Η BlackCat ransomware (ALPHV) χρησιμοποιεί τώρα κλεμμένους λογαριασμούς της Microsoft και τον Sphynx encryptor για να κρυπτογραφήσει το Azure cloud των στόχων της.
Κατά τη διερεύνηση μιας πρόσφατης παραβίασης, οι υπεύθυνοι αντιμετώπισης περιστατικών της Sophos X-Ops ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποίησαν μια νέα παραλλαγή του Sphynx με πρόσθετη υποστήριξη για τη χρήση προσαρμοσμένων διαπιστευτηρίων.
Αφού απέκτησαν πρόσβαση στο λογαριασμό Sophos Central χρησιμοποιώντας έναν κλεμμένο κωδικό πρόσβασης μίας χρήσης (OTP), απενεργοποίησαν την προστασία παραβίασης και τροποποίησαν τις πολιτικές ασφαλείας. Αυτές οι ενέργειες ήταν δυνατές μετά την κλοπή του OTP από το LastPass του θύματος χρησιμοποιώντας την επέκταση LastPass Chrome.
Στη συνέχεια, κρυπτογράφησαν τα συστήματα του πελάτη της Sophos και την απομακρυσμένη αποθήκευση στο cloud Azure και προσέθεσαν την επέκταση .zk09cvt σε όλα τα κλειδωμένα αρχεία. Συνολικά, οι χειριστές του ransomware μπόρεσαν να κρυπτογραφήσουν επιτυχώς 39 λογαριασμούς Azure Storage.
Διείσδυσαν στο Azure portal του θύματος χρησιμοποιώντας ένα κλεμμένο κλειδί Azure που τους παρείχε πρόσβαση στους στοχευμένους λογαριασμούς. Τα κλειδιά που χρησιμοποιήθηκαν στην επίθεση εισήχθησαν μέσα στο δυαδικό πρόγραμμα ransomware αφού κωδικοποιήθηκαν με χρήση Base64.
Οι επιτιθέμενοι χρησιμοποίησαν επίσης πολλαπλά εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM), όπως τα AnyDesk, Splashtop και Atera, καθ’ όλη τη διάρκεια της εισβολής.
Η Sophos ανακάλυψε την παραλλαγή Sphynx τον Μάρτιο του 2023 κατά τη διάρκεια μιας έρευνας για μια παραβίαση δεδομένων που είχε ομοιότητες με μια άλλη επίθεση που περιγράφεται σε μια έκθεση της IBM-Xforce που δημοσιεύθηκε τον Μάιο (το εργαλείο ExMatter χρησιμοποιήθηκε για την εξαγωγή των κλεμμένων δεδομένων και στις δύο περιπτώσεις).
Η Microsoft διαπίστωσε επίσης τον περασμένο μήνα ότι ο νέος Sphynx encryptor ενσωματώνει το εργαλείο hacking Remcom και το framework δικτύωσης Impacket για μετακίνηση σε παραβιασμένα δίκτυα.
Ως επιχείρηση ransomware που εμφανίστηκε τον Νοέμβριο του 2021, το BlackCat/ALPHV είναι ύποπτο ότι είναι μια νέα επωνυμία της DarkSide/BlackMatter.
Γνωστή αρχικά ως DarkSide, η ομάδα αυτή συγκέντρωσε την παγκόσμια προσοχή μετά την παραβίαση του Colonial Pipeline, προσελκύοντας άμεσα τον έλεγχο των διεθνών υπηρεσιών επιβολής του νόμου.
Παρόλο που μετονομάστηκαν σε BlackMatter τον Ιούλιο του 2021, οι δραστηριότητές τους διακόπηκαν απότομα τον Νοέμβριο, όταν οι αρχές κατέσχεσαν τους διακομιστές τους και η εταιρεία ασφαλείας Emsisoft ανέπτυξε ένα εργαλείο αποκρυπτογράφησης που εκμεταλλευόταν μια ευπάθεια στο ransomware.
Η ομάδα αυτή αναγνωρίζεται σταθερά ως μία από τις πιο εξελιγμένες και υψηλού προφίλ ομάδες ransomware που στοχεύει επιχειρήσεις σε παγκόσμια κλίμακα, προσαρμόζοντας και βελτιώνοντας συνεχώς τις τακτικές της.
Για παράδειγμα, σε μια νέα προσέγγιση εκβιασμού το περασμένο καλοκαίρι, η BlackCat χρησιμοποίησε έναν ειδικό καθαρό δικτυακό ιστότοπο για να διαρρεύσει τα κλεμμένα δεδομένα ενός συγκεκριμένου θύματος, παρέχοντας στους πελάτες και τους υπαλλήλους του θύματος τα μέσα για να διαπιστώσουν αν τα δεδομένα τους είχαν εκτεθεί.
Πιο πρόσφατα, η BlackCat εισήγαγε τον Ιούλιο ένα API διαρροής δεδομένων που σχεδιάστηκε για να βελτιώσει τη διάδοση των κλεμμένων δεδομένων.
Αυτή την εβδομάδα, μία από τις θυγατρικές συμμορίες της BlackCat (που εντοπίζεται ως Scattered Spider) ανέλαβε την επίθεση στην MGM Resorts, λέγοντας ότι κρυπτογράφησαν πάνω από 100 ESXi hypervisors αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική της υποδομή και αρνήθηκε να διαπραγματευτεί την καταβολή λύτρων.
Τον περασμένο Απρίλιο, το FBI εξέδωσε προειδοποίηση επισημαίνοντας ότι η ομάδα βρισκόταν πίσω από τις επιτυχείς παραβιάσεις περισσότερων από 60 οντοτήτων παγκοσμίως μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022.
Εκτιμάται ότι 12.000 τείχη προστασίας SRX και διακόπτες EX της Juniper είναι ευάλωτα σε ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα χωρίς αρχείο, το οποίο οι επιτιθέμενοι μπορούν να εκμεταλλευτούν χωρίς έλεγχο ταυτότητας.
Τον Αύγουστο, η Juniper αποκάλυψε πολυάριθμες ευπάθειες “PHP environment variant manipulation” (CVE-2023-36844/CVE-2023-36845) και “Missing Authentication for Critical Function” (CVE-2023-36846/CVE-2023-36847), οι οποίες από μόνες τους είχαν μόνο μια “μεσαία” βαθμολογία σοβαρότητας 5,3.
Ωστόσο, όταν αυτές οι ευπάθειες συνδυάστηκαν μεταξύ τους, έγιναν ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα με βαθμολογία 9,8.
Σε μια μεταγενέστερη τεχνική έκθεση, η watchTowr Labs δημοσίευσε ένα PoC που συνδύαζε τις ατέλειες CVE-2023-36845 και CVE-2023-36846, επιτρέποντας στους ερευνητές να εκτελέσουν κώδικα εξ αποστάσεως ανεβάζοντας δύο αρχεία σε μια ευάλωτη συσκευή.
Σήμερα, ο Jacob Baines, ερευνητής ευπαθειών του VulnCheck, κυκλοφόρησε ένα άλλο PoC exploit που χρησιμοποιεί μόνο το CVE-2023-36845, παρακάμπτοντας την ανάγκη μεταφόρτωσης αρχείων, ενώ εξακολουθεί να επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα.
Στο πλαίσιο της έκθεσης του Baines, ο ερευνητής μοιράστηκε έναν δωρεάν σαρωτή στο GitHub για να βοηθήσει στον εντοπισμό ευάλωτων αναπτύξεων, δείχνοντας χιλιάδες ευάλωτες συσκευές εκτεθειμένες στο διαδίκτυο.
Το νέο exploit
Ο Baines λέει ότι αγόρασε ένα παλιό τείχος προστασίας Juniper SRX210 για να δοκιμάσει την εκμετάλλευση, αλλά διαπίστωσε ότι η συσκευή του δεν διέθετε τη λειτουργικότητα do_fileUpload() που απαιτείται για τη μεταφόρτωση αρχείων στη συσκευή.
Αυτό ουσιαστικά έσπασε την αλυσίδα εκμετάλλευσης του watchTowr, αναγκάζοντας τον ερευνητή να δει αν υπήρχε άλλος τρόπος να επιτύχει απομακρυσμένη εκτέλεση κώδικα.
Ο Baines διαπίστωσε ότι θα μπορούσε να παρακάμψει την ανάγκη να φορτώσει δύο αρχεία στους διακομιστές-στόχους χειραγωγώντας τις μεταβλητές περιβάλλοντος.
Ο διακομιστής Appweb του τείχους προστασίας της Juniper επεξεργάζεται τα αιτήματα HTTP του χρήστη μέσω stdin κατά την εκτέλεση ενός σεναρίου CGI.
Εκμεταλλευόμενοι αυτό, οι επιτιθέμενοι μπορούν να ξεγελάσουν το σύστημα ώστε να αναγνωρίσει ένα ψευδο-“αρχείο”, /dev/fd/0, και προσαρμόζοντας τη μεταβλητή περιβάλλοντος PHPRC και την αίτηση HTTP, μπορούν να εμφανίσουν ευαίσθητα δεδομένα.
Στη συνέχεια, το VulnCheck αξιοποίησε τα χαρακτηριστικά ‘auto_prepend_file’ και ‘allow_url_include’ της PHP για να εκτελέσει αυθαίρετο κώδικα PHP μέσω του πρωτοκόλλου data:// χωρίς να φορτώσει κανένα αρχείο.
Τούτου λεχθέντος, η βαθμολογία σοβαρότητας του CVE-2023-36845, η οποία είναι 5,4, θα πρέπει τώρα να επανεκτιμηθεί σε μια πολύ υψηλότερη κρίσιμη βαθμολογία λόγω της ικανότητάς του να επιτύχει απομακρυσμένη εκτέλεση κώδικα χωρίς άλλα ελαττώματα.
Επιπτώσεις και κίνδυνοι
Η ευπάθεια CVE-2023-36845 επηρεάζει τις ακόλουθες εκδόσεις του Junos OS στις σειρές EX Series και SRX Series:
All versions before 20.4R3-S8
21.1 version 21.1R1 and later versions
21.2 versions before 21.2R3-S6
21.3 versions before 21.3R3-S5
21.4 versions before 21.4R3-S5
22.1 versions before 22.1R3-S3
22.2 versions before 22.2R3-S2
22.3 versions before 22.3R2-S2, 22.3R3
22.4 versions before 22.4R2-S1, 22.4R3
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετώπισαν την ευπάθεια στις 17 Αυγούστου 2023. Ωστόσο, η χαμηλή βαθμολογία σοβαρότητας που έλαβε το ελάττωμα δεν σήμανε συναγερμό στους επηρεαζόμενους χρήστες, πολλοί από τους οποίους μπορεί να επέλεξαν να αναβάλουν την εφαρμογή του.
Οι σαρώσεις δικτύου του VulnCheck έδειξαν 14.951 Juniper με εκτεθειμένες στο διαδίκτυο διεπαφές ιστού. Από ένα δείγμα 3.000 συσκευών, ο Baines διαπίστωσε ότι το 79% ήταν ευάλωτο σε αυτό το σφάλμα RCE.
Αν αυτό το ποσοστό εφαρμοστεί σε όλες τις εκτεθειμένες συσκευές, τότε έχουμε 11.800 ευάλωτες συσκευές στο διαδίκτυο.
Τέλος, η έκθεση αναφέρει ότι οι Shadowserver και GreyNoise έχουν δει επιτιθέμενους να εξετάζουν τα τελικά σημεία του Junos OS, οπότε οι χάκερς διερευνούν ήδη την ευκαιρία να αξιοποιήσουν το CVE-2023-36845 σε επιθέσεις.
Ως εκ τούτου, οι διαχειριστές της Juniper πρέπει να εφαρμόσουν αυτές τις ενημερώσεις το συντομότερο δυνατό, καθώς θα μπορούσαν να χρησιμοποιηθούν για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Μια θυγατρική της ομάδας BlackCat ransomware, επίσης γνωστή ως APLHV, βρίσκεται πίσω από την επίθεση που διέκοψε τις λειτουργίες της MGM Resorts, αναγκάζοντας την εταιρεία να κλείσει τα συστήματα πληροφορικής. Σε ανακοίνωσή της, η ομάδα BlackCat ransomware ισχυρίζεται ότι είχε διεισδύσει στην υποδομή της MGM από την Παρασκευή και κρυπτογράφησε περισσότερους από 100 ESXi hypervisors, αφού η εταιρεία έθεσε εκτός λειτουργίας την εσωτερική υποδομή. Η ομάδα αναφέρει ότι εξαφάνισε δεδομένα από το δίκτυο και διατηρεί πρόσβαση σε ορισμένες από τις υποδομές της MGM, απειλώντας ότι θα αναπτύξει νέες επιθέσεις εάν δεν επιτευχθεί συμφωνία για την καταβολή λύτρων.
Ανάπτυξη Ransomware και κλοπή δεδομένων της MGM
Ο ερευνητής κυβερνοασφάλειας vx-underground αποκάλυψε πρώτος την είδηση ότι οι χάκερς που συνδέονται με την επιχείρηση ransomware ALPHV φέρεται να παραβίασαν την MGM μέσω επίθεσης κοινωνικής μηχανικής. Επικαλούμενες πηγές που γνωρίζουν το θέμα, αναφορές στο διαδίκτυο, ανέφεραν αργότερα ότι ο χάκερ που παραβίασε την MGM Resorts εντοπίζεται από εταιρείες κυβερνοασφάλειας ως Scattered Spider (Crowdstrike). Άλλες εταιρείες χρησιμοποιούν διαφορετικά ονόματα για να εντοπίσουν τον ίδιο δράστη απειλής: 0ktapus (Group-IB), UNC3944 (Mandiant) και Scatter Swine (Okta).
Σύμφωνα με τους δημοσιογράφους του Bloomberg, οι Scattered Spider παραβίασαν επίσης το δίκτυο της Caesars Entertainment, η οποία, σε ανακοίνωση της αμερικανικής Επιτροπής Κεφαλαιαγοράς την Πέμπτη, έδωσε σαφή υπαινιγμό ότι πλήρωσε τον επιτιθέμενο για να αποφύγει τη διαρροή των δεδομένων πελατών που εκλάπησαν κατά την επίθεση. Η απαίτηση για λύτρα φέρεται να ήταν 30 εκατομμύρια δολάρια. Στη σημερινή ανακοίνωσή της, η BlackCat αναφέρει ότι η MGM Resorts παρέμεινε σιωπηλή σχετικά με το κανάλι επικοινωνίας που δόθηκε, υποδεικνύοντας ότι η εταιρεία δεν έχει καμία πρόθεση να διαπραγματευτεί την καταβολή λύτρων. Οι χάκερς τονίζουν ότι η μόνη ενέργεια που είδαν από την MGM ήταν ως απάντηση στην παραβίαση, αποσυνδέοντας κάθε έναν από τους διακομιστές Okta Sync τους, αφού έμαθαν ότι παραμονεύαμε στους δικούς τους
Προς το παρόν, οι χάκερς δηλώνουν ότι δεν γνωρίζουν τι είδους δεδομένα έκλεψαν από την MGM, αλλά υπόσχονται να αποσπάσουν σχετικές πληροφορίες και να τις μοιραστούν στο διαδίκτυο, εκτός αν καταλήξουν σε συμφωνία με την MGM. Για να πιέσουν ακόμη περισσότερο την εταιρεία να πληρώσει, η BlackCat απείλησε ότι θα χρησιμοποιήσει την τρέχουσα πρόσβασή της στις υποδομές της MGM για να “πραγματοποιήσει πρόσθετες επιθέσεις”.
Ποιοι είναι οι Scattered Spider
Οι Scattered Spider πιστεύεται ότι είναι μια ομάδα χάκερς που είναι γνωστό ότι χρησιμοποιούν ένα ευρύ φάσμα επιθέσεων κοινωνικής μηχανικής για να παραβιάσουν εταιρικά δίκτυα. Αυτές οι επιθέσεις περιλαμβάνουν την υποδυόμενη προσωπικότητα του help desk για να εξαπατήσει τους χρήστες ώστε να τους παράσχουν διαπιστευτήρια, επιθέσεις ανταλλαγής SIM για να καταλάβουν τον αριθμό τηλεφώνου μιας στοχευμένης κινητής συσκευής, καθώς και επιθέσεις κόπωσης και phishing MFA για να αποκτήσουν πρόσβαση σε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων. Σε αντίθεση με τους περισσότερους συνεργάτες ransomware που προέρχονται από χώρες της ΚΑΚ, οι ερευνητές πιστεύουν ότι η ομάδα χάκερ αποτελείται από αγγλόφωνους εφήβους και νεαρούς ενήλικες ηλικίας 16-22 ετών. Επιπλέον, λόγω των παρόμοιων τακτικών, οι ερευνητές πιστεύουν ότι η ομάδα επικαλύπτεται με την ομάδα hacking Lapsus$, η οποία είχε παρόμοια σύνθεση ως προς τα μέλη και τις τακτικές.
Μια εκστρατεία Scattered Spider με την ονομασία “0ktapus” χρησιμοποιήθηκε για να στοχεύσει πάνω από 130 οργανισμούς για να κλέψει διαπιστευτήρια ταυτότητας Okta και κωδικούς 2FA, με μερικούς από αυτούς τους στόχους να περιλαμβάνουν τις T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC και Best Buy. Μόλις οι απειλητικοί φορείς παραβιάσουν ένα δίκτυο, έχουν ιστορικό χρήσης επιθέσεων “Φέρε τον δικό σου ευάλωτο οδηγό” για να αποκτήσουν αυξημένη πρόσβαση σε μια παραβιασμένη συσκευή. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για περαιτέρω πλευρική εξάπλωση στο δίκτυο, ενώ παράλληλα κλέβουν δεδομένα και τελικά αποκτούν πρόσβαση σε διαπιστευτήρια διαχειριστή. Μόλις αποκτήσουν πρόσβαση με διαπιστευτήρια διαχειριστή, μπορούν να πραγματοποιήσουν περαιτέρω επιθέσεις, όπως η πειρατεία της διαχείρισης ενιαίας σύνδεσης, η καταστροφή αντιγράφων ασφαλείας και πιο πρόσφατα, η ανάπτυξη του ransomware BlackCat/ALPHV για την κρυπτογράφηση συσκευών. Ενώ το στοιχείο ransomware είναι μια σχετικά νέα τακτική της ομάδας χάκερ, σχεδόν όλες οι επιθέσεις τους περιλαμβάνουν εκβιασμό, όπου απαιτούν λύτρα εκατομμυρίων δολαρίων σε αντάλλαγμα για να μην δημοσιεύσουν δεδομένα ή για να λάβουν ένα κρυπτογράφημα.
Η εικόνα των χάκερς έχει διαμορφωθεί σε μεγάλο βαθμό από ταινίες,τηλεοπτικάπρογράμματακαι την τηλεόραση.Σεαυτές, οι χάκερς παρουσιάζονται ως ικανοί να εισβάλουνακόμη και στα πιο ασφαλή συστήματα με ένα απλό πάτημα πλήκτρων.
Όλοι έχουμεδει κάποια στιγμή ταινίεςόπουοιχάκερςεισβάλλουνσταυπερπροστατευμένα συστήματα κυβερνήσεων, οργανισμών και εταιρειώνκαιπαίρνουν τον πλήρη έλεγχο τηςδιαδικασίας,προκαλώντας αμέτρητα προβλήματα.
Είναι όμως πραγματικά τόσο απλό;Δεν απέχει πολύαπό την πραγματικότητα; Πού τελειώνει ο μύθος και πού αρχίζει η αλήθεια; Για να απαντήσουμεσεαυτάτα ερωτήματα, επικοινωνήσαμεμε τον MichaelMigo, τεχνικό διευθυντή της TicTac, μιαςεταιρείαςπου ειδικεύεται στις υπηρεσίες κυβερνοασφάλειαςκαι ανάκτησης δεδομένων, για να αναλύσει τις πιο συνηθισμένες αντιλήψεις που έχουν οι εταιρείες και οι χρήστες σχετικά με την κυβερνοασφάλεια.
Μύθος 1: “Η επιχείρησή μου είναι πολύ μικρή,οιχάκερδενενδιαφέρονταιγιαμένα
Πραγματικότητα: “Οι περισσότεροι χάκερςπραγματοποιούν τυχαίες επιθέσεις, οπότε όλες οι επιχειρήσεις και οιιδιώτεςκινδυνεύουν.
Μία από τις πιο συνηθισμένεςπαρανοήσεις σχετικά με τηνασφάλειαστονκυβερνοχώρο είναι η ιδέα ότι οι μικρές επιχειρήσεις είναι ασφαλείς από τις επιθέσειςστονκυβερνοχώροεπειδή δεν είναι σημαντικές.Στην πραγματικότητα, καμία επιχείρηση δεν είναι πολύ μικρή για τέτοιου είδους απειλές.
Οι επιθέσεις που πραγματοποιούνταιαπόχάκερς χωρίζονται σε δύο κύριες κατηγορίες: οιστοχευμένες επιθέσεις εναντίονμεγάλωνεπιχειρήσεων και οργανισμώναπαιτούνμεγάληπροσπάθεια,χρόνο και χρήμα από την πλευρά τουχάκερκαι είναισυνήθως το αποτέλεσμα μιας μαζικής και συντονισμένης προσπάθειας.Απότην άλλη πλευρά, οι τυχαίες, τυφλές, μη στοχευμένες επιθέσεις εναντίονχιλιάδωνemailήIPsέχουνως στόχο να βρουν κενάασφαλείας σε οποιοδήποτε σύστημα, ώστε να μπορέσουνναελέγξουντουςυπολογιστές και να κλειδώσουν ή να κλέψουν αρχεία.
