει πού έχει ανέβει το αρχείο. Θα πρέπει να κατανοήσετε την αρχιτεκτονική της ιστοσελίδας για να ξέρετε πού ανεβαίνουν τα αρχεία, αλλά το DVWA το καθιστά ευκολότερο για τον αρχάριο χάκερ.
Βήμα #4: Εκτέλεση του backdoor μας
Τώρα που έχουμε το αρχείο μας, χρειαζόμαστε να το εκτελέσουμε.
Αυτό το κάνουμε πληκτρολογώντας την εντολή weevely, στη συνέχεια την ακριβή διεύθυνση URL του backdoor, και τέλος τον κωδικό πρόσβασης. Στην περίπτωσή μας εδώ, θα ήταν:
kali > weevely http://192.168.1.109/dvwa/hackable/uploads/backdoor.php password
Βήμα #5: Χρήση του Weevely
Ας ξεκινήσουμε εισάγοντας την εντολή “help” για να δούμε τι μπορεί να κάνει το Weevely. Σημειώστε ότι οι εντολές του Weevely ξεκινούν πάντα με άνω τελεία (:).
:help
Ας πάρουμε μερικές πληροφορίες για τον server με την εντολή system_info
Αυτό ειναι μια γεύση απο την χρήση του Weevely.. μπορείτε να κάνετε πολλά περισσότερα…!!|
Ένας χάκερ εξηγεί πώς να καταλάβετε αν το τηλέφωνό σας έχει παραβιαστεί
Η Laura Kankaala, μία ethical white hat χάκερ, έχει εκπαιδευτεί στον τομέα του ηθικού χάκινγκ, χρησιμοποιώντας ωστόσο κακόβουλες τεχνικές με σκοπό να προστατεύσει τον απλό πολίτη και να διασφαλίσει την ασφάλειά του.
Η Laura, που διατελεί επικεφαλής Threat Intelligence για τη φινλανδική εταιρεία κυβερνοασφάλειας F-Secure, έχει προειδοποιήσει ότι η υπερθέρμανση μιας συσκευής ή ένα τυχαίο πράσινο φως στην οθόνη μπορεί να υποδεικνύει παρακολούθηση από κάποιον.
Άλλα πιθανά σημάδια περιλαμβάνουν συγκεκριμένα emails και τηλεφωνικές κλήσεις, για τις οποίες είναι σημαντικό να διατηρούμε προσοχή.
Η Kankaala είναι η ηγέτης της φινλανδικής ομάδας χάκερ KyberVPK, που χαρακτηρίζεται ως “white hat” (σε αντίθεση με τους εγκληματίες γνωστούς ως “black hat”). Έχει εμφανιστεί σε μια τηλεοπτική σειρά, όπου πραγματοποιεί χάκινγκ επιθέσεις σε όλα, από έξυπνες συσκευές για το σπίτι έως αυτοκίνητα.
Σύμφωνα με την Kankaala, “Αν ένας ηθικός χάκερ καταφέρει να αποκτήσει πρόσβαση στο τηλέφωνό σας, θα σας ενημερώσει άμεσα και θα σας βοηθήσει να αφαιρέσετε τη μη εξουσιοδοτημένη πρόσβασή του”.
“Εάν παρατηρήσετε ένα πράσινο φωτάκι στην οθόνη του Android ή ένα πορτοκαλί φωτάκι στο iPhone, μπορεί να αποτελεί προειδοποιητικό σημάδι ότι έχετε πέσει θύμα χάκινγκ, ή ότι κάποιος έχει εγκαταστήσει μια αμφίβολη εφαρμογή στο τηλέφωνό σας”, προσθέτει.
Η Kankaala επισημαίνει ότι αυτές οι προειδοποιητικές ένδειξεις εμφανίζονται κατά τη χρήση του μικροφώνου ή της κάμερας της συσκευής, αποτελώντας ένδειξη ύπαρξης κακόβουλου λογισμικού με σκοπό την κατασκοπεία.
Οι χάκερς αποτελούν συνεχή απειλή για την ασφάλεια των ψηφιακών μας ζωών. Ένα από τα κύρια είδη κινδύνων που προκύπτουν από τους χάκερς είναι η κλοπή ταυτότητας, καθώς αποκτούν πρόσβαση σε προσωπικά μας δεδομένα. Με αυτά, μπορούν να προσομοιώσουν την ταυτότητά μας και να προβαίνουν σε απάτες ή κλοπές.
Ένας άλλος κίνδυνος προκύπτει από την πιθανή καταστροφή ή παρεμπόδιση των ψηφιακών υποδομών, με δυνητικές σοβαρές επιπτώσεις στην κοινωνία και την οικονομία.
Επιπλέον, οι χάκερς μπορούν να προκαλέσουν οικονομική ζημιά μέσω κλοπής χρημάτων ή απάτης σε ψηφιακές συναλλαγές, εισβάλλοντας σε τραπεζικούς λογαριασμούς ή ηλεκτρονικά καταστήματα.
Τέλος, οι χάκερς μπορούν να παραβιάσουν την ιδιωτικότητά μας και να παρακολουθούν τις δραστηριότητές μας στο διαδίκτυο, θέτοντας σε κίνδυνο την προσωπική ζωή και την επαγγελματική μας δραστηριότητα.
Data Breach για εκατομμύρια χρήστες κινητής τηλεφωνίας
Οι χάκερς κάνουν πάρτι με τα δεδομένα εκατομμυρίων χρηστών τη στιγμή που η δικαιοσύνη κάνει τα στραβά μάτια και η ΑΔΑΕ τους τιμωρεί με χάδια.
Σοβαρά ερωτήματαέχουνπροκύψει σχετικά με το απόρρητο των επικοινωνιών εκατομμυρίων χρηστών κινητώντηλεφώνων στη χώρα μας, όπως προκύπτει από επίσημα έγγραφα και αποφάσεις της Ανεξάρτητης Αρχής γιατην Προστασία του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).
Οι Data Journalistsαποκαλύπτουν σήμερα ένα“μαύροκουτί”συστηματικώνπαραβιάσεωντου απορρήτου των επικοινωνιών λόγωανεπαρκώνμέτρωνασφαλείας απότιςεταιρείεςκινητήςτηλεφωνίας.Τα τελευταία χρόνια, η ΑΔΑΕ έχει επιβάλει πρόστιμα στιςεταιρείες VODAFONE, COSMOTE, ΟΤΕκαι FORTHNET για εκατοντάδεςπεριπτώσεις παραβίασης του απορρήτουπουοιίδιεςπροκάλεσαν.
Σε μια περίπτωση, οιχάκερκατάφεραν να αποκτήσουν τα προσωπικά δεδομένα εκατομμυρίων χρηστών της Cosmote. Σε μια άλλη περίπτωση, κατά τη μεταφοράμιας τηλεφωνικής γραμμής από την Cosmote στη Vodafone, έναάτομοχρησιμοποίησετο τηλέφωνο ενός άλλου χρήστηγιααρκετέςημέρεςκαιότανκάλεσετο προσωπικό τουτηλέφωνο,απάντησεένας άλλος χρήστης.
Αυτέςείναι μόνο δύο από τις εκατοντάδες περιπτώσεις που εντόπισεη ΑΔΑΕ, ορισμένες από τις οποίες έχουν οδηγηθείσταδικαστήρια,αλλά δυστυχώς όχι με πρωτοβουλία της ΑΔΑΕ. Οιεταιρείεςκινητήςτηλεφωνίαςδενφαίνεταιναπράττουντοσωστό,παράτιςσυνταγματικέςκαι νομικέςυποχρεώσειςτουςναπρολαμβάνουντέτοιαπεριστατικάκαιναεφαρμόζουνσυγκεκριμένεςπολιτικέςασφαλείας.
Παράλληλα,αυτόπουπροκύπτειαπό τηνέρευνα του Data Journalistγιατα κέρδη των εταιρειών και τα πρόστιμα που επιβάλλονταιπροκαλείέκπληξη:τα κέρδη γιατηνπερίοδο2017-2022ανέρχονταισεπολλέςδεκάδεςδισεκατομμύριαευρώ,ενώτα πρόστιμα δεν ξεπερνούν τα 7,2 εκατομμύρια ευρώ. Ας δούμε όμως λίγοπιοπροσεκτικάτιαποκαλύπτειη έρευνα της Data Journalist.
Μπέρδεψαν τις γραμμές κατά τη μεταφορά από Cosmote σε Vodafone
Τον Μάρτιο του 2017, ο επιχειρηματίας Γιώργος ΦλώραςυπέβαλεγραπτήκαταγγελίαστηνΑρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (CSA) σχετικά με πιθανή “παραβίαση της ισχύουσας νομοθεσίας γιατοαπόρρητο των επικοινωνιών” από την COSMOTE. Η καταγγελία αφορούσε συγκεκριμέναγεγονότακατά τη μεταφοράτηλεφωνικώνσυνδέσεωναπό την COSMOTE στη Vodafone. Όπως διαπίστωσε ο κ. Φλώρας,η τηλεφωνική του γραμμή είχεχρησιμοποιηθεί από άλλονχρήστηγιαδιάστημα δύο εβδομάδων και ο ίδιος χρησιμοποιούσε την τηλεφωνική γραμμήάλλου χρήστη. Ήταν σαφές ότι κάτι είχε πάει στραβά.
Τον Μάρτιο του 2018, η ΑΔΑΕ αποφάσισε ναδιενεργήσειέκτακτοέλεγχοστηνCOSMOTE και τη VODAFONE. Μάλιστα, κλιμάκιο της ΑΔΑΕ επισκέφθηκε τις εγκαταστάσεις των δύο εταιρειών. Ηομάδα διαπίστωσε ότι όντωςυπήρχανκάποιαπροβλήματα.Συγκεκριμένα,από τις 20.02.2017 έωςτις 3.03.2017, ο κ. Φλώραςχρησιμοποιούσετηλεφωνικήγραμμήπουδενήτανσυνδεδεμένημεαυτόνκαι όταν κάποιος καλούσε τον αριθμό του, απαντούσε άλλος χρήστης. ηομάδα της ΑΔΑΕ απέδωσε το πρόβλημα αυτό στογεγονόςότι“κατάτηνπερίοδοδιακοπής από 20.02.2017έως03.03.2017,οίδιοςσύνδεσηαναμίχθηκελανθασμένααπότουςτεχνικούςτουΟΤΕμετησύνδεσητουκαταγγέλλοντοςσεσχέσημετην υλοποίηση της φορητότηταςτηςσύνδεσηςστοδίκτυοτης Vodafone”.
Τον Νοέμβριο του 2020, η ΑΔΑΕ αποφάσισε να καλέσει την COSMOTEσεακρόαση.ΣεγραπτόυπόμνημαπουαπέστειλεστηνΑΔΑΕστις19Μαρτίου2021,οΟΤΕ ουσιαστικά δεν αμφισβήτησε τα πραγματικά περιστατικά που διαπίστωσεη ΑΔΑΕ.
Ταυτόχρονα, ο ΟΤΕ ανέφερεότιηλανθασμένησυν-είσπραξη οφειλόταν σε ανθρώπινο λάθος και ότικάτι τέτοιο μπορούσε να διαπιστωθεί μόνο μετά τηνυποβολή καταγγελίας.
Τελικά,με την υπ’αριθμ. 233/2021 απόφασή της,ηΑΔΑΕέκρινεομόφωναότιοΟΤΕ ευθύνεται“λόγωπαραβίασηςτης κείμενης νομοθεσίας περί απορρήτου των επικοινωνιών απόμηεξουσιοδοτημένηανάμειξη”-σύμφωναμε την απόφαση της ΑΔΑΕ, η λανθασμένη“συντόμευση”οφειλότανσεαμέλεια του τεχνικού του ΟΤΕ που είχεαναλάβειτη μεταφορά.
Είναι εκπληκτικότο γεγονός ότι ενέτει 2023, ένας γιγαντιαίοςφορέαςτηλεπικοινωνιών όπως η COSMOTE θαμπορούσε να θέσεισε κίνδυνο την ασφάλεια των συνομιλιών των πελατών και τη φήμη της ίδιαςτηςεταιρείαςλόγω ανθρώπινου λάθους. ΗπλειοψηφίατηςΑΔΑΕ επέβαλε πρόστιμο 20.000 ευρώ στον ΟΤΕ για την υπόθεση αυτή.
