Κόκκινος
συναγερμός σε ΕΥΠ και Μαξίμου και κατεπείγουσα έρευνα της Δικαιοσύνης
για πληροφορίες που κάνουν λόγο ότι έπεσαν στα χέρια της ΜΙΤ απόρρητοι
κωδικοί κυβερνητικών τηλεφώνων.
Σύμφωνα με την εφημερίδα
kontranews, την τουρκική ΜΙΤ υποψιάζονται οι ελληνικές μυστικές
υπηρεσίες και για την υποκλοπή κρίσιμων δεδομένων από την COSMOTE.
Ταυτόχρονα
όπως αναφέρει το ''ΒΗΜΑ'', δεδομένα από τις μετακινήσεις, τις
συναντήσεις και τις τηλεφωνικές κλήσεις του πρωθυπουργού Κυριάκου
Μητσοτάκη και των περισσοτέρων υπουργών της κυβέρνησης φέρεται να έχουν
διαρρεύσει σε αγνώστους ηλεκτρονικούς εισβολείς που προχώρησαν – στις
αρχές Σεπτεμβρίου – στην υποκλοπή των αρχείων δεδομένων κινητής
τηλεφωνίας τουλάχιστον 3-5 εκατομμυρίων χρηστών από την εταιρεία
Cosmote.
Οι άγνωστοι χάκερ κατάφεραν να υποκλέψουν ακόμα και
απόρρητους κωδικούς που χρησιμοποιούνται στις επικοινωνίες του
Πρωθυπουργού και μελών της κυβέρνησης. Μιλάμε για οργανωμένη δουλειά,
που είχε ένα και μόνο στόχο: τις υποκλοπές κρίσιμων συνομιλιών.
Η
υποκλοπή έγινε αντιληπτή από τα στελέχη της εταιρείας την 9η
Σεπτεμβρίου και η ανακοίνωση για το συμβάν εκδόθηκε στις 14 Οκτωβρίου.
Στο σχετικό δελτίο Τύπου ο τηλεπικοινωνιακός πάροχος επισημαίνει ότι το
αρχείο που αφαιρέθηκε περιελάμβανε τα στοιχεία κλήσεων που δέχθηκαν ή
πραγματοποίησαν οι συνδρομητές της Cosmote το πενθήμερο από 1 έως 5
Σεπτεμβρίου. Σύμφωνα με ορισμένες εκτιμήσεις, η υποκλοπή αφορά το 50%
των συνδρομητών της εταιρείας.
Η υποκλοπή αποδίδεται σε
κυβερνοεπίθεση και, μάλιστα, από την έως τώρα έρευνα διαπιστώνεται ότι
ορισμένα ψηφιακά ίχνη οδηγούν στη Λιθουανία. Στελέχη της εταιρείας
προχώρησαν ένα βήμα παρακάτω περιγράφοντας την κυβερνοεπίθεση ως remote
file inclusion (RFI). Σύμφωνα με δημοσιεύματα στον διεθνή Τύπο, οι
επιθέσεις RFI επιτυγχάνονται με την παραβίαση των web servers του
στόχου, εν προκειμένω της Cosmote.
Όπως αναφέρει η kontranews,
είναι εγκληματικές οι ευθύνες της διοίκησης της Cosmote (που ανήκει στον
ΟΤΕ, ο οποίος ανήκει στους Γερμανούς της Deutsche Telekom) που έθεσε σε
άμεσο κίνδυνο την εθνική ασφάλεια.
Σε γιγαντιαίο σκάνδαλο
αντίστοιχο με αυτό που είχε αποκαλυφθεί πριν από χρόνια , όταν οι
Αμερικανοί διενεργούσαν υποκλοπές στα τηλέφωνα του τότε Πρωθυπουργού
Κώστα Καραμανλή και Υπουργών της κυβέρνησής του μέσω ενός λογισμικού που
είχε εγκατασταθεί στο δίκτυο της Vodafon, εξελίσσεται η υπόθεση της
κλοπής των αρχείων της Cosmote.
Το σκάνδαλο των υποκλοπών στη Cosmote ακουμπά τον ίδιο τον Κυριάκο Μητσοτάκη και τους Υπουργούς του.
Μια εβδομάδα μετά την αποκάλυψη όμως, κανείς δεν ξέρει το παραμικρό για το θέμα.
Η COSMOTE ΚΙΝΗΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ Α.Ε. ενημερώνει ότι κατά τη
διάρκεια ελέγχου των συστημάτων της, ανιχνεύτηκε μη εξουσιοδοτημένη
εξαγωγή αρχείου από σύστημα της εταιρείας, ως αποτέλεσμα
κυβερνοεπίθεσης. Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο,
των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το
πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και
ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον,
τύπος συσκευής, IMSI[1], ηλικία, φύλο, ARPU[2], συντεταγμένες σταθμού
βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Τα στοιχεία αυτά
χρησιμοποιούνται από την εταιρεία για τη βελτιστοποίηση του δικτύου και
των παρεχόμενων υπηρεσιών.
Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων
(συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε
κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών
λογαριασμών.
Δεν απαιτείται καμία ενέργεια από την πλευρά των πελατών.
Η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα
και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται.
Η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη και μέχρι στιγμής, δεν
υπάρχει καμία ένδειξη περί δημοσιοποίησης ή άλλης χρήσης του παρανόμως
αποκτηθέντος αρχείου.
Το φαινόμενο των κυβερνοεπιθέσεων (cyberattacks) παγκοσμίως, αποτελεί
καθημερινότητα για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών
και θεσμών.
Τα συστήματα κυβερνοασφάλειας της εταιρείας αποκρούουν κάθε μήνα πάνω από 500 χιλιάδες κακόβουλες επιθέσεις τρίτων και επιθέσεις άρνησης υπηρεσιών (DDoS).
Περισσότερες πληροφορίες θα αναρτηθούν στο www.cosmote.gr.
Προσωπική εκτίμηση... αν δεν υπήρχε το GDPR, δε θα το μαθαίναμε ποτέ γιατί κακά τα ψέμματα καμία εταιρία δεν θέλει να παραδεχθεί ότι δέχτηκε επίθεση, αν τώρα η επίθεση βαπτίστηκε απόκρουση με το να κλείσεις τις τρύπες εκ των υστέρων αυτό είναι αν μη τι άλλο ουτοπικό.
Σημασία έχει όμως ότι η διαφάνεια, οι κυρώσεις καθώς και οι υποχρεώσεις που διέπουν τον Κανονισμό 2016/679 (GDPR), που εφαρμόζεται σε όλους τους φορείς που
διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα
προσωπικού χαρακτήρα, παίζουν σημαντικό ρόλο στην γνωστοποίηση κυβερνωεπιθέσεων που πριν την εφαρμογή του δεν μαθαίναμε ποτέ.
Στην γλώσσα της τεχνολογίας θα μπορούσε να το περιγράψει κανείς και ως «ψηφιακό έμφραγμα»
αυτό που συνέβη στο Πανεπιστημιακό Νοσοκομείο του Ντίσελντροφ, στο
μεγαλύτερο νοσοκομείο του κρατιδίου της Βόρειας Ρηνανίας Βεστφαλίας με
18 εκατομμύρια κατοίκους. Ξαφνικά εκεί που όλα λειτουργούσαν κανονικά,
νέκρωσαν. Ηλεκτρονικοί υπολογιστές, τηλέφωνα, ψηφιακό υλικό με ιστορικά
των ασθενών, ακόμη και οι αίθουσες χειρουργείων ήταν αδύνατο να λειτουργήσουν,
ούτε καν για σοβαρά περιστατικά. Το αποτέλεσμα ήταν να τεθεί ένα
ολόκληρο νοσοκομείο εκτός λειτουργίας και να μην μπορεί να εξυπηρετήσει
κανένα περιστατικό. Ένα ολόκληρο νοσοκομείο στόχος χάκερς!