Φυσικά,οι χάκερς δεν μπορούννα βγάλουν χρήματα από όλους.Αυτόοφείλεταιστογεγονόςότιοιιδιώτεςήοιμικρέςεπιχειρήσειςδενέχουντηνοικονομικήδυνατότηταναπροβούνσεοικονομικέςαπαιτήσειςγιατηνεπιστροφήαρχείων.Ωστόσο,η ζημιά έχει ήδη γίνει και τα δεδομένα είναιπιθανό να έχουν ήδη χαθεί. Ωςεκ τούτου, δεν έχει σημασία αν είστε οπρωταρχικός στόχος και μπορούννα βγάλουν χρήματα από εσάς. Υπάρχει κίνδυνος σοβαρώνπροβλημάτωνπουπροκαλούνται από τυχαία και τυφλά χτυπήματα.
Εκτόςαπό τα παραπάνω, θα πρέπει να προστεθεί ότι, ανεξάρτητα από το μέγεθος τηςεπιχείρησήςσας, ο κίνδυνος απώλειας δεδομένων λόγω απειλών στον κυβερνοχώρο είναι τόσο μεγάλος που η προστασία και η διαθεσιμότητα των δεδομένων και των πληροφοριών σας πρέπει να αποτελεί ύψιστη προτεραιότητα.
Τρόποι αντιμετώπισης
Οι μικρομεσαίες επιχειρήσεις θα πρέπει να αναγνωρίσουν ότι δεν έχουν ανοσία στις κυβερνοεπιθέσεις και θα πρέπει να λάβουν μέτρα για την προστασία των συστημάτων και των δεδομένων τους. Αυτόπεριλαμβάνει:
Εκσυγχρονισμό των συστημάτων backup τους ώστε να συμπεριλάβουν και το ρίσκο μιας κυβερνοεπίθεσης
Εφαρμογή καλών πρακτικών ασφάλειας, όπως ισχυροί κωδικοί πρόσβασης και Two-factor authentication (2FA)
Εκπαίδευση του προσωπικού της επιχείρησης για την αναγνώριση και αντιμετώπιση διαδικτυακών απειλών
Έλεγχο και τακτική αναθεώρηση των μέτρων ασφαλείας
Συνεργασία με κάποια εταιρεία παροχής υπηρεσιών κυβερνοασφάλειας για να ελέγξει την ασφάλεια των συστημάτων
Μύθος 2: “Είμαισυνδρομητήςσε ένα πρόγραμμα προστασίας από ιούς και το πληρώνω κάθε χρόνο.
Πραγματικότητα: “Τοκαλύτεροantivirusμπλοκάρει το 99% των κακόβουλων αρχείων, αλλά το 1% των απειλών είναι οι χιλιάδες απειλές την ημέρα που τοantivirusδενμπορείναανιχνεύσει.
Τα antivirusκαιτατείχηπροστασίας είναι μερικά από τα πιο συνηθισμέναεργαλεία προστασίας που χρησιμοποιούνται από χρήστες και επιχειρήσεις για την προστασία των συστημάτων τους από επιθέσειςστονκυβερνοχώρο.Ωστόσο, η αντίληψη ότιαυτά τα λογισμικά απόμόνατουςμπορούν να παρέχουν ολοκληρωμένη προστασία είναι επικίνδυνα λανθασμένη.
Ακόμη και αν το πιο προηγμένολογισμικό που κυκλοφορείσήμερα στην αγορά μπορείνα αντιμετωπίσει το 99% των απειλών, το υπόλοιπο 1% είναι αρκετό για να προκαλέσει τεράστια ζημιά σε μια επιχείρηση. Μεεκατομμύρια επιθέσεις να λαμβάνουν χώρα καθημερινά, αυτό το 1% δεν είναι και τόσο μικρός αριθμός.
Όλα αυτά τα προγράμματα προστασίας εξελίσσονται καθημερινά μέσωεπιδιορθώσεων και ενημερώσεων. Αυτό σημαίνει ότι νέεςαπειλέςπουδημιουργούν“παραβιάσεις”ή “ευπάθειες”δημιουργούνταιπρώτες και ότανεντοπίζονται, αυτά τα προγράμματα προστασίας προσαρμόζονταικαιτιςαντιμετωπίζουν.
Τι σημαίνει αυτό στηνπράξη;Σημαίνειότιχιλιάδεςχρήστεςθαμπορούσαννα“μολυνθούν”άμεσααπό τηστιγμήτηςεπίθεσηςέωςότουαυτήαντιμετωπιστείκεντρικάαπότηνεταιρεία λογισμικού.
Τρόποι αντιμετώπισης
Οικύριοιτρόποι αντιμετώπισης είναι ηανθρώπινηπαρακολούθηση και ταπολλαπλά επίπεδα προστασίας. Αυτόοφείλεται στο γεγονός ότι η ασφάλειαστον κυβερνοχώρο απαιτεί μια ολιστική προσέγγιση που περιλαμβάνει πολλαπλά επίπεδα προστασίας. Μιαμονόπλευρηπροσέγγιση πουχρησιμοποιεί μόνο λογισμικό προστασίαςαπόιούςαφήνει πολλά κενά ασφαλείαςπουμπορούν να εκμεταλλευτούν οι χάκερ.Ηανάπτυξητωνψηφιακώντεχνολογιών είναι συνεχής και συχνά πολύπλοκη.Γιατολόγοαυτό,η ασφάλεια πρέπει να είναι δυναμική και πολυεπίπεδη (όπωςταστρώματακρεμμυδιού).
Μύθος 3: “Ο κωδικός πρόσβασής μου είναι πολύ ισχυρός”.
ΠραγματικότηταΟι “ισχυροί” κωδικοίπρόσβασης είναι το πρώτο βήμα, αλλά όχι το μοναδικό.
Οι πολύ ισχυροίκωδικοίπρόσβασηςαποτελούν την πρώτη γραμμή άμυνας κατάτωνδιαδικτυακώναπειλών.Ωστόσο,γίνεται εύκολα αντιληπτόότιαυτό δεν αρκεί.
Οι χάκερ διαθέτουν εξελιγμένα εργαλεία και διάφορες τεχνικές για να αποκτήσουν κωδικούςπρόσβασης. Για να τοθέσουμε πιο ωμά,οι χάκερ δεν χρειάζεται καν να γνωρίζουν ή να μαντεύουν ποιος είναι ο κωδικόςπρόσβασης.
Για παράδειγμα, αν ένας χρήστης χρησιμοποιεί ένα κοινόχρηστο δίκτυο καφετεριώνκαι έναςχάκερδημιουργήσει έναν “κλώνο” αυτού του δικτύουκαιμας ξεγελάσει ώστε να συνδεθούμε σε αυτότο δίκτυο αντί γιατοκατάστημα, μπορεί να υποκλέψει όλεςτιςανοιχτέςσυνεδρίες και να χρησιμοποιήσειτιςχωρίςναγνωρίζειτουςκωδικούςμας,καιξαφνικάναδιαπιστώσειότιέχειπρόσβασηακόμηκαιστουςτραπεζικούςμας λογαριασμούς.
Μιαάλλη μέθοδος που χρησιμοποιούν συχνά οιχάκερς είναι το phishing,τοοποίοπολλοίαπόεμάςγνωρίζουμε.Βασικά,οι χάκερςχρησιμοποιούναυτή τη μέθοδο για να προσπαθήσουννα“ψαρέψουν” κωδικούς πρόσβασης με ένανπεριστροφικότρόπο,εξαπατώνταςπαράλληλατονχρήστη.Γιαπαράδειγμα,στέλνουν ένα emailπουπαριστάνει μια πλατφόρμα όπως το gov.gr και κατευθύνουντονχρήστησε ένα ακριβές αντίγραφο του αρχικούιστότοπου. Εκεί, οι ανυποψίαστοι χρήστες εισάγουν οιίδιοι το όνομαχρήστη και τονκωδικόπρόσβασήςτους και δίνουν απλόχερα τα στοιχεία τους στους απατεώνες.
Τρόποι αντιμετώπισης
Χρήση VPN υπηρεσιών όταν πραγματοποιούμε σύνδεση σε ξένα Wi-Fi δίκτυα, ώστε να γίνεται κρυπτογράφηση των στοιχείων
Συχνή αλλαγή κωδικών, ώστε σε περίπτωση που έχει διαρρεύσει κάποιος, να μην είναι πλέον ενεργός
Επιλέξτε διαφορετικούς κωδικούς για κάθε ιστοσελίδα, ώστε αν αποκτήσει κάποιος έναν κωδικό να μην μπορέσει να έχει πρόσβαση σε όλους τους λογαριασμούς σας
Two-factor authentication (2FA), ώστε να υπάρχει ένα επιπλέον επίπεδο ασφάλειας που θα προϋποθέτει μια έξτρα έγκριση για την είσοδο από διαφορετική συσκευή
Μύθος 4: “Αντα αρχεία σαςκρυπτογραφηθούν από ransomware, τα χάνετε για πάντα
Πραγματικότητα: “Είναιδυνατόν να ανακτήσετε τα αρχεία σας και σεορισμένεςπεριπτώσεις είναι δυνατόνναταεπαναφέρετε χωρίς να χρειαστεί να πληρώσετε γι’ αυτά.
Οι επιθέσεις Ransomware είναιμία από τις πιο διαδεδομένες και καταστροφικές μορφές κυβερνοεπιθέσεων που αντιμετωπίζουμε σήμερα. Όταν ένας χρήστης “μολύνεται”απόαυτόν τον ιό, τουπαρουσιάζεταιμια οθόνη που τον ενημερώνει ότι όλα τα αρχεία στονσκληρόδίσκο ή τησυσκευή του έχουν κλειδωθεί και ότι πρέπει να πληρώσειλύτραγια να τα πάρει πίσω.
Η ανάκτηση δεδομένων σε τέτοιες περιπτώσεις απαιτεί πολύ λεπτούς χειρισμούς, ώστε να διασφαλιστείότι τα αρχεία στοδίσκο δεν έχουναλλοιωθεί από την κρυπτογραφημένη κατάστασή τους και ότιτααρχείαπουπραγματικάυπάρχουνμπορούννα ανακτηθούν πλήρωςμετά την καταβολή του ποσού.
Στοσημείο αυτό θα πρέπει να αναφερθεί ότι η καταβολήλύτρων αποτελείέσχατηλύσηκαιθαπρέπεινα χρησιμοποιείται μόνο αφού έχουν αποτύχει όλαταεναλλακτικάμέσαανάκτησηςτων αρχείων του πελάτη. Ανάλογαμετοντύποτηςκρυπτογράφησηςπουπραγματοποιείται,στο10%τωνπεριπτώσεωνείναι δυνατή η πλήρηςανάκτησηδεδομένων σεσκληρούςδίσκους και διακομιστέςχωρίς τηνκαταβολή λύτρων.
Τέλος, όταναντιμετωπίζονταιτέτοιεςαπειλές,η όλη διαδικασία θα πρέπει να διεξάγεται από εξειδικευμένους τεχνικούς ασφάλειαςστονκυβερνοχώρο και ανάκτησηςδεδομένων με στόχο να ανακαλύψουν ποια είναι η ομάδα που βρίσκεται πίσω από την κυβερνοεπίθεση, ποιο είναι το προφίλ της και αν είναι συνεργάσιμη, προκειμένου να αναπτυχθείηκατάλληληστρατηγικήαντιμέτρωνΕίναι ζωτικής σημασίας να γίνει αυτό. Δεν είναι ασυνήθιστογιαοργανισμούςκαιεταιρείες που έχουνκαταβάλει λύτρα σε χάκερςναμηνκαταφέρνουν να πάρουν πίσω τα αρχεία τους ή ναχάσουντηνεπαφήμετουςχάκερςλόγωτηςπίεσηςτηςδιαπραγμάτευσης μαζί τους.
Τρόποι αντιμετώπισης
Όπως συμβαίνειμετις περισσότερες ψηφιακέςαπειλές,η καλύτερη στρατηγική για την αντιμετώπιση τουransomware είναι η προληπτική προσέγγιση. Ως εκ τούτου, όλεςοιεπιχειρήσειςθαπρέπεινα προστατεύουν τα δεδομένα τους με ισχυρές διαδικασίες προστασίας και ανάκτησης αρχείων, ειδικό λογισμικό και εκπαίδευση,όπως
Υβριδικό Cloud Backup & Disaster Recovery
Διαδικασίες ανάκτησης αρχείων σε περίπτωση καταστροφής
Πραγματικότητα: “Οιπροσωπικοίυπολογιστέςαποτελούνένα μεγάλο κενό ασφαλείας στο γραφείο”.
Καθώςη τεχνολογία διαπερνάόλεςτιςπτυχέςτης ζωής μας, συμπεριλαμβανομένης της τηλεργασίας, πολλοί εργαζόμενοι τείνουννα φέρνουν τις προσωπικές τους συσκευές στο γραφείο.
Στηνπραγματικότητα,στηνπερίπτωση αυτή ισχύει το ακριβώςαντίθετο: η πρακτική αυτήκαθιστά τις επιχειρήσεις πιο ευάλωτες. Συγκεκριμένα,στους προσωπικούς υπολογιστές, οι άνθρωποιείναιλιγότερο προσεκτικοί ότανπεριηγούνταιστο διαδίκτυο. Ωςαποτέλεσμα,κατεβάζουμεχαλασμέναπρογράμματαή επισκεπτόμαστεκακόβουλουςιστότοπους.
Ως αποτέλεσμα, μπορεί να εγκατασταθεί στη συσκευή ένα “RAT“ που παρακολουθεί ό,τικάνουμε.Επομένως, όταν αυτή η προσωπική συσκευή συνδεθεί στο δίκτυο της εταιρείας, μπορείνα αποκτήσει πρόσβαση στα συστήματα και τα δεδομένα της επιχείρησης.
Τρόποι αντιμετώπισης
Ωςεκ τούτου, είναι σημαντικό όχι μόνο να κρατάτετουςπροσωπικούςκαιτουςεταιρικούςυπολογιστέςχωριστάανάπάσαστιγμή,αλλάκαι να χρησιμοποιείτεμόνοεξουσιοδοτημέναπρογράμματαελέγχουταυτότηταςστουςεταιρικούςυπολογιστέςγιανααποφύγετετηλήψηκακόβουλουλογισμικού.
Μύθος 6: “Ταπληροφοριακά μας συστήματα είναι τέλειακαι δεν μπορούν να παραβιαστούν”.
Πραγματικότητα: “Δεν υπάρχει σύστημα που ναμηνέχειπαραβιαστεί.Είναιαπλώςθέμαχρόνουπουχρειάζονταιοιχάκερς για να εισβάλουν.
Τατέλειασυστήματαανήκουν στη σφαίρα της φαντασίας και τουκινηματογράφου.Δενυπάρχει τέλειο σύστημα,σύμφωναμεταδιάσημαλόγιατου DmitryAlperovich, αντιπροέδρου της McAffee:εταιρείεςπου έχουν υποστείhacking και το γνωρίζουν, και εταιρείες που δεν το γνωρίζουν ακόμη.
Οιεπιθέσειςστονκυβερνοχώροείναι συχνές και εξελίσσονταισυνεχώς,καιαν δεν αναγνωρίσετε και δεν αντιμετωπίσετε τις αδυναμίες σας, θα μείνετε ευάλωτοι.
Για να είστε προετοιμασμένοι για κυβερνοεπιθέσεις, πρέπει να παραμείνετεπροετοιμασμένοι,επανεξετάζονταςκαιβελτιώνονταςσυνεχώςτασυστήματάσας.Οστόχος είναι να θέσετεσε εφαρμογή πολλαπλά επίπεδαασφάλειας,έτσι ώστε κάθεπροσπάθειαενόςχάκερναεισέλθειστασυστήματαμιαςεταιρείαςναείναιασύμφορηαπόάποψηχρόνουκαικόστους.
Σε αυτό το σημείο, πρέπει να σημειωθείότιδεν υπάρχει τέλειο σύστημα, οπότεανοιχάκερςβάλουνστοστόχαστρομιαεταιρεία,είναι πιθανόνα βρουν κάποια στιγμή ένακενό ασφαλείας. Επομένως,είναισημαντικόναυπάρχειένασχέδιοετοιμότητας για την αντιμετώπιση τέτοιων ζητημάτων.
Τρόποι αντιμετώπισης
Εάν εσείς ή τοτμήμαπληροφορικής σας πιστεύετε ότι τασυστήματά σας είναι τέλεια, μπορείτε να προσλάβετε μια εταιρεία δοκιμώνδιείσδυσηςγιανα ελέγξει πόσο ασφαλήείναιστηνπραγματικότητα.Οέλεγχοςδιείσδυσηςείναι,στηνπραγματικότητα,μιαυπηρεσία όπου προσλαμβάνετε χάκερςγιανα προσπαθήσουν να εισέλθουνστοσύστημά σας και να σας δείξουνπώςεισέβαλαν.
Έναςάλλος τρόπος αντιμετώπισης αυτούτουπροβλήματοςείναιναεισαγάγετεέναν εφεδρικό κανόνα 3-2-1.Σύμφωνα με αυτόν τον κανόνα, θα πρέπει να έχουμε συνολικά τρία αντίγραφα (κατά προτίμηση διαφορετικές εκδόσεις)των αρχείων μας σε δύο διαφορετικά μέσα (π.χ. εφεδρικόαντίγραφοστο cloud και τοπικόσκληρόδίσκο),με το ένα αντίγραφο σε διαφορετικήτοποθεσία από τοάλλοεφεδρικόαντίγραφο (κατά προτίμηση σε USB flash drive ή εξωτερικό offline),όπως σε μονάδαflash USB ήεξωτερικόσκληρόδίσκο).
Είναι επίσης σημαντικόνααναπτύξετεκαι ναεφαρμόσετεένααποτελεσματικόσχέδιοαποκατάστασηςμετάαπόκαταστροφή,ώστεοιλειτουργίεςναμπορούννα αποκατασταθούνμε όσο το δυνατόν λιγότερεςδυσκολίες και χρόνο.
Μύθος 7: “Οι επιθέσεις γίνονται μόνο στο διαδίκτυο”.
Πραγματικότητα: “Οιδιαρροέςπληροφοριώνστις μέρες μας μπορούν να προέλθουν από οποιοδήποτεκανάλιεπικοινωνίας.
Η λογική ότι“οι επιθέσεις είναι μόνο κυβερνοεπιθέσεις” υποτιμά τη σοβαρότητα και τοεύρος των επιθέσεωνστονκυβερνοχώρο. Αυτό οφείλεται στο γεγονός ότι οι περισσότερες επιθέσεις δεν είναι μεμονωμένες, αλλά πολύπλοκες,πολυάριθμεςκαι συνεχώςδιαφοροποιούμενες.
Όσοπαράξενοκαιανφαίνεταισεπολλούς,πολλές διαδικτυακές απάτες δεν αφορούντοδιαδίκτυο.
Φανταστείτε ένα σενάριο όπου λαμβάνετεένατηλεφώνημααπόκάποιονπουεμφανίζεταιναεκπροσωπείμιαγνωστήεταιρεία κινητής τηλεφωνίας,σας ζητάεινασυνάψετενέο συμβόλαιοκαι σας ζητάει μερικά στοιχεία, όπως τον αριθμό ταυτότητας, τοναριθμό τηλεφώνου και τη διεύθυνση κατοικίας σας.
Λίγοαργότερα,λαμβάνετεέναάλλοτηλεφώνημα,αυτή τη φορά απόκάποιονάλλον,υποτίθεται από δημόσιοοργανισμό,πουσας ζητάκάποια στοιχεία για να συμπληρώσετεμιαέρευνα που διενεργούν, όπως το ΑΦΜ, τοναριθμόκοινωνικής ασφάλισης, το email σας κ.λπ.
Συνδυάζονταςαυτά τα στοιχεία που τους έχετεδώσει,ταπροαναφερθένταάτομαμπορούν,εναγνοίασας, ναδιαπράξουναμέτρητεςαπάτεςστοόνομά σας.
Τρόποι αντιμετώπισης
Επομένως,τοσυμπέρασμαείναιότιανδενγνωρίζετεποιοςείναιτοάτομο,μηνδίνετεποτέπροσωπικάστοιχείακαιναεπαληθεύετεπάντα την ταυτότητά του.
Επιπλέον, κλείστε το τηλέφωνο και καλέστεξανά στα κεντρικά γραφεία της εταιρείαςγια να επιβεβαιώσετε ότι τοάτομο με το όνομα και τα στοιχεία τουκαλούντοςεργάζεται γιατην εν λόγω εταιρεία και ζητήστε να σας συνδέσουν μεαυτό το άτομο.
Μύθος 8: “Οιμηχανικοί είναι υπεύθυνοι για την ασφάλεια“.
Πραγματικότητα: “Τις περισσότερες φορές, οι τεχνικοί και οι μηχανικοί δεν γνωρίζουν από τι πρέπει να προστατευτούν”.
Μπορείναυπάρχεικάποιααλήθειασεαυτόντονμύθο,αλλάεξαρτάται από το πώς αντιλαμβάνεται κανείς τον ρόλο τουκαι την ποιότητα της εργασίας του. Σίγουρα,επιφανειακά,έναςεκπαιδευμένοςτεχνικόςσεμιαεταιρείαμπορείνα είναι υπεύθυνος για την ασφάλεια στον κυβερνοχώρο.
Ωστόσο,η εμπειρία μας έχει αποδείξει ότιοιτεχνικοί που νομίζουν ότι γνωρίζουν τα πάνταδεν είναι καλοίτεχνικοί.Οι ψηφιακές απειλές εξελίσσονται τόσο γρήγορα που είναι σχεδόν αδύνατογιαέναάτομονααποτρέψειόλεςτιςεπιθέσεις,όσοκαλόςτεχνικόςκιανείναι.