Χάκερς υπέκλεψαν τα δεδομένα 12.013.928 εκατ. χρηστών
ΤοπεριστατικότουΦλώρου δεν είναι τομοναδικόπεριστατικό που αφορά εταιρείακινητής τηλεφωνίας:τον Σεπτέμβριο του 2020 συνέβηένα περίεργο περιστατικό. Χάκερς επιτέθηκαν στην COSMOTE,υποκλέπτονταςτα δεδομένα εκατομμυρίων χρηστών καικαταστρέφοντας τα συστήματα ασφαλείας της εταιρείας. Μάλιστα, η ίδια η εταιρεία κατήγγειλετο περιστατικό στηνΑΔΑΕκαιυπέβαλεέκθεση,στηνοποία η COSMOTEτόνισε ότι είχεδιενεργηθεί έρευνα καιότι“30GBαρχείωνήταναποθηκευμέναστονδιακομιστή”.Το αρχείο περιείχε δεδομέναεπικοινωνιών συνδρομητών της COSMOTE απότις9Ιανουαρίουέως τις 9Μαΐου2020“.
Βρέθηκανεπίσης“30GBδιαδικτυακήςκίνησης δεδομένων μεταξύ του διακομιστή και μιας εξωτερικής IPπουανήκει σε λιθουανικόπάροχοφιλοξενίας”,όπως ισχυρίστηκε η εταιρεία.“ΗΑΔΑΕ, με την υπ’αριθμ. 227/2020 απόφασή της,αποφάσισε να διερευνήσει τηνυπόθεση.
Πράγματι,τον Νοέμβριο του 2021, ηομάδα ελέγχου της ADAEολοκλήρωσε τον έλεγχο και συνέταξε έκθεση. Τα αποτελέσματαήταν ωςεπί το πλείστον ανατριχιαστικά: οιχάκερς είχαν επιτεθείστην COSMOTE και είχαν αποκτήσειταπροσωπικά δεδομένα εκατομμυρίων χρηστών.
Σύμφωνα με την έκθεση,οι χάκερ απέκτησαν “δεδομένακίνησης και συντεταγμένες σταθμών βάσης 4.792.869 μοναδικώνσυνδρομητών COSMOTE“,“MSISDN/CLI, 6.939.χρήστες άλλων παρόχων σταθερής & κινητής τηλεφωνίας στη χώρα που πραγματοποίησαν ή έλαβανκλήσειςσε συνδρομητές COSMOTE656άτομα” και “Συντεταγμένες MSISDN, IMEI, IMSI και σταθμούβάσης για 281.403 συνδρομητές περιαγωγής που πραγματοποίησαν κλήσεις μέσω του δικτύου κινητής τηλεφωνίας της COSMOTE“.
Οι κωδικοί στα social media
Το πιο εντυπωσιακό,ωστόσο, είναι ο τρόπος με τον οποίο οι χάκερ κατάφεραν να παραβιάσουν το απόρρητο της COSMOTE. Σύμφωνα με την έκθεση ελέγχου,“……Οιεπιτιθέμενοιχρησιμοποίησανταδιαπιστευτήριατωνδιαχειριστώντωνοποίωνοικωδικοί πρόσβασης βρίσκοντανσεμιαλίσταπουδιατηρούντανσε μιαβάσηδεδομένωνκωδικώνπρόσβασης που διέρρευσεαπόχάκερςαπόταμέσα κοινωνικής δικτύωσης (LinkedIn, Facebookκ.λπ.) και άλλες υπηρεσίες στο ……. απέκτησαν διαχειριστική πρόσβαση στους διακομιστές της υποδομής”.
Μεάλλα λόγια, όπως αναφέρουν στην έκθεσή τους οι ελεγκτές της ΑΔΑΕ, “η βάση δεδομένωνπουελέγχονταναπότουςχάκερςπεριείχε στοιχεία πουταυτοποιούσαντηνεταιρεία και τουςλογαριασμούς πρόσβασης (ονόματαχρηστών και κωδικούς πρόσβασης) τωνυπαλλήλων της Cosmoteμεδικαιώματα διαχειριστή στα Πληροφοριακά και Επικοινωνιακά Συστήματα (ΠΕΣ) της εταιρείας”.
Πράγματι, όπως διαπίστωσαν οι ελεγκτές, “κρίσιμα δεδομέναστουςλογαριασμούς πρόσβασης τωνυπαλλήλων της εταιρείαςπροορίζονταν για χρήση στοΠΣΚΕτηςεταιρείας”,αλλάθαμπορούσαν“ναχρησιμοποιηθούν σε προσωπικέςεφαρμογές/υπηρεσίες εκτός τηςεταιρείαςκαιναδιαρρεύσουναπόεκεί”. Είναι συγκλονιστικότογεγονόςότιεκατομμύριαχρήστεςμιαςγιγαντιαίαςεταιρείαςτηλεπικοινωνιώνθαμπορούσαντόσοεύκολα να εκτεθούναπότιςαπερίσκεπτες ενέργειες ενός καιμόνο υπαλλήλου ιδιωτικής εταιρείας.
Τελικά,με την υπ’αριθμ. 225/2022 απόφασή της, ηΑΑΔΕέκρινετην COSMOTE υπεύθυνη για τη“διαρροή δεδομένωνπουταυτοποιούντηνεταιρεία και λογαριασμώνπρόσβασης (ονόματαχρηστών και κωδικούς πρόσβασης)“ και της επέβαλε πρόστιμο 200.000 ευρώ. Επιπλέον, η ΑΑΔΕ διαπίστωσε ότι“κατά τοσυγκεκριμένοπεριστατικόυπήρχαναποκλίσειςστηνεφαρμογήτηςπολιτικήςασφαλείαςτης COSMOTEγια τηνπροστασία του απορρήτου των επικοινωνιών”και επέβαλε πρόστιμο 3 εκατ. ευρώ.
Αυτόδενείναιτομοναδικόπρόστιμο:ηΑρχήΠροστασίαςΔεδομένωνΠροσωπικούΧαρακτήραεπέβαλε πρόστιμο 6 εκατ. ευρώ στην COSMOTE και 3,25 εκατ. ευρώ στον ΟΤΕ.
Έδωσαν 756.700 ρούτερ με κοινούς κωδικούς πρόσβασης
Μιαάλλη περίπτωση όπουδιακυβεύτηκε το απόρρητο των επικοινωνιών είναι οιεκατοντάδες χιλιάδες δρομολογητές που δόθηκαν στους παρόχους του ΟΤΕ, αλλά…χρησιμοποιούνταικοινοίκωδικοί πρόσβασης. τον Μάιο του 2015,μια ιδιωτική εταιρεία υπέβαλε μιαιδιαίτερασοβαρήκαταγγελίαστηνΑΠΔΠΧ.Σύμφωνα με την καταγγελία αυτή, οιδρομολογητέςπουέδινετότεοΟΤΕ στουςχρήστεςπεριείχαν,εκτός από τους κωδικούς διαχείρισης,δύοκωδικούςπρόσβασηςπουήτανκοινοίγια όλες τις συσκευές. Οικωδικοί αυτοί ήταναποθηκευμένοι σε “μη κρυπτογραφημένη μορφή”,πράγμαπουσήμαινεότιέναςτρίτος που τους γνώριζεμπορούσε να έχει“απομακρυσμένη πρόσβαση στιςσυσκευές”.
Οιδρομολογητέςαυτοίήτανδιαθέσιμοι σε περίπου 756.700συνδρομητέςκαιοΟΤΕ πραγματοποίησε τεχνικό έλεγχο και ισχυρίστηκε ότι δεν υπήρχε“κίνδυνος για το απόρρητο των επικοινωνιών”και “δενυπήρχεδυνατότητα απομακρυσμένης παρεμβολής μέσω των συσκευών αυτών“.Ωστόσο,σύμφωναμετην απόφαση 326/2020, η ΑΔΑΕ αμφισβήτησε τους ισχυρισμούς του ΟΤΕ, καθώς περίπου3.800 χρήστες είχαν απενεργοποιήσει τατείχηασφαλείαςτους(mini-firewalls)και είχαν ανοίξει το WAN τους.
Αυτοίοι χρήστες πουγνώριζανγιατουςπρόσθετουςλογαριασμούςπρόσβασης που εντοπίστηκανήταν στην πραγματικότητα“ευάλωτοι,θέτονταςέτσισεκίνδυνοτο απόρρητο τωνεπικοινωνιών τους“-σύμφωναμε τηνέκθεσηεπιτόπιου ελέγχου τηςομάδας της ΑΔΑΕτης 21/09/2015, “η γνώση τωνδημόσιωνδιευθύνσεων IP καιηαπενεργοποίηση των μηχανισμών ασφαλείας και τωνκωδικώνπρόσβασηςσεσυνδυασμόεπέτρεψαν την απομακρυσμένη πρόσβαση σεαυτούςτους δρομολογητές τρίτων με τη χρήση πρόσθετωνλογαριασμώνπρόσβασης”.
…Λαμβάνονταςυπόψηταπαραπάνω, οι κοινοί κωδικοί πρόσβασης τωντερματικώνCPE επέτρεπαν την απομακρυσμένη πρόσβαση σε τρίτουςχωρίςοτρίτοςναγνωρίζειτον προσωπικό κωδικό πρόσβασης διαχείρισης κάθε CPE…”.Ηαπόφασηαναφέρει.
Η ΑΔΑΕ κάλεσε τον ΟΤΕσεακρόασηκαι διενεργήθηκανπέντε επιτόπιοι έλεγχοι σε εργολάβους που είχαν προμηθευτεί τουςενλόγωδρομολογητέςτο2015 και το2016, ενώ διενεργήθηκαν και έλεγχοι στον ΟΤΕ. Σύμφωνα με την έκθεση ελέγχου,ο ΟΤΕ “δεν εφάρμοσε τις κατάλληλες πολιτικές και επιμέρους διαδικασίες κατά τηνπαροχήτερματικούεξοπλισμούCPEτύπουZTEH108Nσεσυνδρομητέςκαι δεν ενημέρωσε την ΑΔΑΕ ή τους συνδρομητές που επηρεάστηκαν από το συγκεκριμένοπεριστατικό ασφαλείας”.Στηνεταιρεία επιβλήθηκε τελικάπρόστιμο 20.000 ευρώ για παράβασητουνόμου,ιδίωςγιατηνπαράλειψηενημέρωσηςτωνσυνδρομητώνγια το περιστατικό ασφαλείας.
Δεν τηρούνται αρχεία με το ποιος μπαίνει στο σύστημα
Το 2019 υποβλήθηκεάλλημιακαταγγελίαστηνΕλληνικήΑρχήΠροστασίας Δεδομένων Προσωπικού Χαρακτήρα από χρήστη κινητούτηλεφώνου,μετονισχυρισμόότιμπορείνα παραβιάστηκε το απόρρητο των επικοινωνιών. Για τη διερεύνηση αυτού του περιστατικού, η CMAE αποφάσισε ναδιενεργήσειδιαχειριστικόέλεγχο στις εγκαταστάσεις της COSMOTE. Τον Μάιο του 2019,ηομάδα ελέγχου ολοκλήρωσε τον διαχειριστικό έλεγχο και υπέβαλεέκθεση στην CMAE.Σεαυτήναναφέρεταιότι“δεν τηρούνται αρχεία καταγραφής της πρόσβασης τωνδεδομένων επικοινωνίας στοσύστημα VMSκαι αρχεία καταγραφής των διαχειριστικώνλειτουργιών στο σύστημααυτό”,γεγονόςπουαποτελείπαράβασητωνκανονισμώντης ADAE.
Η Cosmote παραδέχθηκε ότι η αδυναμία αυτή έχει καταγραφεί ως μησυμμόρφωση με τον κανονισμό από το 2013. Πράγματι,σεεπιστολή τουΦεβρουαρίου2020,ηεταιρείαδήλωσεότι“η αναβάθμιση του VMS που υλοποιήθηκε το τελευταίο τρίμηνο του 2014 αφοράνέεςβελτιώσειςυλικού και λογισμικούκαι όχι αλλαγές στο υποσύστημα καταγραφής ενεργειών πουθαεπιβεβαίωναντημη συμμόρφωση με τηνενλόγω κανονιστική υποχρέωση”.
Η ΑΔΑΕ διαπίστωσε ότι“η ασυνέπεια της εταιρείας όσοναφοράτηντήρηση των αρχείων καταγραφής τουεν λόγω συστήματοςκαι σε κάθε περίπτωση η μη συμμόρφωσημετιςυποχρεώσεις καταγραφής τουσυστήματος VMS συνιστά κανονιστικήπαράβαση”.Πράγματι,η τήρησητων αρχείων καταγραφής πρόσβασηςκαι των αρχείων καταγραφής ενεργειών τουεν λόγω συστήματοςθαεπέτρεπετόσο στηνεταιρείαόσο και στηναρχήπρόσβασηςναελέγχουντα δεδομένα επικοινωνίας των χρηστών που είναιαποθηκευμένα στο σύστημα,αλλάστηνπροκειμένηπερίπτωση ο έλεγχοςαυτός δεν είναιεφικτός”.
