38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –
Έναςερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνειάδειαπρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρωπροσωπικά δεδομένα.
Τα δεδομένα περιλάμβανανκωδικούςπρόσβασης για υπηρεσίες της Microsoft, μυστικάκλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Σύμφωναμετην Wiz, οιδιευθύνσειςURLστιςοποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020είχανρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για “Μόνο για ανάγνωση”, γεγονόςπουθαμπορούσεναεπιτρέψεισεοποιονδήποτεήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Ηεταιρεία δήλωσε ότι αυτό συνέβη.
Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος-ταSAStokensείναι ένας μηχανισμός τηςAzure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους γιαπρόσβαση σε δεδομένα στολογαριασμότους Azure Storage.
Η Wiz κοινοποίησετα ευρήματά της στηMicrosoft στις 22 Ιουνίου και η Microsoft δήλωσεότισυνέλεξετα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ωςαποτέλεσμααυτούτουπροβλήματοςκαιδενπαραβιάστηκανάλλεςεσωτερικέςυπηρεσίες.“Ωςαποτέλεσμα της έρευνας της Wiz, ηMicrosoftεπιβεβαίωσεότιτοGitHub‘sSecret Spanning Service, η οποία,όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σεόλους τους δημόσιους κώδικες ανοικτού κώδικα καιδημοσιεύειδιαπιστευτήριακαι άλλαμυστικά σε απλό κείμενο, συμπεριλαμβανομένωντωνμαρκώνSAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικέςημερομηνίεςλήξηςκαι δικαιώματα.
Η Signal αναφέρει ότι το σφάλμα Zero-day δεν είναι πραγματικό
Το Signal messenger διερεύνησε τις φήμες που εξαπλώθηκαν στο διαδίκτυο το Σαββατοκύριακο σχετικά με μια ευπάθεια ασφαλείας μηδενικής ημέρας που σχετίζεται με τη λειτουργία “Δημιουργία προεπισκόπησης συνδέσμου”, δηλώνοντας ότι δεν υπάρχει καμία απόδειξη ότι αυτή η ευπάθεια είναι πραγματική.
Αφού επικοινώνησαν με τη Signal σχετικά με το zero-day χθες το βράδυ, δημοσίευσαν μια δήλωση στο Twitter, στην οποία αναφέρουν ότι διερεύνησαν τις φήμες και δεν βρήκαν καμία απόδειξη ότι αυτό το ελάττωμα είναι πραγματικό.
Επικαλούμενη κυβερνητικές πηγές των ΗΠΑ, η είδηση του Zero-day εξαπλώθηκε γρήγορα στο διαδίκτυο και στην κοινότητα κυβερνοασφάλειας το απόγευμα του Σαββάτου.
Αυτές οι ανώνυμες πηγές της κυβέρνησης των ΗΠΑ δήλωσαν ότι η ευπάθεια μπορεί να μετριαστεί με την απενεργοποίηση της ρύθμισης “Generate Link Previews” στο Signal.
Ενώ το Signal έχει δηλώσει ότι δεν έχει αποδείξεις για ένα νέο zero-day, εξακολουθεί να ζητάει από όσους έχουν νέες και “πραγματικές” πληροφορίες να επικοινωνήσουν με την ομάδα ασφαλείας της.
Καθώς πρόκειται για μια συνεχιζόμενη έρευνα και ο μετριασμός είναι απλά η απενεργοποίηση της λειτουργίας Link Previews, οι χρήστες ίσως θελήσουν να απενεργοποιήσουν αυτή τη ρύθμιση προς το παρόν μέχρι να επιβεβαιωθεί πλήρως ότι δεν είναι πραγματική.
Η εικόνα των χάκερς έχει διαμορφωθεί σε μεγάλο βαθμό από ταινίες,τηλεοπτικάπρογράμματακαι την τηλεόραση.Σεαυτές, οι χάκερς παρουσιάζονται ως ικανοί να εισβάλουνακόμη και στα πιο ασφαλή συστήματα με ένα απλό πάτημα πλήκτρων.
Όλοι έχουμεδει κάποια στιγμή ταινίεςόπουοιχάκερςεισβάλλουνσταυπερπροστατευμένα συστήματα κυβερνήσεων, οργανισμών και εταιρειώνκαιπαίρνουν τον πλήρη έλεγχο τηςδιαδικασίας,προκαλώντας αμέτρητα προβλήματα.
Είναι όμως πραγματικά τόσο απλό;Δεν απέχει πολύαπό την πραγματικότητα; Πού τελειώνει ο μύθος και πού αρχίζει η αλήθεια; Για να απαντήσουμεσεαυτάτα ερωτήματα, επικοινωνήσαμεμε τον MichaelMigo, τεχνικό διευθυντή της TicTac, μιαςεταιρείαςπου ειδικεύεται στις υπηρεσίες κυβερνοασφάλειαςκαι ανάκτησης δεδομένων, για να αναλύσει τις πιο συνηθισμένες αντιλήψεις που έχουν οι εταιρείες και οι χρήστες σχετικά με την κυβερνοασφάλεια.
