38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά – 38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft | – #1 Το Hacking σε... απλά ελληνικά –
38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft

38TB δεδομένων εκτέθηκαν κατά λάθος από τους ερευνητές AI της Microsoft

20 Σεπτεμβρίου 2023 by Anastasis Vasileiadis
Share on LinkedIn

Ένας ερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.

Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνει άδεια πρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρω προσωπικά δεδομένα.

Τα δεδομένα περιλάμβαναν κωδικούς πρόσβασης για υπηρεσίες της Microsoft, μυστικά κλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.

Σύμφωνα με την Wiz, οι διευθύνσεις URL στις οποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020 είχαν ρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για Μόνο για ανάγνωση”, γεγονός που θα μπορούσε να επιτρέψει σε οποιονδήποτε ήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Η εταιρεία δήλωσε ότι αυτό συνέβη.

Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος- τα SAS tokens είναι ένας μηχανισμός της Azure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους για πρόσβαση σε δεδομένα στο λογαριασμό τους Azure Storage.

Η Wiz κοινοποίησε τα ευρήματά της στη Microsoft στις 22 Ιουνίου και η Microsoft δήλωσε ότι συνέλεξε τα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ως αποτέλεσμα αυτού του προβλήματος και δεν παραβιάστηκαν άλλες εσωτερικές υπηρεσίες. Ως αποτέλεσμα της έρευνας της Wiz, η Microsoft επιβεβαίωσε ότι το GitHub ‘s Secret Spanning Service, η οποία, όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σε όλους τους δημόσιους κώδικες ανοικτού κώδικα και δημοσιεύει διαπιστευτήρια και άλλα μυστικά σε απλό κείμενο, συμπεριλαμβανομένων των μαρκών SAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικές ημερομηνίες λήξης και δικαιώματα.

cropped
Anastasis Vasileiadis

Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.

Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.

https://beacons.ai/cyberkid1987
cyberkid@hacks.gr

Related posts:

Beitragsbild_revised_federal_act_on_the_surveillance-1-1Data Breach για εκατομμύρια χρήστες κινητής τηλεφωνίας Screenshot 2023-09-21 at 09-20-45 Hackers breached International Criminal Court’s systems last weekΧάκερς παραβίασαν τα συστήματα του Διεθνούς Ποινικού Δικαστηρίου την περασμένη εβδομάδα ScreenshotX2023-09-29XatX11-25-57XMicrosoftXbreachXledXtoXtheftXofX60X000XUSXStateXDeptXemailsΗ παραβίαση της Microsoft οδήγησε σε κλοπή 60.000 emails του Υπουργείου Εξωτερικών των ΗΠΑ Screenshot 2023-09-14 at 11-33-45 Photo by Getty Images on UnsplashΑλήθειες και μύθοι σχετικά με το hacking

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Η Signal αναφέρει ότι το σφάλμα Zero-day δεν είναι πραγματικό

Το Signal messenger διερεύνησε τις φήμες που εξαπλώθηκαν στο διαδίκτυο το Σαββατοκύριακο σχετικά με μια ευπάθεια ασφαλείας μηδενικής ημέρας που σχετίζεται με τη λειτουργία “Δημιουργία προεπισκόπησης συνδέσμου”, δηλώνοντας ότι δεν υπάρχει καμία απόδειξη ότι αυτή η ευπάθεια είναι πραγματική.

Αφού επικοινώνησαν με τη Signal σχετικά με το zero-day χθες το βράδυ, δημοσίευσαν μια δήλωση στο Twitter, στην οποία αναφέρουν ότι διερεύνησαν τις φήμες και δεν βρήκαν καμία απόδειξη ότι αυτό το ελάττωμα είναι πραγματικό.

 

Screenshot 2023 10 17 at 07 34 07 Signal says there is no evidence rumored zero day bug is real

Επικαλούμενη κυβερνητικές πηγές των ΗΠΑ, η είδηση του Zero-day εξαπλώθηκε γρήγορα στο διαδίκτυο και στην κοινότητα κυβερνοασφάλειας το απόγευμα του Σαββάτου.

Αυτές οι ανώνυμες πηγές της κυβέρνησης των ΗΠΑ δήλωσαν ότι η ευπάθεια μπορεί να μετριαστεί με την απενεργοποίηση της ρύθμισης “Generate Link Previews” στο Signal.

Screenshot 2023 10 17 at 07 41 28 Signal says there is no evidence rumored zero day bug is real

Ενώ το Signal έχει δηλώσει ότι δεν έχει αποδείξεις για ένα νέο zero-day, εξακολουθεί να ζητάει από όσους έχουν νέες και “πραγματικές” πληροφορίες να επικοινωνήσουν με την ομάδα ασφαλείας της.

Καθώς πρόκειται για μια συνεχιζόμενη έρευνα και ο μετριασμός είναι απλά η απενεργοποίηση της λειτουργίας Link Previews, οι χρήστες ίσως θελήσουν να απενεργοποιήσουν αυτή τη ρύθμιση προς το παρόν μέχρι να επιβεβαιωθεί πλήρως ότι δεν είναι πραγματική.

 

cropped
Anastasis Vasileiadis

Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.

Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.

https://beacons.ai/cyberkid1987
cyberkid@hacks.gr

Related posts:

papaki_1.jpg.57c9b2eb2d88be35bfd3239d2e52161aΘύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας getty_483978146_116575Η Μεγαλύτερη Συνεργασία Χάκερ στην Ιστορία: Μαζική Κυβερνοεπίθεση κατά Βαλτικής & Πολωνίας taftotites_1Τα πάντα σχετικά με το RFID και τις νέες ταυτότητες Screenshot 2023-09-14 at 11-33-45 Photo by Getty Images on UnsplashΑλήθειες και μύθοι σχετικά με το hacking

Αλήθειες και μύθοι σχετικά με το hacking

Η εικόνα των χάκερς έχει διαμορφωθεί σε μεγάλο βαθμό από ταινίες, τηλεοπτικά προγράμματα και την τηλεόραση. Σε αυτές, οι χάκερς παρουσιάζονται ως ικανοί να εισβάλουν ακόμη και στα πιο ασφαλή συστήματα με ένα απλό πάτημα πλήκτρων.

Όλοι έχουμε δει κάποια στιγμή ταινίες όπου οι χάκερς εισβάλλουν στα υπερπροστατευμένα συστήματα κυβερνήσεων, οργανισμών και εταιρειών και παίρνουν τον πλήρη έλεγχο της διαδικασίας, προκαλώντας αμέτρητα προβλήματα.

Είναι όμως πραγματικά τόσο απλό; Δεν απέχει πολύ από την πραγματικότητα; Πού τελειώνει ο μύθος και πού αρχίζει η αλήθεια; Για να απαντήσουμε σε αυτά τα ερωτήματα, επικοινωνήσαμε με τον Michael Migo, τεχνικό διευθυντή της TicTac, μιας εταιρείας που ειδικεύεται στις υπηρεσίες κυβερνοασφάλειας και ανάκτησης δεδομένων, για να αναλύσει τις πιο συνηθισμένες αντιλήψεις που έχουν οι εταιρείες και οι χρήστες σχετικά με την κυβερνοασφάλεια.

 

Μύθος 1: “Η επιχείρησή μου είναι πολύ μικρή, οι χάκερ δεν ενδιαφέρονται για μένα

Πραγματικότητα: “Οι περισσότεροι χάκερς πραγματοποιούν τυχαίες επιθέσεις, οπότε όλες οι επιχειρήσεις και οι ιδιώτες κινδυνεύουν.

Μία από τις πιο συνηθισμένες παρανοήσεις σχετικά με την ασφάλεια στον κυβερνοχώρο είναι η ιδέα ότι οι μικρές επιχειρήσεις είναι ασφαλείς από τις επιθέσεις στον κυβερνοχώρο επειδή δεν είναι σημαντικές. Στην πραγματικότητα, καμία επιχείρηση δεν είναι πολύ μικρή για τέτοιου είδους απειλές.

Οι επιθέσεις που πραγματοποιούνται από χάκερς χωρίζονται σε δύο κύριες κατηγορίες: οι στοχευμένες επιθέσεις εναντίον μεγάλων επιχειρήσεων και οργανισμών απαιτούν μεγάλη προσπάθεια, χρόνο και χρήμα από την πλευρά του χάκερ και είναι συνήθως το αποτέλεσμα μιας μαζικής και συντονισμένης προσπάθειας. Από την άλλη πλευρά, οι τυχαίες, τυφλές, μη στοχευμένες επιθέσεις εναντίον χιλιάδων email ή IPs έχουν ως στόχο να βρουν κενά ασφαλείας σε οποιοδήποτε σύστημα, ώστε να μπορέσουν να ελέγξουν τους υπολογιστές και να κλειδώσουν ή να κλέψουν αρχεία.

Φυσικά, οι χάκερς δεν μπορούν να βγάλουν χρήματα από όλους. Αυτό οφείλεται στο γεγονός ότι οι ιδιώτες ή οι μικρές επιχειρήσεις δεν έχουν την οικονομική δυνατότητα να προβούν σε οικονομικές απαιτήσεις για την επιστροφή αρχείων. Ωστόσο, η ζημιά έχει ήδη γίνει και τα δεδομένα είναι πιθανό να έχουν ήδη χαθεί. Ως εκ τούτου, δεν έχει σημασία αν είστε ο πρωταρχικός στόχος και μπορούν να βγάλουν χρήματα από εσάς. Υπάρχει κίνδυνος σοβαρών προβλημάτων που προκαλούνται από τυχαία και τυφλά χτυπήματα.

Εκτός από τα παραπάνω, θα πρέπει να προστεθεί ότι, ανεξάρτητα από το μέγεθος της επιχείρησής σας, ο κίνδυνος απώλειας δεδομένων λόγω απειλών στον κυβερνοχώρο είναι τόσο μεγάλος που η προστασία και η διαθεσιμότητα των δεδομένων και των πληροφοριών σας πρέπει να αποτελεί ύψιστη προτεραιότητα.