Στόχος όλωντωντεχνικών θα πρέπει να είναι οσυνεχήςέλεγχοςτωνσυστημάτωνκαι τωνδιαδικασιώντους,ώστεναδιασφαλίζεταιηαποτελεσματικήλειτουργίατους.Όσοινομίζουν ότι είναι τέλειοι συνήθως δεν βελτιώνονταικαι αγνοούντουςκινδύνους.
Οιεταιρείεςασφάλειαςστονκυβερνοχώρο ξεκινούν με δοκιμέςδιείσδυσης(δοκιμέςευπάθειας),οιοποίεςσυχνάαποκαλύπτουνευπάθειεςπουθαμπορούσαννααποβούνμοιραίεςαντιςεκμεταλλευτούνοιχάκερ.
Τρόποι αντιμετώπισης
Οιεπιχειρήσεις και οι τεχνικοί τους δεν θα πρέπει να αισθάνονταιότιαπειλούνται από εξωτερικούς συμβούλουςασφάλειαςστονκυβερνοχώρο.Αντίθετα, θα πρέπει να το βλέπουν ως μια ευκαιρία να βελτιώσουν τα συστήματά τουςμέσωσυνεχώνδοκιμώνκαι αναφοράςτυχόνευπαθειών ασφαλείας που μπορεί να υπάρχουν.
Μύθος 9: “Δενχρειάζομαιέλεγχοτουσυστήματος ή εκπαίδευση”.
Πραγματικότητα: “Πάρα πολλές επιθέσειςστον κυβερνοχώρο θα μπορούσαν να είχαναποτραπείεάντο προσωπικό είχε εκπαιδευτεί και είχε υποβληθείσεέλεγχοδιείσδυσης”.
Το Διαδίκτυοαλλάζεισυνεχώς καινέες απειλές και κίνδυνοιαναδύονταισυνεχώς. Χωρίς τον ανθρώπινο έλεγχο των συστημάτων και την ανάγκηαναγνώρισηςτωννέωναπειλών, οι εταιρείεςθαείναι ευάλωτες σε επιθέσεις μεκαταστροφικές συνέπειες.
Ηολοκληρωμένηκατάρτισητωνεργαζομένωνόλων των εταιρειώνθα πρέπει να αποτελεί κορυφαίαπροτεραιότητατο2023.Καιαυτόγιατί έρευνες έχουνδείξειότισχεδόνπάντα ο απλός υπάλληλος είναι αυτός που κάνει το λάθος ναεπιτρέψει σε ένα κακόβουλο πρόγραμμα να εισέλθει στα συστήματα μιας εταιρείας, που πατάειτολάθος κουμπί και κατεβάζειτοαρχείο στο ηλεκτρονικότου ταχυδρομείο.
Ακόμακαιμετακαλύτεραεργαλεία και διαδικασίες,αυτήημικρήανθρώπινηαπροσεξίαμπορείνα ανοίξειτηνπόρτασε μια εισβολήστοσύστημα.Συγκεκριμένα, ο MichaelMigosδηλώνει:“Ότανσυμβαίνει παραβίαση πληροφοριών σε μια εταιρεία ή έναν οργανισμό, συχνάακούτε τον υπεύθυνο να κατηγορεί τον υπάλληλο που έκανεκλικσε έναν κακόβουλο σύνδεσμο ή άνοιξε ένα κακόβουλο αρχείο. Εκεί ηευθύνηδενβαραίνειτονεργαζόμενο,αλλάτουςυπεύθυνουςγιατηναποτυχίαεκπαίδευσηςκαιελέγχουτωνχρηστών”.
Τρόποι αντιμετώπισης
Η εκπαίδευση του προσωπικού για την αναγνώριση και τηνπρόληψητωναπειλών και τηνορθήαντίδρασησε περίπτωση παραβίασης της ασφάλειας είναι ζωτικήςσημασίας για την αποφυγή τέτοιων λαθών.Πράγματι,είναι εξίσου σημαντικό ναδοκιμάζονταιτακτικάοιδιαδικασίες(π.χ. με τηχρήσηψεύτικων συνδέσμων ψαρέματος)προκειμένου να ελέγχεται το επίπεδο και οβαθμός ετοιμότητας κάθε εταιρείας.
Πόσο μεγάλο ρίσκοαναλαμβάνουμε ως χρήστες ή ως εταιρεία;
Η ασφάλειαστον κυβερνοχώρο πρέπει να αποτελεί προτεραιότητα για κάθε εταιρεία,ανεξαρτήτως μεγέθους ή κλάδου, που θέλει να προστατεύσει τα δεδομένα,τη φήμη και την εμπιστοσύνη της στον ψηφιακό κόσμο.Η Ευρωπαϊκή Ένωση (ΕΕ) ασχολείται ενεργά με το θέμααυτόκαι έχει δημοσιεύσει νέους κανόνες για την ενίσχυσή του.
Ευτυχώς ή δυστυχώς, το διαδίκτυο έχει διεισδύσει σε κάθε πτυχή της ζωής μαςκαι η εκθετική ανάπτυξη τηςτεχνολογίαςενισχύεταιμε ευκαιρίες και κινδύνους για την ασφάλεια των δεδομένων και την προστασίατηςιδιωτικήςζωής.
Η αδιαμφισβήτητη αλήθεια είναι ότι καμία εταιρεία ή χρήστης δεν μπορεί να είναι σίγουρος ότι δεν θα αντιμετωπίσειτέτοιες πιθανές απειλές κάποια στιγμή στη ζωή του,γι’αυτόκαιη σωστή ευαισθητοποίηση και εκπαίδευση είναι πιο αναγκαία από ποτέ.
Το RFID (Radio-Frequency Identification) είναι μια τεχνολογία που χρησιμοποιεί ραδιοκύματα για την ασύρματη αναγνώριση και παρακολούθηση αντικειμένων, ζώων ή ανθρώπων. Το σύστημα RFID αποτελείται από τρία βασικά στοιχεία:
RFID Tags (Ετικέτες RFID): Οι ετικέτες RFID είναι μικρές ηλεκτρονικές συσκευές που περιέχουν μια μικροκεραία και μια μνήμη. Κάθε ετικέτα έχει ένα μοναδικό αριθμητικό αναγνωριστικό (UID) που μπορεί να διαβαστεί με χρήση ραδιοκυμάτων.
RFID Reader (Αναγνώστης RFID): Ο αναγνώστης RFID είναι η συσκευή που εκπέμπει ραδιοκύματα και λαμβάνει τις ανταποκρίσεις από τις ετικέτες RFID. Ο αναγνώστης μπορεί να διαβάσει τα UID και άλλες πληροφορίες από τις ετικέτες.
Σύστημα Διαχείρισης και Εφαρμογής: Οι πληροφορίες που συλλέγονται από τις ετικέτες διαχειρίζονται συνήθως από ένα σύστημα διαχείρισης και εφαρμογής που επιτρέπει την αποθήκευση, την ανάκτηση και την επεξεργασία των δεδομένων.
Οι ετικέτες RFID χρησιμοποιούνται ευρέως σε πολλές εφαρμογές, συμπεριλαμβανομένων:
Συστήματα Παρακολούθησης Εμπορευμάτων: Χρησιμοποιούνται για την παρακολούθηση των αποθεμάτων και την διαχείριση της παραγωγής.
Συστήματα Συλλογής Δεδομένων: Χρησιμοποιούνται σε βιβλιοθήκες και αρχεία για τον αυτόματο εντοπισμό και καταγραφή των βιβλίων ή των εγγράφων.
Συστήματα Παρακολούθησης Ζώων: Χρησιμοποιούνται για την ταυτοποίηση και την παρακολούθηση ζώων, όπως κτηνοτροφικά ζώα ή κατοικίδια.
Πληρωμές με Κινητά: Ορισμένες κάρτες πληρωμών χρησιμοποιούν τεχνολογία RFID για γρήγορες ασύρματες πληρωμές.
Οι ετικέτες RFID προσφέρουν αποτελεσματικότητα και ευκολία στον τομέα της αναγνώρισης αντικειμένων και παρακολούθησης, αλλά πρέπει να λαμβάνονται μέτρα προστασίας για τη διασφάλιση της ασφάλειάς τους, όπως η κρυπτογράφηση των δεδομένων και η προστασία από ανεπιθύμητες αναγνώσεις.
Διαφορές RFID και GPS
Τα RFID (Radio-Frequency Identification) και τα GPS (Global Positioning System) είναι δύο διαφορετικές τεχνολογίες που χρησιμοποιούνται για διαφορετικούς σκοπούς:
RFID (Radio-Frequency Identification):
Τύπος Τεχνολογίας: Η RFID χρησιμοποιεί ραδιοκύματα για την ασύρματη αναγνώριση και παρακολούθηση αντικειμένων μέσω ετικετών RFID.
Εφαρμογές: Χρησιμοποιείται συνήθως για τον έλεγχο αποθεμάτων, τη διαχείριση παραγωγής, την ασφάλεια εισόδων, την αναγνώριση ζώων και ανθρώπων, και για πολλές άλλες εφαρμογές παρακολούθησης.
GPS (Global Positioning System):
Τύπος Τεχνολογίας: Το GPS είναι ένα δορυφορικό σύστημα που χρησιμοποιεί δορυφόρους για τον προσδιορισμό της γεωγραφικής θέσης σε πραγματικό χρόνο.
Εφαρμογές: Χρησιμοποιείται για την πλοήγηση αυτοκινήτων, πλοίων, αεροσκαφών και πεζών, τον εντοπισμό και την ανακτηση χαμένων ή κλεμμένων αντικειμένων, και για γεωγραφική παρακολούθηση σε διάφορες εφαρμογές.
Συνοψίζοντας, το RFID χρησιμοποιείται για την αναγνώριση και παρακολούθηση αντικειμένων μέσω ετικετών σε κοντινές αποστάσεις, ενώ το GPS χρησιμοποιείται για τον προσδιορισμό της γεωγραφικής θέσης σε μεγάλες αποστάσεις σε πραγματικό χρόνο. Και οι δύο τεχνολογίες έχουν ευρεία εφαρμογή σε διάφορους τομείς.
RFID και Ταυτότητες
Οι RFID ταυτότητες χωρών είναι συνήθως γνωστές ως “Ηλεκτρονικά Διαβατήρια” ή “Ηλεκτρονικές Ταυτότητες” και χρησιμοποιούνται από διάφορες χώρες για την αναγνώριση των πολιτών τους και την επαλήθευση της ταυτότητάς τους. Αυτές οι κάρτες συνήθως περιέχουν ένα RFID chip που περιέχει δεδομένα όπως το όνομα, ο αριθμός διαβατηρίου, η διεύθυνση, και άλλες πληροφορίες. Επιτρέπουν επίσης την αποθήκευση βιομετρικών δεδομένων όπως η φωτογραφία του κατόχου.
Η τεχνολογία των RFID (Radio-Frequency Identification) μπορεί να χρησιμοποιηθεί για τη δημιουργία ταυτότητας (ID) για αντικείμενα, ζώα ή ανθρώπους. Αυτό σημαίνει ότι κάθε αντικείμενο ή οντότητα μπορεί να έχει μια μοναδική RFID ετικέτα ή ταυτότητα που την αναγνωρίζει και την παρακολουθεί με χρήση ραδιοκυμάτων.
Συγκεκριμένα:
RFID για Ανθρώπους: Με τη χρήση RFID ετικετών που μπορούν να ενσωματωθούν σε κάρτες, βραχιόλια ή άλλα αντικείμενα που φορούν οι άνθρωποι, μπορεί να δημιουργηθεί μια ταυτότητα που επιτρέπει την πρόσβαση σε κτίρια, την καταγραφή παραβίασης ασφάλειας ή τον έλεγχο της παραβίασης της ιδιωτικότητας.
RFID για Ζώα: Κτηνοτρόφοι, κτηνίατροι και ανάλογοι μπορούν να χρησιμοποιούν RFID για τη δημιουργία ταυτότητας για ζώα, όπως αγελάδες, αλογα, σκύλοι και γάτες. Αυτό μπορεί να βοηθήσει στην αναγνώριση και την παρακολούθηση των ζώων, καθώς και στη διαχείριση της υγείας τους.
RFID για Αντικείμενα: Τα RFID tags μπορούν να τοποθετηθούν σε αντικείμενα όπως πακέτα, προϊόντα ή εξοπλισμός, δημιουργώντας μια ταυτότητα για αυτά. Αυτό μπορεί να βοηθήσει στην παρακολούθηση αποθεμάτων, στον έλεγχο της γνησιότητας των προϊόντων ή σε άλλες εφαρμογές.
Οι RFID ταυτότητες μπορούν να είναι εξαιρετικά χρήσιμες σε διάφορους τομείς, όπως οικονομία, ασφάλεια, υγεία, και κτηνοτροφία. Ωστόσο, πρέπει να λαμβάνονται μέτρα ασφαλείας για την προστασία των δεδομένων που σχετίζονται με αυτές τις ταυτότητες και για την προστασία από ενδεχόμενες παραβιάσεις της ασφάλειας.
Χώρες που χρησιμοποιούν τεχνολογία RFID
Πολλές χώρες χρησιμοποιούν τεχνολογία RFID (Radio-Frequency Identification) για τα διαβατήριά τους και άλλα έγγραφα ταυτότητας. Αυτό συμβαίνει καθώς η τεχνολογία RFID παρέχει εύκολη και αποτελεσματική μέθοδο για την αναγνώριση και επαλήθευση της ταυτότητας των πολιτών. Αν και η χρήση της τεχνολογίας αυτής διαφέρει από χώρα σε χώρα, πολλές αναπτυγμένες χώρες έχουν υιοθετήσει το RFID στα διαβατήριά τους.
Ορισμένες χώρες που χρησιμοποιούν την τεχνολογία RFID για τα διαβατήριά τους και άλλα έγγραφα ταυτότητας περιλαμβάνουν:
Ηνωμένες Πολιτείες: Τα αμερικανικά διαβατήρια περιέχουν RFID chips που περιλαμβάνουν πληροφορίες ταυτότητας του κατόχου.
Καναδάς: Οι Καναδοί πολίτες έχουν RFID στα διαβατήριά τους για επιπρόσθετη ασφάλεια και επιβεβαίωση της ταυτότητάς τους.
Ηνωμένο Βασίλειο: Το Ηνωμένο Βασίλειο εισήγαγε τα ηλεκτρονικά διαβατήρια με RFID για την ταυτοποίηση των πολιτών του.
Γερμανία: Τα γερμανικά διαβατήρια περιλαμβάνουν RFID chips για επιπρόσθετη ασφάλεια και αποθήκευση των προσωπικών δεδομένων του κατόχου.
Αυστραλία: Οι Αυστραλοί πολίτες έχουν RFID στα διαβατήριά τους, τα οποία χρησιμοποιούνται για την ταυτοποίηση και την επιβεβαίωση της ταυτότητάς τους.
Γερμανία: Η Γερμανία χρησιμοποιεί την ηλεκτρονική ταυτότητα (nPA – Neue Personalausweis) για τους πολίτες της. Η nPA περιλαμβάνει ένα ηλεκτρονικό τσιπ που επιτρέπει την ασφαλή πρόσβαση σε υπηρεσίες και ιστότοπους.
Εσθονία: Η Εσθονία είναι γνωστή για την εκτενή χρήση της ηλεκτρονικής ταυτότητας (e-Residency), η οποία προσφέρει πρόσβαση σε διάφορες υπηρεσίες και επιχειρηματικές δυνατότητες για ανθρώπους που δεν είναι φυσικοί κάτοικοι της χώρας.
Σουηδία: Η Σουηδία χρησιμοποιεί την ηλεκτρονική ταυτότητα (e-legitimation) για πολλές ηλεκτρονικές υπηρεσίες, όπως το e-banking και η υποβολή φορολογικών δηλώσεων.
Βέλγιο: Η Βελγική ηλεκτρονική ταυτότητα (eID) περιλαμβάνει την τεχνολογία RFID και χρησιμοποιείται για πολλούς διαδικτυακούς και διοικητικούς σκοπούς.
Αυτές είναι μόνο μερικές από τις χώρες που χρησιμοποιούν τεχνολογία RFID.
Eλληνικά διαβατήρια και τεχνολογία RFID
Το ελληνικό διαβατήριο διαθέτει τεχνολογία RFID για την ασφαλή και γρήγορη αναγνώριση του κατόχου του. Το RFID chip ενσωματώνεται στο διαβατήριο και περιέχει προσωπικές πληροφορίες του κατόχου, όπως το όνομα, τον αριθμό του διαβατηρίου και άλλες σχετικές πληροφορίες.
Η χρήση του RFID στα ελληνικά διαβατήρια έχει τα ακόλουθα οφέλη:
Γρήγορη Επαλήθευση: Στα αεροδρόμια και τα σύνορα, οι αρμόδιες αρχές μπορούν να επαληθεύουν την ταυτότητα του κατόχου του διαβατηρίου γρήγορα και αποτελεσματικά με τη χρήση αναγνωστών RFID.
Ασφάλεια: Η τεχνολογία RFID προστατεύει τις πληροφορίες στο διαβατήριο από ανεπιθύμητη πρόσβαση μέσω κρυπτογράφησης και ασφαλιστικών μέτρων.
Ευκολία Χρήσης: Οι κάτοχοι των ελληνικών διαβατηρίων μπορούν να χρησιμοποιούν αυτόματες πύλες ελέγχου και άλλους αναγνώστες RFID για την ευκολότερη και ταχύτερη διέλευση.
Διεθνής Πρότυπος: Τα ελληνικά διαβατήρια πληρούν τα διεθνή πρότυπα για την αναγνώριση και την ασφάλεια των ταξιδιωτών.
Που αλλου συναντάμε την τεχνολογία RFID
Η τεχνολογία RFID (Radio-Frequency Identification) χρησιμοποιείται σε πολλούς τύπους καρτών για διάφορους σκοπούς.
Πιστωτικές Κάρτες: Πολλές πιστωτικές κάρτες, ειδικά οι πιο πρόσφατες, συχνά περιλαμβάνουν RFID chip για γρήγορες και ασύρματες συναλλαγές.
Χρεωστικές Κάρτες: Οι χρεωστικές κάρτες επίσης μπορεί να περιλαμβάνουν τεχνολογία RFID για ασύρματες πληρωμές.
Κάρτες Προσβασιμότητας: Ορισμένες κάρτες προσβασιμότητας για κτίρια, όπως τα ξενοδοχεία, τα γραφεία και οι υπεραγορές, χρησιμοποιούν την τεχνολογία RFID για την άνοιξη πορτών και την επαλήθευση ταυτότητας.
Κάρτες Μετακίνησης και Μετρό: Πολλές κάρτες μετακίνησης που χρησιμοποιούνται για τα μέσα μαζικής μεταφοράς, όπως το μετρό και τα λεωφορεία, επίσης, χρησιμοποιούν την τεχνολογία RFID.
Κάρτες Συστημάτων Ελέγχου Πρόσβασης: Σε επιχειρησιακά περιβάλλοντα, όπως γραφεία και εταιρείες, χρησιμοποιούνται κάρτες RFID για τον έλεγχο της πρόσβασης σε διάφορες περιοχές.
Κλειδιά Ξενοδοχείων: Σε πολλά ξενοδοχεία, τα κλειδιά των δωματίων είναι πλέον κάρτες RFID που απλώς κρατάτε κοντά στον αναγνώστη για να ξεκλειδώσετε την πόρτα.
Κάρτες Υγείας: Σε ορισμένες χώρες, οι κάρτες υγείας περιλαμβάνουν RFID για την αποθήκευση ιατρικών πληροφοριών του κατόχου.
Αυτοκίνητα και Διόδια: Ορισμένα συστήματα διοδίων στην Ελλάδα χρησιμοποιούν τεχνολογία RFID για την αυτόματη χρέωση των οδικών τελών χωρίς την ανάγκη να σταματήσετε το όχημά σας.
Ποδήλατα κοινόχρηστης χρήσης: Σε ορισμένες πόλεις της Ελλάδας, υπάρχουν προγράμματα ποδηλάτων κοινόχρηστης χρήσης που χρησιμοποιούν τεχνολογία RFID για την ενεργοποίηση και τη χρέωση των χρηστών.
Αυτά είναι μερικά παραδείγματα καρτών που περιλαμβάνουν τεχνολογία RFID. Η χρήση της τεχνολογίας RFID σε αυτές τις κάρτες διευκολύνει τις ασύρματες και γρήγορες συναλλαγές,
Τι στοιχεία θα περιέχουν οι νέες ταυτότητες
Φωτογραφία: Η φωτογραφία του κατόχου της ταυτότητας περιλαμβάνεται στην επιφάνεια της κάρτας.
Ονομασία: Το ονοματεπώνυμο και το πρώτο όνομα του κατόχου.
Αριθμός Ταυτότητας: Ένας μοναδικός αριθμός ταυτότητας που αναγνωρίζει τον κάτοχο.
Ημερομηνία Γέννησης: Η ημερομηνία γέννησης του κατόχου.
Διεύθυνση: Η τρέχουσα διεύθυνση κατοικίας του κατόχου.
Ημερομηνία Έκδοσης: Η ημερομηνία που εκδόθηκε η ταυτότητα.
Ημερομηνία Λήξης: Η ημερομηνία λήξης της ταυτότητας, όταν πρέπει να ανανεωθεί.
Δύο Δακτυλικά Αποτυπώματα: Στην καρτέλα RFID της ταυτότητας, αποθηκεύονται τα δύο δακτυλικά αποτυπώματα του κατόχου για επιπλέον ασφάλεια και αυθεντικότητα.
Κωδικός PIN: Ο κάτοχος της ταυτότητας πρέπει να γνωρίζει έναν κωδικό PIN που χρησιμοποιείται για την επαλήθευση κατά τη χρήση της κάρτας σε ηλεκτρονικές συναλλαγές και υπηρεσίες.