Μύθος 1: “Η επιχείρησή μου είναι πολύ μικρή,οιχάκερδενενδιαφέρονταιγιαμένα
Πραγματικότητα: “Οι περισσότεροι χάκερςπραγματοποιούν τυχαίες επιθέσεις, οπότε όλες οι επιχειρήσεις και οιιδιώτεςκινδυνεύουν.
Μία από τις πιο συνηθισμένεςπαρανοήσεις σχετικά με τηνασφάλειαστονκυβερνοχώρο είναι η ιδέα ότι οι μικρές επιχειρήσεις είναι ασφαλείς από τις επιθέσειςστονκυβερνοχώροεπειδή δεν είναι σημαντικές.Στην πραγματικότητα, καμία επιχείρηση δεν είναι πολύ μικρή για τέτοιου είδους απειλές.
Οι επιθέσεις που πραγματοποιούνταιαπόχάκερς χωρίζονται σε δύο κύριες κατηγορίες: οιστοχευμένες επιθέσεις εναντίονμεγάλωνεπιχειρήσεων και οργανισμώναπαιτούνμεγάληπροσπάθεια,χρόνο και χρήμα από την πλευρά τουχάκερκαι είναισυνήθως το αποτέλεσμα μιας μαζικής και συντονισμένης προσπάθειας.Απότην άλλη πλευρά, οι τυχαίες, τυφλές, μη στοχευμένες επιθέσεις εναντίονχιλιάδωνemailήIPsέχουνως στόχο να βρουν κενάασφαλείας σε οποιοδήποτε σύστημα, ώστε να μπορέσουνναελέγξουντουςυπολογιστές και να κλειδώσουν ή να κλέψουν αρχεία.
Φυσικά,οι χάκερς δεν μπορούννα βγάλουν χρήματα από όλους.Αυτόοφείλεταιστογεγονόςότιοιιδιώτεςήοιμικρέςεπιχειρήσειςδενέχουντηνοικονομικήδυνατότηταναπροβούνσεοικονομικέςαπαιτήσειςγιατηνεπιστροφήαρχείων.Ωστόσο,η ζημιά έχει ήδη γίνει και τα δεδομένα είναιπιθανό να έχουν ήδη χαθεί. Ωςεκ τούτου, δεν έχει σημασία αν είστε οπρωταρχικός στόχος και μπορούννα βγάλουν χρήματα από εσάς. Υπάρχει κίνδυνος σοβαρώνπροβλημάτωνπουπροκαλούνται από τυχαία και τυφλά χτυπήματα.
Εκτόςαπό τα παραπάνω, θα πρέπει να προστεθεί ότι, ανεξάρτητα από το μέγεθος τηςεπιχείρησήςσας, ο κίνδυνος απώλειας δεδομένων λόγω απειλών στον κυβερνοχώρο είναι τόσο μεγάλος που η προστασία και η διαθεσιμότητα των δεδομένων και των πληροφοριών σας πρέπει να αποτελεί ύψιστη προτεραιότητα.
Τρόποι αντιμετώπισης
Οι μικρομεσαίες επιχειρήσεις θα πρέπει να αναγνωρίσουν ότι δεν έχουν ανοσία στις κυβερνοεπιθέσεις και θα πρέπει να λάβουν μέτρα για την προστασία των συστημάτων και των δεδομένων τους. Αυτόπεριλαμβάνει:
Εκσυγχρονισμό των συστημάτων backup τους ώστε να συμπεριλάβουν και το ρίσκο μιας κυβερνοεπίθεσης
Εφαρμογή καλών πρακτικών ασφάλειας, όπως ισχυροί κωδικοί πρόσβασης και Two-factor authentication (2FA)
Εκπαίδευση του προσωπικού της επιχείρησης για την αναγνώριση και αντιμετώπιση διαδικτυακών απειλών
Έλεγχο και τακτική αναθεώρηση των μέτρων ασφαλείας
Συνεργασία με κάποια εταιρεία παροχής υπηρεσιών κυβερνοασφάλειας για να ελέγξει την ασφάλεια των συστημάτων
Μύθος 2: “Είμαισυνδρομητήςσε ένα πρόγραμμα προστασίας από ιούς και το πληρώνω κάθε χρόνο.
Πραγματικότητα: “Τοκαλύτεροantivirusμπλοκάρει το 99% των κακόβουλων αρχείων, αλλά το 1% των απειλών είναι οι χιλιάδες απειλές την ημέρα που τοantivirusδενμπορείναανιχνεύσει.