Τρόποι αντιμετώπισης

Οι μικρομεσαίες επιχειρήσεις θα πρέπει να αναγνωρίσουν ότι δεν έχουν ανοσία στις κυβερνοεπιθέσεις και θα πρέπει να λάβουν μέτρα για την προστασία των συστημάτων και των δεδομένων τους. Αυτό περιλαμβάνει:

  • Εκσυγχρονισμό των συστημάτων backup τους ώστε να συμπεριλάβουν και το ρίσκο μιας κυβερνοεπίθεσης
  • Εφαρμογή καλών πρακτικών ασφάλειας, όπως ισχυροί κωδικοί πρόσβασης και Two-factor authentication (2FA)
  • Εκπαίδευση του προσωπικού της επιχείρησης για την αναγνώριση και αντιμετώπιση διαδικτυακών απειλών
  • Έλεγχο και τακτική αναθεώρηση των μέτρων ασφαλείας
  • Συνεργασία με κάποια εταιρεία παροχής υπηρεσιών κυβερνοασφάλειας για να ελέγξει την ασφάλεια των συστημάτων

 

Μύθος 2: “Είμαι συνδρομητής σε ένα πρόγραμμα προστασίας από ιούς και το πληρώνω κάθε χρόνο.

Πραγματικότητα: “Το καλύτερο antivirus μπλοκάρει το 99% των κακόβουλων αρχείων, αλλά το 1% των απειλών είναι οι χιλιάδες απειλές την ημέρα που το antivirus δεν μπορεί να ανιχνεύσει.

Τα antivirus και τα τείχη προστασίας είναι μερικά από τα πιο συνηθισμένα εργαλεία προστασίας που χρησιμοποιούνται από χρήστες και επιχειρήσεις για την προστασία των συστημάτων τους από επιθέσεις στον κυβερνοχώρο. Ωστόσο, η αντίληψη ότι αυτά τα λογισμικά από μόνα τους μπορούν να παρέχουν ολοκληρωμένη προστασία είναι επικίνδυνα λανθασμένη.

Ακόμη και αν το πιο προηγμένο λογισμικό που κυκλοφορεί σήμερα στην αγορά μπορεί να αντιμετωπίσει το 99% των απειλών, το υπόλοιπο 1% είναι αρκετό για να προκαλέσει τεράστια ζημιά σε μια επιχείρηση. Με εκατομμύρια επιθέσεις να λαμβάνουν χώρα καθημερινά, αυτό το 1% δεν είναι και τόσο μικρός αριθμός.

Όλα αυτά τα προγράμματα προστασίας εξελίσσονται καθημερινά μέσω επιδιορθώσεων και ενημερώσεων. Αυτό σημαίνει ότι νέες απειλές που δημιουργούν “παραβιάσεις” ή “ευπάθειες” δημιουργούνται πρώτες και όταν εντοπίζονται, αυτά τα προγράμματα προστασίας προσαρμόζονται και τις αντιμετωπίζουν.

Τι σημαίνει αυτό στην πράξη; Σημαίνει ότι χιλιάδες χρήστες θα μπορούσαν να “μολυνθούν” άμεσα από τη στιγμή της επίθεσης έως ότου αυτή αντιμετωπιστεί κεντρικά από την εταιρεία λογισμικού.

Τρόποι αντιμετώπισης

Οι κύριοι τρόποι αντιμετώπισης είναι η ανθρώπινη παρακολούθηση και τα πολλαπλά επίπεδα προστασίας. Αυτό οφείλεται στο γεγονός ότι η ασφάλεια στον κυβερνοχώρο απαιτεί μια ολιστική προσέγγιση που περιλαμβάνει πολλαπλά επίπεδα προστασίας. Μια μονόπλευρη προσέγγιση που χρησιμοποιεί μόνο λογισμικό προστασίας από ιούς αφήνει πολλά κενά ασφαλείας που μπορούν να εκμεταλλευτούν οι χάκερ. Η ανάπτυξη των ψηφιακών τεχνολογιών είναι συνεχής και συχνά πολύπλοκη. Για το λόγο αυτό, η ασφάλεια πρέπει να είναι δυναμική και πολυεπίπεδη (όπως τα στρώματα κρεμμυδιού).

 

Μύθος 3: “Ο κωδικός πρόσβασής μου είναι πολύ ισχυρός”.

Πραγματικότητα Οιισχυροίκωδικοί πρόσβασης είναι το πρώτο βήμα, αλλά όχι το μοναδικό.

Οι πολύ ισχυροί κωδικοί πρόσβασης αποτελούν την πρώτη γραμμή άμυνας κατά των διαδικτυακών απειλών. Ωστόσο, γίνεται εύκολα αντιληπτό ότι αυτό δεν αρκεί.

Οι χάκερ διαθέτουν εξελιγμένα εργαλεία και διάφορες τεχνικές για να αποκτήσουν κωδικούς πρόσβασης. Για να το θέσουμε πιο ωμά, οι χάκερ δεν χρειάζεται καν να γνωρίζουν ή να μαντεύουν ποιος είναι ο κωδικός πρόσβασης.

Για παράδειγμα, αν ένας χρήστης χρησιμοποιεί ένα κοινόχρηστο δίκτυο καφετεριών και ένας χάκερ δημιουργήσει έναν “κλώνο” αυτού του δικτύου και μας ξεγελάσει ώστε να συνδεθούμε σε αυτό το δίκτυο αντί για το κατάστημα, μπορεί να υποκλέψει όλες τις ανοιχτές συνεδρίες και να χρησιμοποιήσει τις χωρίς να γνωρίζει τους κωδικούς μας, και ξαφνικά να διαπιστώσει ότι έχει πρόσβαση ακόμη και στους τραπεζικούς μας λογαριασμούς.

