Στον συναρπαστικό κόσμο της ψηφιακής εποχής μας, η ασφάλεια των υπολογιστικών συστημάτων αποτελεί καίρια πρόκληση. Μια από τις πιο σοβαρές απειλές που κυνηγούν την ασφάλεια των δικτύων και των συσκευών είναι η επίθεση RCE (Remote Code Execution). Σε αυτό το άρθρο, θα ρίξουμε μια ματιά στη φύση της επίθεσης RCE και τους διάφορους τρόπους με τους οποίους μπορεί να χρησιμοποιηθεί.
Τι Είναι η Επίθεση RCE;
Η επίθεση RCE (Remote Code Execution) αναφέρεται στην ευκαιρία του επιτιθέμενου να εκτελέσει κώδικα σε απομακρυσμένο υπολογιστή ή συσκευή, χωρίς την έγκριση ή την αντίληψη του νόμιμου χρήστη. Αυτό σημαίνει ότι ο επιτιθέμενος αποκτά απόλυτο έλεγχο στον στόχο του, ανοίγοντας την πόρτα για πολλούς επικίνδυνους σκοπούς.
Πού Χρησιμοποιείται η Επίθεση RCE;
Οι επιθέσεις RCE μπορούν να εμφανιστούν σε πολλούς τομείς, επηρεάζοντας τόσο τον ατομικό όσο και τον επιχειρηματικό ψηφιακό χώρο:
Κρατικά και Κυβερνητικά Συστήματα: Κυβερνήσεις και κράτη μπορούν να χρησιμοποιήσουν την RCE για να εισέλθουν σε απομακρυσμένους υπολογιστές ή συστήματα για σκοπούς κατασκοπίας, παρακολούθησης ή κυβερνητικού χειρισμού.
Κλοπή Δεδομένων: Κακόβουλοι εισβολείς μπορούν να αξιοποιήσουν την RCE για να προσπελάσουν ευαίσθητα δεδομένα, όπως προσωπικές πληροφορίες, επιχειρηματικά μυστικά και πιστωτικές πληροφορίες.
Διασπορά Κακόβουλου Λογισμικού: Οι επιθέσεις RCE μπορούν να χρησιμοποιηθούν για τη διάδοση κακόβουλου λογισμικού, όπως ιοί και malware, σε μεγάλη κλίμακα.
Απορρόφηση Υπολογιστικών Πόρων: Οι εισβολείς μπορούν να χρησιμοποιήσουν RCE για να εξαντλήσουν τους πόρους ενός συστήματος, καθιστώντας το ανίκανο να λειτουργήσει ή να ανταποκριθεί.
Επιθέσεις DDoS: Οι επιθέσεις RCE μπορούν να χρησιμοποιηθούν ως μέρος της προετοιμασίας και της διεξαγωγής επιθέσεων DDoS (Distributed Denial of Service). Σε αυτές τις επιθέσεις, οι επιτιθέμενοι χρησιμοποιούν RCE για να ανακτήσουν τον έλεγχο των συσκευών ή των υπολογιστών που στη συνέχεια χρησιμοποιούν για να προβούν σε συντονισμένες επιθέσεις DDoS, κατακλύζοντας στόχους με αιτήσεις και απενεργοποιώντας τους.
Πώς Προστατεύουμε τον Εαυτό μας από την Επίθεση RCE;
Η προστασία από τις επιθέσεις RCE απαιτεί συνεχή προσοχή και προληπτικά μέτρα. Εδώ είναι μερικές βασικές συμβουλές για να προστατευτείτε:
Ενημερώστε το Λογισμικό σας: Ενημερώστε συστηματικά το λογισμικό σας, συμπεριλαμβανομένου του λειτουργικού συστήματος, των εφαρμογών και του αντικακοπτή. Οι ενημερώσεις συνήθως περιλαμβάνουν διορθώσεις ευπαθειών που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι.
Προστασία Κωδικών και Προνομίων: Χρησιμοποιήστε δυνατούς κωδικούς πρόσβασης και περιορίστε τις προνομίες που δίνετε στους λογαριασμούς σας. Εφαρμόστε αρχές αρχής λιγότερων προνομίων (Least Privilege) για να περιορίσετε τον έλεγχο που έχουν οι χρήστες.
Χρήση Φιλτράρισματος και Ανίχνευσης: Εγκαταστήστε λύσεις φιλτραρίσματος και ανίχνευσης εισβολών για να εντοπίζετε και να προλαμβάνετε ανομαλίες στην κίνηση του δικτύου και των συστημάτων.
Εκπαίδευση του Προσωπικού: Εκπαιδεύστε το προσωπικό σας σχετικά με τις απειλές και τις βασικές ασφαλείς πρακτικές, ώστε να αναγνωρίζουν και να αντιδρούν σε πιθανές επιθέσεις.
Εφαρμογή Κρυπτογραφίας: Χρησιμοποιήστε ισχυρές κρυπτογραφικές μεθόδους για την προστασία των επικοινωνιών σας και των δεδομένων σας.
Στενός Έλεγχος των Εισόδων: Εφαρμόστε αυστηρό έλεγχο των εισόδων στο δίκτυο και τους διακομιστές σας, ώστε να αποτρέψετε τις ανεπιθύμητες προσπάθειες εισβολής.
Η προστασία από τις επιθέσεις RCE απαιτεί συνεχή παρακολούθηση, εκπαίδευση και εφαρμογή των προληπτικών μέτρων. Επίσης, αξίζει να λαμβάνετε υπόψη ότι η ασφάλεια είναι ένας διαρκώς εξελισσόμενος τομέας, και οι επιθέσεις RCE μπορεί να γίνουν πιο εξειδικευμένες και εκσυγχρονισμένες με την πάροδο του χρόνου.