Η ασθενής κατέληξε στο νοσοκομείο του Βούπερταλ
Δεν μπορούσε να κινηθεί κανένα ασθενοφόρο, κανένα ελικόπτερο»
περιγράφει την κατάσταση ο Φρανκ Σνάιντερ, ιατρικός διευθυντής του
νοσοκομείου. «Τα εξωτερικά ιατρεία νέκρωσαν. Ήταν μια τρομακτική
περίοδος για μας και τους ασθενείς». Το ασυνήθιστο περιστατικό έγινε την
περασμένη εβδομάδα. Οι χάκερς «κλείδωσαν» 30 σέρβερ,
όπως ανακοίνωσε εκπρόσωπος της τοπικής κυβέρνησης. Σε έναν εξ αυτών
άφησαν μια εκβιαστική επιστολή ώστε να έρθουν οι αρχές του πανεπιστημίου
σε επικοινωνία μαζί τους χωρίς όμως να ζητούν χρήματα. Θα ήταν ίσως ένα
ανάμεσα στα πολλά κρούσματα κυβερνοεπιθέσεωναπό
χάκερς σε ηλεκτρονικά συστήματα επιχειρήσεων, κρατικών υπηρεσιών,
υπουργείων ακόμη και κοινοβουλίων εάν δεν το πλήρωνε με τη ζωή της μια
γυναίκα που εκείνο το βράδυ διακομίστηκε στα επείγοντα και έπρεπε να
εγχειριστεί αμέσως.
Αλλά ήταν απολύτως αδύνατο γιατί τα πάντα είχαν παραλύσει. ΄Ετσι με το
ίδιο ασθενοφόρο η γυναίκα διακομίστηκε στο Βούπερταλ, 30 χιλιόμετρα από
το Πανεπιστημιακό Νοσοκομείο του Ντίσελντορφ. Η διάρκεια της διαδρομής
είναι μόνο 30 λεπτά. Αλλά η ασθενής δεν άντεξε και κατέληξε. Είναι κατά
πάσα πιθανότητα το πρώτο κρούσμα κυβερνοεπίθεσης με νεκρό. Η εισαγγελία του Βούπερταλ έχει αναλάβει το ποινικό κομμάτι της υπόθεσης.
Οι χάκερς μετάνιωσαν!
Αλλά υπάρχει και μια άλλη επίσης ασυνήθιστη πτυχή. Οι δράστες είχαν
κάνει λάθος. Ο στόχος τους ήταν το πανεπιστήμιο, όπως επιβεβαιώνει και ο
Κρίστοφ Χέμπεκερ από την εισαγγελία της Κολωνίας. «Με βάση τα όσα
συνέβησαν, υποθέτουμε ότι επρόκειτο περί λάθους, ότι οι δράστες δεν
ήθελαν να κλειδώσουν τους σέρβερ του Πανεπιστημιακού Νοσοκομείου αλλά
του Πανεπιστημίου του Ντίσελντορφ». Και όταν έμαθαν ότι είχε νεκρώσει
ένα ολόκληρο νοσοκομείο, το μετάνιωσαν και έδωσαν τους κωδικούς για να ξεκλειδώσουν οι σέρβερ.
Από το θανατηφόρο περιστατικό μπορούν να βγουν πολλά συμπεράσματα για
την ασφάλεια στον κυβερνοχώρο. Για το Πανεπιστημιακό Νοσοκομείο του
Ντίσελντορφ γίνεται αγώνας δρόμου για την επιστροφή στην κανονικότητα.
«Θα διαρκέσει ακόμη μερικές εβδομάδες» λέει ο Φρανκ Σνάιντερ. «Ήδη
από σήμερα λειτούργησαν και πάλι διάφοροι τομείς. Τα εξωτερικά ιατρεία
άνοιξαν και πάλι. Οι ασθενείς τηλεφωνούν και ρωτούν εάν μπορούν να
έρθουν ή να πάνε αλλού. Ελπίζουμε ότι την επόμενη εβδομάδα θα
εξυπηρετούμε και επείγοντα περιστατικά».
Στο στόχαστρο Τούρκων χάκερ βρίσκονται τα
τελευταία εικοσιτετράωρα ιστοσελίδες σχετιζόμενες με τον Στρατό Ξηράς.
Υπάρχει μάλιστα ανησυχία για το ενδεχόμενο οι δράστες να κατάφεραν να
υποκλέψουν ευαίσθητα δεδομένα από τους servers του Γενικού Επιτελείου
Στρατού. Στελέχη του Πενταγώνου διέψευσαν ότι οι χάκερ κατάφεραν να
αποκτήσουν πρόσβαση στα εσωτερικά δίκτυά τους. Ωστόσο, άλλες πηγές
ενημέρωσης, που ρωτήθηκαν σχετικά, άφησαν ανοικτό ένα τέτοιο ενδεχόμενο,
διευκρινίζοντας στην «Κ» ότι «το θέμα ερευνάται».
Οι επιθέσεις έγιναν αντιληπτές το πρωί της Τρίτης όταν οι Τούρκοι
χάκερ αλλοίωσαν την αρχική σελίδα της Περιφέρειας Ανατολικής Μακεδονίας -
Θράκης και του 424 Γενικού Στρατιωτικού Νοσοκομείου αναρτώντας
φωτογραφίες του σεισμογραφικού πλοίου «Oruc Reis» συνοδευόμενες από
γραπτά μηνύματα με εθνικιστικό περιεχόμενο.
Μόλις η επίθεση έγινε αντιληπτή οι δύο ιστοσελίδες τέθηκαν εκτός
λειτουργίας από τους διαχειριστές τους και παρέμεναν μέχρι και χθες το
βράδυ ανενεργές. Την ευθύνη των επιθέσεων ανέλαβε η ομάδα Τούρκων χάκερ
«Akincilar» που έχει και στο παρελθόν επιτεθεί σε ιστοσελίδες υπουργείων
και άλλων φορέων και οργανισμών της Ελλάδας. Οι αρμόδιες αρχές της
χώρας δεν έχουν καταφέρει να διευκρινίσουν εάν τα μέλη της ομάδας δρουν
αυτόνομα ή υπό καθοδήγηση τρίτων.
Στα τέλη του 2018, ενδεικτικά, είχαν επιτεθεί σε ιστοσελίδες του
υπουργείου Εσωτερικών και της ΕΡΤ, με κατάληξη ypes.gr και ert.gr
αντίστοιχα και μερικούς μήνες νωρίτερα είχαν απειλήσει να «ρίξουν» την
ιστοσελίδα του ελληνικού υπουργείου Εξωτερικών. Ζητούσαν την έκδοση στην
Τουρκία των 8 Τούρκων στρατιωτικών που είχαν συλληφθεί στην
Αλεξανδρούπολη την επομένη της απόπειρας πραξικοπήματος του 2016.
Το χρονικό των πρόσφατων επιθέσεων περιγράφεται σε αναρτήσεις στο
Twitter χρήστη υπό στοιχεία @ynsmroztas. Δημοσιοποίησε ενδεικτικά τις
ηλεκτρονικές διευθύνσεις ορισμένων από τους στόχους των επιθέσεων. Για
παράδειγμα του 401 Στρατιωτικού Νοσοκομείου, του 417 ΝΙΜΤΣ και του 424
Γενικού Στρατιωτικού Νοσοκομείου Εκπαιδεύσεως στη Θεσσαλονίκη, που
φιλοξενούνται σε server του Γενικού Επιτελείου Στρατού με κατάληξη
army.gr. Στη συνέχεια, στον ίδιο λογαριασμό δημοσιοποιήθηκε tweet που
δείχνει σε βίντεο τον τρόπο που έδρασαν οι χάκερ και επομένως το κενό
ασφαλείας μέσω του οποίου έκαναν τις επιθέσεις.
Η τρίτη και περισσότερο ανησυχητική ανάρτηση της ομάδας στο ίδιο μέσο
κοινωνικής δικτύωσης αναφέρει ότι τέθηκε εκτός λειτουργίας η ιστοσελίδα
του Γενικού Επιτελείου Στρατού και ότι «όλα τα δεδομένα κλάπηκαν». Η
ιστοσελίδα του ΓΕΣ πράγματι «έπεσε» την Τρίτη και παρέμενε μέχρι χθες
εκτός λειτουργίας.
