-
Μην αφήνετε κανέναν να γνωρίζει τον κωδικό πρόσβασης στο email σας. Αν νομίζετε ότι κάποιος γνωρίζει τον κωδικό πρόσβασής σας, αλλάξτε τον αμέσως. Να έχετε πάντα έναν κωδικό πρόσβασης που κανείς δεν μπορεί να μαντέψει.
-
Ποτέ μη συμφωνήσετε να συναντήσετε έναν άγνωστο που γνωρίσατε στο Διαδίκτυο. Αν θέλετε να συναντήσετε κάποιον, να το κάνετε πάντα σε δημόσιο χώρο και με έναν γονέα ή έναν ενήλικα που εμπιστεύεστε.
-
Όταν συνομιλείτε σε δωμάτια συνομιλίας, να είστε πολύ προσεκτικοί και να μη δίνετε προσωπικές πληροφορίες, όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις κατοικίας ή σχολείου ή αριθμούς τηλεφώνου.
-
Αποφύγετε ιστότοπους που απευθύνονται σε άτομα “18+”. Οι προειδοποιήσεις υπάρχουν για να μας προστατεύουν. Είναι προτιμότερο να εξερευνήσετε ιστότοπους με εκπαιδευτικό, ψυχαγωγικό και ενημερωτικό περιεχόμενο κατάλληλο για την ηλικία και τα ενδιαφέροντά σας.
-
Είναι σημαντικό να μην ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άτομα που δεν αναγνωρίζετε. Μην ανοίγετε ποτέ συνημμένα αρχεία από τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου, καθώς μπορεί να μολύνουν τον υπολογιστή σας με ιούς. Ζητήστε από τους γονείς σας να εγκαταστήσουν ένα σύστημα φιλτραρίσματος ανεπιθύμητων μηνυμάτων, ώστε να λαμβάνετε μόνο τα μηνύματα ηλεκτρονικού ταχυδρομείου που χρειάζεστε.
Ιδεολογία Hacking
Πολλοί θέλουν να μάθουν hacking χωρίς να ξέρουν τα βασικά πράγματα πάνω στην ιδεολογία του συγκεκριμένου τομέα. Σε αυτό το θέμα θα πω δύο λόγια για την ιδεολογία του hacking, θα προσπαθήσω να είμαι όσο ποιο πολύ κατανοητός μπορώ να είμαι.
Αρχικά θα πρέπει να σας πω ότι το hacking δεν είναι το ίδιο με το hacktivism και το penetration testing. Αυτά είναι 3 διαφορετικά πράγματα. Μπορεί το hacking να περιέχει μέσα τα άλλα δύο αλλά το αντίθετό δεν γίνετε. Δεν θα επεκταθώ σε αυτό όμως.
Η βασική αρχή του hacking βασίζεται στην ελευθερία του λόγου και το μοίρασμα της γνώσεις ώστε να αναπτυχθεί ολόκληρος ο κόσμος. Η δημιουργία τον linux είχε αυτό το σκεπτικό. Ο παραπάνω είναι ο λόγος της υπάρξεις τους. Θα τονίσω ότι δεν είναι το ίδιο με τον κομουνισμό. Η βασική διαφορά τους είναι ότι ο κομουνισμός σε αναγκάζει να μοιραστής κάτι ενώ το hacking απλά στο επιτρέπει.
Θα δείτε πόλους χακερς να αναπτύσσουν πράγματα ανοικτού κώδικα, πολλές φορές χωρίς να έχουν κάποιο ιδιαίτερό κέρδος τα άτομα που το έφτιαξαν.
Επίσης το hacking είναι μια συνεχής αναζήτηση γνώσεων.
Υπάρχουν κάποιοι κανόνες στο hacking. Κάτι σαν κώδικας. Η αλήθεια είναι ότι όταν το πρώτο διάβασα μου φάνηκε αστείο και ίσως ήταν. Αλλά χρόνια αργότερα κατάλαβα ότι είναι πράγματα που κάνεις είτε το θες είτε όχι γιατί δεν μπορείς να τα αποφύγεις. Αν τα αποφύγεις συνήθως υπάρχουν κακές συνέπειες για εσένα.
- Όλες οι πληροφορίες πρέπει να είναι ελεύθερες. Πόλοι παρεξηγούνται με αυτόν τον κανόνα. Ναι σημαίνει ότι πρέπει να είναι όλα ελευθέρα αλλά δεν σημαίνει ότι όλα πρέπει να είναι και τσάμπα ή ότι εσύ πρέπει να δώσεις πληροφορίες σε κάποιον επειδή στο ζητάει και υπάρχει αυτός ο κανόνας. Με απλά λόγια λέει ότι πρέπει να έχουμε την δυνατότητα να μοιραζόμαστε πράγματα όταν το θέλουμε. Σε πολλά συστήματα δεν επιτρέπετε αυτό (βλέπε windows). Επίσης σημαίνει ότι όλοι πρέπει να έχουν πρόσβαση στην μάθηση και στους υπολογιστές/internet και άλλες πηγές γνώσεις.