Αρνητικά RFID
Παρά τα πλεονεκτήματα της τεχνολογίας RFID στις ταυτότητες, υπάρχουν και ορισμένα αρνητικά σημεία που πρέπει να ληφθούν υπόψη:
Προστασία της Ιδιωτικότητας: Η τεχνολογία RFID μπορεί να επιτρέψει σε τρίτους να παρακολουθούν τη θέση και τις κινήσεις των ατόμων χωρίς τη συναίνεσή τους. Αυτό μπορεί να αποτελέσει παραβίαση της ιδιωτικότητας.
Κίνδυνος Διαρροής Δεδομένων: Η τεχνολογία RFID είναι ευάλωτη σε επιθέσεις που μπορούν να οδηγήσουν στην απάτη και τη διαρροή προσωπικών δεδομένων.
Αντιγραφή ή Κλοπή: Οι κάρτες RFID μπορούν να αντιγραφούν ή να κλαπούν αν δεν υπάρχουν επαρκείς ασφαλιστικές διατάξεις.
Κοινωνική Μερικότητα: Ορισμένοι άνθρωποι εκφράζουν ανησυχίες για την κοινωνική μερικότητα που δημιουργείται όταν οι κυβερνήσεις ή οι εταιρείες συλλέγουν μεγάλες ποσότητες προσωπικών δεδομένων με τη χρήση της τεχνολογίας RFID.
Κόστος και Συντήρηση: Η εγκατάσταση και η συντήρηση της υποδομής RFID μπορεί να είναι ακριβές, και αυτό το κόστος μπορεί να επιβαρύνει την κυβέρνηση ή τις επιχειρήσεις.
Υποκειμενικά Στοιχεία: Η τεχνολογία RFID ενδέχεται να είναι ευαίσθητη σε περίπτωση αλλαγών στην υγεία της επιδερμίδας ή σε άλλες συνθήκες, που μπορεί να προκαλέσουν δυσκολίες στην ανάγνωση.
Είναι σημαντικό να θυμάστε ότι η αξιολόγηση των πλεονεκτημάτων και των ανεπιθύμητων επιπτώσεων της τεχνολογίας RFID εξαρτάται από τον τρόπο χρήσης της και τις ασφαλιστικές μέτρησης που λαμβάνονται για την προστασία των δεδομένων και της ιδιωτικότητας των ατόμων.
Μπορεί με την τεχνολογια RFID κάποιος να εντοπίσει την θέση μας
Ναι, η τεχνολογία RFID (Radio-Frequency Identification) μπορεί να χρησιμοποιηθεί για την εντοπισμό της θέσης αντικειμένων ή ατόμων, αλλά με ορισμένους περιορισμούς:
Εμβέλεια: Η εμβέλεια των συσκευών RFID είναι συνήθως περιορισμένη, συνήθως σε αποστάσεις από μερικά εκατοστά έως μερικά μέτρα, ανάλογα με τον τύπο της τεχνολογίας RFID (ενεργή ή παθητική).
Αναγνώριση Κάρτας ή Ετικέτας: Για να εντοπιστεί κάτι μέσω RFID, πρέπει να υπάρχει μια κάρτα ή ετικέτα RFID που να είναι ενεργή και να αναγνωρίζεται από έναν αναγνώστη RFID.
Συνεχής Παρακολούθηση: Η εντοπισμός με τη χρήση RFID απαιτεί συνεχή παρακολούθηση από το σύστημα RFID. Αν η κάρτα ή η ετικέτα δεν βρίσκεται εντός εμβέλειας του αναγνώστη RFID, τότε δεν είναι δυνατός ο εντοπισμός.
Εμβέλεια παρακολούθησης με τεχνολογία RFID
Η εμβέλεια παρακολούθησης με τεχνολογία RFID εξαρτάται από τον τύπο της τεχνολογίας RFID που χρησιμοποιείται, δηλαδή αν πρόκειται για ενεργή ή παθητική RFID, και από άλλους παράγοντες όπως η ισχύς του σήματος και η περιβαλλοντική συνθήκη. Ας δούμε την εμβέλεια για κάθε τύπο:
Παθητική RFID: Οι παθητικές ετικέτες RFID δεν διαθέτουν τη δική τους πηγή ενέργειας. Αντλούν ενέργεια από το σήμα του αναγνώστη RFID. Η εμβέλεια των παθητικών RFID συσκευών είναι συνήθως περιορισμένη σε μερικά εκατοστά έως μερικά μέτρα, ανάλογα με την ισχύ του αναγνώστη.
Ενεργή RFID: Οι ενεργές ετικέτες RFID διαθέτουν τη δική τους πηγή ενέργειας (συνήθως μπαταρία). Αυτό τους επιτρέπει να έχουν μεγαλύτερη εμβέλεια σε σύγκριση με τις παθητικές ετικέτες. Η εμβέλεια μπορεί να φτάσει από μερικά μέτρα έως και πολλά εκατοντάδες μέτρα, ανάλογα με τον τύπο της ενεργής ετικέτας και τον αναγνώστη.
Παρακάτω είναι ορισμένα παραδείγματα εμβέλειας για κάθε τύπο:
Παθητική RFID: Μερικά εκατοστά έως μερικά μέτρα, ανάλογα με τη συγκεκριμένη τεχνολογία και τον αναγνώστη. Αυτή η εμβέλεια είναι συνήθως κατάλληλη για εφαρμογές όπως ο έλεγχος των αποθηκών και η διαχείριση των αποθεμάτων.
Ενεργή RFID: Από μερικά μέτρα έως και πολλά εκατοντάδες μέτρα, ανάλογα με την ενεργή ετικέτα και τον αναγνώστη. Αυτή η εμβέλεια είναι κατάλληλη για εφαρμογές όπως η παρακολούθηση φορτηγών και εμπορευμάτων σε μεγάλες αποστάσεις.
Σημειώστε ότι η ακριβής εμβέλεια εξαρτάται επίσης από το περιβάλλον (όπως εμπόδια και παρεμβολές) και τις τεχνικές ρυθμίσεις του συστήματος RFID.
Πρόσφατα, οι υπεύθυνοι της κυβερνοεπίθεσης ανακοίνωσαν τη μαζικότερη συνεργασία χάκερ που έχει ποτέ καταγραφεί. Σύμφωνα με το RIA Novosti, 16 ομάδες φιλορώσικών χάκερ δήλωσαν ότι πραγματοποίησαν επιτυχημένες επιθέσεις εναντίον περισσότερων από 100 στόχων, σε μία μαζική επιχείρηση εναντίον “συνενοχών ουκρανικών επιθέσεων” στη Ρωσία. Ανάμεσα στους στόχους βρισκόταν και η βάση δεδομένων του υπουργείου εσωτερικών ζητημάτων της Λετονίας, μία χώρα της Βαλτικής.
Οι χάκερ ανέφεραν πως απενεργοποίησαν 127 πηγές πληροφοριών σχετικά με την Πολωνία και άλλες βαλτικές χώρες. Επιπλέον, δημοσίευσαν δήλωση που αναφέρει “ο πόλεμος θα τελειώσει μόνο όταν καταστραφεί και ο τελευταίος Ναζί.”
Κατά τη διάρκεια της επίθεσης, παραπέμφθηκαν τα κανάλια ανταλλαγής επίσημων μηνυμάτων κρατικών σωμάτων, ενώ επιβλήθηκε διακοπή στο τραπεζικό σύστημα κινητών τηλεφώνων και διαταράχθηκε η λειτουργία παρκόμετρων.
Επιπλέον, το υπουργείο εσωτερικών της Λετονίας ήταν ένας από τους κύριους στόχους των χακερ. Η επίθεση οδήγησε στη διαρροή αλληλογραφίας, πληροφοριών για τους υπαλλήλους, έγγραφα και προγράμματα διακοπών στο διαδίκτυο, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση σε αυτά.
Αυτή είναι η πρώτη φορά στην ιστορία του Διαδικτύου που τόσες πολλές ομάδες χάκερ συνεργάστηκαν και εκτέλεσαν τέτοια μαζική επίθεση. Σύμφωνα με τις δηλώσεις των χάκερ, στόχος των επιθέσεών τους αποτέλεσαν χώρες που υποστήριξαν την Ουκρανία σε πρόσφατες επιθέσεις της εναντίον ρωσικών στόχων.
Το μήνυμά τους είναι σαφές: σκοπεύουν να συνεχίσουν τις επιθέσεις υποστηρίζοντας την ειδική στρατιωτική επιχείρηση της Ρωσίας εναντίον της Ουκρανίας και του ΝΑΤΟ.
Αυτός ο συντονισμένος κυβερνοεπιθετικός συντονισμός αναδεικνύει τη σοβαρότητα της κυβερνοασφάλειας και την ανάγκη για αυξημένα μέτρα προστασίας στον ψηφιακό χώρο.
Αυτές οι επιθέσεις αποκαλύπτουν την εξαιρετική σημασία της διεθνούς συνεργασίας στον τομέα της κυβερνοασφάλειας, καθώς οι κυβερνήσεις και οι οργανισμοί αντιμετωπίζουν αυξανόμενες απειλές από κυβερνοεπιθέσεις. Η ανταλλαγή πληροφοριών και η συνεργασία σε διεθνές επίπεδο είναι κρίσιμες για την αντιμετώπιση αυτών των απειλών.
Η κυβερνοεπίθεση αυτή αποτελεί επίσης υπενθύμιση για όλους μας να είμαστε επιφυλακτικοί και προστατευμένοι στον ψηφιακό μας κόσμο. Η ασφάλεια των πληροφοριακών συστημάτων και των δικτύων μας είναι αναγκαία για την προστασία των ευαίσθητων πληροφοριών μας και τη διασφάλιση της εθνικής ασφάλειας.
Χάκερς τροποποιούν τις σελίδες 404 των ηλεκτρονικών καταστημάτων για να κλέψουν πιστωτικές κάρτες
Μια νέα μορφή επίθεσης κατά των καρτών της Magecart, καταλαμβάνει τις σελίδες σφαλμάτων 404 των ιστότοπων των διαδικτυακών πωλητών, κρύβοντας κακόβουλο κώδικα για να κλέψει τα στοιχεία των πιστωτικών καρτών των πελατών.
Η τεχνική αυτή είναι μία από τις τρεις παραλλαγές που παρατηρήθηκαν από ερευνητές της Akamai Security Intelligence Group, με τις άλλες δύο να κρύβουν τον κώδικα στο χαρακτηριστικό “onerror” της ετικέτας HTML και σε ένα δυαδικό αρχείο εικόνας για να φαίνεται ως το απόσπασμα κώδικα Meta Pixel.
Η Akamai αναφέρει ότι η επίθεση επικεντρώνεται σε ιστότοπους Magento και WooCommerce, με ορισμένα θύματα να συνδέονται με γνωστούς οργανισμούς στους τομείς των τροφίμων και του λιανικού εμπορίου.
Χειραγώγηση σελίδων 404
Όλοι οι ιστότοποι διαθέτουν σελίδες σφάλματος 404, οι οποίες εμφανίζονται στους επισκέπτες όταν έχουν πρόσβαση σε μια ιστοσελίδα που δεν υπάρχει, έχει μετακινηθεί ή έχει έναν νεκρό/σπασμένο σύνδεσμο.
Οι δράστες του Magecart αξιοποιούν την προεπιλεγμένη σελίδα “404 Not Found” για να κρύψουν και να φορτώσουν τον κακόβουλο κώδικα κλοπής καρτών, κάτι που δεν έχει παρατηρηθεί ξανά σε προηγούμενες εκστρατείες.
Ο φορτωτής skimmer είτε μεταμφιέζεται ως ένα απόσπασμα κώδικα Meta Pixel είτε κρύβεται μέσα σε τυχαία inline scripts που υπάρχουν ήδη στην παραβιασμένη ιστοσελίδα πληρωμής.
Ο φορτωτής ξεκινά ένα αίτημα λήψης σε μια σχετική διαδρομή με όνομα “icons”, αλλά καθώς αυτή η διαδρομή δεν υπάρχει στον ιστότοπο, το αίτημα καταλήγει σε σφάλμα “404 Not Found”.
Οι ερευνητές της Akamai υπέθεσαν αρχικά ότι το skimmer δεν ήταν πλέον ενεργό ή ότι η ομάδα Magecart είχε κάνει κάποιο λάθος στη διαμόρφωση. Ωστόσο, κατά την προσεκτικότερη εξέταση, διαπίστωσαν ότι ο φορτωτής περιείχε μια ταυτοποίηση κανονικής έκφρασης που αναζητούσε μια συγκεκριμένη συμβολοσειρά στην επιστρεφόμενη HTML της σελίδας 404.
Κατά τον εντοπισμό της συμβολοσειράς στη σελίδα, η Akamai βρήκε μια συνυφασμένη συμβολοσειρά κωδικοποιημένη με base64, κρυμμένη σε ένα σχόλιο. Η αποκωδικοποίηση αυτής της συμβολοσειράς αποκάλυψε το JavaScript skimmer, το οποίο κρύβεται σε όλες τις σελίδες 404.
Επειδή η αίτηση γίνεται σε μια διαδρομή πρώτου μέρους, τα περισσότερα εργαλεία ασφαλείας που παρακολουθούν ύποπτα αιτήματα δικτύου στη σελίδα πληρωμής θα το παραβλέψουν.
Κλέβοντας τα δεδομένα
Ο κώδικας skimmer εμφανίζει μια ψεύτικη φόρμα την οποία οι επισκέπτες του ιστότοπου αναμένεται να συμπληρώσουν με ευαίσθητα στοιχεία, όπως τον αριθμό της πιστωτικής τους κάρτας, την ημερομηνία λήξης και τον κωδικό ασφαλείας.
Μόλις τα δεδομένα αυτά εισαχθούν στην ψεύτικη φόρμα, το θύμα λαμβάνει ένα ψεύτικο σφάλμα “session timeout”.
Στο παρασκήνιο, όλες οι πληροφορίες κωδικοποιούνται με base64 και αποστέλλονται στον επιτιθέμενο μέσω μιας διεύθυνσης URL αίτησης εικόνας που φέρει τη συμβολοσειρά ως παράμετρο ερώτησης.
Αυτή η προσέγγιση βοηθά στην αποφυγή εντοπισμού από εργαλεία παρακολούθησης της κυκλοφορίας δικτύου, καθώς η αίτηση μοιάζει με ένα καλοήθες συμβάν ανάκτησης εικόνας. Ωστόσο, η αποκωδικοποίηση της συμβολοσειράς base64 αποκαλύπτει προσωπικές πληροφορίες και πληροφορίες πιστωτικής κάρτας.
Η περίπτωση της χειραγώγησης των σελίδων 404 αναδεικνύει τις εξελισσόμενες τακτικές και την ευελιξία των φορέων του Magecart, οι οποίοι συνεχώς δυσκολεύουν τους webmaster να εντοπίσουν τον κακόβουλο κώδικά τους σε παραβιασμένους ιστότοπους και να τον αποκαταστήσουν.
Η ψεύτικη εφαρμογή συναγερμού πυραύλων “RedAlert” για το Ισραήλ εγκαθιστά κατασκοπευτικό λογισμικό Android
Οι Ισραηλινοί χρήστες Android έχουν στοχοποιηθεί από μια κακόβουλη έκδοση της εφαρμογής “RedAlert – Rocket Alerts”, η οποία, ενώ προσφέρει την υποσχόμενη λειτουργικότητα, λειτουργεί ως λογισμικό κατασκοπείας στο παρασκήνιο. Το RedAlert – Rocket Alerts είναι μια νόμιμη εφαρμογή ανοιχτού κώδικα που χρησιμοποιείται από τους Ισραηλινούς πολίτες για να λαμβάνουν ειδοποιήσεις για εισερχόμενες ρουκέτες που στοχεύουν τη χώρα. Η εφαρμογή είναι ιδιαίτερα δημοφιλής, με πάνω από ένα εκατομμύριο λήψεις στο Google Play.
Από τότε που οι τρομοκράτες της Χαμάς εξαπέλυσαν την επίθεσή τους στο Νότιο Ισραήλ την περασμένη εβδομάδα, με χιλιάδες ρουκέτες, το ενδιαφέρον για την εφαρμογή έχει εκραγεί, καθώς οι άνθρωποι αναζητούσαν έγκαιρες προειδοποιήσεις για επερχόμενες αεροπορικές επιδρομές στην περιοχή τους. Σύμφωνα με την Cloudflare, χάκερ άγνωστης αιτιολογίας και προέλευσης εκμεταλλεύονται το αυξημένο ενδιαφέρον για την εφαρμογή και τον φόβο των επιθέσεων για να διανείμουν μια ψεύτικη έκδοση που εγκαθιστά λογισμικό κατασκοπείας.
Αυτή η κακόβουλη έκδοση διανέμεται από τον ιστότοπο “redalerts[.]me”, ο οποίος δημιουργήθηκε στις 12 Οκτωβρίου 2023 και περιλαμβάνει δύο κουμπιά για τη λήψη της εφαρμογής για τις πλατφόρμες iOS και Android. Η λήψη για το iOS ανακατευθύνει τον χρήστη στη σελίδα του νόμιμου έργου στο App Store της Apple, αλλά το κουμπί για το Android κατεβάζει απευθείας ένα αρχείο APK για να εγκατασταθεί στη συσκευή.
Ειδοποίηση Spyware
Το APK που κατεβάσατε χρησιμοποιεί τον νόμιμο κώδικα της πραγματικής εφαρμογής RedAlert, έτσι ώστε να περιέχει όλες τις κανονικές λειτουργίες και να εμφανίζεται ως ένα νόμιμο εργαλείο συναγερμού πυραύλων.
Ωστόσο, η Cloudflare διαπίστωσε ότι η εφαρμογή ζητά πρόσθετες άδειες από τα θύματα, συμπεριλαμβανομένης της πρόσβασης στις επαφές, τους αριθμούς, το περιεχόμενο SMS του χρήστη, τη λίστα του εγκατεστημένου λογισμικού, τα αρχεία καταγραφής κλήσεων, το IMEI του τηλεφώνου, τους συνδεδεμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου και εφαρμογών και πολλά άλλα.
Κατά την εκκίνηση, η εφαρμογή ξεκινά μια υπηρεσία παρασκηνίου που κάνει κατάχρηση αυτών των δικαιωμάτων για να συλλέξει δεδομένα, να τα κρυπτογραφήσει με AES σε λειτουργία CBC και να τα φορτώσει σε μια σκληρά κωδικοποιημένη διεύθυνση IP.
Η εφαρμογή διαθέτει επίσης μηχανισμούς κατά της αποσφαλμάτωσης, κατά της εξομοίωσης και κατά των δοκιμών που την προστατεύουν από τους ερευνητές και τα εργαλεία αναθεώρησης κώδικα.
Συμβουλές ασφαλείας RedAlert
Ο ψεύτικος ιστότοπος είναι εκτός λειτουργίας τη στιγμή που γράφονται αυτές οι γραμμές. Ωστόσο, οι απειλητικοί φορείς πιθανότατα θα στραφούν σε νέο τομέα μετά την αποκάλυψη της επιχείρησής τους.
Ένας απλός τρόπος για να διακρίνετε μεταξύ της πραγματικής και της παγιδευμένης έκδοσης είναι να ελέγξετε τα δικαιώματα που ζητά η εφαρμογή κατά την εγκατάσταση ή στα οποία έχει πρόσβαση σε περίπτωση που είναι ήδη εγκατεστημένη στη συσκευή σας.
Για να το ελέγξετε αυτό, πατήστε παρατεταμένα το εικονίδιο της εφαρμογής, επιλέξτε “Πληροφορίες εφαρμογής” και πατήστε “Δικαιώματα”.
Επίσης, έχουν αναφερθεί περιπτώσεις αεροπειρατείας στην πραγματική εφαρμογή RedAlert, με χακτιβιστές να εκμεταλλεύονται ελαττώματα API για να προωθούν ψεύτικες ειδοποιήσεις στους χρήστες. Για να ελαχιστοποιήσετε την πιθανότητα τέτοιων περιστατικών, βεβαιωθείτε ότι χρησιμοποιείτε την τελευταία έκδοση της εφαρμογής που περιλαμβάνει όλες τις διαθέσιμες διορθώσεις ασφαλείας.
Το ZeroFont phishing ξεγελάει το Outlook και δείχνει ψεύτικες AV σαρώσεις
Οι χάκερς χρησιμοποιούν ένα νέο τέχνασμα, χρησιμοποιώντας γραμματοσειρές μηδενικού σημείου στα μηνύματα ηλεκτρονικού ταχυδρομείου, για να κάνουν τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου να φαίνονται ότι σαρώνονται με ασφάλεια από τα εργαλεία ασφαλείας του Microsoft Outlook.
Αν και η τεχνική ZeroFont phishing έχει χρησιμοποιηθεί στο παρελθόν, είναι η πρώτη φορά που τεκμηριώνεται ότι χρησιμοποιείται με αυτόν τον τρόπο.
Σε μια νέα έκθεση του αναλυτή της ISC Sans, Jan Kopriva, ο ερευνητής προειδοποιεί ότι αυτό το τέχνασμα θα μπορούσε να κάνει τεράστια διαφορά στην αποτελεσματικότητα των επιχειρήσεων phishing και οι χρήστες θα πρέπει να γνωρίζουν την ύπαρξή της.
Επιθέσεις ZeroFont
Η μέθοδος επίθεσης ZeroFont, η οποία καταγράφηκε για πρώτη φορά από την Avanan το 2018, είναι μια τεχνική phishing που εκμεταλλεύεται ελαττώματα στον τρόπο με τον οποίο τα συστήματα επεξεργασίας τεχνητής νοημοσύνης και φυσικής γλώσσας (NLP) στις πλατφόρμες ασφαλείας ηλεκτρονικού ταχυδρομείου αναλύουν το κείμενο.