Τα antivirusκαιτατείχηπροστασίας είναι μερικά από τα πιο συνηθισμέναεργαλεία προστασίας που χρησιμοποιούνται από χρήστες και επιχειρήσεις για την προστασία των συστημάτων τους από επιθέσειςστονκυβερνοχώρο.Ωστόσο, η αντίληψη ότιαυτά τα λογισμικά απόμόνατουςμπορούν να παρέχουν ολοκληρωμένη προστασία είναι επικίνδυνα λανθασμένη.
Ακόμη και αν το πιο προηγμένολογισμικό που κυκλοφορείσήμερα στην αγορά μπορείνα αντιμετωπίσει το 99% των απειλών, το υπόλοιπο 1% είναι αρκετό για να προκαλέσει τεράστια ζημιά σε μια επιχείρηση. Μεεκατομμύρια επιθέσεις να λαμβάνουν χώρα καθημερινά, αυτό το 1% δεν είναι και τόσο μικρός αριθμός.
Όλα αυτά τα προγράμματα προστασίας εξελίσσονται καθημερινά μέσωεπιδιορθώσεων και ενημερώσεων. Αυτό σημαίνει ότι νέεςαπειλέςπουδημιουργούν“παραβιάσεις”ή “ευπάθειες”δημιουργούνταιπρώτες και ότανεντοπίζονται, αυτά τα προγράμματα προστασίας προσαρμόζονταικαιτιςαντιμετωπίζουν.
Τι σημαίνει αυτό στηνπράξη;Σημαίνειότιχιλιάδεςχρήστεςθαμπορούσαννα“μολυνθούν”άμεσααπό τηστιγμήτηςεπίθεσηςέωςότουαυτήαντιμετωπιστείκεντρικάαπότηνεταιρεία λογισμικού.
Τρόποι αντιμετώπισης
Οικύριοιτρόποι αντιμετώπισης είναι ηανθρώπινηπαρακολούθηση και ταπολλαπλά επίπεδα προστασίας. Αυτόοφείλεται στο γεγονός ότι η ασφάλειαστον κυβερνοχώρο απαιτεί μια ολιστική προσέγγιση που περιλαμβάνει πολλαπλά επίπεδα προστασίας. Μιαμονόπλευρηπροσέγγιση πουχρησιμοποιεί μόνο λογισμικό προστασίαςαπόιούςαφήνει πολλά κενά ασφαλείαςπουμπορούν να εκμεταλλευτούν οι χάκερ.Ηανάπτυξητωνψηφιακώντεχνολογιών είναι συνεχής και συχνά πολύπλοκη.Γιατολόγοαυτό,η ασφάλεια πρέπει να είναι δυναμική και πολυεπίπεδη (όπωςταστρώματακρεμμυδιού).
Μύθος 3: “Ο κωδικός πρόσβασής μου είναι πολύ ισχυρός”.
ΠραγματικότηταΟι “ισχυροί” κωδικοίπρόσβασης είναι το πρώτο βήμα, αλλά όχι το μοναδικό.
Οι πολύ ισχυροίκωδικοίπρόσβασηςαποτελούν την πρώτη γραμμή άμυνας κατάτωνδιαδικτυακώναπειλών.Ωστόσο,γίνεται εύκολα αντιληπτόότιαυτό δεν αρκεί.
Οι χάκερ διαθέτουν εξελιγμένα εργαλεία και διάφορες τεχνικές για να αποκτήσουν κωδικούςπρόσβασης. Για να τοθέσουμε πιο ωμά,οι χάκερ δεν χρειάζεται καν να γνωρίζουν ή να μαντεύουν ποιος είναι ο κωδικόςπρόσβασης.
Για παράδειγμα, αν ένας χρήστης χρησιμοποιεί ένα κοινόχρηστο δίκτυο καφετεριώνκαι έναςχάκερδημιουργήσει έναν “κλώνο” αυτού του δικτύουκαιμας ξεγελάσει ώστε να συνδεθούμε σε αυτότο δίκτυο αντί γιατοκατάστημα, μπορεί να υποκλέψει όλεςτιςανοιχτέςσυνεδρίες και να χρησιμοποιήσειτιςχωρίςναγνωρίζειτουςκωδικούςμας,καιξαφνικάναδιαπιστώσειότιέχειπρόσβασηακόμηκαιστουςτραπεζικούςμας λογαριασμούς.
Μιαάλλη μέθοδος που χρησιμοποιούν συχνά οιχάκερς είναι το phishing,τοοποίοπολλοίαπόεμάςγνωρίζουμε.Βασικά,οι χάκερςχρησιμοποιούναυτή τη μέθοδο για να προσπαθήσουννα“ψαρέψουν” κωδικούς πρόσβασης με ένανπεριστροφικότρόπο,εξαπατώνταςπαράλληλατονχρήστη.Γιαπαράδειγμα,στέλνουν ένα emailπουπαριστάνει μια πλατφόρμα όπως το gov.gr και κατευθύνουντονχρήστησε ένα ακριβές αντίγραφο του αρχικούιστότοπου. Εκεί, οι ανυποψίαστοι χρήστες εισάγουν οιίδιοι το όνομαχρήστη και τονκωδικόπρόσβασήςτους και δίνουν απλόχερα τα στοιχεία τους στους απατεώνες.