- Λήψη εμπιστοσύνης στην εξουσία. Για να είναι κάτι πραγματικά ανοικτό τότε πρέπει να αναπτυχθεί και να συνεχίσει να αναπτύσσετε από όλους. Όχι μόνο μια επιχείρηση.
- Δεν μετράνε τα χαρτιά. Κρίνεσαι από τις γνώσεις και τις ικανότητες σου και όχι από τα πτυχία σου. Κάτι που συμβαίνει σπάνια πλέον.
- Δημιουργία. Μπορείς να φτιάξεις πράγματα που θα βοηθήσουν κόσμο με έναν υπολογιστή.
- Οι υπολογιστές μπορούν να κάνουν τον κόσμο καλύτερο.
Αλγόριθμος τεχνητής νοημοσύνης ανιχνεύει επιθέσεις MitM σε μη επανδρωμένα στρατιωτικά οχήματα
Καθηγητές του Πανεπιστημίου της Νότιας Αυστραλίας και του Πανεπιστημίου Charles Sturt ανέπτυξαν έναν αλγόριθμο για τον εντοπισμό και την αναχαίτιση επιθέσεων man-in-the-middle (MitM) σε μη επανδρωμένα στρατιωτικά ρομπότ.
Οι επιθέσεις MitM είναι ένας τύπος κυβερνοεπίθεσης όπου η κυκλοφορία δεδομένων μεταξύ δύο μερών, στην προκειμένη περίπτωση, του ρομπότ και των νόμιμων ελεγκτών του, υποκλέπτεται είτε για να υποκλαπεί είτε για να εισαχθούν ψευδή δεδομένα στη ροή.
Τέτοιες κακόβουλες επιθέσεις έχουν ως στόχο να διακόψουν τη λειτουργία των μη επανδρωμένων οχημάτων, να τροποποιήσουν τις μεταδιδόμενες οδηγίες και, σε ορισμένες περιπτώσεις, ακόμη και να αναλάβουν τον έλεγχο, δίνοντας εντολή στα ρομπότ να προβούν σε επικίνδυνες ενέργειες.
Οι ερευνητές του πανεπιστημίου ανέπτυξαν έναν αλγόριθμο που χρησιμοποιεί τεχνικές μηχανικής μάθησης για τον εντοπισμό αυτών των προσπαθειών και τον τερματισμό τους σε δευτερόλεπτα.
Ο αλγόριθμος δοκιμάστηκε σε ένα αντίγραφο του GVR-BOT που χρησιμοποιείται από τον αμερικανικό στρατό (TARDEC) και κατέγραψε επιτυχή αποτροπή επιθέσεων στο 99% των περιπτώσεων, με ψευδώς θετικά αποτελέσματα σε λιγότερο από 2% των δοκιμασμένων περιπτώσεων.
Αναγνώριση επιθέσεων MitM
Η ανίχνευση MitM που στοχεύουν οχήματα και ρομπότ χωρίς πλήρωμα είναι πολύπλοκη, καθώς τα συστήματα αυτά λειτουργούν με ανοχή σε σφάλματα, οπότε η διάκριση μεταξύ κανονικών λειτουργιών και συνθηκών σφάλματος μπορεί να είναι θολή.
Επίσης, τα ρομποτικά συστήματα μπορούν να παραβιαστούν σε διάφορα επίπεδα, από το κεντρικό σύστημα έως τα υποσυστήματά του και τα υποσυστήματά τους, προκαλώντας ένα λειτουργικό πρόβλημα που θα μπορούσε να καταστήσει το ρομπότ δυσλειτουργικό.
Οι ερευνητές του πανεπιστημίου ανέπτυξαν ένα σύστημα που ανέλυε τα δεδομένα κίνησης του δικτύου του ρομπότ για να εντοπίζει προσπάθειες παραβίασης του. Το σύστημα αυτό χρησιμοποιεί μεθόδους βασισμένες σε κόμβους, εξετάζει προσεκτικά τα δεδομένα πακέτων και χρησιμοποιεί ένα σύστημα βασισμένο στη στατιστική ροής που διαβάζει μεταδεδομένα από την επικεφαλίδα του πακέτου.
Το λεπτομερές τεχνικό έγγραφο που κυκλοφόρησαν οι ερευνητές εμβαθύνει στις ιδιαιτερότητες του μοντέλου βαθιάς μάθησης CNN (convolutional neural network) που αναπτύχθηκε για τον σκοπό αυτό, το οποίο περιλαμβάνει πολλαπλά επίπεδα και φίλτρα που αυξάνουν την αξιοπιστία του αποτελέσματος ανίχνευσης κυβερνοεπιθέσεων.