Τέλος, η συνεργασία με αξιόπιστους ειδικούς ασφαλείας πληροφοριών (SOC) και η διατήρηση ενός ενεργού σχεδίου αντίδρασης σε περίπτωση επίθεσης είναι ζωτικής σημασίας για την αντιμετώπιση των απειλών της επίθεσης RCE. Με συνεχή επιτήρηση και ενημέρωση, μπορείτε να είστε προετοιμασμένοι και να προστατεύσετε αποτελεσματικά τον ψηφιακό σας χώρο από αυτήν την αόρατη, αλλά θανάσιμη απειλή.
Οι επιθέσεις XSS, γνωστές και ως Cross-Site Scripting, αποτελούν σοβαρή απειλή για την ασφάλεια των ιστοσελίδων και των χρηστών τους. Στο παρόν άρθρο, θα εξετάσουμε τι είναι οι επιθέσεις XSS, πώς λειτουργούν και ποιοι τρόποι προστασίας μπορούν να υιοθετηθούν για να αποτραπεί η κακόβουλη εκμετάλλευσή τους.
Τι είναι η επίθεση XSS;
Η επίθεση XSS αναφέρεται σε καταστάσεις όπου κακόβουλος κώδικας JavaScript ενσωματώνεται σε μια ιστοσελίδα και εκτελείται στον φυλλομετρητή των χρηστών χωρίς τη συναίνεσή τους. Ο κακόβουλος κώδικας μπορεί να προέρχεται από εξωτερικές πηγές ή ακόμη και από τον ίδιο τον ιστότοπο, εάν τα εισαγόμα δεδομένα δεν ελέγχονται σωστά.
Οι επιθέσεις XSS διακρίνονται σε τρεις κατηγορίες:
Stored XSS: Ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων του ιστότοπου και παραδίδεται στους χρήστες όταν επισκέπτονται τη σελίδα. Αυτή η μορφή επίθεσης μπορεί να έχει μακροχρόνιες συνέπειες.
Reflected XSS: Ο κακόβουλος κώδικας ενσωματώνεται σε URL ή φόρμες και εκτελείται κατά την αίτηση που κάνει ο χρήστης. Συνήθως, αυτές οι επιθέσεις επηρεάζουν μόνο τον συγκεκριμένο χρήστη.
DOM-based XSS: Αυτή η μορφή επίθεσης συμβαίνει στον πελάτη, όταν ο κακόβουλος κώδικας τροποποιεί το DOM (Document Object Model) της σελίδας, επηρεάζοντας έτσι την εμφάνιση ή τη συμπεριφορά της.
Πώς Λειτουργούν οι Επιθέσεις XSS;
Για να κατανοήσουμε πώς λειτουργούν οι επιθέσεις XSS, ας ρίξουμε μια ματιά στα βασικά στάδια:
Εισαγωγή Κακόβουλου Κώδικα: Ο επιτιθέμενος εισάγει κακόβουλο κώδικα (συνήθως JavaScript)
Στη συνέχεια, ας εξετάσουμε πώς μπορείτε να προστατευτείτε από αυτούς τους κινδύνους και να ενισχύσετε την ασφάλεια του ιστότοπού σας:
Είσοδος δεδομένων (Input Validation): Το πρώτο βήμα στην προστασία από επιθέσεις XSS είναι η προσεκτική εισαγωγή και επεξεργασία των δεδομένων που εισέρχονται στην ιστοσελίδα σας. Βεβαιωθείτε ότι εφαρμόζετε κανόνες εισαγωγής (input validation) και αποτρέπετε την εκτέλεση κώδικα που μπορεί να εισαχθεί από χρήστες.
Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποίηση εξόδου είναι η διαδικασία με την οποία τα δεδομένα εξόδου, πριν αποσταλούν στον πελάτη, κωδικοποιούνται έτσι ώστε να μην εκτελεστούν ως κώδικας JavaScript. Χρησιμοποιήστε αξιόπιστες βιβλιοθήκες ή εργαλεία κωδικοποίησης εξόδου.
Content Security Policy (CSP): Το CSP είναι ένα ισχυρό εργαλείο ασφάλειας που επιτρέπει στους διαχειριστές ιστοσελίδων να καθορίσουν ποια περιεχόμενα μπορούν να εκτελεστούν σε μια σελίδα. Μπορείτε να ρυθμίσετε το CSP σας για να αποτρέψετε την εκτέλεση εξωτερικού JavaScript και άλλων πόρων.
Διαχείριση συνόδων (Session Management): Βεβαιωθείτε ότι οι συνεδρίες των χρηστών διαχειρίζονται με ασφάλεια και ότι οι πληροφορίες συνόδου δεν μπορούν να προσπελαστούν ή να τροποποιηθούν από κακόβουλους.
Ενημερωμένοι Φυλλομετρητές (Browsers): Ενθαρρύνετε τους χρήστες να χρησιμοποιούν ενημερωμένους φυλλομετρητές, καθώς πολλοί από αυτούς έχουν ενσωματωμένα μέτρα ασφαλείας κατά των επιθέσεων XSS.
Εκπαίδευση των Χρηστών: Εκπαιδεύστε τους χρήστες σας σχετικά με τους κινδύνους των επιθέσεων XSS και τη σημασία της προσοχής κατά την περιήγηση.
Αυτόματοι Ελεγκτές Ασφαλείας (Security Scanners): Χρησιμοποιήστε αυτόματους ελεγκτές ασφαλείας για να ανιχνεύσετε πιθανές ευπάθειες στον κώδικα της ιστοσελίδας σας.