Μια άλλη μέθοδος που χρησιμοποιούν συχνά οι χάκερς είναι το phishing, το οποίο πολλοί από εμάς γνωρίζουμε. Βασικά, οι χάκερς χρησιμοποιούν αυτή τη μέθοδο για να προσπαθήσουν να “ψαρέψουν” κωδικούς πρόσβασης με έναν περιστροφικό τρόπο, εξαπατώντας παράλληλα τον χρήστη. Για παράδειγμα, στέλνουν ένα email που παριστάνει μια πλατφόρμα όπως το gov.gr και κατευθύνουν τον χρήστη σε ένα ακριβές αντίγραφο του αρχικού ιστότοπου. Εκεί, οι ανυποψίαστοι χρήστες εισάγουν οι ίδιοι το όνομα χρήστη και τον κωδικό πρόσβασής τους και δίνουν απλόχερα τα στοιχεία τους στους απατεώνες.

Τρόποι αντιμετώπισης

  • Χρήση VPN υπηρεσιών όταν πραγματοποιούμε σύνδεση σε ξένα Wi-Fi δίκτυα, ώστε να γίνεται κρυπτογράφηση των στοιχείων
  • Συχνή αλλαγή κωδικών, ώστε σε περίπτωση που έχει διαρρεύσει κάποιος, να μην είναι πλέον ενεργός
  • Επιλέξτε διαφορετικούς κωδικούς για κάθε ιστοσελίδα, ώστε αν αποκτήσει κάποιος έναν κωδικό να μην μπορέσει να έχει πρόσβαση σε όλους τους λογαριασμούς σας
  • Two-factor authentication (2FA), ώστε να υπάρχει ένα επιπλέον επίπεδο ασφάλειας που θα προϋποθέτει μια έξτρα έγκριση για την είσοδο από διαφορετική συσκευή

 

Μύθος 4: “Αν τα αρχεία σας κρυπτογραφηθούν από ransomware, τα χάνετε για πάντα

Πραγματικότητα: “Είναι δυνατόν να ανακτήσετε τα αρχεία σας και σε ορισμένες περιπτώσεις είναι δυνατόν να τα επαναφέρετε χωρίς να χρειαστεί να πληρώσετε γι’ αυτά.

Οι επιθέσεις Ransomware είναι μία από τις πιο διαδεδομένες και καταστροφικές μορφές κυβερνοεπιθέσεων που αντιμετωπίζουμε σήμερα. Όταν ένας χρήστης “μολύνεται” από αυτόν τον ιό, του παρουσιάζεται μια οθόνη που τον ενημερώνει ότι όλα τα αρχεία στον σκληρό δίσκο ή τη συσκευή του έχουν κλειδωθεί και ότι πρέπει να πληρώσει λύτρα για να τα πάρει πίσω.

Η ανάκτηση δεδομένων σε τέτοιες περιπτώσεις απαιτεί πολύ λεπτούς χειρισμούς, ώστε να διασφαλιστεί ότι τα αρχεία στο δίσκο δεν έχουν αλλοιωθεί από την κρυπτογραφημένη κατάστασή τους και ότι τα αρχεία που πραγματικά υπάρχουν μπορούν να ανακτηθούν πλήρως μετά την καταβολή του ποσού.

Στο σημείο αυτό θα πρέπει να αναφερθεί ότι η καταβολή λύτρων αποτελεί έσχατη λύση και θα πρέπει να χρησιμοποιείται μόνο αφού έχουν αποτύχει όλα τα εναλλακτικά μέσα ανάκτησης των αρχείων του πελάτη. Ανάλογα με τον τύπο της κρυπτογράφησης που πραγματοποιείται, στο 10% των περιπτώσεων είναι δυνατή η πλήρης ανάκτηση δεδομένων σε σκληρούς δίσκους και διακομιστές χωρίς την καταβολή λύτρων.

Τέλος, όταν αντιμετωπίζονται τέτοιες απειλές, η όλη διαδικασία θα πρέπει να διεξάγεται από εξειδικευμένους τεχνικούς ασφάλειας στον κυβερνοχώρο και ανάκτησης δεδομένων με στόχο να ανακαλύψουν ποια είναι η ομάδα που βρίσκεται πίσω από την κυβερνοεπίθεση, ποιο είναι το προφίλ της και αν είναι συνεργάσιμη, προκειμένου να αναπτυχθεί η κατάλληλη στρατηγική αντιμέτρων Είναι ζωτικής σημασίας να γίνει αυτό. Δεν είναι ασυνήθιστο για οργανισμούς και εταιρείες που έχουν καταβάλει λύτρα σε χάκερς να μην καταφέρνουν να πάρουν πίσω τα αρχεία τους ή να χάσουν την επαφή με τους χάκερς λόγω της πίεσης της διαπραγμάτευσης μαζί τους.

Τρόποι αντιμετώπισης

Όπως συμβαίνει με τις περισσότερες ψηφιακές απειλές, η καλύτερη στρατηγική για την αντιμετώπιση του ransomware είναι η προληπτική προσέγγιση. Ως εκ τούτου, όλες οι επιχειρήσεις θα πρέπει να προστατεύουν τα δεδομένα τους με ισχυρές διαδικασίες προστασίας και ανάκτησης αρχείων, ειδικό λογισμικό και εκπαίδευση, όπως

  • Υβριδικό Cloud Backup & Disaster Recovery
  • Διαδικασίες ανάκτησης αρχείων σε περίπτωση καταστροφής
  • Penetration Test (Έλεγχος Παρείσδυσης)
  • Λογισμικό Antivirus με Security Operation Center
  • Συμβόλαιο Ασφάλισης Κυβερνοεπιθέσεων (Cyber Security Insurance)

 

Μύθος 5: “Είμαι ασφαλής επειδή φέρνω τον προσωπικό μου φορητό υπολογιστή στο γραφείο.

