Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Το Dark Web (σκοτεινός ιστός) είναι μια μικρή, αποκρυφή περιοχή του Διαδικτύου που δεν είναι προσβάσιμη με κανονικούς περιηγητές όπως το Google Chrome, το Mozilla Firefox ή το Microsoft Edge. Αντίθετα, για να αποκτήσετε πρόσβαση στο Dark Web, χρειάζεστε ειδικό λογισμικό, όπως το Tor Browser.
Σε αυτό το άρθρο, θα εξετάσουμε τη σημασία της ανωνυμίας στο Dark Web και τα εργαλεία που χρησιμοποιούνται για να διατηρηθεί η ασφάλεια και η ιδιωτικότητα των χρηστών.
Τα κύρια χαρακτηριστικά του Dark Web είναι τα εξής:
Ανωνυμία: Το Dark Web προσφέρει αυξημένη ανωνυμία στους χρήστες του, καθώς η κίνηση του διαδικτύου τους δρομολογείται μέσα από πολλούς κόμβους του Tor Network, προστατεύοντας την προσωπική τους ταυτότητα.
Κρυπτογραφία: Οι συνδέσεις και οι επικοινωνίες στο Dark Web είναι συχνά κρυπτογραφημένες, εξασφαλίζοντας την ασφάλεια των δεδομένων.
Περιεχόμενο: Το Dark Web περιέχει μια ποικιλία περιεχομένου, συμπεριλαμβανομένων ιστοσελίδων, φόρουμ, καταστημάτων, και πολλών άλλων, μερικές φορές προσβάσιμα μόνο μέσω συγκεκριμένων διευθύνσεων URL.
Εμπορία: Το Dark Web έχει γίνει γνωστό για τον ανώνυμο εμπορίο διαφόρων ειδών, συμπεριλαμβανομένων ναρκωτικών, όπλων, προσωπικών δεδομένων και πολλών άλλων.
Κρυμμένες Υπηρεσίες: Στο Dark Web υπάρχουν κρυμμένες υπηρεσίες (Hidden Services) που προσφέρουν περιεχόμενο και υπηρεσίες που δεν είναι ορατές στον κανονικό ιστό.
Είναι σημαντικό να σημειώσουμε ότι, ενώ το Dark Web χρησιμοποιείται από ορισμένους για νόμιμους σκοπούς, όπως η ανωνυμία και η προστασία της ιδιωτικότητας, έχει επίσης γίνει γνωστό για την παράνομη δραστηριότητα.
Το Dark Web αντιπροσωπεύει έναν κόσμο ανωνυμίας και ασφάλειας στον κυβερνοχώρο. Για να διατηρήσετε την ανωνυμία σας στο Dark Web, χρειάζεται να χρησιμοποιήσετε εξειδικευμένα εργαλεία και τεχνικές. Εδώ είναι μερικά από τα βασικά εργαλεία που χρησιμοποιούν οι χρήστες του Dark Web για να διασφαλίσουν την ανωνυμία τους:
1. Το Τοr (The Onion Router): Το Tor είναι ένα από τα κύρια εργαλεία που χρησιμοποιούν οι χρήστες του Dark Web για να προστατεύσουν την ανωνυμία τους. Αυτή η τεχνολογία λειτουργεί με το να κατευθύνει την κίνηση δεδομένων μέσα από ένα δίκτυο από πολλαπλούς κόμβους, κρυπτογραφώντας την κάθε στρώση πληροφοριών σαν κρεμμύδι (το λεγόμενο “στρώμα κρεμμυδιού”). Αυτό κάνει την παρακολούθηση της κίνησης πολύ δύσκολη και προστατεύει την ανωνυμία των χρηστών.
2. Υπηρεσίες VPN (Virtual Private Networks): Οι υπηρεσίες VPN είναι δημοφιλείς για τη δημιουργία μιας ασφαλούς και ανώνυμης σύνδεσης στο Dark Web. Ένα VPN κρυπτογραφεί την κίνηση δεδομένων και κρύβει την πραγματική διεύθυνση IP του χρήστη, αντικαθιστώντας την με μια διεύθυνση IP από έναν διακομιστή στον κόμβο του VPN.