Συνεχής Ενημέρωση: Η ασφάλεια των ιστοσελίδων είναι μια συνεχής προσπάθεια. Κρατήστε το λογισμικό, τον κώδικα, και τα CMS (Content Management Systems) σας ενημερωμένα σε τακτά χρονικά διαστήματα.
Αντιμετώπιση των Επιθέσεων XSS:
Αν παρόλα αυτά εκτελεστεί μια επίθεση XSS στον ιστότοπό σας, είναι σημαντικό να ξέρετε πώς να αντιμετωπίσετε την κατάσταση:
Κατανόηση της Επίθεσης: Πρέπει να κατανοήσετε πώς λειτούργησε η επίθεση και ποια δεδομένα εκτελέστηκαν. Αυτό σας επιτρέπει να αντιδράσετε αποτελεσματικότερα.
Κλείσιμο της Ευπάθειας: Βεβαιωθείτε ότι κλείνετε την ευπάθεια στον κώδικα σας που επέτρεψε την επίθεση. Αυτό μπορεί να σημαίνει την τροποποίηση του κώδικα ή την απενεργοποίηση προσωρινά του επιρρέποντος τμήματος του ιστότοπου.
Ανάλυση Κακόβουλου Κώδικα: Εξετάστε τον κακόβουλο κώδικα που χρησιμοποιήθηκε στην επίθεση για να κατανοήσετε τις πιθανές συνέπειες και να αντιμετωπίσετε τυχόν επιπτώσεις.
Καταγραφή Και Αναφορά: Καταγράψτε την επίθεση και αναφέρετέ την στις κατάλληλες αρχές ασφαλείας. Αυτό μπορεί να βοηθήσει να προστατευτείτε από περαιτέρω επιθέσεις και να βελτιώσετε την ασφάλεια του ιστότοπου σας.
Ενημέρωση των Χρηστών: Ενημερώστε τους χρήστες σας για το περιστατικό και τα μέτρα που λαμβάνετε για την αντιμετώπισή του.
Εφαρμογή Παρακολούθησης (Monitoring): Χρησιμοποιήστε λογισμικό παρακολούθησης κίνησης και ασφαλείας για να εντοπίζετε πρόωρα επιθέσεις και ανωμαλίες στην κίνηση της ιστοσελίδας σας.
Οι επιθέσεις XSS αποτελούν μια σοβαρή απειλή για την ασφάλεια του ιστότοπού σας και των χρηστών σας. Με την εφαρμογή σωστών πρακτικών ασφαλείας και την ενημέρωση για τις τρέχουσες απειλές, μπορείτε να προστατεύσετε τον ιστότοπό σας από αυτούς τους κινδύνους.
Φίλτρα:
Για να προστατευτείτε από επιθέσεις XSS, μπορείτε να χρησιμοποιήσετε διάφορα φίλτρα και μέτρα ασφαλείας στον κώδικα της ιστοσελίδας σας. Αυτά τα φίλτρα θα σας βοηθήσουν να ελέγξετε την εισερχόμενη και εξερχόμενη πληροφορία για πιθανούς κώδικες XSS. Εδώ είναι μερικά από τα βασικά μέτρα που μπορείτε να λάβετε:
Εισαγωγή δεδομένων (Input Validation): Επιβεβαιώστε ότι τα δεδομένα που εισάγονται από τους χρήστες στην ιστοσελίδα σας ελέγχονται για ανεπιθύμητους χαρακτήρες και κωδικούς πριν τα αποθηκεύσετε ή τα εμφανίσετε. Χρησιμοποιήστε λειτουργίες όπως htmlspecialchars() για την κωδικοποίηση εισόδου.
Κωδικοποίηση εξόδου (Output Encoding): Κωδικοποιήστε την εξαγόμενη πληροφορία πριν την εμφανίσετε στους χρήστες. Χρησιμοποιήστε τη σωστή συνάρτηση κωδικοποίησης, όπως htmlspecialchars() για τον HTML κώδικα και json_encode() για τα δεδομένα JSON.
Content Security Policy (CSP): Ρυθμίστε μια αποτρεπτική πολιτική CSP που να περιορίζει τις εκτελούμενες πηγές κώδικα στον ιστότοπό σας. Μπορείτε να καταχωρίσετε ποιοι πόροι επιτρέπονται και απαγορεύονται, όπως τα scripts από εξωτερικούς διακομιστές.
Εσωτερική Λειτουργία Escape: Χρησιμοποιήστε εσωτερικές λειτουργίες αποτροπής των επιθέσεων XSS που παρέχονται από το framework ή το περιβάλλον ανάπτυξης που χρησιμοποιείτε (όπως htmlspecialchars() σε PHP).
Βελτιωμένη Αυθεντικοποίηση (Authentication): Ενισχύστε το σύστημα αυθεντικοποίησης για τους χρήστες σας και βεβαιωθείτε ότι διαχειρίζεστε την πρόσβαση στις προστατευμένες περιοχές του ιστότοπου σας με ασφάλεια.
Παρακολούθηση και Συνεχής Ενημέρωση: Χρησιμοποιήστε λογισμικό παρακολούθησης και συνεχώς ενημερώνετε τον κώδικα σας για να αντιμετωπίσετε νέες απειλές και ευπάθειες.
Αυτά τα μέτρα συνιστούν ένα ισχυρό σύνολο πρακτικών για την προστασία από επιθέσεις XSS.
Βεβαιωθείτε ότι εφαρμόζετε αυτά τα μέτρα ασφαλείας σε όλα τα μέρη της ιστοσελίδας σας, συμπεριλαμβανομένων των πεδίων εισόδου, των φορμών επικοινωνίας, των σχολίων χρηστών και άλλων σημείων που εμφανίζουν πληροφορίες από τους χρήστες.