Στελέχη του έλεγαν χθες ότι οι χάκερ δεν «μπήκαν» στο εσωτερικό
δίκτυο (intranet) του Επιτελείου και ως εκ τούτου δεν απέκτησαν πρόσβαση
σε ευαίσθητα αρχεία και δεδομένα. Σε αυτή την περίπτωση, οι πρόσφατες
επιθέσεις αποτελούν άλλη μια ενέργεια εντυπωσιασμού, όπως συνηθίζεται
μεταξύ των διαφορετικών ομάδων χάκερ σε Τουρκία και Ελλάδα. Την ίδια
ώρα, πάντως, η έρευνα για την υπόθεση δεν έχει ακόμα ολοκληρωθεί και
αρκετοί εκφράζουν ανησυχία για το εύρος της ζημιάς που έχει προκληθεί
όσο και για τον ακριβή αριθμό των ιστοσελίδων που δέχτηκαν επίθεση.
Οι αναλυτές ασφαλείας της Check Point άναψαν φωτιές στην Qualcomm και σε δεκάδες εκατομμύρια χρήστες συσκευών Android, διότι ανακάλυψαν περισσότερες από 400 ευπάθειες στα DSPs (επεξεργαστές ψηφιακού σήματος) των Snapdragon SoCs.
Η εταιρεία έχει δώσει την κωδική ονομασία “Achilles”
στο πακέτο των ευπαθειών και για την ώρα δεν αποκαλύπτει περισσότερες
λεπτομέρειες για να μην τα εκμεταλλευτούν οι hackers έως ότου βρεθεί η
λύση από την Qualcomm. Σημειώνουν, ωστόσο, ότι οι επιπτώσεις από τα κενά
ασφαλείας θα μπορούσαν να αποδειχτούν ιδιαίτερα σοβαρές με την υποκλοπή
τηλεφωνικών κλήσεων, την εγκατάσταση malware, την πρόσβαση σε προσωπικά
δεδομένα ή ακόμη και την ολοκληρωτική αχρήστευση της συσκευής.
Το ευχάριστο είναι ότι η Qualcomm έχει ήδη
ενημερωθεί από την Check Point και βρίσκεται κοντά στη λύση, ενώ μέχρι
στιγμής δεν έχει καταγραφεί καμία περίπτωση εκμετάλλευσης αυτών των
κενών ασφαλείας. Οι χρήστες από την πλευρά τους θα πρέπει να περιμένουν
κάποιο patch που θα κυκλοφορήσει η εταιρεία και καλό θα είναι να
κατεβάζουν εφαρμογές μόνο από έμπιστα καταστήματα.
Προφανώς, πρώτα θα μοιραστεί το “φάρμακο” και έπειτα θα ακολουθήσει η
αναλυτική έκθεση της Check Point για τα κενά ασφαλείας, άρα περιμένουμε
νέα ενημέρωση μέσα στις επόμενες εβδομάδες.
Από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, διερευνήθηκε υπόθεση παράνομης πρόσβασης σε πληροφοριακό σύστημα, με τη μέθοδο «SIM Swap» Συνελήφθη στο πλαίσιο της αυτόφωρης διαδικασίας ημεδαπός Από
τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος συνελήφθη ημεδαπός και σε
βάρος του σχηματίστηκε δικογραφία για παράνομη πρόσβαση σε πληροφοριακό
σύστημα και παράβαση της νομοθεσίας για τα ναρκωτικά.
Ειδικότερα ο ημεδαπός, με τη συνδρομή άγνωστων συνεργών του, κατάφερε,
παραβιάζοντας τις τηλεφωνικές συνδέσεις εργαζομένων σε εταιρείες που
εδρεύουν στο εξωτερικό, μέσω της μεθόδου «SIM Swap», να αποκτήσει
παράνομη πρόσβαση στις προσωπικές τους θυρίδες ηλεκτρονικού
ταχυδρομείου, καθώς και τους προσωπικούς τους λογαριασμούς σε
διαδικτυακή πλατφόρμα.
Σημειώνεται ότι η μέθοδος «SIM Swap» είναι μια τεχνική που
χρησιμοποιείται από δράστες προκειμένου να αποκτήσουν, με απατηλό
τρόπο, τον τηλεφωνικό αριθμό ενός συνδρομητή – στόχου, με σκοπό να
επικοινωνήσουν με τον αρμόδιο τηλεπικοινωνιακό πάροχο του συνδρομητή –
θύματος και σε περίπτωση που καταφέρουν να επαληθευθούν ως οι νόμιμοι
συνδρομητές, ζητούν τη μεταφορά / επανενεργοποίηση του τηλεφωνικού
αριθμού σε νέα κάρτα SIM που υποδεικνύουν.
Η διερεύνηση της υπόθεσης ξεκίνησε μετά από σχετική ενημέρωση από αρχές
του εξωτερικού, ότι ηλεκτρονικές διευθύνσεις IP από τη χώρα μας
ενέχοντο σε παραβιάσεις ηλεκτρονικών λογαριασμών τουλάχιστον (7)
εταιρειών του εξωτερικού, που δραστηριοποιούνται στις διαδικτυακές
υπηρεσίες, διαδικτυακά φόρουμ, διαχείριση τρίτων μερών και υπηρεσίες
νέφους (cloud repository services).
Οι θιγόμενες εταιρείες προσδιόρισαν πως η αξία της ζημίας που υπέστησαν
από τις παραβιάσεις αυτές υπερβαίνει το (1.000.000.) ευρώ, με το
μεγαλύτερο ποσοστό της ζημίας να προέρχεται από την απώλεια πηγαίου
κώδικα μηχανογραφικών εφαρμογών.
Τα ανωτέρω τέθηκαν υπ’ όψιν της Εισαγγελίας Πρωτοδικών Αθηνών και
παραγγέλθηκε η διενέργεια προκαταρκτικής εξέτασης προς διακρίβωση των
διερευνώμενων πράξεων. Επιπρόσθετα εκδόθηκε βούλευμα για την άρση του
απορρήτου των επικοινωνιών.
Στο πλαίσιο της προκαταρκτικής εξέτασης, διενεργήθηκε ενδελεχής και
εμπεριστατωμένη αστυνομική και διαδικτυακή έρευνα, των ψηφιακών
στοιχείων και δεδομένων προς διερεύνηση και διαλεύκανση της υπόθεσης,
από την οποία ταυτοποιήθηκε ότι για τις παραβιάσεις των πληροφοριακών
συστημάτων χρησιμοποιήθηκαν ηλεκτρονικές διευθύνσεις ΙΡ που
αντιστοιχούν στην διαδικτυακή σύνδεση του συλληφθέντα ημεδαπού.
Πρωινές ώρες της Πέμπτης, 25 Ιουνίου 2020, κλιμάκιο αστυνομικών της
Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος μετέβη στην οικία του
ημεδαπού σε περιοχή της Αττικής, όπου στο πλαίσιο έρευνας βρέθηκαν
κατασχέθηκαν:
κεντρική μονάδα ηλεκτρονικού υπολογιστή με (2) σκληρούς δίσκους,
(2) κινητά τηλέφωνα,
εξωτερικό μέσο αποθήκευσης USB και μικροϋπολογιστή,
συσκευή – πορτοφόλι κρυπτονομισμάτων,
ζυγαριά ακριβείας και μικροποσότητα κάνναβης
(57) χάπια φαρμακευτικού σκευάσματος, και
(6) κάρτες SIM παρόχου τηλεπικοινωνιακών υπηρεσιών του εξωτερικού.
Από επιτόπια έρευνα στα πληροφοριακά συστήματα του ημεδαπού, προέκυψαν
στοιχεία που επιβεβαιώνουν τη συμμετοχή του στις παράνομες
δραστηριότητες.
Τα κατασχεθέντα ψηφιακά πειστήρια θα αποσταλούν στη Διεύθυνση
Εγκληματολογικών Ερευνών για τη διενέργεια εργαστηριακής
πραγματογνωμοσύνης, ενώ οι κατασχεθείσες ναρκωτικές ουσίες θα
αποσταλούν στο Γενικό Χημείο του Κράτους για περαιτέρω χημική ανάλυση.