Περιλαμβάνει την εισαγωγή κρυμμένων λέξεων ή χαρακτήρων σε μηνύματα ηλεκτρονικού ταχυδρομείου, θέτοντας το μέγεθος της γραμματοσειράς στο μηδέν, καθιστώντας το κείμενο αόρατο για τους ανθρώπινους στόχους, αλλά διατηρώντας το αναγνώσιμο από τους αλγόριθμους NLP.
Η επίθεση αυτή αποσκοπεί στην αποφυγή των φίλτρων ασφαλείας με την εισαγωγή αόρατων καλοήθων όρων που αναμειγνύονται με ύποπτο ορατό περιεχόμενο, διαστρεβλώνοντας την ερμηνεία του περιεχομένου από την τεχνητή νοημοσύνη και το αποτέλεσμα των ελέγχων ασφαλείας.
Στην έκθεσή της για το 2018, η Avanan προειδοποίησε ότι το ZeroFont παρέκαμψε την προηγμένη προστασία από απειλές (ATP) του Office 365 της Microsoft, ακόμη και όταν τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν γνωστές κακόβουλες λέξεις-κλειδιά.
Απόκρυψη ψευδών σαρώσεων antivirus
Σε ένα νέο phishing email που είδε η Kopriva, ένας απειλητικός παράγοντας χρησιμοποιεί την επίθεση ZeroFont για να χειραγωγήσει τις προεπισκοπήσεις μηνυμάτων σε ευρέως χρησιμοποιούμενα προγράμματα ηλεκτρονικού ταχυδρομείου, όπως το Microsoft Outlook.
Συγκεκριμένα, το εν λόγω μήνυμα ηλεκτρονικού ταχυδρομείου εμφάνιζε ένα διαφορετικό μήνυμα στη λίστα email του Outlook από ό,τι στο παράθυρο προεπισκόπησης.
Όπως μπορείτε να δείτε παρακάτω, στο παράθυρο της λίστας email αναγράφεται “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM,” ενώ η αρχή του email στο παράθυρο προεπισκόπησης/ανάγνωσης εμφανίζει “Job Offer | Employment Opportunity”.
Αυτή η ασυμφωνία επιτυγχάνεται με την αξιοποίηση του ZeroFont για την απόκρυψη του ψεύτικου μηνύματος σάρωσης ασφαλείας στην αρχή του ηλεκτρονικού μηνύματος phishing, έτσι ώστε ενώ δεν είναι ορατό στον παραλήπτη, το Outlook εξακολουθεί να το αρπάζει και να το εμφανίζει ως προεπισκόπηση στο παράθυρο καταχώρισης μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Ο στόχος είναι να ενσταλάξουν στον παραλήπτη μια ψευδή αίσθηση νομιμότητας και ασφάλειας.
Παρουσιάζοντας ένα παραπλανητικό μήνυμα σάρωσης ασφαλείας, αυξάνεται η πιθανότητα ο στόχος να ανοίξει το μήνυμα και να ασχοληθεί με το περιεχόμενό του.
Είναι πιθανό ότι το Outlook δεν είναι το μόνο πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου που αρπάζει το πρώτο τμήμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου για προεπισκόπηση ενός μηνύματος χωρίς να ελέγχει αν το μέγεθος της γραμματοσειράς του είναι έγκυρο, οπότε συνιστάται επαγρύπνηση και για τους χρήστες άλλου λογισμικού.
Τι είναι doxing?
Ουσιαστικά συγκεντρώνεις όσες πληροφορίες μπορείς για ένα άτομο (στόχο).
Όταν λέμε πληροφορίες εννοούμε τα πάντα απο το όνομα, email μέχρι και τη διεύθυνση που μένει.
Τι χρειάζεστε?
Βασικές γνώσεις απο Social engineering
Notepad (επεξεργαστής κειμένου, σημειωματάριο για παράδειγμα)
Αποκτήστε τη διεύθυνση IP.
Ένας πολύ εύκολος τρόπος για να αποκτήσετε τη διεύθυνση IP απο το θύμα σας, είναι να πάτε εδώ πέρα http://whatstheirip.com/ να βάλετε το email σας και θα σας στείλουν ένα σύνδεσμο.
Στέλνετε το σύνδεσμο αυτο στο άτομο που θέλετε και όταν το ανοίξει θα πάρετε την IP του.
Μπορείτε να του πείτε κάτι του τύπου, δες ρε φίλε εδώ πέρα τι λέει.. ετσι ώστε να το κάνετε να το ανοίξει.
Πήρατε και την ip του.
Τώρα, πάτε εδώ http://ipaddress.com και εισάγετε την ip του.
Θα σας δώσει κάποια τοποθεσία, τον ταχυδρομικό κώδικα, χώρα, ISP και το λειτουργικό σύστημα.
Οπότε συμπληρώνετε και αυτα στο σημειωματάριό σας και συνχίζετε.
Πως θα πάρετε το email και άλλες πληροφορίες?
Πηγαίνετε στο google και γράψτε “ΌΝΟΜΑ-ΕΠΩΝΥΜΟ@” για παράδειγμα Ηλίας Λαλας@.
Έτσι θα σας εμφανίσει μερικές πληροφορίες για αυτον οπως και τα προφιλ που μπορεί να έχει σε κάποιες ιστοσελίδες με αυτο το όνομα.
Ακόμα, αν είναι σε κάποια ιστοσελίδα γραμμένος με κάποιο ψευδώνυμο μπορείτε να αναζητήσετε και σε αυτην.
Έτσι κάπου σε αυτες τις πληροφορίες θα βρείτε και το email, η και απο εδώ http://knowem.com/
Αν δεν το βρείτε σε κανέναν λογαριασμό τότε, ψάξτε στο facebook αν έχει κρύψει τις πληροφορίες του, μπορεί να το ζητήσετε απο κάποιον φίλο.
Ότι πληροφορίες μαζέψατε τις γράφετε στο σημειωματάριό σας.
Χρησιμοποιώντας το paypal.
Ένας πιο εύκολος τρόπος είναι μέσα απο το paypal.
Το μόνο που χρειάζεται είναι να έχετε ένα paypal λογαριασμό, να ξέρετε το email του, και να έχετε υπόλοιπο έστω 0,01 ευρώ.
Και πως το εκμεταλλευόμαστε αυτο;
Απλά, αφου ξέρετε το email του κάνετε μεταφορά απο τη δικιά σας paypal στη δικιά του ένα μικρό ποσό (πχ 0,01 ευρώ) και αυτομάτως θα σας εμφανίσει Όνομα, διεύθυνση, τηλέφωνο, κλπ.
Πως θα αποκτήσετε παραπάνω πληροφορίες.
Αν έχετε κάποια φωτογραφία του μπορείτε να πάτε εδω http://tineye.com/ να τη βάλετε και θα σας εμφανίσει που ανήκει αυτη τη φωτογραφία και σε ποιον.
Πχ σε ένα λογαριασμό στο twitter με το όνομα Stamatis Dede.
Αν γνωρίζετε το όνομα είναι πιθανόν να βρείτε και τη διεύθυνση απο τις παρακάτω ιστοσελίδες
http://411.com
http://whitepages.com
Έχει κάποια δική του ιστοσελίδα;
Αν έχει κάποια δικιά του ιστοσελίδα μπορείτε να πάτε στο whois.domaintools.com και να σας εμφανίσει πληροφορίες για τον διαχειριστή της ιστοσελίδας.
Αν έχει βάλει απόκρυψη στα WHOIS δεν θα τα εμφανίσει.
Deadglyph – Νέο κακόβουλο λογισμικό που χρησιμοποιείται σε κυβερνητικές επιθέσεις
Ένα νέο και εξελιγμένο κακόβουλο λογισμικό backdoor με την ονομασία “Deadglyph” χρησιμοποιήθηκε σε μια επίθεση κυβερνοκατασκοπείας εναντίον μιας κυβερνητικής υπηρεσίας στη Μέση Ανατολή.
Το κακόβουλο λογισμικό Deadglyph αποδίδεται στην APT Stealth Falcon (ή αλλιώς Project Raven ή FruityArmor), μια κρατικά χρηματοδοτούμενη ομάδα χάκερ από τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ).
Η ομάδα hacking είναι γνωστή για τη στοχοποίηση ακτιβιστών, δημοσιογράφων και αντιφρονούντων εδώ και σχεδόν μια δεκαετία.
Σε μια νέα έκθεση που δημοσιεύθηκε στο συνέδριο κυβερνοασφάλειας LABScon, ο ερευνητής της ESET Filip Jurčacko μοιράζεται ανάλυση του νέου αρθρωτού κακόβουλου λογισμικού και του τρόπου με τον οποίο μολύνει συσκευές Windows.
Επιθέσεις Deadglyph
Η ESET δεν έχει εικόνα για τα μέσα της αρχικής μόλυνσης, αλλά υπάρχει η υποψία ότι χρησιμοποιείται ένα κακόβουλο εκτελέσιμο αρχείο, πιθανώς ένα πρόγραμμα εγκατάστασης.
Ωστόσο, η ESET απέκτησε τα περισσότερα από τα συστατικά της αλυσίδας μόλυνσης για να σχηματίσει μια εικόνα του τρόπου με τον οποίο το κακόβουλο λογισμικό λειτουργεί και προσπαθεί να αποφύγει την ανίχνευση.
Η αλυσίδα φόρτωσης του Deadglyph ξεκινά με έναν φορτωτή shellcode του μητρώου (DLL) που εξάγει κώδικα από το μητρώο των Windows για να φορτώσει το συστατικό Executor (x64), το οποίο με τη σειρά του φορτώνει το συστατικό Orchestrator (.NET).
Μόνο το αρχικό συστατικό υπάρχει στο δίσκο του μολυσμένου συστήματος ως αρχείο DLL, ελαχιστοποιώντας την πιθανότητα εντοπισμού.
Η ESET αναφέρει ότι ο φορτωτής θα φορτώσει τον shellcode από το μητρώο των Windows, το οποίο είναι κρυπτογραφημένο για να κάνει την ανάλυση πιο δύσκολη.
Καθώς το συστατικό DLL αποθηκεύεται στο σύστημα αρχείων, είναι πιο πιθανό να εντοπιστεί. Εξαιτίας αυτού, οι απειλητικοί φορείς χρησιμοποίησαν μια ομογλυφική επίθεση στον πόρο VERSIONINFO χρησιμοποιώντας διακριτούς ελληνικούς και κυριλλικούς χαρακτήρες Unicode για να μιμηθούν τις πληροφορίες της Microsoft και να εμφανιστούν ως νόμιμο αρχείο των Windows.
Το στοιχείο Executor φορτώνει κρυπτογραφημένες με AES διαμορφώσεις για την κερκόπορτα, αρχικοποιεί το .NET runtime στο σύστημα, φορτώνει το .NET τμήμα της κερκόπορτας και ενεργεί ως βιβλιοθήκη της.
Τέλος, το Orchestrator είναι υπεύθυνο για τις επικοινωνίες του διακομιστή εντολών και ελέγχου (C2), χρησιμοποιώντας δύο ενότητες για την εργασία αυτή, το ‘Timer’ και το ‘Network’.
Εάν η κερκόπορτα δεν καταφέρει να δημιουργήσει επικοινωνία με τον διακομιστή C2 μετά από ένα καθορισμένο χρονικό διάστημα, ενεργοποιεί έναν μηχανισμό αυτοαφαίρεσης για να αποτρέψει την ανάλυσή της από ερευνητές και ειδικούς σε θέματα κυβερνοασφάλειας.
Αρθρωτό κακόβουλο λογισμικό
Το κακόβουλο λογισμικό Deadglyph είναι αρθρωτό, δηλαδή θα κατεβάζει νέες ενότητες από το C2 που περιέχουν διαφορετικούς κωδικούς κελύφους για να εκτελεστούν από το στοιχείο Executor.
Η χρήση μιας σπονδυλωτής προσέγγισης επιτρέπει στους φορείς απειλών να δημιουργούν νέες ενότητες ανάλογα με τις ανάγκες για να προσαρμόζουν τις επιθέσεις, οι οποίες μπορούν στη συνέχεια να προωθηθούν στα θύματα για να εκτελέσουν πρόσθετες κακόβουλες λειτουργίες.
Αυτές οι ενότητες έχουν στη διάθεσή τους τα Windows και τα προσαρμοσμένα API του Executor, με το τελευταίο να προσφέρει 39 λειτουργίες που καθιστούν δυνατή την εκτέλεση λειτουργιών αρχείων, τη φόρτωση εκτελέσιμων αρχείων, την πρόσβαση σε Token Impersonation και την εκτέλεση κρυπτογράφησης και κατακερματισμού.
Η ESET πιστεύει ότι υπάρχουν εννέα έως δεκατέσσερις διαφορετικές ενότητες, αλλά μπόρεσε να αποκτήσει μόνο τρεις: έναν δημιουργό διεργασιών, έναν συλλέκτη πληροφοριών και έναν αναγνώστη αρχείων.
Ο συλλέκτης πληροφοριών χρησιμοποιεί ερωτήματα WMI για να τροφοδοτήσει τον Orchestrator με τις ακόλουθες πληροφορίες σχετικά με το παραβιασμένο σύστημα:
operating system
network adapters
installed software
drives
services
drivers
processes
users
environment variables
security software
Ο δημιουργός διεργασιών είναι ένα εργαλείο εκτέλεσης εντολών που εκτελεί καθορισμένες εντολές ως νέα διεργασία και δίνει το αποτέλεσμα στον Orchestrator.
Η μονάδα ανάγνωσης αρχείων διαβάζει το περιεχόμενο των αρχείων και το παραδίδει στον Orchestrator, ενώ δίνει επίσης στους χειριστές τη δυνατότητα να διαγράψουν το αρχείο μετά την ανάγνωση.
Παρόλο που η ESET κατάφερε να αποκαλύψει μόνο ένα μέρος των δυνατοτήτων του κακόβουλου λογισμικού, είναι σαφές ότι το Deadglyph του Stealth Falcon είναι μια τρομερή απειλή.
Χωρίς λεπτομερείς πληροφορίες σχετικά με την αρχική μόλυνση, η προσφορά συγκεκριμένων στρατηγικών άμυνας κατά του κακόβουλου λογισμικού είναι αδύνατη.
Προς το παρόν, οι αμυντικοί μπορούν να βασίζονται στις υπάρχουσες IoC που δημοσιεύονται στην έκθεση.
EnCase: Η Κλειδαριά για την Ψηφιακή Ερευνητική Επιστήμη
Η Ψηφιακή Ερευνητική Επιστήμη (Digital Forensics) αποτελεί έναν ζωτικό κλάδο της τεχνολογίας που αφορά τη συλλογή, την ανάλυση και την παρουσίαση ηλεκτρονικών αποδεικτικών στοιχείων σε δικαστικές διαδικασίες και ανακρίσεις. Σε αυτόν τον σύνθετο και αναπτυσσόμενο τομέα, το εργαλείο EnCase έχει κερδίσει τη φήμη του ως ένα από τα πλέον ισχυρά και πλήρως εξειδικευμένα λογισμικά ψηφιακής ερευνητικής.
Τι είναι το EnCase:
Το EnCase είναι ένα λογισμικό ψηφιακής ερευνητικής που αναπτύχθηκε από την Guidance Software (τώρα OpenText) και αποτελεί ένα ολοκληρωμένο σύστημα για την ανάλυση και την εξαγωγή στοιχείων από ηλεκτρονικές συσκευές και αποθηκευτικούς χώρους. Στην πορεία, το EnCase εξελίχθηκε σε μια σουίτα λογισμικού που παρέχει εργαλεία για την ανάλυση ψηφιακών στοιχείων από υπολογιστές, κινητά τηλέφωνα, συσκευές αποθήκευσης και πολλά άλλα.
Πώς χρησιμοποιείται το EnCase:
Συλλογή Δεδομένων: Το EnCase χρησιμοποιείται για τη συλλογή ψηφιακών στοιχείων από συσκευές και αποθηκευτικούς χώρους. Αυτή η διαδικασία περιλαμβάνει τον ακριβή αντίγραφο του περιεχομένου των συσκευών, διασφαλίζοντας τη διατήρηση της ακεραιότητας των δεδομένων.
Ανάλυση Δεδομένων: Με το EnCase, οι ερευνητές μπορούν να αναλύσουν τα ψηφιακά στοιχεία που συλλέχθηκαν. Αυτό περιλαμβάνει την ανάκτηση διαγενεαλογικών αποδείξεων, όπως καταγραφές κλήσεων, μηνύματα, φωτογραφίες, αρχεία και πολλά άλλα.
Αναφορές και Παρουσιάσεις: Το EnCase διαθέτει εργαλεία που επιτρέπουν στους χρήστες να δημιουργήσουν εκθέσεις και παρουσιάσεις για τα αποδεικτικά στοιχεία που βρέθηκαν. Αυτές οι αναφορές είναι σημαντικές για να υποστηρίξουν τις δικαστικές διαδικασίες.
Διατήρηση ακεραιότητας: Το EnCase είναι γνωστό για την τήρηση ακεραιότητας των δεδομένων κατά την εξέταση. Αυτό είναι κρίσιμο σε δικαστικές διαδικασίες, καθώς τα αποδεικτικά στοιχεία πρέπει να είναι αναλλοίωτα.
Διαχείριση Αλυσίδων Εντολών: Το EnCase διαθέτει μια εντυπωσιακή λειτουργία για τη διαχείριση αλυσίδων εντολών, που επιτρέπει την αυτοματοποίηση διαδικασιών και τη δημιουργία προσαρμοσμένων εργαλείων.
Συνοψίζοντας, το εργαλείο EnCase είναι ένα αναπόσπαστο κομμάτι της ψηφιακής ερευνητικής επιστήμης και της δικαστικής έρευνας. Οι ερευνητές, οι εκπαιδευτικοί και οι επαγγελματίες ασφαλείας βασίζονται στο EnCase για την αξιόπιστη συλλογή, ανάλυση και παρουσίαση ψηφιακών αποδεικτικών στοιχείων, βοηθώντας έτσι στη διασφάλιση της δικαιοσύνης και της ασφάλειας στον ψηφιακό κόσμο.
Σοκ για την Okta: Χάκερς Κλέβουν Δεδομένα Όλων των Χρηστών Συστήματος Υποστήριξης
Η Okta (OKTA.O) ανακοίνωσε την Τρίτη ότι χάκερς έκλεψαν πληροφορίες όλων των χρηστών του συστήματος υποστήριξης πελατών της σε μια παραβίαση του δικτύου πριν από δύο μήνες.
Η εταιρεία με έδρα το Σαν Φρανσίσκο ενημέρωσε τους πελάτες ότι κατέληξε ότι οι χάκερς απέκτησαν πρόσβαση σε δεδομένα, συμπεριλαμβανομένων ονομάτων και διευθύνσεων email, όλων των πελατών που χρησιμοποιούν το σύστημα υποστήριξης πελατών της.
Οι μετοχές της Okta κατέρρευσαν τον Οκτώβριο, αφού η εταιρεία δήλωσε ότι η παραβίαση επέτρεψε σε ορισμένους χάκερς να δουν αρχεία που είχαν ανεβάσει κάποιοι πελάτες.
“Παρόλο που δεν έχουμε άμεση γνώση ή αποδείξεις ότι αυτές οι πληροφορίες χρησιμοποιούνται ενεργά, ενημερώσαμε όλους τους πελάτες μας ότι βρίσκονται σε αυξημένο κίνδυνο ασφαλείας για επιθέσεις Phishing και social engineering”, ανέφερε η Okta.
Κυβερνοεπίθεση Στο Δικαστικό Σύστημα της Ελβετίας: Πιθανή Επίθεση Ransomware
Ένα δικαστικό σύστημα στην Ελβετία ανακοίνωσε την Τρίτη ότι έχει πληγεί από μια κυβερνοεπίθεση.
Το δικαστήριο, που βρίσκεται στη γερμανόφωνη περιοχή του Μαρτς στην κεντρική Ελβετία, εξυπηρετεί περίπου 45.000 άτομα.
Αν και η φύση της επίθεσης δεν έχει αποκαλυφθεί πλήρως, μια περιορισμένη περιγραφή στην ιστοσελίδα του δικαστηρίου υποδεικνύει ότι πιθανότατα πρόκειται για μια επίθεση ransomware. “Κλείσαμε προσωρινά ολόκληρο το πληροφορικό σύστημα για να προστατέψουμε τα δεδομένα. Προς το παρόν, δεν υπάρχει σαφής χρονικός ορίζοντας για την επαναφορά του, αλλά η διαδικασία μπορεί να διαρκέσει αρκετές ημέρες”, αναφέρει η ιστοσελίδα.
Οι τηλεφωνικές γραμμές του δικαστηρίου είναι προσωρινά εκτός λειτουργίας, αλλά προγραμματισμένες ακροάσεις αναμένεται να πραγματοποιηθούν σύμφωνα με το πρόγραμμα.
Αυτή η κυβερνοεπίθεση ακολουθεί μια παρόμοια επίθεση ransomware στη δημοτική διοίκηση του Zollikofen, προαστίου της Βέρνης, τον Νοέμβριο.
Σύμφωνα με την ελβετική εφημερίδα Inside IT, οι επιτιθέμενοι κρυπτογράφησαν τα δεδομένα διαχείρισης κατά τη διάρκεια της επίθεσης, με τις αρχές να αποσυνδέουν τα δίκτυα ως προληπτικό μέτρο.