Σύμφωναμετηνεταιρεία, η νέα πλατφόρμα,ηοποία θα κυκλοφορήσειτο 2021, θα διαθέτει μηχανισμό καταγραφής και πρόσβασης στιςενέργειες στο σύστημα επικοινωνίας. Στηναπόφασήτης,ωστόσο, η ΑΔΑΕ έκρινετηνCOSMOTE υπεύθυνη για παράβαση γιαπαραβίαση του ΚανονισμούΔιασφάλισηςτου Απορρήτου των ΗλεκτρονικώνΕπικοινωνιών, σύμφωνα με την υπ’αριθμ. 165/2011 απόφαση της ΑΔΑΕ.
Καταγγελία κατά Vodafone και FORTHNET
Ωστόσο,έχουνυποβληθεί επίσηςπολλέςκαταγγελίεςκατάάλλων εταιρειών τηλεπικοινωνιών.Συγκεκριμένα,τον Μάρτιο του 2018 υποβλήθηκε στην ADAE καταγγελία κατάτης VODAFONE. Οκαταγγέλλωνπαραπονέθηκε για “δυσλειτουργίεςτηςτηλεφωνικήςγραμμής”.Συγκεκριμένα, αναφέρθηκεσεπεριστατικάόπου“εισερχόμενες κλήσεις μεταφέροντανσε άλλη τηλεφωνική γραμμή”και όπου“ακούγοντανάλλεςτηλεφωνικέςσυνομιλίεςκατά τη διάρκεια της συνομιλίας“Η ADAE έδωσε εντολή στηνομάδα ελέγχου της να διερευνήσει.Τελικά, τον Φεβρουάριο του 2020, η ADAE επέβαλε πρόστιμο 40000 ευρώ για παράβαση του νόμου περί επικοινωνιών.
Τον Νοέμβριο του 2018,έναφυσικόπρόσωπουπέβαλε καταγγελία στηνADAEκατά της FORTHNET–ηADAEσυγκρότησε ομάδα ελέγχου καιδιενήργησεεπιτόπιο έλεγχο, ο οποίος ολοκληρώθηκε στις 19 Φεβρουαρίου 2019.
Σύμφωνα με την έκθεση του έκτακτου ελέγχου, το περιστατικό συνέβηαφούοκαταγγέλλωνκατήγγειλετηζημία τον Οκτώβριο του 2018. Ένα μήνα αργότερα, η βλάβη αποκαταστάθηκε με “αντικατάστασητουζεύγους”. Ή τουλάχιστον έτσι νόμιζε ο καταγγέλλων. Λίγο αργότερα,συνειδητοποίησε ότι υπήρξε“αναντιστοιχίαμεταξύτου αριθμούτηλεφώνου του καιενόςάλλουαριθμούτηλεφώνου”. Η αναντιστοιχία αυτή διήρκεσε11 ημέρες. Κατάτηδιάρκεια της περιόδουπουαναφέρεταιως“αναντιστοιχία”,έγιναν 37 κλήσεις, 12 από τις οποίες έμειναν αναπάντητες.
“Μεάλλαλόγια,έγινανκλήσειςαπόκαιπροςτοναριθμότηλεφώνου του καταγγέλλοντοςκατάτην περίοδο που υπήρχεασυμφωνίαμεταξύτουτηλεφωνικούτουαριθμούκαι ενόςάλλουτηλεφωνικούαριθμού”,αναφέρειηυπ’αριθμόν 139/2021απόφαση της ΑΔΑΕ, η οποία κάλεσε τηνεταιρείασεακρόαση.
Στη Δικαιοσύνη η υπόθεση από Φλωρά και ποινικές διώξεις
Η υπόθεση του Γιώργου Φλώρα δεν σταμάτησεστην ΕλληνικήΕισαγγελία:μετά από μια δεύτερη καταδίκηαπότηνADAE(αυτή τη φορά για παραβίαση του απορρήτου των επικοινωνιώνκατά της VODAFONE), ο κ. Φλώρας προσέφυγε στηδικαιοσύνη.Συγκεκριμένα,κατέθεσε αγωγήκατάτων νομίμων εκπροσώπων των δύο εταιρειώντο2021.Ηαγωγήαυτήαφορούσετηνπαραβίασητουαπορρήτου των επικοινωνιών. Στη συνέχεια, η Εισαγγελία Πρωτοδικών Αθηνών άσκησε ποινική δίωξη κατάτων εκπροσώπων τωνδύοεταιρειώνκαι παραπέμφθηκαν σε δίκη. Μία από τιςδίκεςεπρόκειτοναδιεξαχθείτον Δεκέμβριο του 2023 μετά από σειράαναβολών. Η υπόθεση τέθηκε επίσης ενώπιονπολιτικούδικαστηρίου.Ο κ. Φλώρας κατέθεσε δύο αγωγές κατά της VODAFONE και της COSMOTEκαι μέχρι σήμερα έχει εκδοθεί πρωτοβάθμια απόφαση για τη μία από αυτές,δικαιώνονταςτονκ.Φλώρα,όπως υποστήριξε σε επιστολή που απέστειλε στηνεισαγγελέα του Αρείου Πάγου Γεωργία Αδειλίνη το καλοκαίρι… Η δεύτερη δίκηαναβλήθηκεμέχριτην απόφασητου Διοικητικού ΠρωτοδικείουΑθηνών,κατάτηςοποίαςη εταιρεία άσκησε έφεση.
Κάτιπουαξίζεινααναφερθεί σε σχέση με τις εταιρείες κινητής τηλεφωνίας είναι το γεγονός ότι επί δεκαετίες η ΑΔΑΕ δεν δημοσίευετα στοιχεία των εταιρειών στις οποίες επέβαλε πρόστιμα για παραβίασητουνόμου περί απορρήτου των επικοινωνιών καιδενπαρέπεμπε τις αποφάσεις της στη δικαιοσύνη.το καλοκαίρι του 2022 ο κ. Φλώραςανακάλυψε τις πρακτικές τηςΑΔΑΕ και κατέθεσε τρεις μηνύσειςστηνΕισαγγελία Πρωτοδικών Αθηνών κατέθεσε τρεις καταγγελίες στην Εισαγγελία Πρωτοδικών Αθηνών. Αυτόοδήγησετονκ.Φλώρα να καταγγείλει στην Εισαγγελία Πρωτοδικών Αθηνών μιασειρά αποφάσεων της ΑΔΑΕκατάεταιρειών κινητής τηλεφωνίας πουδεν είχαν παραπεμφθεί στη δικαιοσύνη.Δύο από τις τρεις καταγγελίεςήτανσχετικές και η Εισαγγελία εξέδωσε την υπ’αριθμ. 960/2023 παραγγελία.
ΗΑΔΑΕαρχειοθέτησε όλες τις υποθέσεις που αφορούσαν αποφάσεις της ΕισαγγελίαςΠρωτοδικών που είχαν παραγραφεί. Επρόκειτο για αποφάσεις μετιςοποίες η ΑΔΑΕ είχε διαπιστώσει παραβάσεις της νομοθεσίας εκμέρουςτων τηλεπικοινωνιακώνεταιρειών,αλλάόσοναφορά τιςποινικέςυποθέσεις,ηπαραγραφή είχε παρέλθει επειδή είχε παρέλθει πενταετία από τηδιάπραξη του αδικήματος.
Εκτός από τιςπαραγγελίεςγιατηνάσκησηποινικήςδίωξηςπου είχαν κατατεθεί, είχαν ανοίξει συνολικά περίπου15 υποθέσεις.Σεαρκετές από αυτές είχαν ήδη ασκηθεί ποινικές διώξεις κατάεκπροσώπων της COSMOTE και της FORTHNET για παραβίασητου απορρήτου των επικοινωνιών. Μία από τιςυποθέσεις επρόκειτο να εκδικαστεί απότοΠρωτοδικείοΑθηνώντη Δευτέρα 11Σεπτεμβρίου.Ωστόσο,η δίκηαναβλήθηκεμετάαπό αίτημα τωνδικηγόρωντωνκατηγορουμένωνγιαλόγους υγείας.
Αθώωση κατηγορουμένου αλλά χωρίς υποστήριξη της κατηγορίας
Πριναπό αυτό, τον Ιούλιο του 2023, μιαάλληυπόθεση εκδικάστηκεενώπιοντουΔικαστηρίουτων Αθηνών. Ο κατηγορούμενος αθωώθηκε λόγωέλλειψηςδόλου.Ωστόσο,υπήρχεμια νέαπτυχήσεαυτήτηδίκη.Ούτεο καταγγέλλων,κ.Γιώργος Φλώρας, ούτε τοάτομο που έκανετην καταγγελία στην ΑΔΑΕ, ούτε η ΑΔΑΕ που εξέδωσε την απόφαση, ήταν παρόντες ως μάρτυρες προς υποστήριξη των κατηγοριών.
Προηγουμένως, ο κ. Φλώρας είχε υποβάλειγραπτό αίτημα στον εισαγγελέα ναεμφανιστείωςμάρτυραςστη δίκη,προκειμένου να καταχωρηθεί στη δικογραφία και να ερωτηθείστοδικαστήριο.Ωστόσο,τοδικαστήριοαπέρριψετοαίτημα του κ.Φλώρα.
Λίγες ημέρεςαργότερα, ο κ. Φλώρας απέστειλε επιστολή στηνΕισαγγελέατου Αρείου Πάγου Γεωργία Αδειλίνη, την οποία δημοσίευσετο Data Journalist. Οκ.Φλώραςτηνενημέρωσεεπίσηςγια ταόσα συνέβησανστη δίκη του Ιουλίου και για τον κίνδυνο να αθωωθούν οι εκπρόσωποι των εταιρειών σεάλλεςπρογραμματισμένεςδίκες.
Επιστολή που απέστειλε προς την εισαγγελέα του Αρείου Πάγου (pdf ΕΔΩ)
“Εάν αυτή η προσέγγιση συνεχιστεί σε όλες τις άλλες περιπτώσεις,τότεοκατηγορούμενοςπρέπεινααθωωθεί.Δενπρόκειταιναυποστηρίξωεκπροοιμίου ότι είναι άδικονααθωωθείοκατηγορούμενος.Ωστόσο, θα υποστηρίξω ότι ηεισαγγελίαδενμπορείνααφήσειτονκατηγορούμενοναδικαστείγιαένατόσοσοβαρόαδίκημαμεβάσητηναπόφασηενόςανεξάρτητουοργάνου,χωρίς να υπάρχεικανείς στο δικαστήριο για να υποστηρίξει τιςκατηγορίες.Είναιείτε ο ασθενής,η ΔΑΑΕ είτε οκατήγορος,όπωςεγώ,που ξύπνησε ένα πρωί και είπε, ας πάμε να κατηγορήσουμετηνεισαγγελία,κάτιπουσαφώςδενισχύει”,αναφέρειο Φλώρας στην επιστολή του,τονίζονταςότι εναπόκειταιστηνεισαγγελίανα δώσειστοιχεία.
Οανώτατοςεισαγγελέαςέκανε δεκτό το αίτημα τουΦλώρα. Πριν από λίγες ημέρες, σύμφωνα με πληροφορίες του Data Journalist, έλαβε κλήση για να εξεταστεί ως μάρτυρας στηναναβληθείσαδίκη της 11ης Σεπτεμβρίου.Ηδίκητώραφαίνεταιναέχειπάρεινέα τροπή.
Ένα άλλοθέμα που θίγει ο κ. Φλώραςστηνεπιστολήτουαφορά το ύψος των προστίμων πουεπιβάλλειη ΑΔΑΕ και τα κέρδη των εταιρειών κινητής τηλεφωνίας. Τοσύνολοτωνπροστίμωνπου επιβάλλειοανεξάρτητοςφορέαςγια παραβιάσεις του απορρήτου των επικοινωνιών μπορείναανέλθεισε εκατομμύρια ευρώ. Συγκεκριμένα,μεταξύ2017 και2022, η ΑΔΑΕ επέβαλε πρόστιμα συνολικού ύψους 7,2 εκατ. ευρώ σε εταιρείες κινητής τηλεφωνίας. Πρόκειται για εκατοντάδες υποθέσεις και καταγγελίες που χειρίζεταιη ΑΔΑΕ. Παράλληλα,τα κέρδη των εταιρειώντηνίδιαπερίοδοανέρχονται σε αρκετές δεκάδες δισεκατομμύρια ευρώ,συγκεκριμέναμόνοοΟΤΕκαιηVODAFONEανέρχονταισεπερίπου13δισεκατομμύριαευρώ.