Ο συλληφθείς, με τη δικογραφία που σχηματίστηκε σε βάρος του, οδηγήθηκε
στην Εισαγγελία Πρωτοδικών Αθηνών και ακολούθως παραπέμφθηκε στον
Ανακριτή.
Ο πηγαίος κώδικας περιλαμβάνει μέρη του αρχικού λειτουργικού συστήματος του Xbox.
Ο αυθεντικός πηγαίος κώδικας της Microsoft για το Xbox, διέρρευσε online,
μαζί με τον κώδικα για την έκδοση NT 3.5 των Windows. Ο κώδικας του
Xbox περιλαμβάνει τον πυρήνα (kernel) του λειτουργικού συστήματος της
κονσόλας, μία ειδικά προσαρμοσμένη έκδοση των Windows 2000. Ο κώδικας
διέρρευσε νωρίτερα αυτό το μήνα και έχει επιβεβαιωθεί ότι είναι γνήσιος.
Εκπρόσωπος της Microsoft, δήλωσε στο The Verge:
Γνωρίζουμε για αυτές τις αναφορές και ήδη το ερευνούμε.
Η διαρροή του λειτουργικού συστήματος του Xbox περιλαμβάνει ορισμένα
περιβάλλοντα ανάπτυξης, το development kit του Xbox, τους emulators που
χρησιμοποιούνταν για τις δοκιμές αλλά και εσωτερικά έγγραφα.
Υπάρχουν αρκετοί εξομοιωτές για το Xbox όπως τα CXBX, XQEMU και CXBX
Reloaded, αλλά οι περισσότεροι δυσκολεύονται να τρέξουν ομαλά το
λειτουργικό σύστημα του Xbox. Η Microsoft ανέπτυξε το πρώτο hardware του
Xbox με γνώμονα την αρχιτεκτονική x86 αλλά ο πυρήνας της κονσόλας
βασίστηκε σε μία προσαρμοσμένη έκδοση των Windows 2000 με υποστήριξη
DirectX 8.
Αρκετά χρόνια, ανεπίσημοι εξομοιωτές προσπαθούν να αναπαράγουν αυτόν
τον πυρήνα αλλά μέχρι στιγμής μόνο 40 παιχνίδια έχουν περιορισμένη
υποστήριξη εξομοίωσης σε σύγκριση με τα 900 παιχνίδια που διατέθηκαν για
το αρχικό Xbox. Η Microsoft βέβαια, διαθέτει τον δικό της emulator για
παιχνίδια Xbox και Xbox 360, ο οποίος όμως είναι διαθέσιμος μόνο στις
κονσόλες Xbox One και όχι σε υπολογιστές με Windows.
Μαζί με τη διαρροή του κώδικα για το Xbox, εμφανίστηκε επίσης και ο
πηγαίος κώδικας για μία σχεδόν τελική έκδοση των Windows NT 3.5. Ο
πηγαίος κώδικας περιλαμβάνει τα απαραίτητα εργαλεία κατασκευής που θα
μπορούσε να επιτρέψει σε χρήστες που γνωρίζουν τα κατατόπια, να μάθουν
περισσότερα για το παλιό αυτό λειτουργικό σύστημα. Καθώς η υποστήριξη
των Windows NT 3.5 έληξε τον Δεκέμβριο του 2001, το λειτουργικό σύστημα
χρησιμοποιείται παγκοσμίως σε πολύ μικρό αριθμό συστημάτων, επομένως η
διαρροή του κώδικα δεν αποτελεί σημαντικό ζήτημα ασφαλείας.
Η Microsoft προσπαθεί πολλά χρόνια να προστατεύσει τον γνήσιο πηγαίο κώδικα των Windows και του Xbox. Βέβαια, ο κώδικας των Windows 2000 και NT 4 διέρρευσε το 2004 ενώ ακόμη διαρροές έγιναν και για κώδικα που αφορούσε τα Windows 10, το 2017.
Εξειδικευμένη κυβερνοεπίθεση στα συστήματα της και υποκλοπή των emails
και των προορισμών ταξιδιού σχεδόν 9 εκατομμυρίων πελατών της, αποκάλυψε
η αεροπορική χαμηλού κόστους EasyJet. Επιπλέον παραβιάστηκαν τα
στοιχεία πληρωμής πιστωτικών καρτών 2,208 πελατών της εταιρείας.
Συγκεκριμένα η N.Y. Times αναφέρει:
“We take the cybersecurity of our systems very seriously and have
robust security measures in place to protect our customers’ personal
information,” easyJet’s chief executive officer, Johan Lundgren, said.
“However, this is an evolving threat as cyberattackers get ever more
sophisticated.”
Οι επηρεαζόμενοι πελάτες της EasyJet θα ενημερωθούν ως τις 26 Μαϊου από την εταιρεία.
Δεδομένα εκατομμυρίων χρηστών διέρρευσαν στο διαδίκτυο εξαιτίας λάθους στη ρύθμιση του server.
Εκατομμύρια χρήστες από μεγάλη πλατφόρμα streaming για ενηλίκους, είδαν τα δεδομένα τους να διαρρέουν στο διαδίκτυο, έπειτα από λανθασμένη ρύθμιση της σελίδας.
Η σελίδα CAM4 ήρθε αντιμέτωπη με ένα μεγάλο ρήγμα ασφαλείας που
προκλήθηκε από λάθος ρύθμιση του server, με αποτέλεσμα να διαρρεύσουν
7TB δεδομένων που περιελάμβαναν συνολικά 10,88 δισεκατομμύρια εγγραφές.
Δεδομένα, όπου σύμφωνα με τους ειδικούς ασφαλείας της Safety Detective,
έγιναν διαθέσιμα για όλους στο διαδίκτυο.
Αν και ανάμεσα στα δεδομένα δεν διέρρευσαν οι σεξουαλικές προτιμήσεις
των χρηστών, η βάση δεδομένων περιελάμβανε προσωπικά στοιχεία όπως
ονόματα, διευθύνσεις e-mail, στοιχεία πληρωμής αλλά και αρχεία
συνομιλίας μέσω chat.
Η δημοφιλής πλατφόρμα για ενήλικες χρησιμοποιείται κυρίως από
ερασιτέχνες μοντέλα, τα οποία προβάλουν ζωντανό streaming στο κοινό. Για
να αποκτήσει κάποιος πρόσβαση σε αυτό το περιεχόμενο, πρέπει πρώτα να
εγγραφεί στην πλατφόρμα, αφού προφανώς συμπληρώσει κάποια προσωπικά
στοιχεία αλλά και τρόπο πληρωμής της συνδρομής.
Σύμφωνα με τους ερευνητές, δεν υπάρχουν ενδείξεις ότι η παραβίαση
προκλήθηκε από επίθεση hacker ή ότι τα δεδομένα μεταφέρθηκαν από τη βάση
δεδομένων του CAM4. Ωστόσο, τέτοια περιστατικά μας υπενθυμίζουν πόσο
σημαντικό είναι να υπάρχουν αυστηρότερα πλαίσια ειδικά σε σελίδες
πορνογραφικού περιεχομένου. Ένα project το οποίο είχε ξεκινήσει το
Ηνωμένο Βασίλειο αλλά εγκαταλείφθηκε λόγω του φόβου ότι το απόρρητο των χρηστών θα μπορούσε να τεθεί σε κίνδυνο σε περίπτωση παραβίασης ή εισβολής.
Δεν είναι σαφές ποιος είναι ο ακριβής αριθμός των χρηστών που έγιναν
δημόσια τα δεδομένα τους, αλλά η ανάλυση δείχνει ότι υπάρχουν στοιχεία
που σχετίζονται με περίπου 6,6 εκατομμύρια χρήστες των ΗΠΑ αλλά και
αρκετά στοιχεία από χρήστες σε Ιταλία, Βραζιλία και Γαλλία.