3. Κρυπτογραφία: Η χρήση της κρυπτογραφίας είναι απαραίτητη στο Dark Web. Οι χρήστες κρυπτογραφούν τα μηνύματά τους και τις πληροφορίες τους για να αποτρέψουν την παρακολούθηση από τρίτους. Πολλές υπηρεσίες στο Dark Web προσφέρουν τη δυνατότητα ανταλλαγής κρυπτογραφημένων μηνυμάτων.
4. Προσοχή στα Αυθαίρετα Κατευθυνόμενα Δεδομένα (Metadata): Οι χρήστες του Dark Web πρέπει να είναι προσεκτικοί με τα metadata. Αυτά είναι πληροφορίες που μπορούν να αποκαλύψουν πολλά για την ανωνυμία του χρήστη, όπως η χρονολογία και η τοποθεσία. Οι χρήστες πρέπει να είναι προσεκτικοί όταν ανεβάζουν φωτογραφίες και άλλα αρχεία στο Dark Web.
5. Προστασία από Κοινοποίηση Πληροφοριών (Information Leakage): Η προστασία από διαρροές πληροφοριών είναι κρίσιμη. Οι χρήστες πρέπει να αποφεύγουν την αναφορά προσωπικών πληροφοριών και την κοινοποίηση περαιτέρω πληροφοριών στο Dark Web.
6. Tails (The Amnesic Incognito Live System): Το Tails είναι ένα λειτουργικό σύστημα που βασίζεται στο Linux και σχεδιάστηκε ειδικά για ανωνυμία. Εκκινεί από USB, δρομολογεί όλη την κίνηση μέσω του Tor, και δεν αφήνει ίχνη στον υπολογιστή που το χρησιμοποιείτε.
7. Κρυπτονομίσματα: Τα κρυπτονομίσματα όπως το Bitcoin, το Monero και το Zcash είναι δημοφιλή στο Dark Web και προσφέρουν ανωνυμία στις χρηματικές συναλλαγές. Οι χρήστες μπορούν να χρησιμοποιήσουν αυτά τα κρυπτονομίσματα για να πληρώσουν για προϊόντα και υπηρεσίες χωρίς να αποκαλύπτουν την ταυτότητά τους.
8. Κρυπτογραφία Μηνυμάτων: Στο Dark Web, η ασφαλής ανταλλαγή μηνυμάτων είναι ουσιαστική. Οι χρήστες χρησιμοποιούν εργαλεία όπως το PGP (Pretty Good Privacy) για να κρυπτογραφήσουν τα μηνύματά τους. Αυτό εξασφαλίζει ότι μόνο ο παραλήπτης μπορεί να αποκρυπτογραφήσει το μήνυμα.
9. Κρυπτογραφημένα Αρχεία: Στο Dark Web, οι χρήστες μπορούν να ανεβάσουν και να κατεβάσουν κρυπτογραφημένα αρχεία. Αυτό προστατεύει το περιεχόμενο από ανεπιθύμητη πρόσβαση και παρακολούθηση.
Για να μπείτε στο Dark Web, θα χρειαστεί να ακολουθήσετε τα παρακάτω βήματα:
Λήψη και Εγκατάσταση του Tor Browser:
Το Tor Browser είναι ο πιο δημοφιλής τρόπος να αποκτήσετε πρόσβαση στο Dark Web. Πηγαίνετε στην επίσημη ιστοσελίδα του Tor Project: https://www.torproject.org/
Κάντε κλικ στο κουμπί “Download Tor” και επιλέξτε την έκδοση που αντιστοιχεί στο λειτουργικό σας σύστημα (Windows, macOS, Linux).
Αφού κατεβάσετε το αρχείο εγκατάστασης, ακολουθήστε τις οδηγίες για να εγκαταστήσετε το Tor Browser στον υπολογιστή σας.
Εκκίνηση του Tor Browser:
Αφού εγκαταστήσετε το Tor Browser, εκκινήστε το από το μενού εφαρμογών του υπολογιστή σας. Μόλις εκκινήσει, το Tor Browser θα αρχίσει να συνδέεται στο δίκτυο Tor και θα δημιουργήσει μια ασφαλή σύνδεση.
Περιηγηθείτε στο Dark Web:
Μόλις ολοκληρωθεί η διαδικασία σύνδεσης, το Tor Browser θα σας εμφανίσει έναν περιηγητή που μοιάζει με τον Mozilla Firefox. Χρησιμοποιήστε τον αυτόν τον περιηγητή για να πλοηγηθείτε στο Dark Web.