Τρόποι αντιμετώπισης
Χρήση VPN υπηρεσιών όταν πραγματοποιούμε σύνδεση σε ξένα Wi-Fi δίκτυα, ώστε να γίνεται κρυπτογράφηση των στοιχείων
Συχνή αλλαγή κωδικών, ώστε σε περίπτωση που έχει διαρρεύσει κάποιος, να μην είναι πλέον ενεργός
Επιλέξτε διαφορετικούς κωδικούς για κάθε ιστοσελίδα, ώστε αν αποκτήσει κάποιος έναν κωδικό να μην μπορέσει να έχει πρόσβαση σε όλους τους λογαριασμούς σας
Two-factor authentication (2FA), ώστε να υπάρχει ένα επιπλέον επίπεδο ασφάλειας που θα προϋποθέτει μια έξτρα έγκριση για την είσοδο από διαφορετική συσκευή
Μύθος 4: “Αντα αρχεία σαςκρυπτογραφηθούν από ransomware, τα χάνετε για πάντα
Πραγματικότητα: “Είναιδυνατόν να ανακτήσετε τα αρχεία σας και σεορισμένεςπεριπτώσεις είναι δυνατόνναταεπαναφέρετε χωρίς να χρειαστεί να πληρώσετε γι’ αυτά.
Οι επιθέσεις Ransomware είναιμία από τις πιο διαδεδομένες και καταστροφικές μορφές κυβερνοεπιθέσεων που αντιμετωπίζουμε σήμερα. Όταν ένας χρήστης “μολύνεται”απόαυτόν τον ιό, τουπαρουσιάζεταιμια οθόνη που τον ενημερώνει ότι όλα τα αρχεία στονσκληρόδίσκο ή τησυσκευή του έχουν κλειδωθεί και ότι πρέπει να πληρώσειλύτραγια να τα πάρει πίσω.
Η ανάκτηση δεδομένων σε τέτοιες περιπτώσεις απαιτεί πολύ λεπτούς χειρισμούς, ώστε να διασφαλιστείότι τα αρχεία στοδίσκο δεν έχουναλλοιωθεί από την κρυπτογραφημένη κατάστασή τους και ότιτααρχείαπουπραγματικάυπάρχουνμπορούννα ανακτηθούν πλήρωςμετά την καταβολή του ποσού.
Στοσημείο αυτό θα πρέπει να αναφερθεί ότι η καταβολήλύτρων αποτελείέσχατηλύσηκαιθαπρέπεινα χρησιμοποιείται μόνο αφού έχουν αποτύχει όλαταεναλλακτικάμέσαανάκτησηςτων αρχείων του πελάτη. Ανάλογαμετοντύποτηςκρυπτογράφησηςπουπραγματοποιείται,στο10%τωνπεριπτώσεωνείναι δυνατή η πλήρηςανάκτησηδεδομένων σεσκληρούςδίσκους και διακομιστέςχωρίς τηνκαταβολή λύτρων.
Τέλος, όταναντιμετωπίζονταιτέτοιεςαπειλές,η όλη διαδικασία θα πρέπει να διεξάγεται από εξειδικευμένους τεχνικούς ασφάλειαςστονκυβερνοχώρο και ανάκτησηςδεδομένων με στόχο να ανακαλύψουν ποια είναι η ομάδα που βρίσκεται πίσω από την κυβερνοεπίθεση, ποιο είναι το προφίλ της και αν είναι συνεργάσιμη, προκειμένου να αναπτυχθείηκατάλληληστρατηγικήαντιμέτρωνΕίναι ζωτικής σημασίας να γίνει αυτό. Δεν είναι ασυνήθιστογιαοργανισμούςκαιεταιρείες που έχουνκαταβάλει λύτρα σε χάκερςναμηνκαταφέρνουν να πάρουν πίσω τα αρχεία τους ή ναχάσουντηνεπαφήμετουςχάκερςλόγωτηςπίεσηςτηςδιαπραγμάτευσης μαζί τους.
Τρόποι αντιμετώπισης
Όπως συμβαίνειμετις περισσότερες ψηφιακέςαπειλές,η καλύτερη στρατηγική για την αντιμετώπιση τουransomware είναι η προληπτική προσέγγιση. Ως εκ τούτου, όλεςοιεπιχειρήσειςθαπρέπεινα προστατεύουν τα δεδομένα τους με ισχυρές διαδικασίες προστασίας και ανάκτησης αρχείων, ειδικό λογισμικό και εκπαίδευση,όπως
Υβριδικό Cloud Backup & Disaster Recovery
Διαδικασίες ανάκτησης αρχείων σε περίπτωση καταστροφής
Πραγματικότητα: “Οιπροσωπικοίυπολογιστέςαποτελούνένα μεγάλο κενό ασφαλείας στο γραφείο”.