Σε μία περίοδο όπου οι ιστοσελίδες πορνογραφικού περιεχομένου έχουν
αυξημένη επισκεψιμότητα λόγω της πανδημίας, μία τόσο μεγάλη παραβίαση,
θέτει άμεσα σε κίνδυνο προσωπικά στοιχεία ανεπανόρθωτου χαρακτήρα.
Μία σειρά από παραβιάσεις δεδομένων ενδέχεται να προκαλέσουν πονοκέφαλο σε εκατομμύρια χρήστες.
Σύμφωνα με την ιστοσελίδα ZDNet, μία ομάδα hackers με την ονομασία ShinyHunters
πουλάει σχεδόν 73,2 εκατομμύρια αρχεία με στοιχεία χρηστών που κατάφεραν
να κλέψουν από διάφορες ιστοσελίδες. Περίπου 30 εκ. αρχεία προέρχονται
από το Zoosk, ένα dating app ενώ 15 εκ. προέρχονται από την υπηρεσία
Chatbooks. Τα υπόλοιπα αρχεία προέρχονται από διάφορες άλλες
ιστοσελίδες, συμπεριλαμβανομένων ορισμένων ιστοσελίδων μόδας και
επιπλώσεων από τη Ν. Κορέα (περίπου 8 εκ.), της ιστοσελίδας της
εφημερίδας Star Tribune (περίπου 1 εκ.) αλλά και της Chronicle of Higher
Education (3 εκ.).
Αν και δεν είναι δυνατό να επαληθευτούν τα στοιχεία των βάσεων
δεδομένων, η ιστοσελίδα ZDNet εντούτοις υποστηρίζει ότι διαπιστώθηκε
ότι ορισμένα δείγματα ταιριάζουν με τα πραγματικά αρχεία. Ερευνητές
επίσης στον τομέα της ασφάλειας πιστεύουν ότι τα στοιχεία είναι
πραγματικά.
Από ότι φαίνεται, όπως επισημαίνει η ιστοσελίδα Engadget,
τα αρχεία/ στοιχεία των χρηστών που πωλούνται στη μαύρη αγορά τώρα
αποτελούν μέρος μίας μεγαλύτερης εκστρατείας εκβιασμού. Η ομάδα έχει
ισχυριστεί επίσης ότι έχει κλέψει 500GB δεδομένων από τα ιδιωτικά
αποθετήρια του Github της Microsoft και ότι κατάφερε να παραβιάσει την
ασφάλεια του Ινδονησιακού online store Tokopedia μέσα στον Μάϊο. Η
παραβίαση στο Github δεν περιλάμβανε ευαίσθητο υλικό, ωστόσο οι
ShinyHunters έθεσαν προς πώληση την βάση δεδομένων της ιστοσελίδας
Tokopedia έναντι $5000. Όπως συμβαίνει με τις περισσότερες παραβιάσεις
δεδομένων, οι επιτήδειοι έχουν στόχο τον εκβιασμό για να αποκτήσουν
χρήματα, ωστόσο στη συγκεκριμένη περίπτωση, αυτό που προκαλεί έκπληξη
είναι τόσο η κλίμακα όσο και η ταχύτητα που πραγματοποιούν τις
παραβιάσεις.
Οι
ερευνητές της Kaspersky εντόπισαν ένα νέο δείγμα λογισμικού stalkerware
- εμπορικό λογισμικό το οποίο χρησιμοποιείται συνήθως για την κρυφή
παρακολούθηση συνεργατών ή συντρόφων των χρηστών – του οποίου η
λειτουργικότητα επισκιάζει όλα τα προηγουμένως ανακαλυφθέντα αντίστοιχα
λογισμικά.
Ονομάζεται MonitorMinor και
επιτρέπει στους stalkers να αποκτούν πρόσβαση σε οποιαδήποτε δεδομένα
χωρίς να γίνονται αντιληπτοί και να παρακολουθούν τη δραστηριότητα σε
συσκευές που ελέγχουν, καθώς και στις πιο δημοφιλείς υπηρεσίες
ανταλλαγής μηνυμάτων και κοινωνικά δίκτυα.
Το
stalkerware εξ ορισμού θέτει σε κίνδυνο τις προσωπικές πληροφορίες και
την προσωπική ζωή πολλών ανθρώπων. Εάν τα δεδομένα τους παρακολουθούνται
και ελέγχονται, οι συνέπειες συχνά δεν σχετίζονται αποκλειστικά με τον
κυβερνοχώρο για τα εμπλεκόμενα θύματα.
Ενώ τα
πρωτόγονα stalkerware χρησιμοποιούν τεχνολογία geofencing, επιτρέποντας
στον χειριστή να εντοπίζει την τοποθεσία του θύματος και στις
περισσότερες περιπτώσεις υποκλέπτει δεδομένα SMS και κλήσεων, το
MonitorMinor προχωρά μερικά βήματα παραπέρα. Αναγνωρίζοντας τη σημασία
των messenger ως μέσο συλλογής δεδομένων, το λογισμικό αυτό έχει στόχο
να αποκτήσει πρόσβαση σε δεδομένα από όλα τα πιο δημοφιλή σύγχρονα
εργαλεία επικοινωνίας.
Ενώ, σε ένα «καθαρό» λειτουργικό σύστημα Android,
η άμεση επικοινωνία μεταξύ των εφαρμογών εμποδίζεται από το sandbox, η
κατάσταση μπορεί να αλλάξει εάν έχει εγκατασταθεί μια εφαρμογή τύπου
superuser (βοηθητικό πρόγραμμα SU), η οποία παρέχει root access στο
σύστημα. Μόλις εγκατασταθεί αυτό το βοηθητικό πρόγραμμα SU, δεν υπάρχουν
πλέον μηχανισμοί ασφαλείας της συσκευής. Χρησιμοποιώντας αυτό το
βοηθητικό πρόγραμμα, οι δημιουργοί του MonitorMinor αποκτούν πλήρη
πρόσβαση σε δεδομένα από μια ποικιλία δημοφιλών εφαρμογών κοινωνικής
δικτύωσης και μηνυμάτων όπως το Hangouts, το Instagram, το Skype, το
Snapchat και άλλα.
Επιπλέον, χρησιμοποιώντας
προνόμια root, το stalkerware μπορεί να αποκτήσει πρόσβαση σε μοτίβα
ξεκλειδώματος οθόνης, επιτρέποντας στον χειριστή του stalkerware να
ξεκλειδώσει τη συσκευή όταν βρίσκεται κοντά ή όταν στη συνέχεια
αποκτήσει φυσική πρόσβαση στη συσκευή. Πρόκειται για ένα μοναδικό
χαρακτηριστικό το οποίο η Kaspersky δεν έχει εντοπίσει στο παρελθόν σε
απειλές για πλατφόρμες φορητών συσκευών.
Ακόμη
και χωρίς πρόσβαση root, το stalkerware μπορεί να λειτουργήσει
αποτελεσματικά καταχρώμενο το Accessibility Service API, το οποίο έχει
σχεδιαστεί για να κάνει τις συσκευές φιλικές προς τους χρήστες με
αναπηρίες. Χρησιμοποιώντας αυτό το API, το stalkerware είναι σε θέση να
παρακολουθεί οποιαδήποτε γεγονότα στις εφαρμογές και να μεταδίδει
ζωντανό ήχο.
Άλλα λειτουργίες σε αυτό το stalkerware δίνουν στους χειριστές του τη δυνατότητα:
• Να ελέγχουν τις συσκευές χρησιμοποιώντας εντολές SMS.
• Να παρακολουθούν βίντεο σε πραγματικό χρόνο από κάμερες συσκευών.
• Να πραγματοποιούν εγγραφή ήχου από τα μικρόφωνα της συσκευής.
• Να δουν το ιστορικό περιήγησης στον Google Chrome.
• Να δουν τα στατιστικά στοιχεία χρήσης για συγκεκριμένες εφαρμογές.
• Να δουν τα περιεχόμενα της εσωτερικής αποθήκευσης μιας συσκευής.
• Να δουν τη λίστα επαφών.
• Να δουν τα αρχεία καταγραφής συστήματος.