Η κυβερνοεπίθεση μπορεί να έχει σοβαρές συνέπειες στη λειτουργία του δικαστικού συστήματος. Η διακοπή της πρόσβασης σε σημαντικά δεδομένα και αρχεία μπορεί να απειλήσει την ακεραιότητα των πληροφοριών και να δυσκολέψει την απονομή δικαιοσύνης. Αυτό μπορεί να οδηγήσει σε καθυστερήσεις ή ακόμη και ακυρώσεις δικαστικών διαδικασιών, με σοβαρές επιπτώσεις για τη δικαιοσύνη και την εμπιστοσύνη του κοινού.
Επιπλέον, μια κυβερνοεπίθεση μπορεί να προκαλέσει τη διαρροή ευαίσθητων πληροφοριών, θέτοντας σε κίνδυνο την ιδιωτικότητα και την ασφάλεια των ατόμων που συμμετέχουν σε δικαστικές διαδικασίες, με σοβαρές επιπτώσεις για τους ενδιαφερόμενους.
Παραβίαση Δεδομένων στην Americold: Χιλιάδες Εργαζόμενοι Επηρεάζονται
Η Americold, ο γίγαντας αποθήκευσης και παροχής πάγου, επιβεβαίωσε ότι περισσότεροι από 129.000 υπάλληλοι και οι συγγενείς τους υπέστησαν παραβίαση των προσωπικών τους δεδομένων κατά τη διάρκεια μιας επίθεσης τον Απρίλιο. Η επίθεση αποδίδεται σε κακόβουλο λογισμικό Cactus ransomware.
Η Americold, που απασχολεί 17.000 άτομα παγκοσμίως και διαχειρίζεται περισσότερες από 24 αποθήκες με ελεγχόμενη θερμοκρασία σε όλη τη Βόρεια Αμερική, την Ευρώπη, την Ασία-Ειρηνικό και τη Νότια Αμερική, έπρεπε να αντιμετωπίσει τις συνέπειες της παραβίασης του δικτύου της.
Η επίθεση οδήγησε σε διακοπή που επηρέασε τις λειτουργίες της εταιρείας, αναγκάζοντάς τη να κλείσει το IT δίκτυό της προκειμένου να περιορίσει την παραβίαση και να ανακτήσει τα επηρεαζόμενα συστήματα.
Αλγόριθμος τεχνητής νοημοσύνης ανιχνεύει επιθέσεις MitM σε μη επανδρωμένα στρατιωτικά οχήματα
Καθηγητές του Πανεπιστημίου της Νότιας Αυστραλίας και του Πανεπιστημίου Charles Sturt ανέπτυξαν έναν αλγόριθμο για τον εντοπισμό και την αναχαίτιση επιθέσεων man-in-the-middle (MitM) σε μη επανδρωμένα στρατιωτικά ρομπότ.
Οι επιθέσεις MitM είναι ένας τύπος κυβερνοεπίθεσης όπου η κυκλοφορία δεδομένων μεταξύ δύο μερών, στην προκειμένη περίπτωση, του ρομπότ και των νόμιμων ελεγκτών του, υποκλέπτεται είτε για να υποκλαπεί είτε για να εισαχθούν ψευδή δεδομένα στη ροή.
Τέτοιες κακόβουλες επιθέσεις έχουν ως στόχο να διακόψουν τη λειτουργία των μη επανδρωμένων οχημάτων, να τροποποιήσουν τις μεταδιδόμενες οδηγίες και, σε ορισμένες περιπτώσεις, ακόμη και να αναλάβουν τον έλεγχο, δίνοντας εντολή στα ρομπότ να προβούν σε επικίνδυνες ενέργειες.
Οι ερευνητές του πανεπιστημίου ανέπτυξαν έναν αλγόριθμο που χρησιμοποιεί τεχνικές μηχανικής μάθησης για τον εντοπισμό αυτών των προσπαθειών και τον τερματισμό τους σε δευτερόλεπτα.
Ο αλγόριθμος δοκιμάστηκε σε ένα αντίγραφο του GVR-BOT που χρησιμοποιείται από τον αμερικανικό στρατό (TARDEC) και κατέγραψε επιτυχή αποτροπή επιθέσεων στο 99% των περιπτώσεων, με ψευδώς θετικά αποτελέσματα σε λιγότερο από 2% των δοκιμασμένων περιπτώσεων.
Αναγνώριση επιθέσεων MitM
Η ανίχνευση MitM που στοχεύουν οχήματα και ρομπότ χωρίς πλήρωμα είναι πολύπλοκη, καθώς τα συστήματα αυτά λειτουργούν με ανοχή σε σφάλματα, οπότε η διάκριση μεταξύ κανονικών λειτουργιών και συνθηκών σφάλματος μπορεί να είναι θολή.
Επίσης, τα ρομποτικά συστήματα μπορούν να παραβιαστούν σε διάφορα επίπεδα, από το κεντρικό σύστημα έως τα υποσυστήματά του και τα υποσυστήματά τους, προκαλώντας ένα λειτουργικό πρόβλημα που θα μπορούσε να καταστήσει το ρομπότ δυσλειτουργικό.
Οι ερευνητές του πανεπιστημίου ανέπτυξαν ένα σύστημα που ανέλυε τα δεδομένα κίνησης του δικτύου του ρομπότ για να εντοπίζει προσπάθειες παραβίασης του. Το σύστημα αυτό χρησιμοποιεί μεθόδους βασισμένες σε κόμβους, εξετάζει προσεκτικά τα δεδομένα πακέτων και χρησιμοποιεί ένα σύστημα βασισμένο στη στατιστική ροής που διαβάζει μεταδεδομένα από την επικεφαλίδα του πακέτου.
Το λεπτομερές τεχνικό έγγραφο που κυκλοφόρησαν οι ερευνητές εμβαθύνει στις ιδιαιτερότητες του μοντέλου βαθιάς μάθησης CNN (convolutional neural network) που αναπτύχθηκε για τον σκοπό αυτό, το οποίο περιλαμβάνει πολλαπλά επίπεδα και φίλτρα που αυξάνουν την αξιοπιστία του αποτελέσματος ανίχνευσης κυβερνοεπιθέσεων.
Οι πραγματικές δοκιμές που πραγματοποιήθηκαν στο replica bot με προσομοιωμένες κυβερνοεπιθέσεις με στόχο διάφορα συστήματα παρήγαγαν εξαιρετικά αποτελέσματα και υψηλή ακρίβεια αναγνώρισης ακόμη και μετά από μόλις 2-3 εποχές εκπαίδευσης του μοντέλου.
Βελτιστοποιημένες εκδόσεις αυτού του νέου συστήματος προστασίας θα μπορούσαν να βρουν εφαρμογές σε παρόμοιες αλλά πιο απαιτητικές ρομποτικές εφαρμογές, όπως τα μη επανδρωμένα αεροσκάφη.
Η προστασία μιας ιστοσελίδας WordPress είναι κρίσιμη για τη διατήρηση της ασφάλειάς της. Εδώ έχουμε μερικές βασικές οδηγίες για το πώς να προστατεύσετε την ιστοσελίδα σας:
Κρατήστε το WordPress, θέματα και πρόσθετα ενημερωμένα: Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας. Βεβαιωθείτε ότι το WordPress, τα θέματά σας και τα πρόσθετά σας είναι πάντα ενημερωμένα.
Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Χρησιμοποιήστε μία συνδυασμό πεζών και κεφαλαίων γραμμάτων, αριθμών και ειδικών χαρακτήρων για τους κωδικούς πρόσβασης του διαχειριστή σας.
Περιορίστε τις προσπάθειες σύνδεσης: Εγκαταστήστε ένα πρόσθετο περιορισμού προσπαθειών σύνδεσης (login attempts) για να αποτρέψετε επιθέσεις brute force.
Χρησιμοποιήστε SSL/HTTPS: Εγκαταστήστε ένα πιστοποιητικό SSL για να κρυπτογραφείτε την επικοινωνία με την ιστοσελίδα σας, προσφέροντας έτσι ασφαλή σύνδεση.
Περιορίστε την πρόσβαση στον φάκελο wp-admin: Μπορείτε να περιορίσετε την πρόσβαση στον φάκελο wp-admin μόνο σε συγκεκριμένες IP διευθύνσεις.
Ενεργοποιήστε την διήθηση δύο παραγόντων (2FA): Η συνδεση δύο παραγόντων προσθέτει επιπρόσθετη ασφάλεια, απαιτώντας έναν επιπλέον κωδικό εκτός από τον κωδικό πρόσβασης.
Καθαρίστε τον κώδικά σας: Αναζητήστε τυχόν αδυναμίες στον κώδικά σας και επιδιορθώστε τις αμέσως. Επιπλέον, απενεργοποιήστε ή διαγράψτε πρόσθετα ή θέματα που δεν χρησιμοποιείτε.
Εφαρμόστε αντι-DDoS μέτρα: Χρησιμοποιήστε μια υπηρεσία προστασίας από DDoS επιθέσεις για να προστατεύσετε την ιστοσελίδα σας από υπερφορτώσεις και επιθέσεις αυξημένης κίνησης.
Κάντε τακτικά αντίγραφα ασφαλείας: Κάντε τακτικά αντίγραφα ασφαλείας της ιστοσελίδας σας, συμπεριλαμβανομένης της βάσης δεδομένων, για να αποκαταστήσετε την ιστοσελίδα σε περίπτωση προβλημάτων.
Πως θα βάλετε backdoor σε μια ιστοσελίδα με τη χρήση του Weevely
Συχνά, θα έχετε τη δυνατότητα να ανεβάσετε ένα αρχείο σε ιστότοπο, όπως ένα αρχείο Word, ένα PDF ή μια εικόνα όπως ένα αρχείο .jpg ή .png.
Πιθανόν έχετε ανεβάσει εικόνες σε κοινωνικά δίκτυα όπως το Facebook ή το Twitter και ίσως έχετε ανεβάσει έγγραφα DOC ή PDF στον ιστότοπο της εταιρείας ή του σχολείου σας. Αυτές οι μεταφορτώσεις μπορεί να αποτελέσουν μια κρίσιμη αδυναμία σε αυτούς τους ιστότοπους, εάν μπορείτε να μεταφορτώσετε κακόβουλο λογισμικό που θα εκτελεστεί στον ιστότοπο και θα σας παράσχει μια πίσω πόρτα στον ιστότοπο και στον υποκείμενο διακομιστή.
Weevely είναι σχεδιασμένο για να σας παρέχει ένα PHP web shell που μπορεί να αναρτηθεί σε έναν ιστότοπο και να εκτελεστεί, παρέχοντάς σας μια πίσω πόρτα. Φυσικά, λειτουργεί μόνο με ιστότοπους που χρησιμοποιούν PHP, αλλά υπάρχει ένας πολύ μεγάλος αριθμός ιστότοπων που χρησιμοποιούν PHP.
Το Weevely είναι ενσωματωμένο στη διανομή Kali, αλλά αν χρησιμοποιείτε άλλο λειτουργικό σύστημα, μπορείτε να το αποκτήσετε από το GitHub χρησιμοποιώντας την εντολή git clone, όπως παρακάτω:
kali > git clone https://github.com/eppina/weevely3
Εάν θέλετε να χρησιμοποιήσετε το Weevely στο Kali, θα ανοίξετε ένα τερματικό και θα πληκτρολογήσετε την εντολή “weevely”.
Όπως μπορείτε να δείτε, το Weevely εμφανίζει ένα σφάλμα, αλλά παρέχει βασικές πληροφορίες για το Weevely. Για να λάβετε ακόμη περισσότερες πληροφορίες, εκτελέστε το Weevely με την επιλογή –help.
weevely --help
Με αυτήν την εντολή, θα λάβετε περισσότερες λεπτομέρειες σχετικά με τις διαθέσιμες επιλογές και τη χρήση του Weevely. Αυτό είναι χρήσιμο για να κατανοήσετε πώς να προσαρμόσετε τη χρήση του εργαλείου σύμφωνα με τις ανάγκες σας.
Όπως μπορείτε να δείτε από την οθόνη βοήθειας (help screen), το Weevely λειτουργεί σε τρεις καταστάσεις:
terminal
session
generate
Βήμα #2: Δημιουργία Backdoor
Στη συνέχεια, θα δημιουργήσουμε μια πίσω πόρτα (backdoor) με το Weevely. Για να το κάνουμε αυτό, θα χρησιμοποιήσουμε την ακόλουθη σύνταξη: weevely generate <password> <output.php>
Στην εντολή αυτή, αντικαταστήστε το <password> με τον κωδικό πρόσβασης που θέλετε να χρησιμοποιήσετε για την πίσω πόρτα και το <output.php> με το όνομα αρχείου που θα δημιουργηθεί για την πίσω πόρτα (π.χ., backdoor.php).
Μετά την εκτέλεση αυτής της εντολής, θα δημιουργηθεί ένα αρχείο backdoor.php που θα λειτουργεί ως πίσω πόρτα με τον καθορισμένο κωδικό πρόσβασης. Αυτό το αρχείο μπορείτε στη συνέχεια να ανεβάσετε σε έναν ιστότοπο για να χρησιμοποιήσετε την πίσω πόρτα που δημιουργήσατε.
Βήμα #3: Δοκιμή του backdoor μέσα απο το Damn Vulnerable Web Application (DVWA)
Για να δοκιμάσουμε το backdoor που δημιουργήσαμε, θα το κάνουμε μέσα απο το DVWA. Το DVWA είναι ενσωματωμένο στο Metasploitable, αλλά μπορείτε να το εγκαταστήσετε σχεδόν σε οποιοδήποτε λειτουργικό σύστημα.
Ανοίξτε έναν περιηγητή και μεταβείτε στο DVWA. Αν χρησιμοποιείτε το Metasploitable, πλοηγηθείτε στη διεύθυνση IP του συστήματός σας και επιλέξτε το DVWA. Όταν το κάνετε, θα εμφανιστεί ένα παράθυρο σύνδεσης όπως το παρακάτω.
Τα στοιχεία πρόσβασης για το DVWA είναι “admin” και “password”.
Στη συνέχεια, κάντε κλικ στην καρτέλα “Upload” στο αριστερό μέρος της οθόνης.
Θα σας κάνει ανακατεύθυνση σε μια σελίδα στην οποία μπορούμε να ανεβάσουμε το αρχείο μας.
Κάντε κλικ στο κουμπί “Browse” και επιλέξτε το backdoor που δημιουργήσαμε παραπάνω με το Weevely.
Και πατήστε στο upload
Όταν το κάνετε, θα εμφανίσει τη διαδρομή όπου έχει ανέβει το backdoor σας. Φυσικά, στον πραγματικό κόσμο, η εφαρμογή δεν θα σας πει πού έχει ανέβει το αρχείο. Θα πρέπει να κατανοήσετε την αρχιτεκτονική της ιστοσελίδας για να ξέρετε πού ανεβαίνουν τα αρχεία, αλλά το DVWA το καθιστά ευκολότερο για τον αρχάριο χάκερ.
Βήμα #4: Εκτέλεση του backdoor μας
Τώρα που έχουμε το αρχείο μας, χρειαζόμαστε να το εκτελέσουμε.
Αυτό το κάνουμε πληκτρολογώντας την εντολή weevely, στη συνέχεια την ακριβή διεύθυνση URL του backdoor, και τέλος τον κωδικό πρόσβασης. Στην περίπτωσή μας εδώ, θα ήταν:
kali > weevely http://192.168.1.109/dvwa/hackable/uploads/backdoor.php password
Βήμα #5: Χρήση του Weevely
Ας ξεκινήσουμε εισάγοντας την εντολή “help” για να δούμε τι μπορεί να κάνει το Weevely. Σημειώστε ότι οι εντολές του Weevely ξεκινούν πάντα με άνω τελεία (:).
:help
Ας πάρουμε μερικές πληροφορίες για τον server με την εντολή system_info
Αυτό ειναι μια γεύση απο την χρήση του Weevely.. μπορείτε να κάνετε πολλά περισσότερα…!!|
Επίθεση Χάκερ Στο Δικαστικό Σύστημα της Αυστραλίας: Κλοπή Ηχογραφήσεων και Παρεμπόδιση Δικτύου
Χάκερ προσπάθησαν να αποκτήσουν πρόσβαση στη βάση δεδομένων με τις ηχογραφήσεις των δικαστηρίων στην πολιτεία της Βικτόρια στην Αυστραλία και διέκοψαν το δίκτυο τεχνολογίας ήχου-εικόνας στα δικαστήρια, επηρεάζοντας τις υπηρεσίες ηχογραφήσεων και μεταγραφών, δήλωσε επίσημος την Τρίτη.
Σύμφωνα με τη δήλωση της διευθύντριας της Υπηρεσίας Δικαστηρίων της Βικτόρια, Louise Anderson, ενδέχεται να έχουν κλαπεί ηχογραφήσεις από κάποιες δικαστικές ακροάσεις μεταξύ 1ης Νοεμβρίου και 21ης Δεκεμβρίου 2023. Επιπλέον, ορισμένες ακροάσεις πριν από την 1η Νοεμβρίου μπορεί επίσης να έχουν επηρεαστεί, σύμφωνα με τα λεγόμενά της.
“Η πιθανή πρόσβαση περιορίζεται στις ηχογραφήσεις που αποθηκεύονται στο δίκτυο. Δεν προσπελάστηκαν άλλα συστήματα δικαστηρίων ή αρχεία, συμπεριλαμβανομένων πληροφοριών υπαλλήλων ή οικονομικών δεδομένων”, δήλωσε η Anderson.
Οι ακροάσεις του Ιανουαρίου θα συνεχιστούν μετά την απομόνωση και απενεργοποίηση του επηρεασμένου δικτύου, και οι αξιωματούχοι του δικαστηρίου συνεργάζονται στενά με τους ειδικούς κυβερνοασφαλείας της κυβέρνησης. Η Υπηρεσία Δικαστηρίων της Βικτόρια δεν αποκάλυψε εάν λάβει απαιτήσεις για λύτρα.
Ομάδες κυβερνοεγκληματιών με υποστήριξη από το κράτος και χάκερ έχουν εντείνει τις επιθέσεις τους σε κρίσιμες υποδομές, επιχειρήσεις και κατοικίες της Αυστραλίας, όπως ανέδειξε έκθεση της κυβέρνησης που κυκλοφόρησε το Νοέμβριο του 2023, με μία επίθεση να σημειώνεται κάθε έξι λεπτά.
Καθώς η ψηφιακή ασφάλεια και η ιδιωτικότητα στο Διαδίκτυο γίνονται όλο και πιο σημαντικές, οι χρήστες αναζητούν τρόπους για να προστατεύσουν τα προσωπικά τους δεδομένα και να αποφύγουν την παρακολούθηση της διαδικτυακής δραστηριότητάς τους. Δύο δημοφιλείς επιλογές για αυτόν τον σκοπό είναι το Virtual Private Network (VPN) και το Proxy Server. Σε αυτό το άρθρο, θα συγκρίνουμε αυτές τις δύο τεχνολογίες και θα αναλύσουμε ποια είναι η καλύτερη επιλογή για εσάς.
VPN (Virtual Private Network):
Τα VPN είναι δίκτυα που δημιουργούν ασφαλείς συνδέσεις μεταξύ της συσκευής σας και ενός απομακρυσμένου διακομιστή, περνώντας όλη τη διαδικτυακή σας κίνηση μέσω αυτού του διακομιστή. Κάνοντας αυτό, τα VPN κρύβουν την IP διεύθυνσή σας και κρυπτογραφούν την διαδικτυακή σας κίνηση, καθιστώντας την δύσκολη στην παρακολούθηση από τρίτους. Ορισμένα πλεονεκτήματα των VPN περιλαμβάνουν:
Υψηλό επίπεδο ασφάλειας και ιδιωτικότητας.
Ανώνυμη περιήγηση στο Διαδίκτυο.
Πρόσβαση σε περιορισμένο περιεχόμενο (όπως Netflix σε άλλες χώρες).
Χρήση δωρεάν VPN:
Η χρήση ενός δωρεάν VPN μπορεί να είναι χρήσιμη για κάποιους, αλλά υπάρχουν ορισμένα πράγματα που πρέπει να ληφθούν υπόψη πριν αποφασίσετε να το χρησιμοποιήσετε:
Ασφάλεια και Ιδιωτικότητα: Το κύριο μειονέκτημα των δωρεάν VPN είναι ότι συνήθως δεν προσφέρουν το ίδιο υψηλό επίπεδο ασφάλειας και ιδιωτικότητας που προσφέρουν τα πληρωμένα VPN. Ορισμένα δωρεάν VPN μπορεί να περιλαμβάνουν διαφημίσεις ή να συλλέγουν δεδομένα χρήστη.
Ταχύτητα: Η ταχύτητα σύνδεσης μπορεί να είναι περιορισμένη με δωρεάν VPN λόγω του υπερφορτωμένου δικτύου ή των περιορισμών που επιβάλλουν στους δωρεάν χρήστες.
Περιορισμοί: Τα δωρεάν VPN μπορεί να έχουν περιορισμούς όπως περιορισμένη επιλογή τοποθεσιών διακομιστών, περιορισμένο εύρος ζώνης ή περιορισμούς στην χρήση P2P.
Αξιοπιστία: Δεν όλα τα δωρεάν VPN είναι αξιόπιστα. Κάποια μπορεί να είναι αναξιόπιστα και να μην λειτουργούν πάντα σωστά.
Proxy Server:
Τα Proxy Servers λειτουργούν ως ενδιάμεσοι διακομιστές μεταξύ της συσκευής σας και του Διαδικτύου. Αντί να συνδέεστε απευθείας σε έναν ιστότοπο, συνδέεστε σε έναν proxy server, ο οποίος στη συνέχεια αιτείται το περιεχόμενο από τον ιστότοπο για λογαριασμό σας. Κάποια πλεονεκτήματα των Proxy Servers περιλαμβάνουν:
Απλότητα και ευκολία ρύθμισης.
Περιορισμένη προστασία της ιδιωτικότητας (τα περισσότερα πρόξενα servers δεν κρυπτογραφούν την κίνηση).