Επιπλέον, αξίζει να σημειωθεί ότι το καλύτερο μέτρο προστασίας είναι η συνεχής ενημέρωση και η εφαρμογή των καλών πρακτικών ασφαλείας στην ανάπτυξη και τη συντήρηση του ιστότοπού σας. Επίσης, πρέπει να είστε ενήμεροι για τις τρέχουσες απειλές και να αναθεωρείτε τα μέτρα σας ασφαλείας κατά τακτά χρονικά διαστήματα.
Επιπλέον, εάν χρησιμοποιείτε πλατφόρμες διαχείρισης περιεχομένου (CMS) όπως το WordPress, υπάρχουν πολλά πρόσθετα (plugins) και επεκτάσεις που μπορείτε να χρησιμοποιήσετε για την αυτόματη εφαρμογή ορισμένων από αυτά τα μέτρα ασφαλείας.
Το να προστατεύσετε τον ιστότοπό σας από επιθέσεις XSS είναι κρίσιμης σημασίας για την ασφάλεια των χρηστών σας και τη φήμη του ιστότοπού σας. Εφαρμόστε τα παραπάνω μέτρα ασφαλείας και παρακολουθήστε συνεχώς τον ιστότοπό σας για ενδεχόμενες αδυναμίες ασφαλείας.
Είναι ωραίο, καλό και χρήσιμο να μιλάμε για μέτρα άμυνας, για τρόπους επίθεσης, για απειλές και αδυναμίες. Τις βλέπουμε από την σκοπιά του επιτιθέμενου, αλλά όχι για να διδάξουμε κάποιον απατεώνα (αν και αυτό μπορεί να συμβεί δυστυχώς, ως παράπλευρη απώλεια), αλλά γιατί πιστεύουμε στην παλιά αρχή που λέει: “Για να μπορέσεις να αμυνθείς σωστά πρέπει να μάθεις πώς σκέφτεται ο επιτιθέμενος” ή αλλιώς: “To know your enemy, you must become your enemy” – Sun Tzu.
Και ΟΚ, πείτε ότι μέχρι εδώ καλά…
Τι πάμε να προστατέψουμε όμως; Κάποιος (πολύ-πολύ παλιά) είχε πει οτι: για να μπορέσουμε να συζητήσουμε για ένα θέμα πρέπει πρώτα να ορίσουμε και (κυρίως) να συμφωνήσουμε τις βασικές έννοιες που το αφορούν, αλλιώς ο καθένας θα λέει (ή και) θα πιστεύει τα δικά του. Παράπλευρο συμπέρασμα: Μπορεί τελικά να συμφωνήσουμε σε κάτι, είτε κατά τύχη είτε διότι “νομίζουμε” οτι συμφωνούμε.
Ανέκαθεν ήθελα να ξεκινήσω ένα άρθρο για την ασφάλεια και για να το κάνω λίγο πιο συγκεκριμένο: για την ασφάλεια πληροφοριακών συστημάτων. Τι είναι αυτή η ασφάλεια; Υπάρχει άραγε σαφής ορισμός;
Αν ανατρέξω στην Wikipedia μπορεί να βρω μερικές προσεγγίσεις, όπως:
“Security is protection from, or resilience against, potential harm (or other unwanted coercion) caused by others, by restraining the freedom of others to act. Beneficiaries (technically referents) of security may be of persons and social groups, objects and institutions, ecosystems or any other entity or phenomenon vulnerable to unwanted change.”
ή ακόμα:
“Information security, sometimes shortened to InfoSec,[1] is the practice of protecting information by mitigating information risks. “
Ενδιαφέρουσες προσεγγίσεις, αν και (κατά την άποψη του γράφοντος) ολίγον… ασαφείς, σε σχέση με το αντικείμενο της προστασίας (protection) και του τι ακριβώς θέλουμε να προστατέψουμε και πώς.
Θέλω να παρουσιάσω μια προσέγγιση η οποία είναι πιο κοντά στα πρότυπα για την ασφάλεια (ISO 27001, NIST κλπ.) και η οποία ακολουθεί την γνωστή τριάδα C.I.A. (Confidentiality, Integrity & Availability) ή με πιο “Ελληνικά”: Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα.
Πριν προχωρήσω όμως στους βασικούς ορισμούς των παραπάνω, θα πρέπει να ορίσω πρώτα μια άλλη, πρωταρχική έννοια, αυτή της Πληροφορίας:
Θεωρώ ως πληροφορία, οποιοδήποτε πόρο περιέχει αξία για μένα ή τον οργανισμό μου.
Η αξία μπορεί να είναι οικονομική, αλλά όχι μόνο (μπορεί να είναι συναισθηματική, τεχνολογική, πολιτική, πολιτιστική, κλπ.). Ο πόρος από την άλλη, μπορεί να πάρει όλες τις δυνατές μορφές, υλικές ή άυλες: Server, Λογισμικό, Άνθρωπος (π.χ. εργαζόμενος), Εμπειρία, Πνευματική Ιδιοκτησία, Προφορική ή Γραπτή Επικοινωνία κλπ.
Αφού εξηγήσαμε τον πόρο και την αξία, ήρθε τώρα η ώρα να εξηγήσουμε τους όρους: Εμπιστευτικότητα, Ακεραιότητα & Διαθεσιμότητα με πολύ-πολύ απλά λόγια και χωρίς “επιστημονικούς ακροβατισμούς”:
Εμπιστευτικότητα: Σημαίνει οτι αν επικοινωνώ με κάποιον άλλο μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) δεν μπορεί κάποιος τρίτος (μη εξουσιοδοτημένος από μας) να εισχωρήσει σε αυτή την επικοινωνία και να μπορέσει να λάβει γνώση για το τι λέμε.