Καθώςη τεχνολογία διαπερνάόλεςτιςπτυχέςτης ζωής μας, συμπεριλαμβανομένης της τηλεργασίας, πολλοί εργαζόμενοι τείνουννα φέρνουν τις προσωπικές τους συσκευές στο γραφείο.
Στηνπραγματικότητα,στηνπερίπτωση αυτή ισχύει το ακριβώςαντίθετο: η πρακτική αυτήκαθιστά τις επιχειρήσεις πιο ευάλωτες. Συγκεκριμένα,στους προσωπικούς υπολογιστές, οι άνθρωποιείναιλιγότερο προσεκτικοί ότανπεριηγούνταιστο διαδίκτυο. Ωςαποτέλεσμα,κατεβάζουμεχαλασμέναπρογράμματαή επισκεπτόμαστεκακόβουλουςιστότοπους.
Ως αποτέλεσμα, μπορεί να εγκατασταθεί στη συσκευή ένα “RAT“ που παρακολουθεί ό,τικάνουμε.Επομένως, όταν αυτή η προσωπική συσκευή συνδεθεί στο δίκτυο της εταιρείας, μπορείνα αποκτήσει πρόσβαση στα συστήματα και τα δεδομένα της επιχείρησης.
Τρόποι αντιμετώπισης
Ωςεκ τούτου, είναι σημαντικό όχι μόνο να κρατάτετουςπροσωπικούςκαιτουςεταιρικούςυπολογιστέςχωριστάανάπάσαστιγμή,αλλάκαι να χρησιμοποιείτεμόνοεξουσιοδοτημέναπρογράμματαελέγχουταυτότηταςστουςεταιρικούςυπολογιστέςγιανααποφύγετετηλήψηκακόβουλουλογισμικού.
Μύθος 6: “Ταπληροφοριακά μας συστήματα είναι τέλειακαι δεν μπορούν να παραβιαστούν”.
Πραγματικότητα: “Δεν υπάρχει σύστημα που ναμηνέχειπαραβιαστεί.Είναιαπλώςθέμαχρόνουπουχρειάζονταιοιχάκερς για να εισβάλουν.
Τατέλειασυστήματαανήκουν στη σφαίρα της φαντασίας και τουκινηματογράφου.Δενυπάρχει τέλειο σύστημα,σύμφωναμεταδιάσημαλόγιατου DmitryAlperovich, αντιπροέδρου της McAffee:εταιρείεςπου έχουν υποστείhacking και το γνωρίζουν, και εταιρείες που δεν το γνωρίζουν ακόμη.
Οιεπιθέσειςστονκυβερνοχώροείναι συχνές και εξελίσσονταισυνεχώς,καιαν δεν αναγνωρίσετε και δεν αντιμετωπίσετε τις αδυναμίες σας, θα μείνετε ευάλωτοι.
Για να είστε προετοιμασμένοι για κυβερνοεπιθέσεις, πρέπει να παραμείνετεπροετοιμασμένοι,επανεξετάζονταςκαιβελτιώνονταςσυνεχώςτασυστήματάσας.Οστόχος είναι να θέσετεσε εφαρμογή πολλαπλά επίπεδαασφάλειας,έτσι ώστε κάθεπροσπάθειαενόςχάκερναεισέλθειστασυστήματαμιαςεταιρείαςναείναιασύμφορηαπόάποψηχρόνουκαικόστους.
Σε αυτό το σημείο, πρέπει να σημειωθείότιδεν υπάρχει τέλειο σύστημα, οπότεανοιχάκερςβάλουνστοστόχαστρομιαεταιρεία,είναι πιθανόνα βρουν κάποια στιγμή ένακενό ασφαλείας. Επομένως,είναισημαντικόναυπάρχειένασχέδιοετοιμότητας για την αντιμετώπιση τέτοιων ζητημάτων.
Τρόποι αντιμετώπισης
Εάν εσείς ή τοτμήμαπληροφορικής σας πιστεύετε ότι τασυστήματά σας είναι τέλεια, μπορείτε να προσλάβετε μια εταιρεία δοκιμώνδιείσδυσηςγιανα ελέγξει πόσο ασφαλήείναιστηνπραγματικότητα.Οέλεγχοςδιείσδυσηςείναι,στηνπραγματικότητα,μιαυπηρεσία όπου προσλαμβάνετε χάκερςγιανα προσπαθήσουν να εισέλθουνστοσύστημά σας και να σας δείξουνπώςεισέβαλαν.