Χρήση για πρόσβαση σε περιορισμένο περιεχόμενο.
Ας δούμε πώς λειτουργεί ένας Proxy Server:
Σύνδεση με τον Proxy Server: Πριν από τη σύνδεσή σας σε έναν ιστότοπο στο Διαδίκτυο, ρυθμίζετε τη συσκευή σας (συνήθως στις ρυθμίσεις του προγράμματος περιήγησης) για να χρησιμοποιεί έναν συγκεκριμένο Proxy Server.
Αίτημα προς τον Proxy Server: Όταν προσπαθείτε να επισκεφτείτε μια ιστοσελίδα, η συσκευή σας στέλνει το αίτημα στον Proxy Server αντί να το στέλνει απευθείας στην ιστοσελίδα.
Αίτημα από τον Proxy Server προς τον Ιστότοπο: Ο Proxy Server λαμβάνει το αίτημά σας και στέλνει το αίτημα προς τον ιστότοπο που επιθυμείτε να επισκεφτείτε.
Ανάκτηση της Απόκρισης: Ο ιστότοπος στέλνει την απόκρισή του πίσω στον Proxy Server.
Αποστολή της Απόκρισης στην Συσκευή σας: Ο Proxy Server λαμβάνει την απόκριση από τον ιστότοπο και την στέλνει πίσω στη συσκευή σας.
Παρουσίαση της Σελίδας: Η συσκευή σας λαμβάνει την απόκριση από τον Proxy Server και παρουσιάζει την ιστοσελίδα στον πρόγραμμα περιήγησης σας.
Κατά την επιλογή μεταξύ VPN και Proxy, είναι σημαντικό να λάβετε υπόψη τις ανάγκες και τους στόχους σας.
Εδώ είναι μερικά κριτήρια που μπορεί να σας βοηθήσουν να αποφασίσετε ποιο είναι το κατάλληλο για εσάς:
Χρήση και Σκοπός:
Αν απλά χρειάζεστε περιορισμένη πρόσβαση σε περιεχόμενο που είναι διαθέσιμο μόνο σε συγκεκριμένες περιοχές, τότε ένα Proxy Server μπορεί να είναι αρκετό για εσάς.
Εάν ανησυχείτε για την ασφάλεια και την ιδιωτικότητά σας και θέλετε να προστατεύσετε τα προσωπικά σας δεδομένα κατά τη διάρκεια της περιήγησης στο Διαδίκτυο, τότε ένα VPN είναι πιο κατάλληλο.
Ασφάλεια:
Τα VPN προσφέρουν υψηλότερο επίπεδο ασφάλειας από τα Proxy Servers. Αυτό σημαίνει ότι όλη η διαδικτυακή σας κίνηση είναι κρυπτογραφημένη και προστατεύεται από παρακολούθηση.
Ιδιωτικότητα:
Τα VPN προστατεύουν την ιδιωτικότητά σας καλύτερα από τα Proxy Servers, καθώς κρύβουν την πραγματική σας IP διεύθυνση.
Ταχύτητα:
Οι VPN μπορεί να επηρεάσουν την ταχύτητα της σύνδεσής σας ελαφρώς λόγω της κρυπτογράφησης. Τα Proxy Servers είναι συνήθως πιο γρήγορα, αλλά δεν προσφέρουν την ίδια ασφάλεια.
Κόστος:
Τα περισσότερα Proxy Servers είναι δωρεάν, ενώ τα VPN συνήθως απαιτούν μηνιαία συνδρομή. Εντούτοις, υπάρχουν και δωρεάν VPN με περιορισμένες λειτουργίες.
Τα VPN δεν είναι για ..
Τα δίκτυα VPN ενδέχεται να επιβραδύνουν τη σύνδεση στο Internet
Ενδέχεται να παρουσιαστεί πτώση ταχύτητας με τη σύνδεσή σας στο διαδίκτυο όταν δρομολογείται μέσω VPN λόγω της υψηλής ποιότητας κρυπτογράφησης 256-bit. Μερικές φορές η σύνδεση VPN ενδέχεται να επιβραδύνει την ταχύτητα του Internet εάν υπάρχουν πάρα πολλοί χρήστες που είναι ενεργοί στο διακομιστή.
Είμαι συνδεδεμένος σε ένα VPN, έτσι μπορώ να κάνω κάτι online;
Εάν βρίσκεστε σε VPN τότε δεν μπορούμε να πούμε ότι είστε 97% ανώνυμοι, ο πάροχος VPN μπορεί να δει τα αρχεία καταγραφής πρόσβασης και θα κρατήσει τα αρχεία καταγραφής για τουλάχιστον 6 μήνες, ανάλογα με τη χώρα.
Όλα τα VPN δεν είναι τα ίδια και υπάρχουν διάφοροι παράγοντες που πρέπει να ληφθούν υπόψη κατά την ταξινόμησή τους με βάση τις ανάγκες, τις υποστηριζόμενες πλατφόρμες, τον αριθμό των διαθέσιμων εξυπηρετητών.
Επίσης, οι χρήστες θα πρέπει να γνωρίζουν ότι τα δίκτυα VPN δεν θα σας εξασφάλιζαν από το Phishing ή από τις επιθέσεις malware και ransomware .
Μπορείτε να αποκτήσετε το δωρεάν VPN, αλλά η σύνδεση θα είναι τρομερή και θα υποφέρει σοβαρά με τους περιορισμούς σχετικά με το χαμηλό εύρος ζώνης και ορισμένοι πάροχοι πωλούν ακόμη και τα προσωπικά σας δεδομένα.
Οι Proxy Servers είναι οι καλύτεροι για …
Οι Proxy χρησιμοποιούνται ευρέως για να παρακάμψουν τους αποκλεισμένους ιστότοπους στο ISP ή σε επίπεδο οργανισμού.
Proxy Server που χρησιμοποιούνται σε εταιρικά περιβάλλοντα για να προστατεύουν την εσωτερική τους υποδομή δικτύου.
Το Proxies περιέχει έναν πολύ καλό μηχανισμό προσωρινής αποθήκευσης, ώστε να μπορεί να χρησιμοποιηθεί για να επιταχύνει τη διαδικασία περιήγησης.
Οι Proxy Server σας κάνει να παραμείνετε ανώνυμοι σε απευθείας σύνδεση, αλλά δεν θα κρυπτογραφήσει την κίνηση όπως το VPN.
Με μερικούς από τους Proxy μπορείτε να έχετε διπλή προστασία καθώς έχουν ενσωματωμένο το τείχος προστασίας που σταματάει τις εισβολές.
Οι διαχειριστές των διακομιστών μπορούν να χρησιμοποιούν διακομιστές μεσολάβησης ( Proxy Servers ) για να αποκλείουν ιστότοπους που σχετίζονται με την κοινωνική δικτύωση, τα παιχνίδια, τους ιστότοπους για ενήλικες για τους υπαλλήλους του οργανισμού.
Υπάρχουν χιλιάδες δωρεάν Proxy Servers στο διαδίκτυο, επιλέγοντας ένα Proxy πρέπει να εξετάσετε προσεκτικά το χρόνο διακοπής.
Με τη βοήθεια των διακομιστών μεσολάβησης ( Proxy Servers ), μπορείτε να μπείτε σε ιστότοπους που έχουν αποκλειστεί γεωγραφικά.
Οι Proxy δεν είναι για …
Οι διακομιστές μεσολάβησης δεν είναι ασφαλείς για επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου και πρωτόκολλα μεταφοράς αρχείων και οι διακομιστές μεσολάβησης είναι καλή μόνο για την επικοινωνία μέσω διαδικτύου.
Είναι λιγότερο ασφαλής από την αποθήκευση όλων των κωδικών πρόσβασης των χρηστών στον ενεργό κατάλογο. Δεν είναι συμβατά με όλα τα πρωτόκολλα δικτύου.
Με τα τείχη προστασίας του διακομιστή μεσολάβησης, η διαμόρφωση είναι πολύ δύσκολη σε σύγκριση με άλλα σύγχρονα τείχη προστασίας ημέρας.
Εάν ο διακομιστής μεσολάβησης παραβιάζεται, τότε υπάρχει πιθανότητα κλοπής ταυτότητας, τότε θα πρέπει να αποφύγετε την εισαγωγή τραπεζικών διαπιστευτηρίων σύνδεσης όταν συνδέεστε μέσω διακομιστή μεσολάβησης.
Ο διαχειριστής του διακομιστή μεσολάβησης μπορεί να ξεγελάσει όλες τις λεπτομέρειες που ταξιδεύουν μέσω του διακομιστή και επίσης είναι κακοί στο χειρισμό λειτουργιών όπως τα σενάρια Flash, Java και JavaScript.
Οι διακομιστές μεσολάβησης έχουν μερικά σοβαρά μειονεκτήματα ασφαλείας εάν η μεμονωμένη θύρα ανοιχτή με τον διακομιστή μεσολάβησης και οι επιτιθέμενοι μπορούν να εισβάλουν.
Δεν είναι όλα τα Proxy Servers καλα, θα πρέπει να αφιερώσετε πολύ χρόνο για να βρείτε ένα σωστό.
Καταλήγοντας, αυτή η μάχη μοιάζει με τον Δαυίδ εναντίον του Γολιάθ, μόνο που σε αυτή την περίπτωση ο Γολιάθ νικά αναμφισβήτητα.
Επιλέξτε ανάλογα με τις ανάγκες και τις προτεραιότητές σας, λαμβάνοντας υπόψη την ασφάλεια, την ιδιωτικότητα και την ταχύτητα που επιθυμείτε.
Νέο CVE υψηλής βαθμολογίας από την Google στη libwebp
Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας της libwebp, η οποία αξιοποιήθηκε ως zero-day σε επιθέσεις και επιδιορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, που εντοπίστηκε ως CVE-2023-4863, αντί να το αποδώσει στη βιβλιοθήκη libwebp ανοικτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το σφάλμα μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο την Τετάρτη 6 Σεπτεμβρίου και διορθώθηκε από την Google λιγότερο από μια εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας του Citizen Lab έχουν καθιερωμένο ιστορικό στον εντοπισμό και την αποκάλυψη zero-day που έχουν γίνει αντικείμενο κατάχρησης σε στοχευμένες εκστρατείες κατασκοπευτικού λογισμικού, οι οποίες συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να χαρακτηριστεί ως σφάλμα του Chrome προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως πρόβλημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα στο libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064 που αντιμετωπίστηκε από την Apple στις 7 Σεπτεμβρίου και χρησιμοποιήθηκε καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για τη μόλυνση πλήρως επιδιορθωμένων iPhones με το εμπορικό spyware Pegasus της NSO Group.
Νέο CVE υψηλής σοβαρότητας
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE, το CVE-2023-5129, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στη libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοικτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα της libwebp και αφορά μια υπερχείλιση buffer σωρού στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman που χρησιμοποιείται από τη libwebp για συμπίεση χωρίς απώλειες και επιτρέπει στους επιτιθέμενους να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας κακόβουλα διαμορφωμένες σελίδες HTML.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από συντριβές έως εκτέλεση αυθαίρετου κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η επαναταξινόμηση του CVE-2023-5129 ως ευπάθεια της libwebp έχει ιδιαίτερη σημασία λόγω του ότι αρχικά πέρασε απαρατήρητη ως πιθανή απειλή για την ασφάλεια πολλών έργων που χρησιμοποιούν τη libwebp, συμπεριλαμβανομένων των 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android.
Η αναθεωρημένη κρίσιμη αξιολόγηση υπογραμμίζει τη σημασία της άμεσης αντιμετώπισης της ευπάθειας ασφαλείας (που τώρα παρακολουθείται με πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε όλες αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.
Bluetooth Hacking, Μέρος 1: Ξεκινώντας με το Bluetooth
Σήμερα, το Bluetooth είναι ενσωματωμένο σε σχεδόν όλες τις συσκευές και gadgets μας. Στους υπολογιστές μας, τα smartphones, τα iPods, τα tablets, τα ηχεία, τα χειριστήρια παιχνιδιών, τα πληκτρολόγια και πολλές άλλες συσκευές.
Εμείς θα επικεντρωθούμε στο χακάρισμα κινητών συσκευών, και tablets Η δυνατότητα να χακάρετε το Bluetooth απο μια συσκευή μπορεί να οδηγήσει στην παραβίαση οποιασδήποτε πληροφορίας στη συσκευή (φωτογραφίες, emails, κείμενα, κλπ.), τον έλεγχο της συσκευής και τη δυνατότητα αποστολής ανεπιθύμητων πληροφοριών στη συσκευή.
Πριν ξεκινήσουμε να χακάρουμε το Bluetooth, όμως, πρέπει να κατανοήσουμε την τεχνολογία, τους όρους και την ασφάλεια που έχει ενσωματωθεί στο Bluetooth, αν θέλουμε να το χακάρουμε με επιτυχία. Σε ένα σύντομο άρθρο όπως αυτό, δεν μπορώ να δώσω πολλές πληροφορίες, αλλά πιστεύω ότι μπορώ να σας παρέχω τα βασικά έστι ώστε να φτάσουμε και στο χακάρισμα στους επόμενους οδηγούς.
Βασικά για το Bluetooth:
Το Bluetooth είναι ένα κοινό πρωτόκολλο για επικοινωνία χαμηλής ισχύος σε κοντινή απόσταση, λειτουργώντας στα 2,4 – 2,485 GHz και αλλαγή συχνότητας σε 1.600 αλλαγές ανά δευτερόλεπτο (αυτή η αλλαγή συχνότητας είναι μέτρο ασφαλείας). Αναπτύχθηκε το 1994 από την εταιρεία Ericsson της Σουηδίας και ονομάστηκε προς τιμήν του Δανού βασιλιά Χάραλντ Μπλουτούθ του 10ου αιώνα.
Η ελάχιστη προδιαγραφή για την εμβέλεια του Bluetooth είναι 10 μέτρα, αλλά δεν υπάρχει όριο για την εμβέλεια που οι κατασκευαστές μπορούν να εφαρμόσουν στις συσκευές τους. Πολλές συσκευές έχουν εμβέλειες έως και 100 μέτρα. Με ειδικές κεραίες, μπορούμε να επεκτείνουμε ακόμα περισσότερο την εμβέλεια.
Όταν συνδέονται δύο συσκευές Bluetooth, αυτό αναφέρεται ως σύζευξη (pairing). Σχεδόν οποιεσδήποτε δύο συσκευές Bluetooth μπορούν να συνδεθούν μεταξύ τους. Κάθε συσκευή Bluetooth μεταδίδει τις παρακάτω πληροφορίες:
Όνομα
Κατηγορία
Λίστα υπηρεσιών
Τεχνικές πληροφορίες
Κατά τη σύζευξη των δύο συσκευών, ανταλλάσσουν ένα προ-κοινόχρηστο μυστικό κλειδί σύνδεσης. Κάθε συσκευή αποθηκεύει αυτό το κλειδί σύνδεσης για να αναγνωρίζει την άλλη σε μελλοντικές συζεύξεις.
Κάθε συσκευή έχει ένα μοναδικό αναγνωριστικό 48-bit (σαν διεύθυνση MAC) και συνήθως ένα όνομα που έχει ανατεθεί από τον κατασκευαστή.
Παρακάτω είναι ένα διάγραμμα της διαδικασίας σύζευξης Bluetooth. Παρόλο που είναι πολύ πιο ασφαλές τα τελευταία χρόνια, παραμένει ευάλωτο, όπως θα δούμε και σε μελλοντικούς οδηγούς.
Βασικά Εργαλεία Bluetooth στο Linux
Το BlueZ διαθέτει αρκετά απλά εργαλεία που μπορούμε να χρησιμοποιήσουμε για τη διαχείριση και τελικά το χακάρισμα Bluetooth. Σχεδόν όλες οι διανομές Linux το έχουν εγκατεστημένο
Αυτά περιλαμβάνουν:
hciconfig: Αυτό το εργαλείο λειτουργεί παρόμοια με το ifconfig στο Linux, με τη διαφορά ότι λειτουργεί στις συσκευές Bluetooth.
hcitool: Αυτό είναι ένα εργαλείο ερεύνησης (inquiry). Μπορεί να μας παρέχει το όνομα της συσκευής, το αναγνωριστικό της, την κατηγορία της και την ώρα της συσκευής.
hcidump: Αυτό το εργαλείο μας επιτρέπει να “κατασκοπεύουμε” την επικοινωνία Bluetooth.
Πρωτόκολλα Bluetooth:
Τα πρωτόκολλα Bluetooth αποτελούν το σύνολο κανόνων και διαδικασιών που καθορίζουν τον τρόπο επικοινωνίας μεταξύ συσκευών που χρησιμοποιούν την τεχνολογία Bluetooth. Εδώ είναι μερικά από τα βασικά πρωτόκολλα Bluetooth:
Baseband (LMP, L2CAP, SDP): Το Baseband περιλαμβάνει το Link Manager Protocol (LMP) για τη διαχείριση συνδέσμων, το Logical Link Control and Adaptation Protocol (L2CAP) για τον έλεγχο ροής και το Service Discovery Protocol (SDP) για τον εντοπισμό υπηρεσιών.
RFCOMM: Το πρωτόκολλο αντικατάστασης καλωδίων που επιτρέπει την εικονική σύνδεση σειριακής πόρτας μέσω Bluetooth.
Telephony Control Protocol (TCS Binary, AT-commands): Πρωτόκολλο έλεγχου τηλεφωνίας που χειρίζεται τις τηλεφωνικές κλήσεις και τις εντολές AT.
Adopted Protocols (PPP, UDP/TCP/IP, OBEX, WAP, vCard, vCal, IrMC, WAE): Διάφορα πρωτόκολλα που έχουν υιοθετηθεί για επιπλέον λειτουργικότητα, συμπεριλαμβανομένων του Point-to-Point Protocol (PPP), του User Datagram Protocol (UDP), του Transmission Control Protocol (TCP), του Object Exchange Protocol (OBEX), και πολλά άλλα.
Αξίζει να σημειωθεί ότι τα πρωτόκολλα Bluetooth καθορίζουν τον τρόπο μεταφοράς δεδομένων, την αυθεντικοποίηση, την κρυπτογράφηση και άλλες λειτουργίες που είναι απαραίτητες για την ασφαλή και αποτελεσματική επικοινωνία μεταξύ συσκευών Bluetooth.
Ασφάλεια Bluetooth:
Η ασφάλεια στην τεχνολογία Bluetooth είναι ένα σημαντικό θέμα, καθώς εξασφαλίζει ότι οι χρήστες μπορούν να επικοινωνούν ασφαλώς και να μεταφέρουν δεδομένα χωρίς να αντιμετωπίζουν κινδύνους από τυχόν ανεπιθύμητη παρεμβολή ή επιθέσεις. Ορισμένα σημαντικά στοιχεία της ασφάλειας Bluetooth περιλαμβάνουν:
Αλλαγή Συχνοτήτων (Frequency Hopping): Το Bluetooth χρησιμοποιεί μια τεχνική αλλαγής συχνοτήτων για τη μείωση του κινδύνου παρεμβολής. Και ο αποστολέας και ο παραλήπτης ακολουθούν ένα προκαθορισμένο πρότυπο αλλαγής συχνοτήτων, πράγμα που δυσκολεύει τους ανεξουσίαστους παρατηρητές να παρεμβαίνουν.
Προ-Κοινόχρηστο Κλειδί (Pre-Shared Key): Κατά τη διαδικασία σύζευξης, οι συσκευές ανταλλάσσουν ένα προ-κοινόχρηστο κλειδί. Αυτό το κλειδί χρησιμοποιείται για την αυθεντικοποίηση και την κρυπτογράφηση των δεδομένων, προσθέτοντας επίπεδο ασφαλείας.
Καταστάσεις Ασφάλειας Bluetooth: Υπάρχουν τρεις καταστάσεις ασφάλειας για το Bluetooth.
Κατάσταση 1: Δεν υπάρχει ενεργή ασφάλεια. Κατάσταση 2: Ασφάλεια επιπέδου υπηρεσίας, όπου ο κεντρικός διαχειριστής ασφαλείας χειρίζεται την ταυτοποίηση, τη διαμόρφωση και την εξουσιοδότηση. Κατάσταση 3: Ασφάλεια επιπέδου συσκευής, με ταυτοποίηση και κρυπτογράφηση βασισμένη σε μυστικό κλειδί. Επαλήθευση Συσκευών (Device Authentication): Κατά τη διαδικασία σύζευξης, οι χρήστες συνήθως πρέπει να επιβεβαιώσουν τη σύνδεσή τους με τη συσκευή ή να επιτρέπουν τη σύνδεση μόνο σε εξουσιοδοτημένες συσκευές.
Ενεργοποίηση Ασφαλούς Σύνδεσης (Secure Connections): Η πρόσφατη έκδοση του πρωτοκόλλου Bluetooth περιλαμβάνει τη δυνατότητα των ασφαλών συνδέσεων, προσφέροντας προηγμένη ασφάλεια κατά τη διάρκεια της σύνδεσης.
Η τεχνολογία Bluetooth συνεχίζει να εξελίσσεται για να ανταποκρίνεται στις σύγχρονες απαιτήσεις ασφαλούς ασύρματης επικοινωνίας.
Επιπλέον πληροφορίες σχετικά με την ασφάλεια Bluetooth περιλαμβάνουν:
Αποφυγή Ορατότητας (Invisibility): Ορισμένες συσκευές Bluetooth μπορούν να ρυθμίζονται ώστε να μην είναι ορατές για άλλες συσκευές. Αυτό περιορίζει την ευκαιρία για επιθέσεις από ανεπιθύμητους χρήστες.