Ακεραιότητα: Σημαίνει οτι αν επικοινωνώ με κάποιον άλλο μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) δεν μπορεί κάποιος τρίτος (μη εξουσιοδοτημένος από μας) να αποκτήσει πρόσβαση στα μηνύματα μας και να μπορέσει να τα αλλοιώσει ή να τα διαγράψει.
Διαθεσιμότητα: Σημαίνει οτι οποτεδήποτε θελήσω εγώ να επικοινωνήσω με κάποιον άλλον μέσω ενός καναλιού επικοινωνίας (π.χ. τηλέφωνο, email ή messaging) το κανάλι (το μέσο) αυτό της επικοινωνίας θα είναι διαθέσιμο να με εξυπηρετήσει.
Αν ένας ή περισσότεροι από τους παραπάνω όρους παραβιαστεί, τότε θα έχω και παραβίαση της ασφάλειας!
Βέβαια, υπάρχουν πολλές ακόμα έννοιες, όπως Privacy (Ιδιωτικότητα), Authentication (Αυθεντικοποίηση) κλπ. που αναφέρονται στην βιβλιογραφία ως σημεία αναφοράς για την ασφάλεια. Προσωπικά όπως πιστεύω οτι κάλλιστα αυτές μπορούν να ενταχθούν στις παραπάνω τρείς βασικές.
Άρα, μπορώ να πω πια οτι η ασφάλεια έγκειται στην διασφάλιση της Εμπιστευτικότητας, Ακεραιότητας & Διαθεσιμότητας των Πόρων που έχουν Αξία για εμένα ή (και) τον οργανισμό μου.
Πρίγκιπας Χάρι: Νίκη στο Δικαστήριο κατά της Mirror Group για Υποκλοπή Τηλεφώνου
Η αστυνομία του Λονδίνου δήλωσε ότι θα “εξετάσει προσεκτικά” τα ευρήματα μιας δικαστικής απόφασης που κατέληξε στο συμπέρασμα ότι ο Πρίγκιπας Χάρι ήταν θύμα υποκλοπής τηλεφώνου και άλλων παράνομων πράξεων από δημοσιογράφους της Mirror Group με τη γνώση των συντακτών τους.
Ο νεότερος γιος του Βασιλιά Κάρολου, που έγινε ο πρώτος υψηλόβαθμος βρετανικός βασιλικός μετά από 130 χρόνια που παρευρίσκεται ως μάρτυρας σε δικαστήριο, ανταμείφθηκε με 140.600 λίρες (178.000 δολάρια) την Παρασκευή, μετά τη συμφωνία του δικαστή ότι είχε πέσει θύμα δημοσιογράφων που εργάζονταν για την Mirror Group Newspapers.
Μια εκπρόσωπος της αστυνομίας του Λονδίνου δήλωσε ότι θα “εξετάσει προσεκτικά” την απόφαση στην αστική υπόθεση, προσθέτοντας: “Δεν υπάρχει ενεργή έρευνα.”
Αφότου αποχώρησε από τα βασιλικά καθήκοντα το 2020 και μετακόμισε στην Καλιφόρνια με την αμερικανίδα σύζυγό του Μέγκαν, ο Δούκας του Σάσεξ έχει καθιερώσει ως αποστολή του να απαλλάξει το βρετανικό τύπο από αυτούς που κατηγορεί ως “εγκληματίες που προσποιούνται δημοσιογράφους”, ειδικά υψηλόβαθμους εκτελεστικούς και συντάκτες.
Η απόφαση του δικαστηρίου ανέφερε ότι ανάμεσα στους συντάκτες που γνώριζαν για τη “εκτεταμένη” παράνομη συμπεριφορά ήταν ο γνωστός δημοσιογράφος Piers Morgan, συντάκτης της Daily Mirror από το 1996 έως το 2004, ο οποίος έχει γίνει ένθερμος κριτικός του Χάρι και της Μέγκαν.
Ο Morgan αρνήθηκε επί μακρόν ότι γνώριζε για την υποκλοπή τηλεφώνου κατά τη διάρκεια της θητείας του ως συντάκτης.
(Σημείωση: Οι συναλλαγματικές ισοτιμίες αναφέρονται στο κείμενο με το σύμβολο $1 = 0,7890 λίρες.)
Κυβερνοασφάλεια στην Κίνα: Προειδοποίηση για Κατασκοπευτικό Λογισμικό σε Στρατηγικούς Κλάδους
Η Κίνα ανακοίνωσε ότι εντόπισε λογισμικό γεωγραφικών πληροφοριών από άλλες χώρες που ενδέχεται να θέτει σε κίνδυνο εμπιστευτικά και ευαίσθητα δεδομένα σε κλάδους κλειδιά, συμπεριλαμβανομένου του στρατιωτικού, και προειδοποίησε τα τμήματα ασφαλείας να πραγματοποιήσουν εμπεριστατωμένους ελέγχους για να περιορίσουν περαιτέρω επιθέσεις.
Το Υπουργείο Κρατικής Ασφαλείας ανέφερε ότι μια εκτενής έρευνα ανέδειξε ότι ξένο λογισμικό συστημάτων γεωγραφικών πληροφοριών χρησιμοποιείται για τη συλλογή δεδομένων – κάποια από αυτά αφορούν κρατικά μυστικά – “αποτελεί σοβαρή απειλή για την εθνική ασφάλεια της Κίνας.”
Η κυβέρνηση αποκάλυψε τον κίνδυνο σε άρθρο στο δημόσιο λογαριασμό της στο WeChat τη Δευτέρα, αλλά δεν διακρίνει καμία πληροφορία για επιχειρήσεις που κατηγορούνται για πρόσβαση στα δεδομένα ή προσδιορίζει συγκεκριμένες κινεζικές εταιρείες που επηρεάστηκαν ή στοχεύτηκαν.