Για να ελαχιστοποιηθεί ο κίνδυνος να πέσετε θύμα stalker, η Kaspersky συνιστά τα ακόλουθα:
• Αποκλείστε την εγκατάσταση προγραμμάτων από άγνωστες πηγές στις ρυθμίσεις του smartphone σας.
• Ποτέ μην αποκαλύπτετε τον κωδικό πρόσβασης για τη φορητή συσκευή σας, ακόμα κι αν πρόκειται για κάποιον που εμπιστεύεστε.
• Αλλάξτε όλες τις ρυθμίσεις ασφαλείας στη φορητή σας συσκευή αν
βγαίνετε από μια σχέση, όπως ρυθμίσεις πρόσβασης και κωδικούς πρόσβασης
σε εφαρμογές. Ένας πρώην μπορεί να προσπαθήσει να αποκτήσει τα προσωπικά
σας δεδομένα για να σας χειριστεί.
• Ελέγξτε τη λίστα
των εφαρμογών στις συσκευές σας για να μάθετε εάν έχουν εγκατασταθεί
ύποπτα προγράμματα χωρίς τη συγκατάθεσή σας.
•
Χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας που σας ειδοποιεί για την
παρουσία προγραμμάτων εμπορικού spyware με στόχο την εισβολή στην
ιδιωτικότητά σας μέσω του smartphone σας.
• Αν νομίζετε
ότι είστε θύμα stalking και χρειάζεστε βοήθεια, επικοινωνήστε με έναν
αρμόδιο οργανισμό για επαγγελματικές συμβουλές.
•
Υπάρχουν δομές που μπορούν να βοηθήσουν τα θύματα της ενδοοικογενειακής
βίας, stalking και σεξουαλικής βίας. Αν έχετε ερωτήσεις σχετικά με το
stalkerware και θα θέλατε βοήθεια, επικοινωνήστε με το Coalition against
Stalkerware, που αποτελείται από μη κερδοσκοπικές ομάδες και
οργανισμούς ασφάλειας IT: www.stopstalkerware.org.
[via]
Σύμφωνα με το The Vergeοι ερευνητές της Positive Technologies προειδοποιούν για πολύ μεγάλο
κενό ασφαλείας στους επεξεργαστές της Intel, η εκμετάλλευση του οποίου
μπορεί να νικήσει την κρυπτογράφηση μέσω υλικού και τις προστασίες DRM. Η
ευπάθεια εντοπίζεται στο υλικό των επεξεργαστών της Intel της
τελευταίας πενταετίας και μόνο οι 10th Gen επεξεργαστές της Intel δεν
επηρεάζονται.
Security firm Positive Technologies discovered the flaw, and is
warning that it could break apart a chain of trust for important
technology like silicon-based encryption, hardware authentication, and
modern DRM protections. “This vulnerability jeopardizes everything Intel
has done to build the root of trust and lay a solid security foundation
on the company’s platforms,” explains security researcher Mark Ermolov.
The root of the flaw is Intel’s Converged Security Management Engine
(CSME), the part of Intel’s chips that’s responsible for securing all
firmware that runs on Intel-powered machines. Intel has previously
patched vulnerabilities in the CSME, but the researchers warn the CSME
firmware is unprotected early on when a system boots so it’s still
vulnerable to attacks.
Η Intel προσπαθεί να μειώσει τις πιθανές επιπτώσεις της ευπάθειας,
αναφέροντας πως μάλλον απαιτείται εξειδικευμένο υλικό και φυσική
πρόσβαση, για την εκτέλεση κακόβουλου κώδικα στο Intel CSME.
Η Positive Technologies αναμένεται να δώσει περισσότερες τεχνικές λεπτομέρειες σχετικά με το θέμα σε white paper, σύντομα.
Οι
ερευνητές της ESET ανακάλυψαν το Kr00k (CVE-2019-15126), μία μέχρι τώρα
άγνωστη ευπάθεια σε τσιπ Wi-Fi, που χρησιμοποιούνται σε συσκευές
client, Wi-Fi access points και routers.
Η ευπάθεια Kr00k
κρυπτογραφεί την επικοινωνία δικτύου μιας μολυσμένης συσκευής με κλειδί
κρυπτογράφησης «all-zero», δίνοντας στον κυβερνοεγκληματία τη δυνατότητα
να αποκρυπτογραφήσει τα ασύρματα πακέτα δικτύου και να στεφθεί με
επιτυχία η επίθεσή του.
Η ανακάλυψη του Kr00k συνδέεται με προηγούμενη έρευνα της ESET για τα κενά ασφαλείας που είχαν εντοπιστεί στο Amazon
Echo, που επέτρεπαν επιθέσεις από ευπάθειες KRACK (Key Reinstallation
Attack). Το Kr00k σχετίζεται με τις KRACK, ωστόσο εμφανίζει θεμελιώδεις
διαφορές. Αναλύοντας τις KRACK, οι ερευνητές της ESET ανακάλυψαν ότι το
Kr00k ήταν ένας από τους παράγοντες που ευθυνόταν για την
«επανεγκατάσταση» ενός κλειδιού κρυπτογράφησης «all-zero», που
παρατηρήθηκε σε δοκιμές για επιθέσεις KRACK. Μετά τη συγκεκριμένη
έρευνα, οι περισσότεροι σημαντικοί κατασκευαστές συσκευών κυκλοφόρησαν
σχετικά patch.
Το Kr00k επηρεάζει όλες τις συσκευές με τσιπ Wi-Fi
Broadcom και Cypress, που δεν έχουν ενημερωθεί με patch. Πρόκειται για
τα πιο κοινά τσιπ Wi-Fi που χρησιμοποιούνται σήμερα στις συσκευές
client. Ευάλωτα είναι επίσης και τα Wi-Fi access points και τα routers,
που σημαίνει ότι κινδυνεύουν ακόμη και περιβάλλοντα που οι συσκευές
client έχουν ενημερωθεί με patch. Η ESET εξέτασε και επιβεβαίωσε ότι
μεταξύ των ευάλωτων συσκευών ήταν οι συσκευές client από τις εταιρείες
Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3) και Xiaomi (Redmi), καθώς και access points από την Asus και την Huawei.
Η
ESET γνωστοποίησε την ευπάθεια στους κατασκευαστές τσιπ Broadcom και
Cypress, οι οποίοι στη συνέχεια κυκλοφόρησαν patch. Η εταιρεία επίσης
συνεργάστηκε με το Industry Consortium for Advancement of Security on
the Internet (ICASI), προκειμένου να ενημερωθούν για το Kr00k όλοι οι
ενδιαφερόμενοι φορείς, τόσο οι κατασκευαστές συσκευών που χρησιμοποιούν
τα τσιπ με την ευπάθεια, όσο και άλλοι κατασκευαστές, που πιθανά να
επηρεάζονται. Σύμφωνα με τις πληροφορίες που έχει στη διάθεσή της η
ESET, οι συσκευές των μεγάλων κατασκευαστών έχουν πλέον ενημερωθεί με τα
σχετικά patch.
«Για να προστατευθεί ένας χρήστης, θα πρέπει να
βεβαιωθεί ότι όλες οι συσκευές με δυνατότητα σύνδεσης σε Wi-Fi, όπως
τηλέφωνα, tablet, φορητοί υπολογιστές, έξυπνες συσκευές IoT, Wi-Fi
access points and routers, διαθέτουν την πιο πρόσφατη έκδοση ενημέρωσης»
συμβουλεύει ο ερευνητής της ESET, Robert Lipovský, που συνεργάζεται με
την ομάδα που αναλύει το Kr00k.
«Προκαλεί ανησυχία το γεγονός ότι
η ευπάθεια Kr00k αφορά όχι μόνο τις συσκευές client, αλλά και τα Wi-Fi
access points και τα routers. Αυτό αυξάνει σημαντικά το εύρος της
επίθεσης, καθώς ένας εισβολέας μπορεί να αποκρυπτογραφήσει τα δεδομένα
που μεταδόθηκαν από ένα access point με ευπάθεια, μία λειτουργία που
συμβαίνει χωρίς να μπορεί να ελεγχθεί, σε μία συσκευή, ακόμη κι αν αυτή
δεν έχει ευπάθειες».