Πραγματικότητα: “Οι προσωπικοί υπολογιστές αποτελούν ένα μεγάλο κενό ασφαλείας στο γραφείο”.

Καθώς η τεχνολογία διαπερνά όλες τις πτυχές της ζωής μας, συμπεριλαμβανομένης της τηλεργασίας, πολλοί εργαζόμενοι τείνουν να φέρνουν τις προσωπικές τους συσκευές στο γραφείο.

Στην πραγματικότητα, στην περίπτωση αυτή ισχύει το ακριβώς αντίθετο: η πρακτική αυτή καθιστά τις επιχειρήσεις πιο ευάλωτες. Συγκεκριμένα, στους προσωπικούς υπολογιστές, οι άνθρωποι είναι λιγότερο προσεκτικοί όταν περιηγούνται στο διαδίκτυο. Ως αποτέλεσμα, κατεβάζουμε χαλασμένα προγράμματα ή επισκεπτόμαστε κακόβουλους ιστότοπους.

Ως αποτέλεσμα, μπορεί να εγκατασταθεί στη συσκευή ένα RAT που παρακολουθεί ό,τι κάνουμε. Επομένως, όταν αυτή η προσωπική συσκευή συνδεθεί στο δίκτυο της εταιρείας, μπορεί να αποκτήσει πρόσβαση στα συστήματα και τα δεδομένα της επιχείρησης.

Τρόποι αντιμετώπισης

Ως εκ τούτου, είναι σημαντικό όχι μόνο να κρατάτε τους προσωπικούς και τους εταιρικούς υπολογιστές χωριστά ανά πάσα στιγμή, αλλά και να χρησιμοποιείτε μόνο εξουσιοδοτημένα προγράμματα ελέγχου ταυτότητας στους εταιρικούς υπολογιστές για να αποφύγετε τη λήψη κακόβουλου λογισμικού.

 

Μύθος 6: “Τα πληροφοριακά μας συστήματα είναι τέλεια και δεν μπορούν να παραβιαστούν”.

Πραγματικότητα: “Δεν υπάρχει σύστημα που να μην έχει παραβιαστεί. Είναι απλώς θέμα χρόνου που χρειάζονται οι χάκερς για να εισβάλουν.

Τα τέλεια συστήματα ανήκουν στη σφαίρα της φαντασίας και του κινηματογράφου. Δεν υπάρχει τέλειο σύστημα, σύμφωνα με τα διάσημα λόγια του Dmitry Alperovich, αντιπροέδρου της McAffee: εταιρείες που έχουν υποστεί hacking και το γνωρίζουν, και εταιρείες που δεν το γνωρίζουν ακόμη.

Οι επιθέσεις στον κυβερνοχώρο είναι συχνές και εξελίσσονται συνεχώς, και αν δεν αναγνωρίσετε και δεν αντιμετωπίσετε τις αδυναμίες σας, θα μείνετε ευάλωτοι.

Για να είστε προετοιμασμένοι για κυβερνοεπιθέσεις, πρέπει να παραμείνετε προετοιμασμένοι, επανεξετάζοντας και βελτιώνοντας συνεχώς τα συστήματά σας. Ο στόχος είναι να θέσετε σε εφαρμογή πολλαπλά επίπεδα ασφάλειας, έτσι ώστε κάθε προσπάθεια ενός χάκερ να εισέλθει στα συστήματα μιας εταιρείας να είναι ασύμφορη από άποψη χρόνου και κόστους.

Σε αυτό το σημείο, πρέπει να σημειωθεί ότι δεν υπάρχει τέλειο σύστημα, οπότε αν οι χάκερς βάλουν στο στόχαστρο μια εταιρεία, είναι πιθανό να βρουν κάποια στιγμή ένα κενό ασφαλείας. Επομένως, είναι σημαντικό να υπάρχει ένα σχέδιο ετοιμότητας για την αντιμετώπιση τέτοιων ζητημάτων.

Τρόποι αντιμετώπισης

Εάν εσείς ή το τμήμα πληροφορικής σας πιστεύετε ότι τα συστήματά σας είναι τέλεια, μπορείτε να προσλάβετε μια εταιρεία δοκιμών διείσδυσης για να ελέγξει πόσο ασφαλή είναι στην πραγματικότητα. Ο έλεγχος διείσδυσης είναι, στην πραγματικότητα, μια υπηρεσία όπου προσλαμβάνετε χάκερς για να προσπαθήσουν να εισέλθουν στο σύστημά σας και να σας δείξουν πώς εισέβαλαν.

