Υποβρύχια καλώδια, ο απόλυτος στόχος για ρωσικό χάκινγκ

Ρωσικά πλοία «κινούνται επιθετικά» κοντά στα υποβρύχια καλώδια που μεταφέρουν σχεδόν όλη την παγκόσμια διαδικτυακή κίνηση, αποκαλύπτουν οι New York Times, αναδεικνύοντας τη σημασία αυτών των αφανών αλλά κρίσιμων υποδομών του σύγχρονου πολιτισμού.

«Το απόλυτο ρωσικό χάκινγκ στις ΗΠΑ θα μπορούσε να αφορά το κόψιμο των καλωδίων οπτικών ινών […] προκειμένου να διακοπούν οι επικοινωνίες από τις οποίες εξαρτώνται οι κυβερνήσεις, οι οικονομίες και οι πολίτες της Δύσης» προειδοποιεί η εφημερίδα στο άρθρο της.

Στο τελευταίο περιστατικό, το ρωσικό πλοίο Yantar, το οποίο μετέφερε δύο αυτόνομα υποβρύχια σκάφη, πέρασε τον Σεπτέμβριο έξω από την Ανατολική Ακτή των ΗΠΑ, εν πλω για Κούβα, πλησιάζοντας ανησυχητικά ένα υποθαλάσσιο καλώδιο δεδομένων που καταλήγει στην αμερικανική βάση του Γκουαντάναμο.

Αμερικανικοί δορυφόροι, πλοία και αεροπλάνα παρακολουθούσαν διαρκώς το Yantar για το φόβο ότι τα υποβρύχιά του θα μπορούσαν να κόψουν το καλώδιο σε κάποιο δυσπρόσιτο σημείο, όπου θα ήταν δύσκολος ο εντοπισμός του κομμένου άκρου και η επιδιόρθωσή του.

«Το επίπεδο [ρωσικής] δραστηριότητας είναι συγκρίσιμο με αυτό που βλέπαμε στη διάρκεια του Ψυχρού Πολέμου» σχολίασε ανώτατος ευρωπαίος αξιωματούχος διατηρώντας την ανωνυμία του.

Πηγές του στρατού και των υπηρεσιών πληροφοριών αναφέρουν ότι ρωσικά πλοία επιχειρούν όλο και συχνότερα κατά μήκος των υποβρύχιων διαδρομών, από τη Βόρεια Θάλασσα και τη Βορειοανατολική Ασία μέχρι κοντά στις αμερικανικές ακτές.

Η κατάσταση είναι τόσο ανησυχητική ώστε η Νορβηγία, μέλος του ΝΑΤΟ, έχει ζητήσει βοήθεια από γειτονικές χώρες για να παρακολουθεί τα ρωσικά σκάφη.

Η σημαντικότερη απειλή για τα υποβρύχια καλώδια οπτικών ινών είναι μακράν οι άγκυρες των πλοίων. Το 2008, για παράδειγμα, το κόψιμο ενός καλωδίου από άγκυρα ανάμεσα στη Σικελία και την Τυνησία προκάλεσε εκτεταμένες διακοπές στις υπηρεσίες τηλεφωνίας και Διαδικτύου στη Μέση Ανατολή και τη Νότιο Ασία.

Αυτές οι βλάβες εκδηλώνονται κοντά στις ακτές, εκεί όπου η επιδιόρθωση είναι εύκολη. Αυτό όμως δεν θα ίσχυε στην περίπτωση θραύσης ενός καλωδίου στη μέση του ωκεανού και σε βάθος χιλιομέτρων.

Σύμφωνα με τους NY Times, τα υποβρύχια καλώδια μεταφέρουν σήμερα το 95% των παγκόσμιων επικοινωνιών και επιτρέπουν οικονομικές συναλλαγές ύψους 10 τρισεκατομμυρίων δολαρίων την ημέρα.

Τα καλώδια είναι τόσο σημαντικά ώστε το αμερικανικό υπουργείο Εσωτερικής Ασφάλειας περιλαμβάνει στη λίστα των «κρίσιμων υποδομών» τα σημεία όπου καταλήγουν οι οπτικές ίνες, κυρίως γύρω από τη Νέα Υόρκη, το Μαϊάμι και το Λος Άντζελες.