Η Κίνα ανέφερε ότι οι υπεύθυνοι χρησιμοποιούν λογισμικό για τη συλλογή δεδομένων χρηστών χωρίς περιορισμούς, τοποθετώντας εσκεμμένα προεγκατεστημένα “πίσω παράθυρα” στο λογισμικό για να επιτραπεί η κυβερνοεπίθεση και η κλοπή δεδομένων.
Η κυβέρνηση ανέφερε ότι με την κλοπή δεδομένων υψηλής ακρίβειας γεωγραφικών πληροφοριών, η τρισδιάστατη γεωμορφολογική απεικόνιση συγκεκριμένων περιοχών στους τομείς των μεταφορών, της ενέργειας, του στρατιωτικού και άλλων σημαντικών τομέων μπορεί να είναι εκτεθειμένη σε απειλές.
Η Κίνα έχει λάβει αυξανόμενα μέτρα για την προστασία της εθνικής της ασφάλειας και την πρόληψη διαρροών πληροφοριών που θα μπορούσαν να πληγώσουν τους κλάδους και να βλάψουν την οικονομία της.
Η κυβέρνηση ανέφερε ότι τα τμήματα πρέπει να πραγματοποιήσουν έρευνες για τους κινδύνους ασφάλειας δεδομένων γεωγραφικών πληροφοριών, “και να διορθώσουν και να εξαλείψουν άμεσα” οποιαδήποτε απειλή.
Η ομάδα hackers Evasive Gelsemium εντοπίστηκε σε επίθεση κατά της ασιατικής κυβέρνησης
Μια προηγμένη απειλή (APT) που εντοπίστηκε ως Gelsemium παρατηρήθηκε σε επιθέσεις με στόχο μια κυβέρνηση της Νοτιοανατολικής Ασίας που διήρκεσαν έξι μήνες μεταξύ 2022 και 2023.
Η Gelsemium είναι μια ομάδα κυβερνοκατασκοπείας που λειτουργεί από το 2014 και στοχεύει κυβερνήσεις, εκπαιδευτικούς φορείς και κατασκευαστές ηλεκτρονικών ειδών στην Ανατολική Ασία και τη Μέση Ανατολή.
Η έκθεση της ESET από το 2021 χαρακτηρίζει την ομάδα απειλών ως “αθόρυβη”, υπογραμμίζοντας την τεράστια τεχνική ικανότητα και τις γνώσεις προγραμματισμού που τη βοήθησαν να πετάξει κάτω από το ραντάρ για πολλά χρόνια.
Μια νέα έκθεση της Μονάδας 42 της Palo Alto Network αποκαλύπτει πώς μια νέα εκστρατεία της Gelsemium χρησιμοποιεί σπάνια παρατηρούμενα backdoors που συνδέονται με τους φορείς απειλής με μέτρια εμπιστοσύνη.
Πρόσφατες επιθέσεις της Gelsemium
Η αρχική παραβίαση των στόχων της Gelsemium επιτεύχθηκε μέσω της εγκατάστασης κελυφών ιστού, πιθανότατα μετά την εκμετάλλευση ευπαθειών σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο.
Η Μονάδα 42 αναφέρει ότι είδε τα κελύφη ιστού “reGeorg”, “China Chopper” και “AspxSpy”, τα οποία είναι δημόσια διαθέσιμα και χρησιμοποιούνται από πολλές ομάδες απειλών, καθιστώντας την απόδοση δύσκολη.
Χρησιμοποιώντας αυτά τα κελύφη ιστού, το Gelsemium πραγματοποίησε βασική αναγνώριση δικτύου, μετακινήθηκε πλευρικά μέσω SMB και ανέκτησε πρόσθετα ωφέλιμα φορτία.
Αυτά τα πρόσθετα εργαλεία που βοηθούν στην πλευρική μετακίνηση, τη συλλογή δεδομένων και την κλιμάκωση προνομίων περιλαμβάνουν τα OwlProxy, SessionManager, Cobalt Strike, SpoolFool και EarthWorm.
Το Cobalt Strike είναι μια ευρέως χρησιμοποιούμενη σουίτα δοκιμών διείσδυσης, το EarthWorm είναι ένας δημόσια διαθέσιμος tunneler SOCKS και το SpoolFool είναι ένα τοπικό εργαλείο κλιμάκωσης προνομίων ανοικτού κώδικα, οπότε αυτά τα τρία δεν αφορούν ειδικά το Gelsemium.
Ωστόσο, το OwlProxy είναι ένα μοναδικό, προσαρμοσμένο εργαλείο HTTP proxy και backdoor της Μονάδας 42 αναφέρει ότι το Gelsemium το χρησιμοποίησε σε μια παλαιότερη επίθεση με στόχο την κυβέρνηση της Ταϊβάν.
Στην τελευταία εκστρατεία, ο δράστης της απειλής ανέπτυξε ένα εκτελέσιμο πρόγραμμα που αποθήκευσε ένα ενσωματωμένο DLL (wmipd.dll) στο δίσκο του παραβιασμένου συστήματος και δημιούργησε μια υπηρεσία που το εκτελεί.
Το DLL είναι μια παραλλαγή του OwlProxy, το οποίο δημιουργεί μια υπηρεσία HTTP που παρακολουθεί τις εισερχόμενες αιτήσεις για συγκεκριμένα μοτίβα URL που κρύβουν εντολές.
Οι ερευνητές λένε ότι τα προϊόντα ασφαλείας στο σύστημα-στόχο εμπόδισαν την εκτέλεση του OwlProxy, οπότε οι επιτιθέμενοι επέστρεψαν στη χρήση του EarthWorm.