“Δεδομένουτουσημαντικούκόστους που συνεπάγεται η εφαρμογή μέτρων ασφαλείας για τηδιασφάλισητου απόλυτου απορρήτου των επικοινωνιών,γίνεταιεύκολα αντιληπτόότι τα πρόστιμα που επέβαλε η Ε.Ε.Τ.Τ. δεν θααποτελούσαν καθόλου αποτρεπτικόπαράγοντα για τις τηλεφωνικέςεταιρείες.
Οι Καλύτερες Μηχανές Αναζήτησης για Ανώνυμη Περιήγηση
Υπάρχουν πολλές μηχανές αναζήτησης που έχουν ως κύριο χαρακτηριστικό την προστασία της ανωνυμίας των χρηστών και τον σεβασμό της ιδιωτικής τους ζωής. Αυτές οι μηχανές αναζήτησης δεν καταγράφουν τις αναζητήσεις σας, δεν χρησιμοποιούν τα προσωπικά σας δεδομένα για στοχοθεσμένες διαφημίσεις και προσπαθούν να διατηρήσουν την ανωνυμία σας. Εδώ είναι μερικές από αυτές:
DuckDuckGo (https://duckduckgo.com): Η DuckDuckGo είναι μία από τις πιο δημοφιλείς μηχανές αναζήτησης. Δεν αποθηκεύει πληροφορίες χρήστη, όπως η IP διεύθυνση, και δεν παρακολουθεί τις αναζητήσεις σας.
StartPage (https://www.startpage.com): Το StartPage χρησιμοποιεί τη Google για τις αναζητήσεις σας, αλλά απομονώνει τα προσωπικά σας δεδομένα από τη Google, διατηρώντας την ανωνυμία σας.
Qwant (https://www.qwant.com): Η Qwant είναι μια γαλλική μηχανή αναζήτησης που δεν παρακολουθεί τις αναζητήσεις σας και δεν χρησιμοποιεί προσωπικά δεδομένα για προσαρμοσμένα αποτελέσματα.
Searx (https://searx.me): Ο Searx είναι ένα ανοικτού κώδικα σύστημα αναζήτησης που επιτρέπει στους χρήστες να το χρησιμοποιούν από τον δικό τους server για μεγαλύτερη ανωνυμία.
MetaGer (https://metager.org): Η MetaGer είναι μια μηχανή αναζήτησης από τη Γερμανία που προστατεύει την ιδιωτική ζωή των χρηστών και δεν καταγράφει προσωπικά δεδομένα.
CSRF: Όταν οι Κρυφές Επιθέσεις Κατά των Δικτυακών Εφαρμογών απειλούν την Ασφάλειά μας
Στην εποχή της ψηφιακής επανάστασης, η ασφάλεια στον κυβερνοχώρο αποτελεί προτεραιότητα. Μέσα σε αυτό το πλαίσιο, μια σοβαρή απειλή που απειλεί την ασφάλεια των δικτυακών εφαρμογών και των χρηστών τους είναι η CSRF (Cross-Site Request Forgery). Σε αυτό το άρθρο, θα διερευνήσουμε αναλυτικά την ευπάθεια CSRF, τον τρόπο λειτουργίας της και τα σημαντικά μέτρα που μπορούμε να λάβουμε για την προστασία μας.
Τι είναι η CSRF;
Η CSRF, ή Cross-Site Request Forgery, είναι μια ευπάθεια ασφαλείας που επιτρέπει σε επιτιθέμενους να προσομοιώνουν αιτήματα από διαδικτυακές εφαρμογές που εμπιστεύονται τον χρήστη, εξαπατώντας το σύστημα και να εκτελούν εντολές χωρίς τη συναίνεση του χρήστη.
Πώς λειτουργεί η CSRF;
Κατά τη διάρκεια μιας επίθεσης CSRF, ο επιτιθέμενος προσποιείται ότι είναι ο χρήστης και προσπαθεί να προωθήσει αιτήματα προς μια διαδικτυακή εφαρμογή που ο χρήστης έχει συνδεθεί. Αν ο χρήστης έχει ανοιχτή τη σύνδεσή του στην εφαρμογή, το αίτημα εκτελείται με τα δικαιώματα του χρήστη, κάνοντας την επίθεση ακόμη πιο επικίνδυνη.
Πώς μπορούμε να προστατευτούμε;
Η προστασία από CSRF απαιτεί σωστό σχεδιασμό και εφαρμογή των δικτυακών εφαρμογών. Ορισματικά μέτρα περιλαμβάνουν:
Χρήση Tokens (CSRF Tokens): Μια από τις κύριες πρακτικές για την προστασία από CSRF είναι η χρήση CSRF tokens. Αυτά τα τυχαία δημιουργημένα tokens ενσωματώνονται στα αιτήματα του χρήστη και στον εξυπηρετητή. Αν το αίτημα δεν περιλαμβάνει το σωστό token, απορρίπτεται.
Χρήση του SameSite Attribute: Οι cookies που χρησιμοποιούνται για την αυθεντικοποίηση πρέπει να έχουν το SameSite attribute ορισμένο σωστά. Αυτό μπορεί να αποτρέψει την αποστολή cookies από άλλες τομές του διαδικτύου.
Έλεγχος Προέλευσης (Origin): Ο έλεγχος της προέλευσης (origin) των αιτημάτων μπορεί να βοηθήσει στην αποτροπή επιθέσεων CSRF. Οι διαδικτυακές εφαρμογές πρέπει να ελέγχουν ότι τα αιτήματα προέρχονται από την αναμενόμενη προέλευση.
Χρήση Προθεμάτων (Prefixes) στα Cookies: Η προσθήκη προθεμάτων στα cookies μπορεί να βοηθήσει στον περιορισμό της διαδικασίας ανάγνωσης και εγγραφής cookies από ανεπιθύμητες προσπάθειες.
Ενημέρωση και Εκπαίδευση: Οι προγραμματιστές και οι διαχειριστές συστημάτων πρέπει να είναι ενημερωμένοι για τις ευπάθειες CSRF και να εκπαιδεύονται σχετικά με τις βέλτιστες πρακτικές για την προστασία των εφαρμογών τους.
Η ευπάθεια CSRF αποτελεί μια σοβαρή απειλή για την ασφάλεια των δικτυακών εφαρμογών και των δεδομένων των χρηστών. Με την εφαρμογή των παραπάνω μέτρων, μπορούμε να περιορίσουμε τον κίνδυνο και να διασφαλίσουμε την ασφαλή λειτουργία των εφαρμογών μας στον ψηφιακό κόσμο.
Τι είναι doxing?
Ουσιαστικά συγκεντρώνεις όσες πληροφορίες μπορείς για ένα άτομο (στόχο).
Όταν λέμε πληροφορίες εννοούμε τα πάντα απο το όνομα, email μέχρι και τη διεύθυνση που μένει.
Τι χρειάζεστε?
Βασικές γνώσεις απο Social engineering
Notepad (επεξεργαστής κειμένου, σημειωματάριο για παράδειγμα)
Αποκτήστε τη διεύθυνση IP.
Ένας πολύ εύκολος τρόπος για να αποκτήσετε τη διεύθυνση IP απο το θύμα σας, είναι να πάτε εδώ πέρα http://whatstheirip.com/ να βάλετε το email σας και θα σας στείλουν ένα σύνδεσμο.
Στέλνετε το σύνδεσμο αυτο στο άτομο που θέλετε και όταν το ανοίξει θα πάρετε την IP του.
Μπορείτε να του πείτε κάτι του τύπου, δες ρε φίλε εδώ πέρα τι λέει.. ετσι ώστε να το κάνετε να το ανοίξει.
Πήρατε και την ip του.
Τώρα, πάτε εδώ http://ipaddress.com και εισάγετε την ip του.
Θα σας δώσει κάποια τοποθεσία, τον ταχυδρομικό κώδικα, χώρα, ISP και το λειτουργικό σύστημα.
Οπότε συμπληρώνετε και αυτα στο σημειωματάριό σας και συνχίζετε.
Πως θα πάρετε το email και άλλες πληροφορίες?
Πηγαίνετε στο google και γράψτε “ΌΝΟΜΑ-ΕΠΩΝΥΜΟ@” για παράδειγμα Ηλίας Λαλας@.
Έτσι θα σας εμφανίσει μερικές πληροφορίες για αυτον οπως και τα προφιλ που μπορεί να έχει σε κάποιες ιστοσελίδες με αυτο το όνομα.
Ακόμα, αν είναι σε κάποια ιστοσελίδα γραμμένος με κάποιο ψευδώνυμο μπορείτε να αναζητήσετε και σε αυτην.
Έτσι κάπου σε αυτες τις πληροφορίες θα βρείτε και το email, η και απο εδώ http://knowem.com/
Αν δεν το βρείτε σε κανέναν λογαριασμό τότε, ψάξτε στο facebook αν έχει κρύψει τις πληροφορίες του, μπορεί να το ζητήσετε απο κάποιον φίλο.
Ότι πληροφορίες μαζέψατε τις γράφετε στο σημειωματάριό σας.
Χρησιμοποιώντας το paypal.
Ένας πιο εύκολος τρόπος είναι μέσα απο το paypal.
Το μόνο που χρειάζεται είναι να έχετε ένα paypal λογαριασμό, να ξέρετε το email του, και να έχετε υπόλοιπο έστω 0,01 ευρώ.
Και πως το εκμεταλλευόμαστε αυτο;
Απλά, αφου ξέρετε το email του κάνετε μεταφορά απο τη δικιά σας paypal στη δικιά του ένα μικρό ποσό (πχ 0,01 ευρώ) και αυτομάτως θα σας εμφανίσει Όνομα, διεύθυνση, τηλέφωνο, κλπ.
Πως θα αποκτήσετε παραπάνω πληροφορίες.
Αν έχετε κάποια φωτογραφία του μπορείτε να πάτε εδω http://tineye.com/ να τη βάλετε και θα σας εμφανίσει που ανήκει αυτη τη φωτογραφία και σε ποιον.
Πχ σε ένα λογαριασμό στο twitter με το όνομα Stamatis Dede.
Αν γνωρίζετε το όνομα είναι πιθανόν να βρείτε και τη διεύθυνση απο τις παρακάτω ιστοσελίδες
http://411.com
http://whitepages.com
Έχει κάποια δική του ιστοσελίδα;
Αν έχει κάποια δικιά του ιστοσελίδα μπορείτε να πάτε στο whois.domaintools.com και να σας εμφανίσει πληροφορίες για τον διαχειριστή της ιστοσελίδας.
Αν έχει βάλει απόκρυψη στα WHOIS δεν θα τα εμφανίσει.
**Η SQL injection μπορεί να χωριστή σε 3 κατηγορίες**
INBAND:
Τα δεδομένα εξάγονται χρησιμοποιώντας το ίδιο κανάλι με αυτό που χρησιμοποιείτε για το injection στην SQL. Αυτός είναι ο πιο απλός τύπος επιθέσεις SQL όπου τα δεδομέναπαρουσιάζονται απευθείας στην ιστοσελίδα.
OUT_OF_BAND:
Τα δεδομένα εξάγονται χρησιμοποιώντας διαφορετικό κανάλι (π.χ κάποιο email) δηλαδή τα δεδομένα από το injection στέλνονται σε ένα email που έχει προκαθοριστεί.
INFERENTIAL:
Δεν υπάρχει πραγματική μεταφορά δεδομένων αλλα ο επιτιθέμενος είναι σε θέσει να ανακατασκευάσει τις πληροφορίες με την αποστολή συγκεκριμένου αιτήματος προς την βάση δεδομένων και παρατηρώντας την “συμπεριφορά” αντίδραση του website.
**ΤΥΠΟΙ SQL INJECTION**
ERROR-BASED: Ρωτάμε την Database κάτι που θα προκαλέσει κάποιο error
UNION-BASED:Το SQL union χρησιμοποιείτε για να συνδυάσει τα αποτελέσματα δυο η περισσοτέρων SELECT SQL σε ένα και μονο αποτέλεσμα
#παράδειγμα: http://example.com/page.asp?id=1UNION SELECT ALL 1,2,3,4--
http://example.com/page.asp?id=1UNION SELECT ALL 1,USER,3,4–
BLIND-BASED:Κάνουμε στην Database μια true/false ερώτηση και περιμένουμε εάν θα πάρουμε θετική απαντήσει, δηλαδή εάν θα εμφανιστεί το αποτέλεσμα που ρωτήσαμε, η αλλιώςχρησιμοποιώντας τον χρόνο ως μια παράμετρο
Υπάρχουν δυο τύποι injection που βασίζονται στο εάν ο τύπος του ευπαθές site είναι βασισμένο σε Integer η σε String. Στην περίπτωση του Integer για το injection δεν χρειαζόμαστε αυτό που λέμε single quote(‘)
Στην άλλη περίπτωση όμως του String τότε το single quote(‘) είναι απαραίτητο
Η παραβίαση της Microsoft οδήγησε σε κλοπή 60.000 emails του Υπουργείου Εξωτερικών των ΗΠΑ
Κινέζοι χάκερς έκλεψαν δεκάδες χιλιάδες μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς του αμερικανικού υπουργείου Εξωτερικών μετά την παραβίαση της πλατφόρμας ηλεκτρονικού ταχυδρομείου Exchange της Microsoft που βασίζεται στο cloud τον Μάιο.