Όπως επισημαίνει το περιοδικό Wired, το πρώτο υπερατλαντικό καλώδιο, ένα χάλκινο καλώδιο τηλεγραφίας, αναπτύχθηκε το 1866 ανάμεσα στη Βρετανία και τις ΗΠΑ. Το 1950, ομοαξονικά καλώδια τηλεφωνίας έγιναν το στάνταρτ, μέχρι την καθιέρωση των οπτικών ινών τη δεκαετία του 1990.

Έκτοτε, τα περισσότερα καλώδια ξετυλίγονται κατά μήκος των στάνταρτ θαλάσσιων οδών και είναι σχετικά εύκολο να εντοπιστούν -εμφανίζονται εξάλλου στους χάρτες ναυσιπλοΐας αλλά και στο Διαδίκτυο.

Εξαίρεση αποτελούν υποβρύχια καλώδια του αμερικανικού στρατού, τα οποία δεν αποκλείεται να αναζητούν οι Ρώσοι όπως προειδοποιούν αμερικανοί αξιωματούχοι.

Το κόψιμο των καλωδίων δεν είναι πάντως η μόνη ανησυχία -εξίσου σοβαρός δείχνει και ο κίνδυνος υποκλοπής της κίνησης δεδομένων.

Αυτό εξάλλου κατέστη σαφές τον Οκτώβριο του 1971, όταν το αμερικανικό υποβρύχιο Halibut φύτεψε συσκευές υποκλοπής σε σοβιετικό καλώδιο στη Θάλασσα του Οχότσκ, έξω από την Ιαπωνία. Και, πριν από μια δεκαετία, οι ΗΠΑ καθέλκυσαν το υποβρύχιο Jimmy Carter που φέρεται να έχει την ικανότητα υποθαλάσσιων υποκλοπών.

Αναφορές για αντίστοιχες ρωσικές προσπάθειες δεν υπάρχουν, σίγουρα όμως οι αμερικανοί θα προσέχουν τα καλώδια σαν τα μάτια τους, σε μια εποχή τεταμένων σχέσεων λόγω της ουκρανικής κρίσης και της επέκτασης του ρωσικού Στόλου στη Μαύρη Θάλασσα.

Πηγή

Πώς η NSA μπορεί να παραβιάζει κρυπτογραφημένες συνδέσεις

Επί σειρά ετών οι θιασώτες της ιδιωτικότητας ενθάρρυναν διαχειριστές web sites και προγραμματιστές κρυπτογραφικών εφαρμογών να υιοθετούν το μηχανισμό ανταλλαγής κλειδιών Diffie-Hellman, ώστε να ακυρώνουν τις απόπειρες παρακολούθησης από υπηρεσίες όπως η NSA. Ερευνητές ασφαλείας ανακάλυψαν προσφάτως ένα σοβαρό πρόβλημα στον τρόπο κατά τον οποίο υλοποιείται ο προαναφερθείς μηχανισμός, με συνέπεια η NSA να βρίσκεται σε θέση να παρακολουθεί τρισεκατομμύρια κρυπτογραφημένων συνδέσεων.

Το κόστος της παραβίασης του Diffie-Hellman δεν είναι ευκαταφρόνητο. Για τα ευρέως χρησιμοποιούμενα κλειδιά μήκους 1024bit, προκειμένου να βρεθεί ένας μόνο *εξαιρετικά* μεγάλος πρώτος αριθμός, ο οποίος σηματοδοτεί την έναρξη μιας συνεδρίας ανταλλαγής κλειδιών, θα χρειαζόταν ένα περίπου έτος ενώ το υπολογιστικό κόστος θα ήταν της τάξης των εκατοντάδων εκατομμυρίων δολαρίων. Όμως στην πράξη οι χρησιμοποιούμενοι πρώτοι αριθμοί είναι λίγοι, τη στιγμή που το σχετικό budget της NSA είναι 11 τρισεκατομμύρια δολάρια ανά έτος.

«Με δεδομένο ότι λίγοι πρώτοι αριθμοί επαναχρησιμοποιούνται τόσο συχνά, τα οφέλη όσον αφορά στην αποκρυπτογράφηση συνδέσεων θα ήταν τεράστια», γράφουν οι ερευνητές Alex Halderman και Nadia Heninger σε blog post που δημοσίευσαν την προηγούμενη Τετάρτη.