Το δεύτερο προσαρμοσμένο εμφύτευμα που σχετίζεται με το Gelsemium είναι το SessionManager, μια κερκόπορτα IIS που η Kaspersky συνέδεσε με την ομάδα απειλών το περασμένο καλοκαίρι.
Το δείγμα της πρόσφατης επίθεσης παρακολουθούσε τις εισερχόμενες αιτήσεις HTTP, αναζητώντας ένα συγκεκριμένο πεδίο Cookie που μεταφέρει εντολές για εκτέλεση στον υπολογιστή.
Οι εντολές αυτές αφορούν τη μεταφόρτωση αρχείων στον ή από τον διακομιστή C2, την εκτέλεση εντολών, την εκκίνηση εφαρμογών ή τη διαμεσολάβηση για συνδέσεις σε πρόσθετα συστήματα.
Η λειτουργία μεσολάβησης στο πλαίσιο των OwlProxy και SessionManager δείχνει την πρόθεση των φορέων απειλής να χρησιμοποιήσουν τον παραβιασμένο διακομιστή ως πύλη για την επικοινωνία με άλλα συστήματα στο δίκτυο-στόχο.
Οι Σύγχρονες GPU είναι ευάλωτες σε επιθέσεις GPU.zip side-channel
Ερευνητές από τέσσερα αμερικανικά πανεπιστήμια ανέπτυξαν μια νέα επίθεση δευτερεύοντος καναλιού GPU που αξιοποιεί τη συμπίεση δεδομένων για να διαρρεύσουν ευαίσθητα οπτικά δεδομένα από τις σύγχρονες κάρτες γραφικών κατά την επίσκεψη σε ιστοσελίδες.
Οι ερευνητές απέδειξαν την αποτελεσματικότητα αυτής της επίθεσης “GPU.zip” εκτελώντας επιθέσεις κλοπής pixel από φίλτρο SVG cross-origin μέσω του προγράμματος περιήγησης Chrome.
Οι ερευνητές αποκάλυψαν την ευπάθεια στους επηρεαζόμενους κατασκευαστές καρτών γραφικών τον Μάρτιο του 2023. Ωστόσο, μέχρι τον Σεπτέμβριο του 2023, κανένας από τους επηρεαζόμενους προμηθευτές GPU (AMD, Apple, Arm, NVIDIA, Qualcomm) ή η Google (Chrome) δεν έχουν κυκλοφορήσει διορθώσεις για την αντιμετώπιση του προβλήματος.
Το νέο ελάττωμα περιγράφεται σε έγγραφο από ερευνητές του Πανεπιστημίου του Τέξας στο Όστιν, του Πανεπιστημίου Carnegie Mellon, του Πανεπιστημίου της Ουάσινγκτον και του Πανεπιστημίου του Ιλινόις Urbana-Champaign και θα δημοσιευτεί στο 45ο Συμπόσιο IEEE για την Ασφάλεια και την Ιδιωτικότητα.
Διαρροή μέσω συμπίεσης
Γενικά, η συμπίεση δεδομένων δημιουργεί ξεχωριστή κίνηση DRAM και χρήση κρυφής μνήμης, η οποία μπορεί να χρησιμοποιηθεί για διαρροή μυστικών, οπότε το λογισμικό απενεργοποιεί τη συμπίεση όταν χειρίζεται ευαίσθητα δεδομένα.
Οι ερευνητές του GPU.zip εξηγούν ότι όλες οι σύγχρονες μονάδες επεξεργαστών γραφικών, ειδικά τα ενσωματωμένα τσιπ της Intel και της AMD, εκτελούν συμπίεση δεδομένων που είναι ορατή από το λογισμικό, ακόμη και όταν δεν τους ζητείται ρητά.
Οι σύγχρονες GPU ακολουθούν αυτή την επικίνδυνη πρακτική ως στρατηγική βελτιστοποίησης, καθώς βοηθά στην εξοικονόμηση εύρους ζώνης μνήμης και στη βελτίωση των επιδόσεων χωρίς λογισμικό.
Αυτή η συμπίεση είναι συχνά μη τεκμηριωμένη και ειδική για τον προμηθευτή και οι ερευνητές βρήκαν έναν τρόπο να την εκμεταλλευτούν για να διαρρεύσουν οπτικά δεδομένα από τις GPU.
Συγκεκριμένα, παρουσίασαν μια επίθεση που εξάγει μεμονωμένα δεδομένα pixel μέσω ενός προγράμματος περιήγησης στο διαδίκτυο σε διάφορες συσκευές και αρχιτεκτονικές GPU, όπως φαίνεται παρακάτω.
Η proof-of-concept επίθεση επιδεικνύει την κλοπή του ονόματος χρήστη από ένα iframe της Wikipedia, η οποία είναι δυνατή μέσα σε 30 λεπτά σε Ryzen και 215 λεπτά σε Intel GPU, με ακρίβεια 97% και 98,3%, αντίστοιχα.
Το iframe φιλοξενεί μια διασταυρούμενη ιστοσελίδα της οποίας τα pixel απομονώνονται και μετατρέπονται σε δυαδικά, δηλαδή μετατρέπονται σε δύο πιθανά χρώματα.
Στη συνέχεια, αυτά τα εικονοστοιχεία μεγεθύνονται και εφαρμόζεται μια εξειδικευμένη στοίβα φίλτρων SVG για τη δημιουργία υφών που είναι είτε συμπιέσιμες είτε όχι. Μετρώντας τον χρόνο που απαιτείται για την απόδοση της υφής, οι ερευνητές μπορούν να συμπεράνουν το αρχικό χρώμα/κατάσταση του εικονοστοιχείου-στόχου.