Έναςάλλος τρόπος αντιμετώπισης αυτούτουπροβλήματοςείναιναεισαγάγετεέναν εφεδρικό κανόνα 3-2-1.Σύμφωνα με αυτόν τον κανόνα, θα πρέπει να έχουμε συνολικά τρία αντίγραφα (κατά προτίμηση διαφορετικές εκδόσεις)των αρχείων μας σε δύο διαφορετικά μέσα (π.χ. εφεδρικόαντίγραφοστο cloud και τοπικόσκληρόδίσκο),με το ένα αντίγραφο σε διαφορετικήτοποθεσία από τοάλλοεφεδρικόαντίγραφο (κατά προτίμηση σε USB flash drive ή εξωτερικό offline),όπως σε μονάδαflash USB ήεξωτερικόσκληρόδίσκο).
Είναι επίσης σημαντικόνααναπτύξετεκαι ναεφαρμόσετεένααποτελεσματικόσχέδιοαποκατάστασηςμετάαπόκαταστροφή,ώστεοιλειτουργίεςναμπορούννα αποκατασταθούνμε όσο το δυνατόν λιγότερεςδυσκολίες και χρόνο.
Μύθος 7: “Οι επιθέσεις γίνονται μόνο στο διαδίκτυο”.
Πραγματικότητα: “Οιδιαρροέςπληροφοριώνστις μέρες μας μπορούν να προέλθουν από οποιοδήποτεκανάλιεπικοινωνίας.
Η λογική ότι“οι επιθέσεις είναι μόνο κυβερνοεπιθέσεις” υποτιμά τη σοβαρότητα και τοεύρος των επιθέσεωνστονκυβερνοχώρο. Αυτό οφείλεται στο γεγονός ότι οι περισσότερες επιθέσεις δεν είναι μεμονωμένες, αλλά πολύπλοκες,πολυάριθμεςκαι συνεχώςδιαφοροποιούμενες.
Όσοπαράξενοκαιανφαίνεταισεπολλούς,πολλές διαδικτυακές απάτες δεν αφορούντοδιαδίκτυο.
Φανταστείτε ένα σενάριο όπου λαμβάνετεένατηλεφώνημααπόκάποιονπουεμφανίζεταιναεκπροσωπείμιαγνωστήεταιρεία κινητής τηλεφωνίας,σας ζητάεινασυνάψετενέο συμβόλαιοκαι σας ζητάει μερικά στοιχεία, όπως τον αριθμό ταυτότητας, τοναριθμό τηλεφώνου και τη διεύθυνση κατοικίας σας.
Λίγοαργότερα,λαμβάνετεέναάλλοτηλεφώνημα,αυτή τη φορά απόκάποιονάλλον,υποτίθεται από δημόσιοοργανισμό,πουσας ζητάκάποια στοιχεία για να συμπληρώσετεμιαέρευνα που διενεργούν, όπως το ΑΦΜ, τοναριθμόκοινωνικής ασφάλισης, το email σας κ.λπ.
Συνδυάζονταςαυτά τα στοιχεία που τους έχετεδώσει,ταπροαναφερθένταάτομαμπορούν,εναγνοίασας, ναδιαπράξουναμέτρητεςαπάτεςστοόνομά σας.
Τρόποι αντιμετώπισης
Επομένως,τοσυμπέρασμαείναιότιανδενγνωρίζετεποιοςείναιτοάτομο,μηνδίνετεποτέπροσωπικάστοιχείακαιναεπαληθεύετεπάντα την ταυτότητά του.
Επιπλέον, κλείστε το τηλέφωνο και καλέστεξανά στα κεντρικά γραφεία της εταιρείαςγια να επιβεβαιώσετε ότι τοάτομο με το όνομα και τα στοιχεία τουκαλούντοςεργάζεται γιατην εν λόγω εταιρεία και ζητήστε να σας συνδέσουν μεαυτό το άτομο.
Μύθος 8: “Οιμηχανικοί είναι υπεύθυνοι για την ασφάλεια“.
Πραγματικότητα: “Τις περισσότερες φορές, οι τεχνικοί και οι μηχανικοί δεν γνωρίζουν από τι πρέπει να προστατευτούν”.
Μπορείναυπάρχεικάποιααλήθειασεαυτόντονμύθο,αλλάεξαρτάται από το πώς αντιλαμβάνεται κανείς τον ρόλο τουκαι την ποιότητα της εργασίας του. Σίγουρα,επιφανειακά,έναςεκπαιδευμένοςτεχνικόςσεμιαεταιρείαμπορείνα είναι υπεύθυνος για την ασφάλεια στον κυβερνοχώρο.
Ωστόσο,η εμπειρία μας έχει αποδείξει ότιοιτεχνικοί που νομίζουν ότι γνωρίζουν τα πάνταδεν είναι καλοίτεχνικοί.Οι ψηφιακές απειλές εξελίσσονται τόσο γρήγορα που είναι σχεδόν αδύνατογιαέναάτομονααποτρέψειόλεςτιςεπιθέσεις,όσοκαλόςτεχνικόςκιανείναι.