Μπορείτε να εισάγετε διευθύνσεις URL που τελειώνουν σε “.onion” για να επισκεφθείτε ιστοσελίδες στο Dark Web.
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Νέο CVE υψηλής βαθμολογίας από την Google στη libwebp
Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας της libwebp, η οποία αξιοποιήθηκε ως zero-day σε επιθέσεις και επιδιορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, που εντοπίστηκε ως CVE-2023-4863, αντί να το αποδώσει στη βιβλιοθήκη libwebp ανοικτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το σφάλμα μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο την Τετάρτη 6 Σεπτεμβρίου και διορθώθηκε από την Google λιγότερο από μια εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας του Citizen Lab έχουν καθιερωμένο ιστορικό στον εντοπισμό και την αποκάλυψη zero-day που έχουν γίνει αντικείμενο κατάχρησης σε στοχευμένες εκστρατείες κατασκοπευτικού λογισμικού, οι οποίες συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να χαρακτηριστεί ως σφάλμα του Chrome προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως πρόβλημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα στο libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064 που αντιμετωπίστηκε από την Apple στις 7 Σεπτεμβρίου και χρησιμοποιήθηκε καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για τη μόλυνση πλήρως επιδιορθωμένων iPhones με το εμπορικό spyware Pegasus της NSO Group.
Νέο CVE υψηλής σοβαρότητας
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE, το CVE-2023-5129, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στη libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοικτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα της libwebp και αφορά μια υπερχείλιση buffer σωρού στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman που χρησιμοποιείται από τη libwebp για συμπίεση χωρίς απώλειες και επιτρέπει στους επιτιθέμενους να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας κακόβουλα διαμορφωμένες σελίδες HTML.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από συντριβές έως εκτέλεση αυθαίρετου κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η επαναταξινόμηση του CVE-2023-5129 ως ευπάθεια της libwebp έχει ιδιαίτερη σημασία λόγω του ότι αρχικά πέρασε απαρατήρητη ως πιθανή απειλή για την ασφάλεια πολλών έργων που χρησιμοποιούν τη libwebp, συμπεριλαμβανομένων των 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android.
Η αναθεωρημένη κρίσιμη αξιολόγηση υπογραμμίζει τη σημασία της άμεσης αντιμετώπισης της ευπάθειας ασφαλείας (που τώρα παρακολουθείται με πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε όλες αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.
Είναι ωραίο, καλό και χρήσιμο να μιλάμε για μέτρα άμυνας, για τρόπους επίθεσης, για απειλές και αδυναμίες. Τις βλέπουμε από την σκοπιά του επιτιθέμενου, αλλά όχι για να διδάξουμε κάποιον απατεώνα (αν και αυτό μπορεί να συμβεί δυστυχώς, ως παράπλευρη απώλεια), αλλά γιατί πιστεύουμε στην παλιά αρχή που λέει: “Για να μπορέσεις να αμυνθείς σωστά πρέπει να μάθεις πώς σκέφτεται ο επιτιθέμενος” ή αλλιώς: “To know your enemy, you must become your enemy” – Sun Tzu.
Και ΟΚ, πείτε ότι μέχρι εδώ καλά…
Τι πάμε να προστατέψουμε όμως; Κάποιος (πολύ-πολύ παλιά) είχε πει οτι: για να μπορέσουμε να συζητήσουμε για ένα θέμα πρέπει πρώτα να ορίσουμε και (κυρίως) να συμφωνήσουμε τις βασικές έννοιες που το αφορούν, αλλιώς ο καθένας θα λέει (ή και) θα πιστεύει τα δικά του. Παράπλευρο συμπέρασμα: Μπορεί τελικά να συμφωνήσουμε σε κάτι, είτε κατά τύχη είτε διότι “νομίζουμε” οτι συμφωνούμε.
Ανέκαθεν ήθελα να ξεκινήσω ένα άρθρο για την ασφάλεια και για να το κάνω λίγο πιο συγκεκριμένο: για την ασφάλεια πληροφοριακών συστημάτων. Τι είναι αυτή η ασφάλεια; Υπάρχει άραγε σαφής ορισμός;
Αν ανατρέξω στην Wikipedia μπορεί να βρω μερικές προσεγγίσεις, όπως:
“Security is protection from, or resilience against, potential harm (or other unwanted coercion) caused by others, by restraining the freedom of others to act. Beneficiaries (technically referents) of security may be of persons and social groups, objects and institutions, ecosystems or any other entity or phenomenon vulnerable to unwanted change.”