Ένας άλλος τρόπος αντιμετώπισης αυτού του προβλήματος είναι να εισαγάγετε έναν εφεδρικό κανόνα 3-2-1. Σύμφωνα με αυτόν τον κανόνα, θα πρέπει να έχουμε συνολικά τρία αντίγραφα (κατά προτίμηση διαφορετικές εκδόσεις) των αρχείων μας σε δύο διαφορετικά μέσα (π.χ. εφεδρικό αντίγραφο στο cloud και τοπικό σκληρό δίσκο), με το ένα αντίγραφο σε διαφορετική τοποθεσία από το άλλο εφεδρικό αντίγραφο (κατά προτίμηση σε USB flash drive ή εξωτερικό offline), όπως σε μονάδα flash USB ή εξωτερικό σκληρό δίσκο).

Είναι επίσης σημαντικό να αναπτύξετε και να εφαρμόσετε ένα αποτελεσματικό σχέδιο αποκατάστασης μετά από καταστροφή, ώστε οι λειτουργίες να μπορούν να αποκατασταθούν με όσο το δυνατόν λιγότερες δυσκολίες και χρόνο.

 

Μύθος 7: “Οι επιθέσεις γίνονται μόνο στο διαδίκτυο”.

Πραγματικότητα: “Οι διαρροές πληροφοριών στις μέρες μας μπορούν να προέλθουν από οποιοδήποτε κανάλι επικοινωνίας.

Η λογική ότι “οι επιθέσεις είναι μόνο κυβερνοεπιθέσεις” υποτιμά τη σοβαρότητα και το εύρος των επιθέσεων στον κυβερνοχώρο. Αυτό οφείλεται στο γεγονός ότι οι περισσότερες επιθέσεις δεν είναι μεμονωμένες, αλλά πολύπλοκες, πολυάριθμες και συνεχώς διαφοροποιούμενες.

Όσο παράξενο και αν φαίνεται σε πολλούς, πολλές διαδικτυακές απάτες δεν αφορούν το διαδίκτυο.

Φανταστείτε ένα σενάριο όπου λαμβάνετε ένα τηλεφώνημα από κάποιον που εμφανίζεται να εκπροσωπεί μια γνωστή εταιρεία κινητής τηλεφωνίας, σας ζητάει να συνάψετε νέο συμβόλαιο και σας ζητάει μερικά στοιχεία, όπως τον αριθμό ταυτότητας, τον αριθμό τηλεφώνου και τη διεύθυνση κατοικίας σας.

Λίγο αργότερα, λαμβάνετε ένα άλλο τηλεφώνημα, αυτή τη φορά από κάποιον άλλον, υποτίθεται από δημόσιο οργανισμό, που σας ζητά κάποια στοιχεία για να συμπληρώσετε μια έρευνα που διενεργούν, όπως το ΑΦΜ, τον αριθμό κοινωνικής ασφάλισης, το email σας κ.λπ.

Συνδυάζοντας αυτά τα στοιχεία που τους έχετε δώσει, τα προαναφερθέντα άτομα μπορούν, εν αγνοία σας, να διαπράξουν αμέτρητες απάτες στο όνομά σας.

Τρόποι αντιμετώπισης

Επομένως, το συμπέρασμα είναι ότι αν δεν γνωρίζετε ποιος είναι το άτομο, μην δίνετε ποτέ προσωπικά στοιχεία και να επαληθεύετε πάντα την ταυτότητά του.

Επιπλέον, κλείστε το τηλέφωνο και καλέστε ξανά στα κεντρικά γραφεία της εταιρείας για να επιβεβαιώσετε ότι το άτομο με το όνομα και τα στοιχεία του καλούντος εργάζεται για την εν λόγω εταιρεία και ζητήστε να σας συνδέσουν με αυτό το άτομο.

 

Μύθος 8: “Οι μηχανικοί είναι υπεύθυνοι για την ασφάλεια“.

Πραγματικότητα: “Τις περισσότερες φορές, οι τεχνικοί και οι μηχανικοί δεν γνωρίζουν από τι πρέπει να προστατευτούν”.

Μπορεί να υπάρχει κάποια αλήθεια σε αυτόν τον μύθο, αλλά εξαρτάται από το πώς αντιλαμβάνεται κανείς τον ρόλο του και την ποιότητα της εργασίας του. Σίγουρα, επιφανειακά, ένας εκπαιδευμένος τεχνικός σε μια εταιρεία μπορεί να είναι υπεύθυνος για την ασφάλεια στον κυβερνοχώρο.

Ωστόσο, η εμπειρία μας έχει αποδείξει ότι οι τεχνικοί που νομίζουν ότι γνωρίζουν τα πάντα δεν είναι καλοί τεχνικοί. Οι ψηφιακές απειλές εξελίσσονται τόσο γρήγορα που είναι σχεδόν αδύνατο για ένα άτομο να αποτρέψει όλες τις επιθέσεις, όσο καλός τεχνικός κι αν είναι.

Στόχος όλων των τεχνικών θα πρέπει να είναι ο συνεχής έλεγχος των συστημάτων και των διαδικασιών τους, ώστε να διασφαλίζεται η αποτελεσματική λειτουργία τους. Όσοι νομίζουν ότι είναι τέλειοι συνήθως δεν βελτιώνονται και αγνοούν τους κινδύνους.

Οι εταιρείες ασφάλειας στον κυβερνοχώρο ξεκινούν με δοκιμές διείσδυσης (δοκιμές ευπάθειας), οι οποίες συχνά αποκαλύπτουν ευπάθειες που θα μπορούσαν να αποβούν μοιραίες αν τις εκμεταλλευτούν οι χάκερ.