Στόχος όλωντωντεχνικών θα πρέπει να είναι οσυνεχήςέλεγχοςτωνσυστημάτωνκαι τωνδιαδικασιώντους,ώστεναδιασφαλίζεταιηαποτελεσματικήλειτουργίατους.Όσοινομίζουν ότι είναι τέλειοι συνήθως δεν βελτιώνονταικαι αγνοούντουςκινδύνους.
Οιεταιρείεςασφάλειαςστονκυβερνοχώρο ξεκινούν με δοκιμέςδιείσδυσης(δοκιμέςευπάθειας),οιοποίεςσυχνάαποκαλύπτουνευπάθειεςπουθαμπορούσαννααποβούνμοιραίεςαντιςεκμεταλλευτούνοιχάκερ.
Τρόποι αντιμετώπισης
Οιεπιχειρήσεις και οι τεχνικοί τους δεν θα πρέπει να αισθάνονταιότιαπειλούνται από εξωτερικούς συμβούλουςασφάλειαςστονκυβερνοχώρο.Αντίθετα, θα πρέπει να το βλέπουν ως μια ευκαιρία να βελτιώσουν τα συστήματά τουςμέσωσυνεχώνδοκιμώνκαι αναφοράςτυχόνευπαθειών ασφαλείας που μπορεί να υπάρχουν.
Μύθος 9: “Δενχρειάζομαιέλεγχοτουσυστήματος ή εκπαίδευση”.
Πραγματικότητα: “Πάρα πολλές επιθέσειςστον κυβερνοχώρο θα μπορούσαν να είχαναποτραπείεάντο προσωπικό είχε εκπαιδευτεί και είχε υποβληθείσεέλεγχοδιείσδυσης”.
Το Διαδίκτυοαλλάζεισυνεχώς καινέες απειλές και κίνδυνοιαναδύονταισυνεχώς. Χωρίς τον ανθρώπινο έλεγχο των συστημάτων και την ανάγκηαναγνώρισηςτωννέωναπειλών, οι εταιρείεςθαείναι ευάλωτες σε επιθέσεις μεκαταστροφικές συνέπειες.
Ηολοκληρωμένηκατάρτισητωνεργαζομένωνόλων των εταιρειώνθα πρέπει να αποτελεί κορυφαίαπροτεραιότητατο2023.Καιαυτόγιατί έρευνες έχουνδείξειότισχεδόνπάντα ο απλός υπάλληλος είναι αυτός που κάνει το λάθος ναεπιτρέψει σε ένα κακόβουλο πρόγραμμα να εισέλθει στα συστήματα μιας εταιρείας, που πατάειτολάθος κουμπί και κατεβάζειτοαρχείο στο ηλεκτρονικότου ταχυδρομείο.
Ακόμακαιμετακαλύτεραεργαλεία και διαδικασίες,αυτήημικρήανθρώπινηαπροσεξίαμπορείνα ανοίξειτηνπόρτασε μια εισβολήστοσύστημα.Συγκεκριμένα, ο MichaelMigosδηλώνει:“Ότανσυμβαίνει παραβίαση πληροφοριών σε μια εταιρεία ή έναν οργανισμό, συχνάακούτε τον υπεύθυνο να κατηγορεί τον υπάλληλο που έκανεκλικσε έναν κακόβουλο σύνδεσμο ή άνοιξε ένα κακόβουλο αρχείο. Εκεί ηευθύνηδενβαραίνειτονεργαζόμενο,αλλάτουςυπεύθυνουςγιατηναποτυχίαεκπαίδευσηςκαιελέγχουτωνχρηστών”.
Τρόποι αντιμετώπισης
Η εκπαίδευση του προσωπικού για την αναγνώριση και τηνπρόληψητωναπειλών και τηνορθήαντίδρασησε περίπτωση παραβίασης της ασφάλειας είναι ζωτικήςσημασίας για την αποφυγή τέτοιων λαθών.Πράγματι,είναι εξίσου σημαντικό ναδοκιμάζονταιτακτικάοιδιαδικασίες(π.χ. με τηχρήσηψεύτικων συνδέσμων ψαρέματος)προκειμένου να ελέγχεται το επίπεδο και οβαθμός ετοιμότητας κάθε εταιρείας.
Πόσο μεγάλο ρίσκοαναλαμβάνουμε ως χρήστες ή ως εταιρεία;
Η ασφάλειαστον κυβερνοχώρο πρέπει να αποτελεί προτεραιότητα για κάθε εταιρεία,ανεξαρτήτως μεγέθους ή κλάδου, που θέλει να προστατεύσει τα δεδομένα,τη φήμη και την εμπιστοσύνη της στον ψηφιακό κόσμο.Η Ευρωπαϊκή Ένωση (ΕΕ) ασχολείται ενεργά με το θέμααυτόκαι έχει δημοσιεύσει νέους κανόνες για την ενίσχυσή του.
Ευτυχώς ή δυστυχώς, το διαδίκτυο έχει διεισδύσει σε κάθε πτυχή της ζωής μαςκαι η εκθετική ανάπτυξη τηςτεχνολογίαςενισχύεταιμε ευκαιρίες και κινδύνους για την ασφάλεια των δεδομένων και την προστασίατηςιδιωτικήςζωής.