Κατά τη διάρκεια πρόσφατης ενημέρωσης του προσωπικού της Γερουσίας, αξιωματούχοι του αμερικανικού υπουργείου Εξωτερικών αποκάλυψαν ότι οι επιτιθέμενοι έκλεψαν τουλάχιστον 60.000 μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς Outlook που ανήκαν σε αξιωματούχους του Στέιτ Ντιπάρτμεντ που υπηρετούν στην Ανατολική Ασία, τον Ειρηνικό και την Ευρώπη, όπως ανέφερε πρώτο το Reuters.
Επιπλέον, οι χάκερ κατάφεραν να αποκτήσουν μια λίστα που περιείχε όλους τους λογαριασμούς ηλεκτρονικού ταχυδρομείου του υπουργείου. Τις αναφορές επιβεβαίωσε και ο εκπρόσωπος του Στέιτ Ντιπάρτμεντ Μάθιου Μίλερ σε συνέντευξη Τύπου την Πέμπτη.
Παραβιάσεις ηλεκτρονικού ταχυδρομείου που συνδέονται με την Storm-0558
Τον Ιούλιο, η Microsoft αποκάλυψε ότι, αρχής γενομένης από τις 15 Μαΐου 2023, απειλητικοί φορείς παραβίασαν με επιτυχία λογαριασμούς του Outlook που σχετίζονται με περίπου 25 οργανισμούς. Οι οργανισμοί που παραβιάστηκαν περιλαμβάνουν τα υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ και ορισμένους λογαριασμούς καταναλωτών που πιθανώς συνδέονται με αυτούς.
Η Microsoft δεν αποκάλυψε συγκεκριμένες λεπτομέρειες σχετικά με τους επηρεαζόμενους οργανισμούς, τις κυβερνητικές υπηρεσίες ή τις χώρες που επηρεάστηκαν από αυτή την παραβίαση ηλεκτρονικού ταχυδρομείου.
Η εταιρεία απέδωσε τις επιθέσεις σε μια ομάδα hackers γνωστή ως Storm-0558, η οποία πιθανολογείται ότι επικεντρώθηκε στην απόκτηση ευαίσθητων πληροφοριών διεισδύοντας στα συστήματα ηλεκτρονικού ταχυδρομείου των στόχων της.
Νωρίτερα αυτό το μήνα, η Microsoft αποκάλυψε ότι η ομάδα απειλών απέκτησε αρχικά ένα κλειδί υπογραφής καταναλωτή από μια απόρριψη συντριβής των Windows, μια παραβίαση που διευκολύνθηκε μετά την παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft, η οποία επέτρεψε την πρόσβαση στους κυβερνητικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου.
Το κλεμμένο κλειδί λογαριασμού Microsoft (MSA) χρησιμοποιήθηκε για να παραβιάσει λογαριασμούς Exchange Online και Azure Active Directory (AD) εκμεταλλευόμενος μια προηγουμένως επιδιορθωμένη ευπάθεια επικύρωσης μηδενικής ημέρας στο GetAccessTokenForResourceAPI. Το ελάττωμα επέτρεψε στους επιτιθέμενους να δημιουργήσουν πλαστά υπογεγραμμένα διακριτικά πρόσβασης, τα οποία τους επέτρεψαν να υποδυθούν λογαριασμούς εντός των στοχευμένων οργανισμών.
Σε απάντηση στην παραβίαση της ασφάλειας, η Microsoft ανακάλεσε το κλεμμένο κλειδί υπογραφής και, κατόπιν ερευνών, δεν διαπίστωσε πρόσθετες περιπτώσεις μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πελατών μέσω της ίδιας μεθόδου πλαστογράφησης token πρόσβασης.
Υπό την πίεση του Οργανισμού Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), η Microsoft συμφώνησε επίσης να διευρύνει την πρόσβαση σε δεδομένα καταγραφής στο cloud χωρίς κόστος, τα οποία θα βοηθήσουν τους υπερασπιστές δικτύων να εντοπίσουν πιθανές απόπειρες παραβίασης παρόμοιας φύσης στο μέλλον.
Προηγουμένως, τέτοιες δυνατότητες καταγραφής ήταν προσβάσιμες αποκλειστικά σε πελάτες με άδειες καταγραφής Purview Audit (Premium). Εξαιτίας αυτού, η Microsoft αντιμετώπισε επικρίσεις επειδή εμπόδιζε τους οργανισμούς να εντοπίσουν άμεσα τις επιθέσεις της Storm-0558.
Απαγόρευση TikTok: Δικαστικές Αποφάσεις Στο Texas και Στην Μοντάνα
Ο δικαστής Robert Pitman εξέδωσε απόφαση επιβεβαιώνοντας την απαγόρευση χρήσης του TikTok για υπαλλήλους του Texas σε δημόσια πανεπιστήμια και σε κρατικά δίκτυα.
Η απόφαση αυτή προέκυψε μετά την μήνυση που κατέθεσε το Πανεπιστήμιο Κολούμπια, ισχυριζόμενο ότι η απαγόρευση θέτει εμπόδια στην ερευνητική εργασία του προσωπικού σχετικά με την πλατφόρμα.
Ο δικαστής απέρριψε την αγωγή, υποστηρίζοντας ότι η απαγόρευση βασίζεται σε νόμιμες ανησυχίες για την προστασία των δεδομένων και χαρακτήρισε τον περιορισμό ως “λογικό”. Επιπλέον, διευκρίνισε ότι το προσωπικό των δημόσιων πανεπιστημίων εξακολουθεί να μπορεί να χρησιμοποιεί το TikTok στις προσωπικές του συσκευές, υπό την προϋπόθεση ότι δεν έχει πρόσβαση στα κρατικά δίκτυα.
Αυτή η απόφαση αντίκειται σε πρόσφατη υπόθεση στη Μοντάνα, όπου ένας δικαστής απέρριψε την προσπάθεια του κράτους να απαγορεύσει τη χρήση του TikTok από την 1η Ιανουαρίου. Στη συγκεκριμένη υπόθεση, ο δικαστής αποφάνθηκε ότι η απαγόρευση παραβιάζει το Σύνταγμα και υπερβαίνει την εξουσία του κράτους.
Οι νομικές διαμάχες γύρω από το TikTok εκτείνονται πέρα από το Texas και τη Μοντάνα, καθώς περισσότερες από 30 πολιτείες και ομοσπονδιακές υπηρεσίες στις Ηνωμένες Πολιτείες, συμπεριλαμβανομένου του Λευκού Οίκου, του Υπουργείου Άμυνας, του Υπουργείου Εσωτερικών και του Υπουργείου Εξωτερικών, έχουν επιβάλει απαγορεύσεις για τη χρήση του TikTok σε κυβερνητικές συσκευές.
Το TikTok, που ανήκει στην κινεζική ByteDance, αντιμετωπίζει παγκόσμιες κρίσεις λόγω ανησυχιών για τις σχέσεις του με την κινεζική κυβέρνηση και τη διαχείριση των δεδομένων των χρηστών. Η εταιρεία αρνείται κάθε ατασθαλία στη χρήση των δεδομένων των Αμερικανών χρηστών της. Οι συνεχείς νομικές διαμάχες αναδεικνύουν τις προκλήσεις που αντιμετωπίζει η δημοφιλής πλατφόρμα κοινωνικών μέσων στη χώρα.
Πώς να χακάρετε ένα WPA/WPA2 WPS Router με το Android σας και το bcmon
Θέλετε να ελέγξετε την ασφάλεια του δικτύου σας;
Κάποτε μπορεί να χρειαζόταν να εγκατασταθεί ένα desktop λειτουργικό σύστημα με μια συγκεκριμένη κάρτα ασύρματου δικτύου. Τώρα, όμως, μπορείτε να χρησιμοποιήσετε ορισμένες Android συσκευές να ανιχνεύσετε και να σπάσετε ασύρματα δίκτυα. Αυτά τα εργαλεία είναι διαθέσιμα δωρεάν εφόσον η συσκευή σας είναι συμβατή. Το χακάρισμα των routers χωρίς άδεια είναι παράνομο. Αυτά τα βήματα παρέχονται για να ελέγξετε την ασφάλεια του δικού σας δικτύου!
Πάμε να δούμε, λοιπόν, ποια είναι τα απαραίτητα βήματα:
1.Rootάρετε μια συμβατή συσκευή.
Δεν είναι κάθε Android τηλέφωνο ή tablet θα είναι σε θέση να σπάσει ένα WPS PIN.
Η συσκευή πρέπει να έχει ένα Broadcom bcm4329 ή bcm4330 ασύρματο chipset και πρέπει να είναι root-αρισμένη. Η Cyanogen ROM θα σας δώσει τις μεγαλύτερες πιθανότητες επιτυχίας. Μερικές από τις γνωστές υποστηριζόμενες συσκευές είναι οι:
Nexus 7
Galaxy Ace / S1 / S2 / S3
Nexus One
Desire HD
2.Κατεβάστε και εγκαταστήστε το bcmon.
Αυτό το εργαλείο ενεργοποιεί το Monitor Mode στο Broadcom chipset, που είναι απαραίτητο για να μπορέσει να σπάσει το PIN. Το bcmon APK αρχείο είναι διαθέσιμο δωρεάν από την bcmon σελίδα στην Google Code ιστοσελίδα.
Για να εγκαταστήσετε ένα APK αρχείο, θα πρέπει να επιτρέψετε την εγκατάσταση από άγνωστες πηγές στο Security μενού σας.
3.Εκτελέστε το bcmon.
Αφότου εγκαταστήσετε το APK αρχείο, εκτελέστε την εφαρμογή.
Εάν σας ζητηθεί, εγκαταστήστε το firmware και τα εργαλεία. Πατήστε την επιλογή «Ενεργοποίηση του Monitor Mode«.
Εάν η εφαρμογή κρασάρει, ανοίξτε την και δοκιμάστε ξανά. Εάν αποτύχει και για τρίτη φορά, είναι πολύ πιθανό να μην υποστηρίζεται η συσκευή σας.
Η συσκευή σας πρέπει να είναι root-αρισμένη, για να τρέξει το bcmon.
4.Κατεβάσετε και εγκαταστήσετε το Reaver.
Το Reaver είναι ένα πρόγραμμα που αναπτύχθηκε για να σπάει το WPS PIN για να μπορεί να ανακτηθεί η WPA2 φράση πρόσβασης (passphrase).
Το Reaver APK μπορείτε να το κατεβάσετε από το thread των προγραμματιστών στα XDA-developers forums.
5.Εκκίνηση το Reaver.
Πατήστε το εικονίδιο του Reaver στο Android από το App drawer.
Μετά την επιβεβαίωση ότι δεν το χρησιμοποιείτε για παράνομους σκοπούς, το Reaver θα σαρώσει για διαθέσιμα σημεία πρόσβασης.
Επιλέξτε το σημείο πρόσβασης που θέλετε να σπάσετε για να συνεχίσετε.
Μπορεί να χρειαστεί να επιβεβαιώσετε την Monitor Mode πριν προχωρήσετε. Σε αυτή την περίπτωση, το bcmon θα ανοίξει και πάλι.
Το σημείο πρόσβασης που θα επιλέξετε πρέπει να δέχεται WPS αυθεντικοποίηση. Δεν το υποστηρίζουν όλοι οι δρομολογητές αυτό.
6.Επιβεβαιώστε τις ρυθμίσεις σας.
Στις περισσότερες περιπτώσεις, μπορείτε να αφήσετε τις προεπιλεγμένες ρυθμίσεις. Βεβαιωθείτε ότι το «Αυτόματες ρυθμίσεις για προχωρημένους» κουτάκι είναι επιλεγμένο.
7.Ξεκινήστε την cracking διαδικασία.
Πατήστε το κουμπί «Start attack» στο κάτω μέρος του μενού Ρυθμίσεις του Reaver. Η οθόνη θα ανοίξει και θα δείτε τα αποτελέσματα του εν εξελίξει crack να εμφανίζονται.
Το cracking του WPS μπορεί να διαρκέσει από 2 έως 10 + ώρες μέχρι να ολοκληρωθεί και δεν είναι πάντα επιτυχές.