Πρόσφατα είδαμε την εφαρμογή των φίλτρων SVG για την πρόκληση εκτέλεσης που εξαρτάται από τα δεδομένα και τη χρήση της JavaScript για τη μέτρηση του χρόνου και της συχνότητας υπολογισμού για τη διάκριση του χρώματος του εικονοστοιχείου στην επίθεση “Hot Pixels”.
Ενώ το Hot Pixels εκμεταλλεύεται τους εξαρτώμενους από τα δεδομένα χρόνους υπολογισμού στους σύγχρονους επεξεργαστές, το GPU.zip στηρίζεται στην ατεκμηρίωτη συμπίεση δεδομένων της GPU για να επιτύχει παρόμοια αποτελέσματα.
Η σοβαρότητα του GPU.zip
Το GPU.zip επηρεάζει σχεδόν όλους τους μεγάλους κατασκευαστές GPU, συμπεριλαμβανομένων των AMD, Apple, Arm, Intel, Qualcomm και NVIDIA, αλλά δεν επηρεάζονται εξίσου όλες οι κάρτες.
Το γεγονός ότι κανένας από τους επηρεαζόμενους κατασκευαστές δεν έχει αποφασίσει να διορθώσει το πρόβλημα βελτιστοποιώντας την προσέγγιση συμπίεσης δεδομένων και περιορίζοντας τη λειτουργία της σε μη ευαίσθητες περιπτώσεις αυξάνει περαιτέρω τον κίνδυνο.
Αν και το GPU.zip επηρεάζει δυνητικά τη συντριπτική πλειονότητα των φορητών υπολογιστών, των smartphones, των tablet και των επιτραπέζιων υπολογιστών παγκοσμίως, ο άμεσος αντίκτυπος στους χρήστες μετριάζεται από την πολυπλοκότητα και το χρόνο που απαιτείται για την εκτέλεση της επίθεσης.
Επίσης, οι ιστότοποι που αρνούνται την ενσωμάτωση iframe cross-origin δεν μπορούν να χρησιμοποιηθούν για τη διαρροή δεδομένων χρηστών μέσω αυτής ή παρόμοιων επιθέσεων πλευρικού καναλιού.
“Οι περισσότεροι ευαίσθητοι ιστότοποι αρνούνται ήδη την ενσωμάτωση από ιστότοπους cross-origin. Ως αποτέλεσμα, δεν είναι ευάλωτες στην επίθεση κλοπής pixel που τοποθετήσαμε χρησιμοποιώντας το GPU.zip”, εξηγούν οι ερευνητές σε ένα FAQ στον ιστότοπο της ομάδας.
Τέλος, οι ερευνητές σημειώνουν ότι ο Firefox και ο Safari δεν πληρούν όλα τα κριτήρια που απαιτούνται για να λειτουργήσει το GPU.zip, όπως η δυνατότητα φόρτωσης cross-origin iframes με cookies, η απόδοση φίλτρων SVG σε iframes και η ανάθεση εργασιών rendering στη GPU.
Η προστασία μιας ιστοσελίδας WordPress είναι κρίσιμη για τη διατήρηση της ασφάλειάς της. Εδώ έχουμε μερικές βασικές οδηγίες για το πώς να προστατεύσετε την ιστοσελίδα σας:
Κρατήστε το WordPress, θέματα και πρόσθετα ενημερωμένα: Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας. Βεβαιωθείτε ότι το WordPress, τα θέματά σας και τα πρόσθετά σας είναι πάντα ενημερωμένα.
Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Χρησιμοποιήστε μία συνδυασμό πεζών και κεφαλαίων γραμμάτων, αριθμών και ειδικών χαρακτήρων για τους κωδικούς πρόσβασης του διαχειριστή σας.
Περιορίστε τις προσπάθειες σύνδεσης: Εγκαταστήστε ένα πρόσθετο περιορισμού προσπαθειών σύνδεσης (login attempts) για να αποτρέψετε επιθέσεις brute force.
Χρησιμοποιήστε SSL/HTTPS: Εγκαταστήστε ένα πιστοποιητικό SSL για να κρυπτογραφείτε την επικοινωνία με την ιστοσελίδα σας, προσφέροντας έτσι ασφαλή σύνδεση.
Περιορίστε την πρόσβαση στον φάκελο wp-admin: Μπορείτε να περιορίσετε την πρόσβαση στον φάκελο wp-admin μόνο σε συγκεκριμένες IP διευθύνσεις.
Ενεργοποιήστε την διήθηση δύο παραγόντων (2FA): Η συνδεση δύο παραγόντων προσθέτει επιπρόσθετη ασφάλεια, απαιτώντας έναν επιπλέον κωδικό εκτός από τον κωδικό πρόσβασης.
Καθαρίστε τον κώδικά σας: Αναζητήστε τυχόν αδυναμίες στον κώδικά σας και επιδιορθώστε τις αμέσως. Επιπλέον, απενεργοποιήστε ή διαγράψτε πρόσθετα ή θέματα που δεν χρησιμοποιείτε.
Εφαρμόστε αντι-DDoS μέτρα: Χρησιμοποιήστε μια υπηρεσία προστασίας από DDoS επιθέσεις για να προστατεύσετε την ιστοσελίδα σας από υπερφορτώσεις και επιθέσεις αυξημένης κίνησης.
Κάντε τακτικά αντίγραφα ασφαλείας: Κάντε τακτικά αντίγραφα ασφαλείας της ιστοσελίδας σας, συμπεριλαμβανομένης της βάσης δεδομένων, για να αποκαταστήσετε την ιστοσελίδα σε περίπτωση προβλημάτων.