Οι πραγματικές δοκιμές που πραγματοποιήθηκαν στο replica bot με προσομοιωμένες κυβερνοεπιθέσεις με στόχο διάφορα συστήματα παρήγαγαν εξαιρετικά αποτελέσματα και υψηλή ακρίβεια αναγνώρισης ακόμη και μετά από μόλις 2-3 εποχές εκπαίδευσης του μοντέλου.
Βελτιστοποιημένες εκδόσεις αυτού του νέου συστήματος προστασίας θα μπορούσαν να βρουν εφαρμογές σε παρόμοιες αλλά πιο απαιτητικές ρομποτικές εφαρμογές, όπως τα μη επανδρωμένα αεροσκάφη.
Η ενημέρωση της Apple διορθώνει νέα zero-day που χρησιμοπούνται για iPhones hack
Η Apple κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για να επιδιορθώσει ένα νέο κενό ασφαλείας μηδενικής ημέρας που αξιοποιείται σε επιθέσεις με στόχο χρήστες iPhone και iPad.
Η ευπάθεια (CVE-2023-42824) προκαλείται από μια αδυναμία που ανακαλύφθηκε στον πυρήνα XNU, η οποία επιτρέπει σε τοπικούς επιτιθέμενους να κλιμακώσουν τα προνόμιά τους σε iPhone και iPad που δεν έχουν επιδιορθωθεί.
Ενώ η Apple δήλωσε ότι αντιμετώπισε το ζήτημα ασφαλείας στο iOS 17.0.3 και στο iPadOS 17.0.3 με βελτιωμένους ελέγχους, δεν έχει αποκαλύψει ακόμη ποιος βρήκε και ανέφερε το ελάττωμα.
Ο κατάλογος των επηρεαζόμενων συσκευών είναι αρκετά εκτενής και περιλαμβάνει:
- iPhone XS και νεότερα μοντέλα
- iPad Pro 12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα και iPad mini 5ης γενιάς και μεταγενέστερα.
Η Apple αντιμετώπισε επίσης μια μηδενική ημέρα που εντοπίζεται ως CVE-2023-5217 και προκαλείται από μια αδυναμία υπερχείλισης buffer σωρού στην κωδικοποίηση VP8 της βιβλιοθήκης κωδικοποίησης βίντεο ανοικτού κώδικα libvpx, η οποία θα μπορούσε να επιτρέψει την εκτέλεση αυθαίρετου κώδικα μετά από επιτυχή εκμετάλλευση.
Το σφάλμα libvpx είχε επιδιορθωθεί προηγουμένως από την Google στο πρόγραμμα περιήγησης ιστού Chrome και από τη Microsoft στα προϊόντα Edge, Teams και Skype.
Το CVE-2023-5217 ανακαλύφθηκε από τον ερευνητή ασφαλείας Clément Lecigne, ο οποίος ανήκει στην Ομάδα Ανάλυσης Απειλών (TAG) της Google, μια ομάδα εμπειρογνωμόνων ασφαλείας που είναι γνωστή για τη συχνή εύρεση zero-days που χρησιμοποιούνται καταχρηστικά σε κυβερνητικά υποστηριζόμενες στοχευμένες επιθέσεις κατασκοπευτικού λογισμικού που στοχεύουν άτομα υψηλού κινδύνου.
17 zero-days που αξιοποιήθηκαν σε επιθέσεις, διορθώθηκαν φέτος
Το CVE-2023-42824 είναι η 17η ευπάθεια μηδενικής ημέρας που αξιοποιείται σε επιθέσεις και την οποία η Apple έχει διορθώσει από την αρχή του έτους.
Η Apple επιδιόρθωσε επίσης πρόσφατα τρία άλλα σφάλματα μηδενικής ημέρας (CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) που αναφέρθηκαν από ερευνητές των Citizen Lab και Google TAG και αξιοποιήθηκαν σε επιθέσεις spyware για την εγκατάσταση του spyware Predator της Cytrox.
Η Citizen Lab αποκάλυψε δύο άλλα zero-day (CVE-2023-41061 και CVE-2023-41064) -που διορθώθηκαν από την Apple τον περασμένο μήνα- και χρησιμοποιήθηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης μηδενικού κλικ (που ονομάστηκε BLASTPASS) για να μολύνουν πλήρως επιδιορθωμένα iPhones με το spyware Pegasus της NSO Group.
Από τον Ιανουάριο του 2023, η Apple έχει αντιμετωπίσει συνολικά 17 zero-days που αξιοποιήθηκαν για να στοχεύσουν iPhones και Mac, μεταξύ των οποίων:
- δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
- τρία zero-days (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
- τρία ακόμη zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
- δύο zero-days (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
- και μια άλλη μηδενική ημέρα του WebKit (CVE-2023-23529) τον Φεβρουάριο
Η σημερινή έκδοση iOS 17.0.3 αντιμετωπίζει επίσης ένα γνωστό πρόβλημα που προκαλεί υπερθέρμανση των iPhones με iOS 17.0.2 και νεότερες εκδόσεις.