Εγκατάσταση
Κατεβάστε/εγκαταστήστε το bcmon.apk και το RfA.apk από εδώ(Ή μόνοι σας). Το RfA μπορεί να κατεβάσει το bcmon αυτόματα.
Τρέξτε το bcmon, αν κρασάρει ξαναδοκιμάστε.
Αν όλα πάνε καλά,τρέξτε το RfA. Αν όχι,μπορεί η συσκευή σας να μην είναι συμβατή με το bcmon.
Αφού διαλέγοντας ένα WPS-enabled router, πατήστε πάνω στο “Test Monitor-Mode”.
Τώρα μπορείτε να χρησιμοποιπήσετε το Rfa. Μην απεγκαταστήσετε το bcmon.
Τα βήματα 1-4 είναι μόνο για την εγκατάσταση, δεν χρειάζεται να τα επαναλάβετε.
38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft
Έναςερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνειάδειαπρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρωπροσωπικά δεδομένα.
Τα δεδομένα περιλάμβανανκωδικούςπρόσβασης για υπηρεσίες της Microsoft, μυστικάκλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Σύμφωναμετην Wiz, οιδιευθύνσειςURLστιςοποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020είχανρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για “Μόνο για ανάγνωση”, γεγονόςπουθαμπορούσεναεπιτρέψεισεοποιονδήποτεήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Ηεταιρεία δήλωσε ότι αυτό συνέβη.
Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος-ταSAStokensείναι ένας μηχανισμός τηςAzure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους γιαπρόσβαση σε δεδομένα στολογαριασμότους Azure Storage.
Η Wiz κοινοποίησετα ευρήματά της στηMicrosoft στις 22 Ιουνίου και η Microsoft δήλωσεότισυνέλεξετα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ωςαποτέλεσμααυτούτουπροβλήματοςκαιδενπαραβιάστηκανάλλεςεσωτερικέςυπηρεσίες.“Ωςαποτέλεσμα της έρευνας της Wiz, ηMicrosoftεπιβεβαίωσεότιτοGitHub‘sSecret Spanning Service, η οποία,όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σεόλους τους δημόσιους κώδικες ανοικτού κώδικα καιδημοσιεύειδιαπιστευτήριακαι άλλαμυστικά σε απλό κείμενο, συμπεριλαμβανομένωντωνμαρκώνSAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικέςημερομηνίεςλήξηςκαι δικαιώματα.
1337 Admin P4Ge Find3r v5 – The new version -The best Admin finder in the world
[+] Δημιουργός :Bk
[+]Γράφτηκε σε perl και μετατράπηκε σε εκτελέσιμο για λόγους ευκολίας εκτέλεσης και προστασίας του κώδικα
[+] Τύπος prive
[+]Ener site url : Τοποθετήστε το url στο κενό πεδίο
[+]Enable Response time: Η επιλογή αυτή μας δίνει την δυνατότητα να ενεργοποιήσουμε τον χρόνο ανταπόκρισης.Για παράδειγμα αν επιλέξουμε για χρόνο ανταπόκρισης 20 δευτερόλεπτα και δεν ανταποκριθεί ο server αυτομάτως θα περάσει στο επόμενο αίτημα.
[+]Select time to Response : Εδώ διαλέγουμε τον χρόνο ανταπόκρισης
[+]Select User Angend: Επιλέγουμε τον User Angend που θέλουμε να εμφανίζετε κατά τα αιτήματα.
[+]Select Method: Εδώ επιλεγούμε την μέθοδο που θα χρησιμοποιήσουμε
[+]PHP: Αν ο πηγαίος κώδικας είναι php επιλεγούμε php
[+]ASP: Αν ο πηγαίος κώδικας είναι ASP επιλεγούμε ASP
[+]Mix List: Η Mix List είναι μια πολύ καλή λίστα από τον ~codex~ που περιλαμβάνει PHP και ASP paths.Μπορείτε να την χρησιμοποιήσετε σε php και asp .
[+]New Method: Αυτή η μέθοδος είναι μοναδική καθώς δεν υπάρχει πουθενά εργαλείο που να κάνει αυτήν την δουλεία.
Οι διαχειριστές σκαρφίζονται πάντα νέους τρόπους για να κρύψουν την σύνδεση του διαχειριστή. Πολλές φορές ένας πονηρεμένος διαχειριστής κάνει το εξής.
Ας υποθέσουμε πώς το login διαχείρισης είναι — > http://www.tosite.gr/administrator/
Ο πονηρεμένος διαχειριστής το αλλάζει σε—- > http://administrator.tosite.gr/
Έτσι αυτομάτως βγάζει εκτός μάχης όλους τους admin panel finder που κυκλοφορούν εκεί έξω.Οχι όμως τον δικό μας.
[+]PHPMyAdmin:Με την επιλογή αυτόν έχουμε την δυνατότητα να ψάξουμε το phpmyadmin τις σελίδας
[+]Dir Bruter: H επιλογή Dir Bruter περιλαμβάνει μια υπερβολικά τεράστια λίστα όπου χρησιμοποιείτε και από τον BirBuster για επιθέσεις καταλόγων.
[+]Use custom Dir list : Εδώ μπορείτε να προσθέσετε τα δικά σας ονόματα αρχείων στο dir.txt και να δημιουργήσετε την δικιά σας λίστα
[+]Use custom Admin list: Το ίδιο και εδώ μπορείτε να προσθέσετε και να δημιουργήσετε την δικιά σας λίστα με admin και phpmyadmin διαδρομές στο αρχείο admin.txt
[+]Use mass Scan-Reverse ip First:Η επιλογή αυτή μας επιτρέπει να σκαναρουμε μαζικά σελίδες χρησιμοποιώντας ένα path τις επιλογής μας.Θα πρεπει προτα να κανουμε reverse την ip η να προσθέσουμε τα δικά μας site στο αρχείο reversed sites.txτ.
Μπορούμε να εξάγουμε όλα τα joomla που φιλοξενούνται στον ίδιο server ,WordPress η οτιδήποτε άλλο.
[+]shows user ip: Αποτυπώνει την ip του χρήστη
[+]shows site ip : Αποτυπώνει την ip του site
[+]shows reverse dns:Μας εμφανιζει το όνομα του dns
[+]Auto IP Reverser: Μας εμφανίζει όλα τα site που φιλοξενούνται στον server απλά με ένα κλικ ενο παράλληλα δημιουργεί και τυπώνει τις ιστοσελίδες στο αρχείο reversed sites.τxτ οπου χρησιμοποιείτε για μαζικό σκανάρισμα .
[+]shows sites hosted on the same ip: Εμφανίζει τον αριθμό ιστοσελίδων με την ίδια ip
[+]shows robots.txt if it can be read:Μας ενημερώνει αν το αρχείο robotx.τχτ μπορεί να διαβαστεί και μας δίνετε η δυνατότητα τα να μεταβούμε σε αυτό με ένα click. Download
Οι επιθέσεις Ransomware στοχεύουν τώρα μη ενημερωμένους διακομιστές WS_FTP
Οι εκτεθειμένοι στο Διαδίκτυο διακομιστές WS_FTP που δεν έχουν ενημερωθεί για μια ευπάθεια μέγιστης σοβαρότητας αποτελούν πλέον στόχο επιθέσεων ransomware.
Όπως παρατηρήθηκε πρόσφατα από τους υπεύθυνους αντιμετώπισης περιστατικών της Sophos X-Ops, οι απειλητικοί φορείς που αυτοπροσδιορίζονται ως Reichsadler Cybercrime Group προσπάθησαν, ανεπιτυχώς, να αναπτύξουν ωφέλιμα φορτία ransomware που δημιουργήθηκαν χρησιμοποιώντας έναν οικοδόμο LockBit 3.0 που κλάπηκε τον Σεπτέμβριο του 2022.
Οι επιτιθέμενοι προσπάθησαν να κλιμακώσουν τα προνόμια χρησιμοποιώντας το εργαλείο ανοικτού κώδικα GodPotato, το οποίο επιτρέπει την κλιμάκωση προνομίων σε ‘NT AUTHORITY\SYSTEM’ σε πλατφόρμες πελατών Windows (Windows 8 έως Windows 11) και διακομιστών (Windows Server 2012 έως Windows Server 2022).
Ευτυχώς, η προσπάθειά τους να αναπτύξουν τα ωφέλιμα φορτία ransomware στα συστήματα των θυμάτων ματαιώθηκε, εμποδίζοντας τους επιτιθέμενους να κρυπτογραφήσουν τα δεδομένα του στόχου.
Παρόλο που δεν κατάφεραν να κρυπτογραφήσουν τα αρχεία, οι απειλητικοί φορείς εξακολουθούσαν να απαιτούν λύτρα ύψους 500 δολαρίων, πληρωτέα έως τις 15 Οκτωβρίου, ώρα Μόσχας.
Η χαμηλή απαίτηση λύτρων υποδηλώνει ότι οι εκτεθειμένοι στο Διαδίκτυο και ευάλωτοι διακομιστές WS_FTP πιθανότατα αποτελούν στόχο μαζικών αυτοματοποιημένων επιθέσεων ή μιας άπειρης επιχείρησης ransomware.
Με την ονομασία CVE-2023-40044, το ελάττωμα προκαλείται από μια ευπάθεια αποδιαταξινόμησης του .NET στο Ad Hoc Transfer Module, επιτρέποντας σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν εντολές στο υποκείμενο λειτουργικό σύστημα μέσω αιτήσεων HTTP από απόσταση.
Στις 27 Σεπτεμβρίου, η Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της κρίσιμης ευπάθειας του WS_FTP Server, προτρέποντας τους διαχειριστές να αναβαθμίσουν τις ευάλωτες περιπτώσεις.
Οι ερευνητές ασφαλείας της Assetnote που ανακάλυψαν το σφάλμα WS_FTP κυκλοφόρησαν κώδικα απόδειξης του σχεδίου (PoC) για εκμετάλλευση μόλις λίγες ημέρες μετά την επιδιόρθωσή του.
Η εταιρεία κυβερνοασφάλειας Rapid7 αποκάλυψε ότι οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται το CVE-2023-40044 στις 3 Σεπτεμβρίου, την ημέρα που κυκλοφόρησε το exploit PoC.
Το Shodan απαριθμεί σχεδόν 2.000 συσκευές που είναι εκτεθειμένες στο Διαδίκτυο και χρησιμοποιούν το λογισμικό WS_FTP Server, επιβεβαιώνοντας τις αρχικές εκτιμήσεις της Assetnote.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν άμεσα τους διακομιστές τους μπορούν να εμποδίσουν τις εισερχόμενες επιθέσεις απενεργοποιώντας την ευάλωτη μονάδα Ad Hoc Transfer Module του διακομιστή WS_FTP.
Το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας (HC3), η ομάδα ασφαλείας του Υπουργείου Υγείας των ΗΠΑ, προειδοποίησε επίσης τον περασμένο μήνα τους οργανισμούς του τομέα της υγειονομικής περίθαλψης και της δημόσιας υγείας να επιδιορθώσουν τους διακομιστές τους το συντομότερο δυνατό.
Η Progress Software αντιμετωπίζει επί του παρόντος τα απόνερα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων που εκμεταλλεύτηκαν ένα σφάλμα μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer νωρίτερα φέτος.
Οι επιθέσεις αυτές επηρέασαν πάνω από 2.500 οργανισμούς και περισσότερα από 64 εκατομμύρια άτομα, όπως εκτιμά η Emsisoft.
E-whoring (μετάφραση, σημαίνει ιντερνετικη πορνεία)
Δηλαδή ενας απατεώνας προσποιείται ενα άμορφο κορίτσι προκειμένου να εξαπατήσει τους χρήστες του διαδικτύου.
Ολοι μπορεί να έχουμε κάνει κάτι τέτοιο και ας μην το ξέρουμε ότι υπάρχει ορολογία γιαυτο. πχ. σε έναν φιλο μας στο facebook,σε ένα chatroom etc…
Γιατί να το κάνει κάποιος;
Φυσικά ο σκοπός είναι το κέρδος όπου σε πολλές περιπτώσεις τα ποσά κέρδους είναι πολύ μεγάλα.
Πόσο μπορεί να είναι το κέρδος;
Το κέρδος είναι ανάλογο με το θυμα σου και με το πλαστο κορίτσι που προσποιείσαι…Οσα περισσότερα δώσεις τόσα περισσότερα θα έχεις σαν κέρδος
Πως Λειτουργεί
Ο θύτης-απατεώνας δημιουργεί το πρόσωπο/προφίλ του κοριτσιού.
Μπαίνει σε chatrooms για να γίνει /γνωστη/ και έπειτα κανει φίλους(facebook,yahoo etc…)
Αφού καταφέρει και βρει τα θυματα του και τους κερδίσει την εμπιστοσύνη μπαίνει σε chat rooms με κάμερα για να μιλήσει μαζί τους.