Τρόποι αντιμετώπισης

Οι επιχειρήσεις και οι τεχνικοί τους δεν θα πρέπει να αισθάνονται ότι απειλούνται από εξωτερικούς συμβούλους ασφάλειας στον κυβερνοχώρο. Αντίθετα, θα πρέπει να το βλέπουν ως μια ευκαιρία να βελτιώσουν τα συστήματά τους μέσω συνεχών δοκιμών και αναφοράς τυχόν ευπαθειών ασφαλείας που μπορεί να υπάρχουν.

 

Μύθος 9: “Δεν χρειάζομαι έλεγχο του συστήματος ή εκπαίδευση”.

Πραγματικότητα: “Πάρα πολλές επιθέσεις στον κυβερνοχώρο θα μπορούσαν να είχαν αποτραπεί εάν το προσωπικό είχε εκπαιδευτεί και είχε υποβληθεί σε έλεγχο διείσδυσης”.

Το Διαδίκτυο αλλάζει συνεχώς και νέες απειλές και κίνδυνοι αναδύονται συνεχώς. Χωρίς τον ανθρώπινο έλεγχο των συστημάτων και την ανάγκη αναγνώρισης των νέων απειλών, οι εταιρείες θα είναι ευάλωτες σε επιθέσεις με καταστροφικές συνέπειες.

Η ολοκληρωμένη κατάρτιση των εργαζομένων όλων των εταιρειών θα πρέπει να αποτελεί κορυφαία προτεραιότητα το 2023. Και αυτό γιατί έρευνες έχουν δείξει ότι σχεδόν πάντα ο απλός υπάλληλος είναι αυτός που κάνει το λάθος να επιτρέψει σε ένα κακόβουλο πρόγραμμα να εισέλθει στα συστήματα μιας εταιρείας, που πατάει το λάθος κουμπί και κατεβάζει το αρχείο στο ηλεκτρονικό του ταχυδρομείο.

Ακόμα και με τα καλύτερα εργαλεία και διαδικασίες, αυτή η μικρή ανθρώπινη απροσεξία μπορεί να ανοίξει την πόρτα σε μια εισβολή στο σύστημα. Συγκεκριμένα, ο Michael Migos δηλώνει: “Όταν συμβαίνει παραβίαση πληροφοριών σε μια εταιρεία ή έναν οργανισμό, συχνά ακούτε τον υπεύθυνο να κατηγορεί τον υπάλληλο που έκανε κλικ σε έναν κακόβουλο σύνδεσμο ή άνοιξε ένα κακόβουλο αρχείο. Εκεί η ευθύνη δεν βαραίνει τον εργαζόμενο, αλλά τους υπεύθυνους για την αποτυχία εκπαίδευσης και ελέγχου των χρηστών”.

Τρόποι αντιμετώπισης

Η εκπαίδευση του προσωπικού για την αναγνώριση και την πρόληψη των απειλών και την ορθή αντίδραση σε περίπτωση παραβίασης της ασφάλειας είναι ζωτικής σημασίας για την αποφυγή τέτοιων λαθών. Πράγματι, είναι εξίσου σημαντικό να δοκιμάζονται τακτικά οι διαδικασίες (π.χ. με τη χρήση ψεύτικων συνδέσμων ψαρέματος) προκειμένου να ελέγχεται το επίπεδο και ο βαθμός ετοιμότητας κάθε εταιρείας.

 

 

Πόσο μεγάλο ρίσκο αναλαμβάνουμε ως χρήστες ή ως εταιρεία;

Η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί προτεραιότητα για κάθε εταιρεία, ανεξαρτήτως μεγέθους ή κλάδου, που θέλει να προστατεύσει τα δεδομένα, τη φήμη και την εμπιστοσύνη της στον ψηφιακό κόσμο. Η Ευρωπαϊκή Ένωση (ΕΕ) ασχολείται ενεργά με το θέμα αυτό και έχει δημοσιεύσει νέους κανόνες για την ενίσχυσή του.

Ευτυχώς ή δυστυχώς, το διαδίκτυο έχει διεισδύσει σε κάθε πτυχή της ζωής μας και η εκθετική ανάπτυξη της τεχνολογίας ενισχύεται με ευκαιρίες και κινδύνους για την ασφάλεια των δεδομένων και την προστασία της ιδιωτικής ζωής.

Η αδιαμφισβήτητη αλήθεια είναι ότι καμία εταιρεία ή χρήστης δεν μπορεί να είναι σίγουρος ότι δεν θα αντιμετωπίσει τέτοιες πιθανές απειλές κάποια στιγμή στη ζωή του, γι’ αυτό και η σωστή ευαισθητοποίηση και εκπαίδευση είναι πιο αναγκαία από ποτέ.

 

Πηγή: newsbomb.gr

cropped
Anastasis Vasileiadis

Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.

Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.

https://beacons.ai/cyberkid1987
cyberkid@hacks.gr

Related posts:

papaki_1.jpg.57c9b2eb2d88be35bfd3239d2e52161aΘύμα επίθεσης το papaki.gr, δημοφιλής υπηρεσία καταχώρησης domains στη χώρα μας phishing_scams_-_article_imageΤι είναι οι επιθέσεις «ψαρέματος» και πως να τις αποφύγουμε. CyberImage2Προστατεύοντας την Επιχείρησή σας: Η Σημασία της Κυβερνοασφάλειας 1_r_j_QpT2qG3aaYaLcFedmwΤο Metasploit: Ένα Ισχυρό Εργαλείο για Την Κυβερνοασφάλεια

XSS μέθοδοι για να κάνετε bypass την ασφάλεια

Ξεκινώντας θα πω ότι η κάθε σελίδα διαφέρει από την άλλη… που σημαίνει ότι
μπορεί να μην δουλέψει κάτι από αυτά που θα γράψω εδώ… αλλά αυτό δεν σημαίνει ότι
δεν είναι ευάλωτη σε xss

Επιπλέον μπορεί να καταφέρεται να κάνετε xss σε firefox και να δοκιμάσετε την ίδια
τεχνική σε chrome χωρίς να δουλέψει… αυτό γίνετε γιατί έχουν και οι browsers κάποιες
άμυνες για το xss

Ας ξεκινήσουμε από τα βασικά…

1)
Συχνά κάποια σελίδα διαγράφει την λέξη <script> από τα πεδία που ελέγχει ο χρήστης…
δηλαδή αν δώσουμε <script>alert("xss")</script> το <script> θα διαγραφτεί…
Παρόλα αυτά μου έχει τύχει περίπτωση που περνάει αυτό: <sCriPt>
Πιθανότατα δεν έκανε όλα τα γράμματα μικρά πριν ελέγξει τα δεδομένα που εισάγομε στην σελίδα…
Επόμενος αν γράψουμε <scRIPt>alert("xss")</script> θα λειτουργήσει κανονικά!

2)
Ίδια με τα παραπάνω… μόνο που τώρα ελέγχει και τα κεφαλαία γράμματα
Επόμενος αν γράψουμε <script>alert("xss")</script> θα διαγραφτεί το <script>
και θα γράψει alert("xss")</script>
Αυτό μπορούμε να το εκμεταλλευτούμε… και να γράψουμε
<scr<script>ipt>alert("xss")</script>
Όταν ο browser διαγράψει το <script> θα ενωθούν τα <scr και ipt> φτιάχνοντας
το <script>. Με αυτόν τον τρόπο θα ήταν σαν να βάζαμε:
<script>alert("xss")</script>

3)null bite
<sc%00ript> το %00 είναι ένα null byte το όποιο μπορεί να περάσει μερικά filters
αλλά στην ουσία δεν γράφει τίποτα με αποτέλεσμα το <script> να γράφετε κανονικά στην σελίδα

4)Encryption:
Μπορείτε να κωδικοποιήσετε τα script σε διάφορες μορφές ώστε να παρακάμψετε πολλά filters
Για παράδειγμα μπορεί κάποια σελίδα να μην σας αφήνει να γράψετε το < και το > ή τα “
Μπορείτε να τα κωδικοποιήσετε σε διάφορες μορφές… για παράδειγμα url encoding
%3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E
το παραπάνω είναι το <script>alert("xss")</script> κωδικοποιημένο σε url…
τα < > κλπ αλλάξαν… Για παράδειγμα το < έγινε %3C
Πέρα από το url encoding μπορείτε να δοκιμάσετε και unicode encoding για παράδειγμα
%u003C το όποιο μπορεί να γραφτεί και με διάφορους τρόπους: %u03C %u0003C
Επιπλέον είναι και τα html chars που πρέπει να γνωρίζεται και το base64… Υπάρχουν
και άλλα όπως base16 αλλά τα παραπάνω είναι τα σημαντικότερα… χωρίς αυτό να σημαίνει ότι
δεν πρέπει να δείτε και τα υπόλοιπά… τρύπες ψάχνουμε… πρέπει να ξέρουμε τις λεπτομέρειες
για να τις βρούμε… Μπορείτε να κάνετε και διπλό url encoding

5)

Υποθέτουμε ότι δεν μπορούμε να βάλουμε το <script> στον κώδικα της σελίδας με κανέναν από του
τρόπους που γνωρίζουμε… μπορούμε να κάνουμε κάτι άλλο…
<img src="invalidimg.img" onerror="alert('xss')" /> θα προσπαθήσει να βάλει μια
εικόνα στην σελίδα… δεν θα την βρει θα πάει στο onerror και θα εκτελέσει το scriptaki μας…

6)Bypassing ” filtering.

Αν έχετε όλα τα παραπάνω αλλά δεν μπορείτε να βάλετε ” τότε σας προτείνω να
χρησιμοποιήσετε την συνάρτηση String.fromCharCode
Για παράδειγμα: <script>alert(String.fromCharCode(65,66,67))</script>
Είναι σαν να γράψαμε: <script>alert("ABC")</script>

 

242546236 4526410447380695 8261268516492872656 n
Αλέξανδρος Βυζάντιος
Hacks.gr
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας. Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους. Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
https://hacks.gr/
alex@hacks.gr

Related posts:

crime-gf632e178b_1920Ιδεολογία Hacking Hackers-vs-Crackers.jpgΔιαφορές Hacker με Cracker chimera1Γιατί η αγορά ενός crypter μπορεί να αποβεί άχρηστη ? step-authentication-two-steps-verification-code-sms-password-concept-secure-reliable-access-to-network-hand-phone-142570276Δωρεάν Verification χωρίς πραγματικό αριθμό τηλεφώνου.

Δημοσίευσε το δικό σου άρθρο

Υποβολή
X