Θα περίμενε κανείς ότι εταιρείες όπως η Twitter και η Facebook θα
ακολουθούσαν τουλάχιστον οι ίδιες τις συμβουλές που μοιράζονται με τους
χρήστες για την επιλογή πολύπλοκων passwords και φυσικά να μη
χρησιμοποιούν τα ίδια passwords σε διαφορετικές υπηρεσίες.
Αποδεικνύεται, όμως, ότι λειτουργούν και αυτές όπως οι γιατροί που σε
ζαλίζουν να χάσεις κιλά και να κόψεις το κάπνισμα, αλλά ταυτόχρονα οι
ίδιοι “σαβουριάζουν” σε κάθε ευκαιρία και δεν το σβήνουν.
Ο πρόλογος για το χθεσινοβραδυνό συμβάν στο Twitter, όπου η φημισμένη ομάδα hackers με όνομα OurMine
πήρε στον έλεγχο της τον επίσημο λογαριασμό της Facebook και δημοσίευσε
ένα διαφημιστικό tweet για τις υπηρεσίες της, ενώ παράλλλα έριξε και
ένα καρφάκι για την ασφάλεια της Twitter. Μόλις πήραν χαμπάρι τι συνέβη,
κατέβασαν αμέσως την ανάρτηση των hackers, αλλά μετά από λίγα λεπτά η
OurMine την ανέβασε ξανά.
Όπως δήλωσε εκπρόσωπος της Twitter στην ιστοσελίδα DigitalTrends,
Επιβεβαιωθήκαμε ότι ο λογαριασμός χακαρίστηκε από
third-party πλατφόρμα. Αμέσως προχωρήσαμε σε κλείδωμα του λογαριασμού,
επικοινωνήσαμε με τη Facebook και συνεργαζόμαστε για να τους
επαναφέρουμε online.
Για το hacking χρησιμοποιήθηκε η πλατφόρμα Khoros, μια ιστοσελίδα για τη διαχείριση social media λογαριασμών.
Η ομάδα OurMine αποτελείται από 5 μέλη και στο παρελθόν έχει χακάρει
πολλούς λογαριασμούς διασημοτήτων, παικτών του NFL και κορυφαίων
στελεχών στον χώρο της τεχνολογίας, συμπεριλαμβανομένου του Jack Dorsey,
CEO της Twitter. Ο λόγος που ασχολούνται με αυτό το “επάγγελμα” είναι
για να πουλήσουν τις υπηρεσίες τους προς κάθε ενδιαφερόμενο, καθώς
εξειδικεύονται στον έλεγχο της ασφάλειας σε λογαριασμούς και
ιστοσελίδες. Στόχος τους είναι να τους δείξουν πόσο εύκολο είναι να
χακάρουν τους λογαριασμούς ακόμη και των πιο διάσημων προσώπων.
Όπως είχε δηλώσει ένας από τα μέλη της ομάδας στη The Daily Beast πίσω στο 2017, η OurMine χρησιμοποιεί κυρίως τη βάση δεδομένων της LeakedSource
που περιλαμβάνει usernames, emails και passwords χρηστών και στη
συνέχεια τα δοκιμάζει σε διάφορες πλατφόρμες social media. Οι πιο
ευάλωτοι λογαριασμοί είναι αυτοί των χρηστών που επιλέγουν το ίδιο
password για διάφορες υπηρεσίες και απ’ ό,τι φαίνεται, αυτό συνέβη και
στην περίπτωση του επίσημου λογαριασμού της Facebook στο Twitter.
Κρατήστε ότι η ομάδα OurMine είχε χακάρει τους λογαριασμούς του Mark Zuckerberg
στο Twitter και το Pinterest το 2016, αποκαλύπτωντας ότι ο ιδρυτής της
Facebook χρησιμοποιούσε το ίδιο password και στις δύο υπηρεσίες. Αν
αναρωτιέστε πόσο πολύπλοκο ήταν αυτό το password, θα γελάσετε: ήταν η
λέξη “dadada”…
[via]
Τα στοιχεία των δύο ατόμων που βρίσκονται πίσω από τα "χτυπήματα" σε ελληνικούς στόχους, δημοσίευσαν οι Anonymous Greece το βράδυ της Παρασκευής, όπως είχαν προαναγγείλει ότι θα κάνουν.
Σε σχετική ανακοίνωση σημείωσαν: "Όπως είπαμε σας δίνουμε παρακάτω τα πραγματικά στοιχεία των Τούρκων "χακερς" , του admin των Aslan Neferler Tim και του recruiter των Anka Neferler Tim, οι οποίοι επιτέθηκαν στις ιστοσελίδες της χώρας μας".
Η έδρα τους είναι η Άγκυρα όπως ανάρτησαν και σε σχετική εικόνα:
Να θυμίσουμε ότι στο στόχαστρο των Τούρκων χάκερς μπήκαν ιστοσελίδες υπουργείων, του πρωθυπουργού, της ΕΥΠ και της αστυνομίας.
Η Υπηρεσία Εθνικής Ασφάλειας (National Security Agency, NSA) των ΗΠΑ
ανακάλυψε ένα σοβαρό κενό ασφαλείας στα Windows 10 που θα μπορούσε να
επιτρέψει σε επιτιθέμενους να παρακολουθήσουν χρήστες ή θα μπορούσε να
οδηγήσει σε παραβιάσεις δεδομένων σύμφωνα με την Washington Post.
Το ίδιο ανέφερε και η ιστοσελίδα Krebs on Security
με το ρεπορτάζ της να επιβεβαιώνει ότι η NSA εντόπισε πράγματι μία
σημαντική ευπάθεια την οποία γνωστοποίησε στην Microsoft. Λαμβάνοντας
υπόψη τις πρακτικές της υπηρεσίας στο παρελθόν, ενδεχομένως θα κρατούσε
την ευπάθεια για τον εαυτό της, για να την χρησιμοποιήσει για
παρακολούθηση στόχων της. Έχουμε τα πρόσφατα παραδείγματα των WannaCry και EternalBlue, ευπάθειες των Windows 10 που ανακάλυψε και που εκμεταλλεύτηκε για αρκετά χρόνια.
Η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ είχε αναπτύξει εργαλεία hacking
για να εκμεταλλεύεται τέτοια κενά ασφαλείας όμως ορισμένα από αυτά τα
εργαλεία αποκαλύφθηκαν και τέθηκαν προς πώληση από μία Ρωσική ομάδα
χάκερς με την ονομασία Shadow Brokers.
To exploit EternalBlue χρησιμοποιείται ακόμα στις μέρες μας ενάντια σε
unpatched συστήματα για ransomware, για κλοπές ή άλλου τύπου επιθέσεις.
Η NSA επιβεβαίωσε ότι η ευπάθεια επηρεάζει υπολογιστές με Windows 10
και Windows Server 2016, και δήλωσε ότι γνωστοποίησε το επικίνδυνο bug
στην Microsoft για να αναπτύξει το σχετικό patch καθώς «καθιστούσε
ευάλωτη την εμπιστοσύνη». Παρόλα αυτά, δεν είπε πότε ανακάλυψε την
ευπάθεια και αρνήθηκε να συζητήσει περισσότερα για το ζήτημα μέχρι η
Microsoft να διαθέσει το σχετικό patch.
Σύμφωνα με την ιστοσελίδα Krebs on Security, η ευπάθεια εντοπίζεται
στον τρόπο που το Windows CryptoAPI (ένα στοιχείο των Windows με την
ονομασία Crypt32.dll) επαληθεύει τα πιστοποιητικά ECC (Elliptic Curve
Cryptography) ή όπως λέει πιο απλά το Engadget στον τρόπο που
διαχειρίζεται τις «λειτουργίες κρυπτογραφημένης ανταλλαγής μηνυμάτων και
πιστοποιητικών». Ένα exploit σε αυτόν τον τομέα θα μπορούσε να
επηρεάσει τον έλεγχο ταυτότητας σε desktop υπολογιστές Windows και
servers, ευαίσθητα δεδομένα στους browsers της Microsoft, Internet
Explorer και Edge και πολλές εφαρμογές τρίτων. Οι χάκερς επίσης θα
μπορούσαν να χρησιμοποιήσουν το exploit για το spoofing ψηφιακών
υπογραφών, κάνοντας το malware να μοιάζει με ένα νόμιμο εκτελέσιμο
αρχείο.