Βέβαια αυτος που εχει στήσει ολο αυτό το “παραμύθι” έχει προμηθευτεί με το κατάλληλο λογισμικό/φωτογραφείς/βίντεο/live_shows etc…
Πολλές φορες ο απατεώνας καλεί το θυμα να γδύνετε μπροστά στη κάμερα (αφού το ίδιο κανει και το “δικό μας” όμορφο κορίτσι) και στη συνέχεια το εκβιάζει ότι θα ανεβάσει αυτο το βίντεο στο διαδίκτυο.
Πως παίρνω τα χρήματα που εχω βγάλει απο το Ewhore
Μπορείτε με κάποιον λογαριασμό Paypal, αλλα για περισσότερη ανωνυμία με Bitcoins/Litecoins.
Νέο κακόβουλο λογισμικό από τους ‘Sandman’ hackers
Μια άγνωστη ομάδα χάκερς με την ονομασία “Sandman” στοχεύει παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία, χρησιμοποιώντας ένα αρθρωτό κακόβουλο λογισμικό κλοπής πληροφοριών με την ονομασία “LuaDream”.
Αυτή η κακόβουλη δραστηριότητα ανακαλύφθηκε από την SentinelLabs σε συνεργασία με την QGroup GmbH τον Αύγουστο του 2023, η οποία ονόμασε τον απειλητικό παράγοντα και το κακόβουλο λογισμικό από το εσωτερικό όνομα του backdoor ‘DreamLand client’.
Το επιχειρησιακό στυλ του Sandman είναι να διατηρεί χαμηλό προφίλ για να αποφεύγει την ανίχνευση, ενώ παράλληλα εκτελεί πλευρικές μετακινήσεις και διατηρεί μακροχρόνια πρόσβαση σε παραβιασμένα συστήματα για να μεγιστοποιήσει τις επιχειρήσεις κυβερνοκατασκοπείας του.
Δημοφιλής στόχος
Η Sandman στοχεύει σε παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία.
Η SentinelOne αναφέρει ότι ο δράστης απειλής αποκτά πρώτα πρόσβαση σε ένα εταιρικό δίκτυο χρησιμοποιώντας κλεμμένα διαπιστευτήρια διαχείρισης.
Μόλις παραβιαστεί το δίκτυο, ο Sandman έχει παρατηρηθεί να χρησιμοποιεί επιθέσεις “pass-the-hash” για την πιστοποίηση ταυτότητας σε απομακρυσμένους διακομιστές και υπηρεσίες, αποσπώντας και επαναχρησιμοποιώντας τους κατακερματισμούς NTLM που είναι αποθηκευμένοι στη μνήμη.
Η έκθεση της SentinelLabs εξηγεί ότι, σε μια περίπτωση, όλοι οι σταθμοί εργασίας που είχαν ως στόχο οι χάκερς είχαν ανατεθεί σε διευθυντικό προσωπικό, υποδεικνύοντας το ενδιαφέρον του επιτιθέμενου για προνομιακές ή εμπιστευτικές πληροφορίες.
LuaDream malware
Η SandMan έχει παρατηρηθεί να αναπτύσσει ένα νέο αρθρωτό κακόβουλο λογισμικό με την ονομασία “LuaDream” σε επιθέσεις που χρησιμοποιούν αεροπειρατεία DLL σε στοχευμένα συστήματα. Το κακόβουλο λογισμικό παίρνει το όνομά του από τη χρήση του μεταγλωττιστή LuaJIT just-in-time για τη γλώσσα σεναρίων Lua
Το κακόβουλο λογισμικό χρησιμοποιείται για τη συλλογή δεδομένων και τη διαχείριση πρόσθετων προγραμμάτων που επεκτείνουν τη λειτουργικότητά του, τα οποία λαμβάνονται από τον διακομιστή εντολών και ελέγχου (C2) και εκτελούνται τοπικά στο σύστημα που έχει παραβιαστεί.
Η ανάπτυξη του κακόβουλου λογισμικού φαίνεται να είναι ενεργή, με μια ανακτημένη συμβολοσειρά εκδόσεων που υποδεικνύει τον αριθμό έκδοσης “12.0.2.5.23.29”, ενώ οι αναλυτές έχουν δει ενδείξεις για αρχεία καταγραφής και λειτουργίες δοκιμών που πηγαίνουν πίσω μέχρι τον Ιούνιο του 2022.
Η σταδιοποίηση του LuaDream βασίζεται σε μια εξελιγμένη διαδικασία επτά βημάτων στη μνήμη με στόχο να αποφύγει την ανίχνευση, η οποία ξεκινά είτε από την υπηρεσία φαξ των Windows είτε από την υπηρεσία Spooler, η οποία εκτελεί το κακόβουλο αρχείο DLL.
Το LuaDream αποτελείται από 34 στοιχεία, με 13 στοιχεία πυρήνα και 21 στοιχεία υποστήριξης, τα οποία χρησιμοποιούν τον bytecode LuaJIT και το API των Windows μέσω της βιβλιοθήκης ffi.
Τα στοιχεία πυρήνα χειρίζονται τις πρωταρχικές λειτουργίες του κακόβουλου λογισμικού, όπως η συλλογή δεδομένων συστήματος και χρήστη, ο έλεγχος των πρόσθετων και οι επικοινωνίες C2, ενώ τα στοιχεία υποστήριξης ασχολούνται με τις τεχνικές πτυχές, όπως η παροχή βιβλιοθηκών Lua και ορισμών του API των Windows.
Κατά την αρχικοποίηση, το LuaDream συνδέεται με έναν διακομιστή C2 (μέσω TCP, HTTPS, WebSocket ή QUIC) και στέλνει τις πληροφορίες που έχει συλλέξει, συμπεριλαμβανομένων των εκδόσεων κακόβουλου λογισμικού, διευθύνσεων IP/MAC, στοιχείων λειτουργικού συστήματος κ.λπ.
Λόγω του ότι οι επιτιθέμενοι αναπτύσσουν συγκεκριμένα plugins μέσω του LuaDream σε κάθε επίθεση, η SentinelLabs δεν διαθέτει εξαντλητικό κατάλογο όλων των διαθέσιμων plugins.
Ωστόσο, η έκθεση σημειώνει ένα module με την ονομασία “cmd”, το όνομα του οποίου υποδηλώνει ότι παρέχει στους επιτιθέμενους δυνατότητες εκτέλεσης εντολών στην παραβιασμένη συσκευή.
Ενώ έχουν εκτεθεί ορισμένα από τα προσαρμοσμένα κακόβουλα προγράμματα της Sandman και μέρος της υποδομής του διακομιστή C2, η προέλευση του δράστη της απειλής παραμένει αναπάντητη.
Η Sandman έρχεται να προστεθεί σε έναν αυξανόμενο κατάλογο προηγμένων επιτιθέμενων που στοχεύουν εταιρείες τηλεπικοινωνιών για κατασκοπεία, χρησιμοποιώντας μοναδικά μυστικά backdoors που είναι δύσκολο να εντοπιστούν και να σταματήσουν.
Οι πάροχοι τηλεπικοινωνιών αποτελούν συχνό στόχο για κατασκοπευτικές δραστηριότητες λόγω της ευαίσθητης φύσης των δεδομένων που διαχειρίζονται.
Νωρίτερα αυτή την εβδομάδα, αναφερθήκαμε σε ένα νέο σύμπλεγμα δραστηριοτήτων που εντοπίστηκε ως “ShroudedSnooper” και χρησιμοποίησε δύο νέα backdoors, το HTTPSnoop και το PipeSnoop, εναντίον τηλεπικοινωνιακών παρόχων στη Μέση Ανατολή.
Οι Σύγχρονες GPU είναι ευάλωτες σε επιθέσεις GPU.zip side-channel
Ερευνητές από τέσσερα αμερικανικά πανεπιστήμια ανέπτυξαν μια νέα επίθεση δευτερεύοντος καναλιού GPU που αξιοποιεί τη συμπίεση δεδομένων για να διαρρεύσουν ευαίσθητα οπτικά δεδομένα από τις σύγχρονες κάρτες γραφικών κατά την επίσκεψη σε ιστοσελίδες.
Οι ερευνητές απέδειξαν την αποτελεσματικότητα αυτής της επίθεσης “GPU.zip” εκτελώντας επιθέσεις κλοπής pixel από φίλτρο SVG cross-origin μέσω του προγράμματος περιήγησης Chrome.
Οι ερευνητές αποκάλυψαν την ευπάθεια στους επηρεαζόμενους κατασκευαστές καρτών γραφικών τον Μάρτιο του 2023. Ωστόσο, μέχρι τον Σεπτέμβριο του 2023, κανένας από τους επηρεαζόμενους προμηθευτές GPU (AMD, Apple, Arm, NVIDIA, Qualcomm) ή η Google (Chrome) δεν έχουν κυκλοφορήσει διορθώσεις για την αντιμετώπιση του προβλήματος.
Το νέο ελάττωμα περιγράφεται σε έγγραφο από ερευνητές του Πανεπιστημίου του Τέξας στο Όστιν, του Πανεπιστημίου Carnegie Mellon, του Πανεπιστημίου της Ουάσινγκτον και του Πανεπιστημίου του Ιλινόις Urbana-Champaign και θα δημοσιευτεί στο 45ο Συμπόσιο IEEE για την Ασφάλεια και την Ιδιωτικότητα.
Διαρροή μέσω συμπίεσης
Γενικά, η συμπίεση δεδομένων δημιουργεί ξεχωριστή κίνηση DRAM και χρήση κρυφής μνήμης, η οποία μπορεί να χρησιμοποιηθεί για διαρροή μυστικών, οπότε το λογισμικό απενεργοποιεί τη συμπίεση όταν χειρίζεται ευαίσθητα δεδομένα.
Οι ερευνητές του GPU.zip εξηγούν ότι όλες οι σύγχρονες μονάδες επεξεργαστών γραφικών, ειδικά τα ενσωματωμένα τσιπ της Intel και της AMD, εκτελούν συμπίεση δεδομένων που είναι ορατή από το λογισμικό, ακόμη και όταν δεν τους ζητείται ρητά.
Οι σύγχρονες GPU ακολουθούν αυτή την επικίνδυνη πρακτική ως στρατηγική βελτιστοποίησης, καθώς βοηθά στην εξοικονόμηση εύρους ζώνης μνήμης και στη βελτίωση των επιδόσεων χωρίς λογισμικό.
Αυτή η συμπίεση είναι συχνά μη τεκμηριωμένη και ειδική για τον προμηθευτή και οι ερευνητές βρήκαν έναν τρόπο να την εκμεταλλευτούν για να διαρρεύσουν οπτικά δεδομένα από τις GPU.
Συγκεκριμένα, παρουσίασαν μια επίθεση που εξάγει μεμονωμένα δεδομένα pixel μέσω ενός προγράμματος περιήγησης στο διαδίκτυο σε διάφορες συσκευές και αρχιτεκτονικές GPU, όπως φαίνεται παρακάτω.
Η proof-of-concept επίθεση επιδεικνύει την κλοπή του ονόματος χρήστη από ένα iframe της Wikipedia, η οποία είναι δυνατή μέσα σε 30 λεπτά σε Ryzen και 215 λεπτά σε Intel GPU, με ακρίβεια 97% και 98,3%, αντίστοιχα.
Το iframe φιλοξενεί μια διασταυρούμενη ιστοσελίδα της οποίας τα pixel απομονώνονται και μετατρέπονται σε δυαδικά, δηλαδή μετατρέπονται σε δύο πιθανά χρώματα.
Στη συνέχεια, αυτά τα εικονοστοιχεία μεγεθύνονται και εφαρμόζεται μια εξειδικευμένη στοίβα φίλτρων SVG για τη δημιουργία υφών που είναι είτε συμπιέσιμες είτε όχι. Μετρώντας τον χρόνο που απαιτείται για την απόδοση της υφής, οι ερευνητές μπορούν να συμπεράνουν το αρχικό χρώμα/κατάσταση του εικονοστοιχείου-στόχου.
Πρόσφατα είδαμε την εφαρμογή των φίλτρων SVG για την πρόκληση εκτέλεσης που εξαρτάται από τα δεδομένα και τη χρήση της JavaScript για τη μέτρηση του χρόνου και της συχνότητας υπολογισμού για τη διάκριση του χρώματος του εικονοστοιχείου στην επίθεση “Hot Pixels”.