Ενημερώσεις Λογισμικού: Η εγκατάσταση των πιο πρόσφατων ενημερώσεων λογισμικού για τις συσκευές Bluetooth είναι σημαντική για την αντιμετώπιση τυχόν αδυναμιών ασφαλείας και για τη βελτίωση της γενικής ασφάλειας.
Ελέγχος Ονομάτων Συσκευών: Η αλλαγή του ονόματος της συσκευής μπορεί να προσθέσει επιπλέον επίπεδο ασφαλείας, καθώς δυσκολεύει την αναγνώριση της συσκευής από τρίτους.
Προστασία PIN και Κωδικών Πρόσβασης: Οι χρήστες μπορούν να εφαρμόσουν κωδικούς πρόσβασης ή PIN κατά τη σύζευξη για επιπρόσθετη προστασία. Αυτοί οι κωδικοί πρέπει να είναι γνωστοί μόνο στους εξουσιοδοτημένους χρήστες.
Ασφαλές Συνδεδεμένο Περιβάλλον (Secure Pairing): Η διαδικασία του ασφαλούς συνδέσμου προσφέρει επιπλέον ασφάλεια κατά τη διάρκεια της σύνδεσης μεταξύ συσκευών.
Καταγραφή Δραστηριότητας (Activity Logging): Ορισμένες συσκευές Bluetooth διαθέτουν λειτουργίες καταγραφής δραστηριότητας, οι οποίες μπορούν να χρησιμοποιηθούν για τον έλεγχο τυχόν ανεπιθύμητης πρόσβασης ή δραστηριότητας.
Εργαλεία Χάκινγκ Bluetooth στο Kali
Το Kali είχε κάποτε πολλά εργαλεία χάκινγκ Bluetooth ενσωματωμένα. Στο Kali 2020, μειώθηκαν σε ένα μόνο, το spooftooth. Αυτό δεν σημαίνει ότι δεν υπάρχουν άλλα. Υπάρχουν αρκετά και στο github.com. Θα χρησιμοποιήσουμε πολλά από αυτά σε μελλοντικούς οδηγούς.
Ας ρίξουμε μια σύντομη ματιά σε μερικά άλλα εργαλεία χάκινγκ Bluetooth.
Bluelog: Ένα εργαλείο έρευνας τοποθεσίας Bluetooth. Σαρώνει την περιοχή για εντοπισμό όσων περισσότερων ανακαλύψιμων συσκευών υπάρχουν και καταγράφει τα αποτελέσματα σε ένα αρχείο.
Bluemaho: Ένα σύνολο εργαλείων με γραφικό περιβάλλον για τον έλεγχο της ασφάλειας των συσκευών Bluetooth.
Blueranger: Ένα απλό σενάριο Python που χρησιμοποιεί i2cap pings για να εντοπίσει συσκευές Bluetooth και να προσδιορίσει τις περίπου αποστάσεις τους.
Btscanner: Αυτό το εργαλείο με γραφικό περιβάλλον σαρώνει για ανακαλύψιμες συσκευές εντός εμβέλειας.
Redfang: Αυτό το εργαλείο μας επιτρέπει να βρούμε κρυφές συσκευές Bluetooth.
Spooftooph: Ένα εργαλείο πλαστογράφησης Bluetooth. Μερικές Επιθέσεις Bluetooth
Blueprinting: Η διαδικασία του footprinting.
Bluesnarfing: Αυτή η επίθεση αποσπά δεδομένα από τη συσκευή με δυνατότητα Bluetooth. Αυτά μπορεί να περιλαμβάνουν μηνύματα SMS, πληροφορίες ημερολογίου, εικόνες, το βιβλίο τηλεφώνου και συνομιλίες.
Bluebugging: Ο επιτιθέμενος μπορεί να αναλάβει τον έλεγχο του τηλεφώνου του θύματος. Το Bloover αναπτύχθηκε ως εργαλείο απόδειξης της έννοιας.
Bluejacking: Ο επιτιθέμενος στέλνει μια “επαγγελματική κάρτα” (μήνυμα κειμένου) που, αν ο χρήστης επιτρέψει να προστεθεί στη λίστα επαφών του, επιτρέπει στον επιτιθέμενο να συνεχίσει να στέλνει επιπλέον μηνύματα.
Bluesmack: Επίθεση DoS κατά των συσκευών Bluetooth.
Σε αυτό το άρθρο, θα αναλύσουμε την επίθεση Evil twin και θα εξηγήσουμε πώς να την εντοπίσετε και πώς να την αποτρέψετε από το να σας προκαλέσει προβλήματα.
Τι είναι μια επίθεση Evil Twin;
Σε μια επίθεση “Evil Twin”, ο επιτιθέμενος δημιουργεί ένα ψεύτικο σημείο πρόσβασης WI-FI με το ίδιο κυρίως όνομα με αυτό που θέλει να παραβιάσει και αφού δημιουργήσει το WIFI , ο επιτιθέμενος ελπίζει ότι κάποιος θα μπορούσε να συνδεθεί στο ψεύτικο σημείο πρόσβασης και να το χρησιμοποιήσει αντί για το νόμιμο. Αφού πάρει τον χρήστη στο AP του , ο επιτιθέμενος μπορεί να δημιουργήσει ένα captive portal ζητώντας τον κωδικό πρόσβασης WIFI για να συνδεθεί και στη συνέχεια ο επιτιθέμενος μπορεί τώρα να έχει πρόσβαση στο αρχικό σημείο πρόσβασης WI-FI. Αυτή η επίθεση είναι πολύ συνηθισμένη στα δημόσια WI-FI όπου είναι πολύ συνηθισμένο να υπάρχουν πολλά σημεία πρόσβασης WI-FI με το ίδιο όνομα.
Μεθοδολογία των επιθέσεων Evil Twin:
Υπάρχουν διάφορα βήματα που λαμβάνουν χώρα κατά την εκτέλεση μιας επίθεσης evil twin. Ας περάσουμε από αυτά:
Reconnaissance: Στο αρχικό βήμα , ο επιτιθέμενος ξεκινά με τη σάρωση της περιοχής-στόχου για διαθέσιμα δίκτυα και τον εντοπισμό του σημείου πρόσβασης που θα παραποιήσει.
Creating Rogue Access Point : Αφού βρει το σωστό wifi του θύματος, ο επιτιθέμενος εγκαθιστά ένα παράνομο σημείο πρόσβασης (AP) με πανομοιότυπο ή παρόμοιο SSID με το δίκτυο-στόχο και πιθανότατα , καμία κρυπτογράφηση δεν ρυθμίζεται συνήθως στο παράνομο σημείο πρόσβασης, αλλά ο επιτιθέμενος μπορεί επίσης να δημιουργήσει μια αδύναμη κρυπτογράφηση για να κάνει πολύ πανομοιότυπο το περιβάλλον εργασίας χρήστη.
Matching Network Parameters: Τώρα ο επιτιθέμενος φέρνει το σημείο πρόσβασης στο ίδιο κανάλι και την ίδια συχνότητα, για να αυξήσει τις πιθανότητες εργασίας της επίθεσης.
Broadcasting Signal Strength/Deauthentication: Τώρα, μετά από αυτό , ο εισβολέας προσαρμόζει την ισχύ του σήματος του απατεώνα AP ώστε να ανταγωνίζεται ή να εξουδετερώνει το νόμιμο σήμα του δικτύου. Σε ορισμένες περιπτώσεις, ο επιτιθέμενος χρησιμοποιεί επίσης τη βοήθεια της επίθεσης de-authentication, ενώ αναγκάζει κάθε χρήστη στο νόμιμο WIFI να αποσυνδεθεί, έτσι ώστε τελικά να αναγκαστεί αυτόματα να συνδεθεί με το πλαστό σημείο πρόσβασης.
Clients connect to Rogue AP: Οι συσκευές εντός της εμβέλειας του παραπλανητικού AP συνδέονται αυτόματα στο WI-FI, υποθέτοντας ότι πρόκειται για ένα νόμιμο δίκτυο λόγω της ταύτισης του SSID και άλλων παραμέτρων.
Intercepting Network Traffic: Μόλις οι συσκευές συνδεθούν στο παραπλανητικό AP, ο εισβολέας μπορεί να υποκλέψει και να παρακολουθήσει την κυκλοφορία του δικτύου, συλλαμβάνοντας ευαίσθητα δεδομένα, όπως στοιχεία σύνδεσης, προσωπικές πληροφορίες ή ευαίσθητα αρχεία.
MITM:Τώρα που ο χρήστης είναι συνδεδεμένος , μπορείτε να πραγματοποιήσετε επίθεση Man-in-the-middle για να χειραγωγήσετε ή να τροποποιήσετε τα δεδομένα που ανταλλάσσονται μεταξύ της συσκευής του θύματος και των νόμιμων υπηρεσιών.
Captive Portal : Αφού συνδεθεί ο χρήστης, μπορείτε επίσης να εμφανίσετε μια αιχμάλωτη πύλη, η οποία είναι μια σελίδα που ζητά ξανά τον κωδικό πρόσβασης WI-FI.
Remaining Undetected: Ο επιτιθέμενος έχει ως στόχο να παραμείνει απαρατήρητος, ενσωματώνοντας το παράνομο AP φαινομενικά στο περιβάλλον.
Attack Termination: Αφού ολοκληρωθεί η εργασία σας, μπορείτε απλά να τερματίσετε κάθε πράγμα.
Rogue Access Point vs. Evil Twin Attack
Ο κόσμος γενικά μπερδεύεται μεταξύ των δύο τύπων ασύρματης επίθεσης , η πρώτη είναι η επίθεση Rogue Access point και η άλλη είναι η επίθεση evil twin. Ας κατανοήσουμε λοιπόν τη βασική διαφορά μεταξύ τους.
Rogue Access Point
Σε μια επίθεση σε ένα σημείο πρόσβασης που δεν είναι εγκεκριμένο ή κακόβουλο, προστίθεται ένα μη εξουσιοδοτημένο ή κακόβουλο ασύρματο σημείο πρόσβασης σε ένα δίκτυο, το οποίο έχει εγκατασταθεί από τον επιτιθέμενο, με σκοπό να κρατήσει το σημείο πρόσβασης κρυφό.
Ο στόχος μιας επίθεσης rogue AP είναι να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα δίκτυο και ενδεχομένως να εκμεταλλευτεί τρωτά σημεία στην ασφάλεια του δικτύου. Οι επιτιθέμενοι χρησιμοποιούν αυτή την τεχνική για να παρακάμψουν τους ελέγχους και τις άμυνες του δικτύου.
Παράδειγμα : Ένας επιτιθέμενος τοποθετεί φυσικά ένα αθέμιτο σημείο πρόσβασης σε δημόσιο χώρο ενός κτιρίου γραφείων, ελπίζοντας ότι οι υπάλληλοι θα συνδεθούν σε αυτό. Μόλις συνδεθεί, ο επιτιθέμενος μπορεί να εξαπολύσει διάφορες επιθέσεις για να θέσει σε κίνδυνο τις συνδεδεμένες συσκευές και να αποκτήσει πρόσβαση στο εσωτερικό δίκτυο.
Evil Twin Attack
Σε μια επίθεση evil Twin , ο επιτιθέμενος εγκαθιστά ένα ψεύτικο σημείο πρόσβασης με το ίδιο SSID με το AP , που θέλει να παραβιάσει. Ο πρωταρχικός στόχος μιας επίθεσης evil twin είναι να εξαπατήσει τους χρήστες ώστε να συνδεθούν στο ψεύτικο AP και να επιτρέψει στον επιτιθέμενο να υποκλέψει ή να χειραγωγήσει την κυκλοφορία δικτύου των χρηστών. Αυτές είναι δύσκολο να εντοπιστούν, καθώς μιμούνται το ίδιο SSID και τον ίδιο αριθμό καναλιού.
Εκτέλεση επιθέσεων Evil Twin με τον Airgeddon:
Σε αυτό το ιστολόγιο , θα κάνουμε χρήση ενός αυτόματου εργαλείου για το Airgeddon το οποίο είναι ένα εξαιρετικό εργαλείο για τη διεξαγωγή του κακού δίδυμου blog και σε αυτό το ιστολόγιο θα εξερευνήσουμε την αιχμάλωτη πύλη παραλλαγή του κακού δίδυμου blog.
Το Airgeddon είναι ένα ολοκληρωμένο εργαλείο ασύρματης ασφάλειας που έχει σχεδιαστεί για δοκιμαστές διείσδυσης και ηθικούς χάκερ. Απλοποιεί την αξιολόγηση των τρωτών σημείων του δικτύου Wi-Fi, προσφέροντας χαρακτηριστικά όπως επιθέσεις Evil Twin, σπάσιμο κωδικού πρόσβασης και τεχνικές deauthentication.
Προϋπόθεσες: Θα χρειαστείτε έναν προσαρμογέα WI-FI που να υποστηρίζει τη λειτουργία παρακολούθησης για να εκτελέσετε το blog evil twin.
Εγκατάσταση
git clone https://github.com/v1s1t0r1sh3r3/airgeddon.git
cd airgeddon
cp airgeddon /usr/local/bin #do this to use the tool worldwide
Βήματα που πρέπει να εκτελέσετε
Εκκινήστε το airgeddon (Προσπαθήστε να το εκτελέσετε με δικαιώματα root)
sudo airgeddon
Αυτό είναι το παράθυρο προεπισκόπησης που θα δείτε μετά την επιτυχή εγκατάσταση και εκκίνηση του airgeddon.
Κάντε κλικ στο Enter και στο επόμενο παράθυρο, θα σας ζητηθεί να επιλέξετε τη διασύνδεση
Στην περίπτωσή μου είναι το wlan0, μπορείτε να επιλέξετε ό,τι θέλετε.
Μετά την επιλογή της διεπαφής, θα σας ζητηθεί να επιλέξετε την επίθεση που θέλετε να πραγματοποιήσετε , airgeddon υποστηρίζει διάφορα πράγματα WI-FI επίθεση
Από αυτές τις επιλογές , θα επιλέξουμε πρώτα την επιλογή νούμερο 2 , η οποία θα θέσει τη διεπαφή μας σε λειτουργία οθόνης. (Εάν ο προσαρμογέας σας είναι ήδη σε λειτουργία οθόνης , μπορείτε να μεταβείτε στο επόμενο βήμα)
Τώρα θα επιλέξουμε την επιλογή 7 που είναι η λειτουργία του κακού δίδυμου. Μετά την επιλογή αυτό είναι το παράθυρο που φτάνω :
Όπως φαίνεται στο παράθυρο , υπάρχουν διάφορες παραλλαγές της Evil Twin επίθεση είναι διαθέσιμη για εμάς να χρησιμοποιήσουμε.
Μεταξύ αυτών , θα επιλέξουμε την επιλογή νούμερο 9 που είναι Evil Twin AP attack with captive portal (monitor mode needed) Πατήστε 9 και μεταβείτε στο επόμενο παράθυρο.
Τώρα αφού πατήσετε enter , θα σας ζητηθεί να ξεκινήσετε την εξερεύνηση , αφού πατήσετε ξανά enter , θα ξεκινήσει η εξερεύνηση κατά την οποία το εργαλείο θα ξεκινήσει την εξερεύνηση του σημείου πρόσβασης θύματος στο δίκτυό σας.
Μόλις εντοπιστεί το σημείο πρόσβασης θύμα σας, μπορείτε να πατήσετε ctrl + c . Μετά το πάτημα του πλήκτρου η εξερεύνηση θα σταματήσει και θα σας ζητηθεί , αν θέλετε να βγείτε από το σενάριο, οπότε για να το σταματήσετε πατήστε n. Μετά από αυτό θα μετακινηθείτε στο επόμενο παράθυρο όπου το εργαλείο θα σας ζητήσει να εισάγετε το σημείο πρόσβασης του θύματος.
Έτσι, μετά από αυτό, απλά εισάγετε τον αριθμό του σημείου πρόσβασης του θύματος και προχωρήστε. (Στην περίπτωσή μου είναι το Helloworld)
Αφού επιλέξετε, θα σας ζητηθούν διάφορες ερωτήσεις, απλά πατήστε enter.
Στην προτροπή για την καταγεγραμμένη χειραψία, μπορείτε να επιλέξετε αν έχετε ήδη κάνει χειραψία, αν όχι, πατήστε enter. Στην επόμενη προτροπή χρονικού ορίου μπορείτε να επιλέξετε σύμφωνα με εσάς ποιο χρονικό όριο θα λειτουργήσει για εσάς.
Αφού πατήσετε enter μερικές φορές, το σενάριο θα αρχίσει να καταγράφει το wpa handshake και δεν θα συνδεθεί κανείς σε αυτό το WI-FI.
Στο παραπάνω στιγμιότυπο οθόνης , έχουμε καταγράψει το wpa handshake , οπότε θα προχωρήσουμε παρακάτω
Τώρα, μετά το , θα σας ζητηθεί να επιλέξετε τη γλώσσα για την προτροπή. Σε αυτό θα επιλέξω τα αγγλικά.
Αφού επιλέξετε αυτό είναι το παράθυρο στο οποίο θα φτάσετε, θα ξεκινήσει η αποταυτοποίηση των παρόντων συνδεδεμένων συσκευών και θα εμφανιστεί ένα άλλο σημείο πρόσβασης Wi-FI με το ίδιο όνομα.
Δύο wifi με το ίδιο όνομα
Καθώς θα συνδεθείτε σε αυτό θα σας ζητηθεί παράθυρο παρόμοιο με αυτό :
Μόλις εισαγάγετε τον κωδικό πρόσβασης , στο μηχάνημα θα ανακτηθεί ο κωδικός πρόσβασης.
Όπως μπορείτε να δείτε, ο κωδικός πρόσβασης έχει ανακτηθεί:
Ο κωδικός πρόσβασης ήταν : 1234578
Προστασία από τις επιθέσεις Evil Twin:
Για να προστατευτούμε από αυτές τις επιθέσεις του κακού δίδυμου πρέπει πρώτα απ’ όλα να μάθουμε πώς να εντοπίζουμε αυτά τα σημεία πρόσβασης.
Check Network Names (SSIDs): Δώστε ιδιαίτερη προσοχή στα ονόματα των διαθέσιμων δικτύων (SSID). Να είστε επιφυλακτικοί σε δίκτυα με ονόματα παρόμοια με γνωστά δημόσια δίκτυα (π.χ. “Starbucks_FreeWiFi” έναντι “Starbuck_FreeWiFi”).
Verify with Network Administrators: Εάν είστε εργαζόμενος υπάλληλος και αντιμετωπίζετε ένα WI-FI με παρόμοιο όνομα σε ένα ανεπιθύμητο μέρος, παρακαλούμε επικοινωνήστε με τους διαχειριστές.
Check Encryption Type: Τα νόμιμα δίκτυα χρησιμοποιούν συχνά ισχυρή κρυπτογράφηση, όπως WPA2 ή WPA3. Αποφύγετε δίκτυα με αδύναμη ή καθόλου κρυπτογράφηση.
Monitor Signal Strength:Ελέγξτε την ισχύ του σήματος των κοντινών δικτύων. Εάν το σήμα ενός δικτύου γίνει ξαφνικά σημαντικά ισχυρότερο, αυτό μπορεί να αποτελεί ένδειξη επίθεσης.
Check for Multiple Networks with Same SSID: Εάν παρατηρήσετε πολλαπλά δίκτυα με το ίδιο SSID, μπορεί να είναι σημάδι επίθεσης Evil Twin. Τα νόμιμα δίκτυα συνήθως χρησιμοποιούν ένα μοναδικό SSID.
Disable Auto-Connect: Απενεργοποιήστε τη λειτουργία αυτόματης σύνδεσης στις συσκευές σας. Αυτό αποτρέπει τη σύνδεσή τους σε δίκτυα χωρίς τη συγκατάθεσή σας.
Check for Multiple Networks with Same SSID: Εάν παρατηρήσετε πολλαπλά δίκτυα με το ίδιο SSID, μπορεί να είναι σημάδι επίθεσης Evil Twin. Τα νόμιμα δίκτυα συνήθως χρησιμοποιούν ένα μοναδικό SSID.
Μέθοδοι προστασίας
Verify Network Authenticity: Επιβεβαιώστε το όνομα του δικτύου (SSID) με την εγκατάσταση ή τον οργανισμό που παρέχει το WI-FI.
Avoid Open Networks: Αποφύγετε τη σύνδεση σε ανοιχτό δίκτυο.
Disable Automatic Wi-Fi Connection: Απενεργοποιήστε τη λειτουργία αυτόματης σύνδεσης στις συσκευές σας για να αποτρέψετε τη σύνδεσή τους σε άγνωστα δίκτυα χωρίς τη συγκατάθεσή σας.
Be Wary of Pop-Up Windows: Εάν μια πύλη αιχμαλωσίας ή μια σελίδα σύνδεσης εμφανιστεί απροσδόκητα κατά τη σύνδεση σε δημόσιο δίκτυο, επαληθεύστε τη γνησιότητά της πριν εισαγάγετε οποιαδήποτε πληροφορία.
Inspect SSL Certificates:Όταν συνδέεστε σε δίκτυα με captive portals, βεβαιωθείτε ότι το πιστοποιητικό SSL είναι έγκυρο και ταιριάζει με το όνομα του δικτύου.
Use Mobile Hotspots or Cellular Data: Όταν έχετε αμφιβολίες σχετικά με την ασφάλεια ενός δημόσιου δικτύου Wi-Fi, σκεφτείτε να χρησιμοποιήσετε το hotspot του κινητού σας ή τα δεδομένα κινητής τηλεφωνίας για πρόσβαση στο διαδίκτυο.
Τι είναι μια επίθεση Evil Twin;
Μεθοδολογία των επιθέσεων Evil Twin:
Rogue Access Point
Εγκατάσταση
Βήματα που πρέπει να εκτελέσετε
Μέθοδοι προστασίας