Η Microsoft διέθεσε αρχικά το patch σε κρίσιμους πελάτες της
συμπεριλαμβανομένων clients του Αμερικανικού στρατού και υπεύθυνων/
διαχειριστών βασικών υποδομών Internet. Η εταιρεία στην συνέχεια διέθεσε
updates για όλους τους πελάτες της, προτρέποντας τους να τα
εγκαταστήσουν το συντομότερο δυνατόν.
Όπως επισημαίνει η
ιστοσελίδα
Krebs on Security, η Microsoft αξιολόγησε την ευπάθεια ως «1»
(Important) - δεύτερη σε κρισιμότητα στο σύστημα διαβάθμισης ευπαθειών
της. Η Microsoft επίσης επιβεβαίωσε
ότι δεν έχει χρησιμοποιηθεί σε επιθέσεις ακόμα, όμως εξακολουθεί να
αποτελεί μεγάλο ζήτημα ασφαλείας. Η εταιρεία διέθεσε σχετικά patches για
τα Windows 10 και Windows Server 2016 και 2019.
Οι
αρχές «κρούουν τον κώδωνα» στους κατόχους των «έξυπνων τηλεοράσεων» -
Smart Tv, καθώς όπως αναφέρουν υπάρχουν μεγάλοι κίνδυνοι.
Είναι
γεγονός ότι οι smart TV προσφέρουν τρομερές ευκολίες, καθώς συνδέονται
στο διαδίκτυο μέσω Wi-Fi ή καλωδίου και μπορούν οι χρήστες να βρουν
αμέσως τις ταινίες ή τα βίντεο που επιθυμούν, χωρίς να χρειάζεται να τις
«φορτώσουν» με κάποιο στικάκι ή εξωτερικό σκληρό δίσκο.
Όμως οι κάτοχοι των smart TV διατρέχουν και μεγάλους κινδύνους.
Κενό
ασφαλείας στις Smart TV εντόπισαν οι αρχές των Ηνωμένων Πολιτειών της
Αμερικής.
Συγκεκριμένα το FBI εξέδωσε οδηγίες αναφορικά με
την σωστή χρήση τους από τους πολίτες, προκειμένου να μην έχουν πρόβλημα
στην συνέχεια.
Οι Smart TV είναι συνδεδεμένες με το διαδίκτυο, ενώ μερικές υποστηρίζουν και το live streaming.
Έτσι δίνεται η δυνατότητα σε χάκερ να σας «κατασκοπεύσουν» ακόμα και μέσα στο σπίτι σας.
Για
τον λόγο αυτό, το FBI συμβουλεύει να γίνονται συστηματικά οι
αναβαθμίσεις ασφαλείας, ενώ ζητούν από τους πολίτες να καλύπτουν την
κάμερά τους με μία ταινία.
Τα
κρυπτογραφικά κλειδιά των πιστοποιητικών που ασφαλίζουν τους servers
και τα VPN configuration files, των NordVPN και TorGuard VPN, κλάπηκαν
μετά από επίθεση και διέρρευσαν online. Θύμα φαίνεται να έχει πέσει και η
υπηρεσία VikingVPN, ενώ η κλοπή από την NordVPN φαίνεται να έγινε πριν
19 μήνες.
According
to a statement issued by NordVPN, the attacker was able to gain access
to their servers through an insecure remote management tool deployed by
their datacenter.
"We became aware that on March 2018, one of the
datacenters in Finland we had been renting our servers from was
accessed with no authorization. The attacker gained access to the server
by exploiting an insecure remote management system left by the
datacenter provider while we were unaware that such a system existed.
The server itself did not contain any user activity logs; none of our
applications send user-created credentials for authentication, so
usernames and passwords couldn’t have been intercepted either. The exact
configuration file found on the internet by security researchers ceased
to exist on March 5, 2018. This was an isolated case, and no other
datacenter providers we use have been affected."
NordVPN further
states that the TLS key taken by the attacker was already expired and
contrary to what Cryptostorm.io stateed, no VPN traffic could have been
decrypted at the time of the attack.
In
a statement by TorGuard, the VPN provider states that as they utilize
"secure PKI management", none of their VPN users were affected by this
breach and their CA key was not stolen as it was not present on the
compromised server
"TorGuard was the only one using secure PKI management, meaning our main CA key was not on the affected VPN server."
They
further state that the stolen TLS certificate for
*.torguardvpnaccess.com is for a "squid proxy cert which has not been
valid on the TorGuard network since 2017."
While, they do not go
into details as to how the server was hacked, they do state that there
was "repeated suspicious activity" at the reseller they were renting the
server from and that they no longer work with them.
TorGuard further stated that the compromised server is related to a lawsuit they filed against NordVPN in 2019.
Όπως έκανε γνωστό το μέλος του Google Project Zero -Maddie Stone, είναι
σε εξέλιξη εκστρατεία επίθεσης σε διάφορα κινητά με Android, η οποία
εκμεταλλεύεται 0-day ευπάθεια του λειτουργικού της Google.
Στα επηρεαζόμενα μοντέλα περιλαμβάνοντα τα:
Pixel 1
Pixel 1 XL
Pixel 2
Pixel 2 XL
Huawei P20
Xiaomi Redmi 5A
Xiaomi Redmi Note 5
Xiaomi A1
Oppo A3
Moto Z3
Oreo LG phones
Samsung S7
Samsung S8
Samsung S9
Η ευπάθεια μπορεί να τύχει εκμετάλλευσης με 2 τρόπους. Ο πρώτος
προϋποθέτει την εγκατάσταση μιας μη έμπιστης εφαρμογής, ενώ ο δεύτερος
-online- σε συνδυασμό με άλλη ευπάθεια που στοχεύει τον τρόπο με τον
οποίο ο Chrome κάνει render το περιεχόμενο.
Οι ευπαθείς συσκευές Pixel, αναμένεται να ενημερωθούν με την αναβάθμιση
ασφαλείας του Οκτωβρίου και η ευπάθεια πήρε το CVE-2019-2215.
Η ευπάθεια SWAPGSAttack (CVE-2019-1125) που εντοπίστηκε από ερευνητές
της Bitdefender, επηρεάζει όλα τα συστήματα με Windows και επεξεργαστές
Intel και AMD από το 2012 ως σήμερα. Η SWAPGSAttack ε'ιναι Spectre
variant και μπορεί να δώσει πρόσβαση στην προστατευμένη μνήμη του
συστήματος.
Τα προηγούμενα patches για τις ευπάθειες Spectre και Meltdown δεν είναι
αποτελεσματικά για αυτήν. Η Microsoft, η Bitdefender και η Intel
συνεργάστηκαν για την διάθεση του security update των Windows, που
κυκλοφόρησε τον Ιούλιο για την αντιμετώπιση της.
Microsoft's advisory says "an attacker who successfully exploited
the vulnerability could read privileged data across trust boundaries."
"Customers who have Windows Update enabled and applied the security updates are protected automatically,"
Σύμφωνα με την AMD δεν πιστεύει πως οι επεξεργαστές της
επηρεάζονται, ενώ η Intel θεωρεί πως το πρόβλημα αντιμετωπίστηκε με το
Windows patch.
![[Valid Atom 1.0]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrXFLRMWROmr23ZnEEeWdDFdmt1s0wNjf9ZFV0_Si7T7hGNeigojg9CqdLNnBvZGzAowkPeu1jXI0c7udmp0NirS1KSY-Dv4Ssj20arjTsZsqRwdEP2HbQAGpNz6A44o33PJ8oF7L_60UF/s1600/4l99vk9.png "Validate my Atom 1.0 feed"){kind=small}