Ενώ το Hot Pixels εκμεταλλεύεται τους εξαρτώμενους από τα δεδομένα χρόνους υπολογισμού στους σύγχρονους επεξεργαστές, το GPU.zip στηρίζεται στην ατεκμηρίωτη συμπίεση δεδομένων της GPU για να επιτύχει παρόμοια αποτελέσματα.
Η σοβαρότητα του GPU.zip
Το GPU.zip επηρεάζει σχεδόν όλους τους μεγάλους κατασκευαστές GPU, συμπεριλαμβανομένων των AMD, Apple, Arm, Intel, Qualcomm και NVIDIA, αλλά δεν επηρεάζονται εξίσου όλες οι κάρτες.
Το γεγονός ότι κανένας από τους επηρεαζόμενους κατασκευαστές δεν έχει αποφασίσει να διορθώσει το πρόβλημα βελτιστοποιώντας την προσέγγιση συμπίεσης δεδομένων και περιορίζοντας τη λειτουργία της σε μη ευαίσθητες περιπτώσεις αυξάνει περαιτέρω τον κίνδυνο.
Αν και το GPU.zip επηρεάζει δυνητικά τη συντριπτική πλειονότητα των φορητών υπολογιστών, των smartphones, των tablet και των επιτραπέζιων υπολογιστών παγκοσμίως, ο άμεσος αντίκτυπος στους χρήστες μετριάζεται από την πολυπλοκότητα και το χρόνο που απαιτείται για την εκτέλεση της επίθεσης.
Επίσης, οι ιστότοποι που αρνούνται την ενσωμάτωση iframe cross-origin δεν μπορούν να χρησιμοποιηθούν για τη διαρροή δεδομένων χρηστών μέσω αυτής ή παρόμοιων επιθέσεων πλευρικού καναλιού.
“Οι περισσότεροι ευαίσθητοι ιστότοποι αρνούνται ήδη την ενσωμάτωση από ιστότοπους cross-origin. Ως αποτέλεσμα, δεν είναι ευάλωτες στην επίθεση κλοπής pixel που τοποθετήσαμε χρησιμοποιώντας το GPU.zip”, εξηγούν οι ερευνητές σε ένα FAQ στον ιστότοπο της ομάδας.
Τέλος, οι ερευνητές σημειώνουν ότι ο Firefox και ο Safari δεν πληρούν όλα τα κριτήρια που απαιτούνται για να λειτουργήσει το GPU.zip, όπως η δυνατότητα φόρτωσης cross-origin iframes με cookies, η απόδοση φίλτρων SVG σε iframes και η ανάθεση εργασιών rendering στη GPU.
Σε αυτόν τον οδηγό θα χρησιμοποιήσουμε ψεύτικα credits hacks για διάφορα παιχνίδια.
Μπορείτε να τα βρείτε στο youtube γράφοντας για παράδειγμα League of Legends RP Hack.
Βήμα 1o : Πάτε στο youtube και κάντε αναζήτηση για ένα “game hack” (LoL RP Hack,Lineage 2 Hack κτλ.).
Βήμα 2ο : Κατεβάστε το Hex Workshop και εγκαταστήστε το. LINK HERE
Βήμα 3ο : Αφού κατεβάσετε το game hack της επιλογής σας (πιθανότατα να είναι exe η compressed file) μετακινήστε το σε ένα φάκελο της επιλογής σας στον οποίο δεν θα έχετε τίποτα άλλο και κάντε το extract ΑΝ είναι compressed.
Βήμα 4ο : Κάντε δεξί-κλικ πάνω στο “game hack” exe και πατήστε στο “Hex Edit with Hex Workshop v6.7”.
Βήμα 5ο : Θα σας ανοίξει το Hex Workshop και το μόνο που θα βλέπετε είναι Hex Values.Πατήστε Ctrl+F , αλλάξτε το Type: σε Text String και στο Value: δοκιμάστε να βάλετε gmail και πατήστε find.Αν βρει κάτι θα δείτε ένα μαυρισμένο μέρος με Hex Values.Αν δεν βρει κάτι συνεχίστε να ψάχνετε βάζοντας άλλα email providers όπως yahoo,hotmail,live κτλ.
Βήμα 6ο : Μην πειράξετε το μαυρισμένο μέρος. Απλά κοιτάξτε δεξιά στα Texts.
Βήμα 7ο : Αντιγράψτε το μαρκαρισμένο text σε ένα Text Document, αφαιρέστε τις τελείες και μπροστά σας θα έχετε το e-mail + pass του δημιουργού του ψεύτικου “game hack”.
Ασφάλεια DNS: Πώς να μειώσετε τον κίνδυνο μιας επίθεσης DNS
Το Domain Name System ή αλλιώς DNS είναι ένα από τα θεμελιώδη στοιχεία ολόκληρου του διαδικτύου- ωστόσο, αν δεν ειδικεύεστε στη δικτύωση, πιθανόν να μην αντιλαμβάνεστε πόσο σημαντικό είναι.
Το DNS είναι ουσιαστικά σαν ένας κατάλογος αριθμών που χρησιμοποιούν οι υπολογιστές για την επικοινωνία. Συγκεκριμένα, οι αριθμοί αυτοί είναι διευθύνσεις IP.
Αυτός ο κατάλογος αποθηκεύεται σε διακομιστές ονομάτων τομέα σε όλο τον κόσμο και ένας ιστότοπος μπορεί να έχει περισσότερες από μία διευθύνσεις IP.
Παρά τη σημασία του DNS, είναι κάτι που τείνει να παραβλέπεται όσον αφορά την ασφάλεια του δικτύου. Η ασφάλεια DNS τείνει να βρίσκεται χαμηλότερα στον πόλο του τοτέμ από τα τείχη προστασίας, τα proxy και την προστασία των τελικών σημείων, για παράδειγμα.
Όπως αναφέρθηκε, το DNS είναι το θεμέλιο του διαδικτύου και μπορεί να αποτελέσει στόχο για επιθέσεις στον κυβερνοχώρο. Με το DNS, μπορεί να επιτευχθεί οποιαδήποτε εφαρμογή που αποτελεί μέρος του δικτύου. Ταυτόχρονα, ενώ το DNS μπορεί να αποτελέσει στόχο, μπορεί επίσης να αποτελέσει πολύτιμη πηγή προστασίας, όταν αντιμετωπίζεται σωστά και διασφαλίζεται.
Ακολουθούν ορισμένα πράγματα που πρέπει να γνωρίζετε σχετικά με την εξασφάλιση του DNS σας.
Κατανόηση των τρωτών σημείων
Μερικά από τα πράγματα που θα κάνει ένας εγκληματίας του κυβερνοχώρου όταν επιτίθεται σε ένα DNS είναι να το κάνει να αναφερθούν διαφορετικές διευθύνσεις IP, πράγμα που του επιτρέπει να εξαπατά ανθρώπους, να ανακατευθύνει την κυκλοφορία ηλεκτρονικού ταχυδρομείου και διαδικτύου ή να εξαπολύει επιθέσεις ενίσχυσης DNS.
Όταν συμβαίνει αυτό, οι επισκέπτες του ιστότοπού σας δεν θα έχουν τρόπο να γνωρίζουν ότι ανακατευθύνονται κάπου αλλού ή ότι το email τους δεν αποστέλλεται στον διακομιστή που νόμιζαν ότι ήταν. Είναι δύσκολο να ανιχνεύσετε αυτού του είδους την επίθεση όταν έχει ήδη πραγματοποιηθεί, και γι’ αυτό η ασφάλεια DNS θα πρέπει να αποτελεί κορυφαίο τομέα εστίασης. Η πρόληψη είναι ο καλύτερος στόχος.
Τι αποκάλυψε η Παγκόσμια Έκθεση Απειλών DNS του 2018;
Το 2018, οι επιθέσεις DNS προκάλεσαν σοβαρά προβλήματα σε όλο τον κόσμο. Σύμφωνα με την Παγκόσμια Έκθεση Απειλών DNS 2018, το 77% των οργανισμών αντιμετώπισε επιθέσεις DNS κατά τους 12 μήνες πριν από την έκθεση.
Η έκθεση έδειξε επίσης ότι το 20% των παγκόσμιων οργανισμών έπεσε θύμα του DNS tunneling, το οποίο είναι αγαπημένο των χάκερ επειδή είναι τόσο δύσκολο να εντοπιστεί και συνήθως μπορεί να συνεχιστεί για μεγάλο χρονικό διάστημα πριν συμβεί αυτό.
Μερικά από τα μεγαλύτερα περιστατικά πέρυσι ήταν τα εξής:
Ένας 16χρονος διείσδυσε σε διακομιστές της Apple και απέκτησε πρόσβαση σε 90 gigabytes αρχείων. Το έκανε αυτό σε διάστημα 12 μηνών από το σπίτι του στη Μελβούρνη. Αυτό ήταν ένα εξαιρετικό παράδειγμα για το πόσο εύκολο είναι για τους χάκερ να περνούν μέσα από τα τείχη προστασίας και να μην εντοπίζονται, ακόμη και από τους μεγαλύτερους οργανισμούς.
Αρκετές μεγάλες τράπεζες επηρεάστηκαν από επιθέσεις DNS. Για παράδειγμα, η RBS ήταν ένα από τα ονόματα με δραστηριότητες που επηρεάστηκαν σημαντικά από αυτές τις επιθέσεις.
Όταν ένας οργανισμός αντιμετωπίζει μια επίθεση DNS, μπορεί να του κοστίσει μαζικά. Για τις επιθέσεις του 2018 σε χρηματοπιστωτικούς οργανισμούς, το κόστος ήταν κατά μέσο όρο 924.390 δολάρια, εξαιρουμένων των δαπανών που σχετίζονται με τη ζημία στην εικόνα της μάρκας και την αφοσίωση των πελατών.
Πρόσφατα εμφανίστηκε κάτι που ονομάζεται Xbash, το οποίο είναι μια εξελιγμένη μορφή κακόβουλου λογισμικού. Οι επιθέσεις Xbash συμβαίνουν όταν υπάρχουν αδύναμοι κωδικοί πρόσβασης και μηχανήματα που δεν έχουν ενημερωθεί.
Συμβουλές για την ασφάλεια του δικτύου
Ακολουθούν ορισμένες συγκεκριμένες συμβουλές ασφαλείας και βέλτιστες πρακτικές για τη μείωση του κινδύνου επίθεσης.
Ψάξτε για παράξενες συμπεριφορές της κυκλοφορίας. Μπορείτε να χρησιμοποιήσετε τόσο ζωντανές όσο και γνωστές στο πλαίσιο αναλύσεις συναλλαγών DNS. Αυτό θα σας επιτρέψει να αρχίσετε να βλέπετε πού θα μπορούσαν να υπάρχουν απειλές με βάση ορισμένες συμπεριφορές.
Χρησιμοποιήστε τα δημόσια αρχεία DNS για να δείτε όλες τις ζώνες σας και να παρέχετε ελέγχους σε αυτές. Είναι πολύ εύκολο να ξεχάσετε πράγματα όπως υποτομείς που μπορεί να έχουν ξεπερασμένο λογισμικό.
Μην υποθέτετε ότι είστε προστατευμένοι από τους παρόχους cloud.
Σκεφτείτε μια ολιστική προσέγγιση για την ασφάλεια του δικτύου. Για παράδειγμα, προσθέστε πολλαπλά επίπεδα ασφάλειας στις συνολικές στρατηγικές και λύσεις σας.
Διατηρείτε πάντα ενημερωμένους τους διακομιστές DNS. Όσο λιγότερο ενημερωμένοι είναι οι διακομιστές σας, τόσο περισσότερα τρωτά σημεία υπάρχουν. Εάν παραμένετε ενημερωμένοι, ενισχύεστε από το ενδεχόμενο επιθέσεων.
Τα τείχη προστασίας DNS μπορούν επίσης να είναι χρήσιμα εργαλεία.
Αποτρέψτε μια επίθεση δηλητηρίασης DNS, η οποία είναι ένας από τους πιο κοινούς τύπους επιθέσεων DNS, απενεργοποιώντας την αναδρομή DNS.
Εάν είστε στόχος μιας επίθεσης DNS, μπορεί να καταστρέψει το δίκτυό σας και να παραλύσει την επιχείρησή σας λόγω του θεμελιώδους συστατικού του DNS. Ο αριθμός των αναφερόμενων επιθέσεων DNS σε επιχειρήσεις σχεδόν διπλασιάστηκε το 2018 σε ετήσια βάση και το κόστος των ζημιών που σχετίζονται με αυτές τις επιθέσεις είναι εξαιρετικά υψηλό.
Εάν είστε προληπτικοί στην αντιμετώπιση της ασφάλειας DNS, μπορείτε να προστατεύσετε ολόκληρη την επιχείρησή σας από κάτι από το οποίο θα ήταν εξαιρετικά δύσκολο να επανέλθετε.