Η αδιαμφισβήτητη αλήθεια είναι ότι καμία εταιρεία ή χρήστης δεν μπορεί να είναι σίγουρος ότι δεν θα αντιμετωπίσειτέτοιες πιθανές απειλές κάποια στιγμή στη ζωή του,γι’αυτόκαιη σωστή ευαισθητοποίηση και εκπαίδευση είναι πιο αναγκαία από ποτέ.
Ξεκινώντας θα πω ότι η κάθε σελίδα διαφέρει από την άλλη… που σημαίνει ότι
μπορεί να μην δουλέψει κάτι από αυτά που θα γράψω εδώ… αλλά αυτό δεν σημαίνει ότι
δεν είναι ευάλωτη σε xss
Επιπλέον μπορεί να καταφέρεται να κάνετε xss σε firefox και να δοκιμάσετε την ίδια
τεχνική σε chrome χωρίς να δουλέψει… αυτό γίνετε γιατί έχουν και οι browsers κάποιες
άμυνες για το xss
Ας ξεκινήσουμε από τα βασικά…
1) Συχνά κάποια σελίδα διαγράφει την λέξη <script> από τα πεδία που ελέγχει ο χρήστης… δηλαδή αν δώσουμε <script>alert("xss")</script> το <script> θα διαγραφτεί… Παρόλα αυτά μου έχει τύχει περίπτωση που περνάει αυτό: <sCriPt> Πιθανότατα δεν έκανε όλα τα γράμματα μικρά πριν ελέγξει τα δεδομένα που εισάγομε στην σελίδα… Επόμενος αν γράψουμε <scRIPt>alert("xss")</script> θα λειτουργήσει κανονικά!
2)
Ίδια με τα παραπάνω… μόνο που τώρα ελέγχει και τα κεφαλαία γράμματα
Επόμενος αν γράψουμε <script>alert("xss")</script> θα διαγραφτεί το <script>
και θα γράψει alert("xss")</script>
Αυτό μπορούμε να το εκμεταλλευτούμε… και να γράψουμε <scr<script>ipt>alert("xss")</script>
Όταν ο browser διαγράψει το <script> θα ενωθούν τα <scr και ipt> φτιάχνοντας
το <script>. Με αυτόν τον τρόπο θα ήταν σαν να βάζαμε: <script>alert("xss")</script>
3)null bite <sc%00ript> το %00 είναι ένα null byte το όποιο μπορεί να περάσει μερικά filters
αλλά στην ουσία δεν γράφει τίποτα με αποτέλεσμα το <script> να γράφετε κανονικά στην σελίδα
4)Encryption:
Μπορείτε να κωδικοποιήσετε τα script σε διάφορες μορφές ώστε να παρακάμψετε πολλά filters
Για παράδειγμα μπορεί κάποια σελίδα να μην σας αφήνει να γράψετε το < και το > ή τα “
Μπορείτε να τα κωδικοποιήσετε σε διάφορες μορφές… για παράδειγμα url encoding %3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E
το παραπάνω είναι το <script>alert("xss")</script> κωδικοποιημένο σε url…
τα < > κλπ αλλάξαν… Για παράδειγμα το < έγινε %3C
Πέρα από το url encoding μπορείτε να δοκιμάσετε και unicode encoding για παράδειγμα %u003C το όποιο μπορεί να γραφτεί και με διάφορους τρόπους: %u03C %u0003C
Επιπλέον είναι και τα html chars που πρέπει να γνωρίζεται και το base64… Υπάρχουν
και άλλα όπως base16 αλλά τα παραπάνω είναι τα σημαντικότερα… χωρίς αυτό να σημαίνει ότι
δεν πρέπει να δείτε και τα υπόλοιπά… τρύπες ψάχνουμε… πρέπει να ξέρουμε τις λεπτομέρειες
για να τις βρούμε… Μπορείτε να κάνετε και διπλό url encoding
5)
Υποθέτουμε ότι δεν μπορούμε να βάλουμε το <script> στον κώδικα της σελίδας με κανέναν από του
τρόπους που γνωρίζουμε… μπορούμε να κάνουμε κάτι άλλο… <img src="invalidimg.img" onerror="alert('xss')" /> θα προσπαθήσει να βάλει μια
εικόνα στην σελίδα… δεν θα την βρει θα πάει στο onerror και θα εκτελέσει το scriptaki μας…
6)Bypassing ” filtering.
Αν έχετε όλα τα παραπάνω αλλά δεν μπορείτε να βάλετε ” τότε σας προτείνω να
χρησιμοποιήσετε την συνάρτηση String.fromCharCode
Για παράδειγμα: <script>alert(String.fromCharCode(65,66,67))</script>
Είναι σαν να γράψαμε: <script>alert("ABC")</script>
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.