ή ακόμα:
“Information security, sometimes shortened to InfoSec,[1] is the practice of protecting information by mitigating information risks. “
Ενδιαφέρουσες προσεγγίσεις, αν και (κατά την άποψη του γράφοντος) ολίγον… ασαφείς, σε σχέση με το αντικείμενο της προστασίας (protection) και του τι ακριβώς θέλουμε να προστατέψουμε και πώς.
Θέλω να παρουσιάσω μια προσέγγιση η οποία είναι πιο κοντά στα πρότυπα για την ασφάλεια (ISO 27001, NIST κλπ.) και η οποία ακολουθεί την γνωστή τριάδα C.I.A. (Confidentiality, Integrity & Availability) ή με πιο “Ελληνικά”: Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα.
Πριν προχωρήσω όμως στους βασικούς ορισμούς των παραπάνω, θα πρέπει να ορίσω πρώτα μια άλλη, πρωταρχική έννοια, αυτή της Πληροφορίας:
Θεωρώ ως πληροφορία, οποιοδήποτε πόρο περιέχει αξία για μένα ή τον οργανισμό μου.
Η αξία μπορεί να είναι οικονομική, αλλά όχι μόνο (μπορεί να είναι συναισθηματική, τεχνολογική, πολιτική, πολιτιστική, κλπ.). Ο πόρος από την άλλη, μπορεί να πάρει όλες τις δυνατές μορφές, υλικές ή άυλες: Server, Λογισμικό, Άνθρωπος (π.χ. εργαζόμενος), Εμπειρία, Πνευματική Ιδιοκτησία, Προφορική ή Γραπτή Επικοινωνία κλπ.
Αφού εξηγήσαμε τον πόρο και την αξία, ήρθε τώρα η ώρα να εξηγήσουμε τους όρους: Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα με πολύ-πολύ απλά λόγια και χωρίς “επιστημονικούς ακροβατισμούς”:
Εμπιστευτικότητα: Σημαίνει οτι αν επικοινωνώ με κάποιον άλλο μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) δεν μπορεί κάποιος τρίτος (μη εξουσιοδοτημένος από μας) να εισχωρήσει σε αυτή την επικοινωνία και να μπορέσει να λάβει γνώση για το τι λέμε.
Ακεραιότητα: Σημαίνει οτι αν επικοινωνώ με κάποιον άλλο μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) δεν μπορεί κάποιος τρίτος (μη εξουσιοδοτημένος από μας) να αποκτήσει πρόσβαση στα μηνύματα μας και να μπορέσει να τα αλλοιώσει ή να τα διαγράψει.
Διαθεσιμότητα: Σημαίνει οτι οποτεδήποτε θελήσω εγώ να επικοινωνήσω με κάποιον άλλον μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) το κανάλι (το μέσο) αυτό της επικοινωνίας θα είναι διαθέσιμο να με εξυπηρετήσει.
Αν ένας ή περισσότεροι από τους παραπάνω όρους παραβιαστεί, τότε θα έχω και παραβίαση της ασφάλειας!
Βέβαια, υπάρχουν πολλές ακόμα έννοιες, όπως Privacy (Ιδιωτικότητα), Authentication (Αυθεντικοποίηση) κλπ. που αναφέρονται στην βιβλιογραφία ως σημεία αναφοράς για την ασφάλεια. Προσωπικά όπως πιστεύω οτι κάλλιστα αυτές μπορούν να ενταχθούν στις παραπάνω τρείς βασικές.
Άρα, μπορώ να πω πια οτι η ασφάλεια έγκειται στην διασφάλιση της Εμπιστευτικότητας, Ακεραιότητας & Διαθεσιμότητας των Πόρων που έχουν Αξία για εμένα ή (και) τον οργανισμό μου.
Με πολύτιμη εμπειρία στον κόσμο της κυβερνοασφάλειας συμβάλλει ενεργά στην κοινότητά μας με αναλύσεις ευπαθειών και οδηγούς.
Με τη συνεισφορά του, προσφέρει στην κοινότητα μας ένα πλούσιο φάσμα γνώσεων και δεξιοτήτων που ενισχύουν την ανάπτυξη και την ασφάλεια του ψηφιακού μας κόσμου.
Hacking