«Η εύρεση ενός μόνο συχνά χρησιμοποιούμενου πρώτου αριθμού μήκους 1024bit θα επέτρεπε στην NSA να αποκρυπτογραφεί τα 2/3 των συνδέσεων VPN, καθώς και το 1/4 των συνδέσεων SSH. Η εύρεση και δεύτερου πρώτου αριθμού θα οδηγούσε στην επιτυχή παρακολούθηση του 20% από το ένα εκατομμύριο πιο δημοφιλή HTTPS sites. Με άλλα λόγια, μία μόνο χρηματική επένδυση για τη συγκέντρωση των απαιτούμενων υπολογιστικών πόρων θα επέτρεπε στην NSA να παρακολουθεί τρισεκατομμύρια συνδέσεις.»

Μεταξύ των διαφόρων θεωριών περί των ικανοτήτων της NSA όσον αφορά στην αποκρυπτογράφηση, οι Halderman και Heninger πιστεύουν ότι η δική τους ανταποκρίνεται καλύτερα στην πραγματικότητα. Έγγραφα που διέρρευσαν από τον Snowden, για παράδειγμα, δείχνουν ότι η μυστική υπηρεσία είναι σε θέση να παρακολουθεί κρυπτογραφημένες συνδέσεις, να αποθηκεύει τα κρυπτογραφημένα δεδομένα σε δικά της data centers, κατόπιν να βρίσκει και τα απαραίτητα κλειδιά για την αποκρυπτογράφησή τους.

«Η σχεδίαση του όλου συστήματος εστιάζει στη συλλογή δεδομένων που είναι απαραίτητα για μια επιτυχημένη επίθεση στο μηχανισμό Diffie-Hellman, αλλά όχι για το σπάσιμο του AES ή άλλων αλγορίθμων συμμετρικής κρυπτογραφίας», επισημαίνουν οι ερευνητές. Από τα έγγραφα που έχουν διαρρεύσει γίνεται φανερό ότι η NSA εφαρμόζει κι άλλες τεχνικές παρακολούθησης κατά τις επιθέσεις σε συγκεκριμένους στόχους (βλ., π.χ., εμφύτευση software ή μυστική εγκατάσταση hardware), ωστόσο η παρακολούθηση κρυπτογραφημένων συνδέσεων σε μεγάλη κλίμακα δεν δικαιολογείται αν η υπηρεσία δεν έχει τρόπο να τις αποκρυπτογραφεί.

Πηγή

Υπερψηφίστηκε η οδηγία για τις «πιο ασφαλείς πληρωμές μέσω Διαδικτύου»

Την νέα οδηγία για τις υπηρεσίες πληρωμών υπερψήφισε το Ευρωπαϊκό Κοινοβούλιο, με σκοπό να καταστήσει πιο ασφαλείς τις πληρωμές μέσω Διαδικτύου, θέτοντας νέους κανόνες για την προστασία των δεδομένων και την ευθύνη όλων των διαδικτυακών παρόχων υπηρεσιών πληρωμών.

Η επικαιροποίηση της ευρωπαϊκής οδηγίας για τις υπηρεσίες πληρωμών θα μειώσει τα κόστη εξόφλησης λογαριασμών, καθώς οι νέοι παράγοντες της αγοράς θα μπορούν να χρησιμοποιούν τα κινητά και τα διαδικτυακά εργαλεία για να πραγματοποιούν πληρωμές εξ ονόματος των πελατών τους. Η νέα οδηγία που υπερψήφισε το Ευρωπαϊκό Κοινοβούλιο θα καταστήσει πιο ασφαλείς τις πληρωμές μέσω διαδικτύου, θέτοντας νέους κανόνες για την προστασία των δεδομένων και την ευθύνη όλων των διαδικτυακών παρόχων υπηρεσιών πληρωμών.

«Η αγορά των υπηρεσιών πληρωμών στην ΕΕ παραμένει κατακερματισμένη και ακριβή, κοστίζοντας ετησίως 130 δισ. ευρώ, ή πάνω από 1% του ΑΕΠ της ΕΕ. Η ευρωπαϊκή οικονομία δεν μπορεί να αντέξει τα έξοδα αυτά, εάν θέλει να είναι ανταγωνιστική σε παγκόσμιο επίπεδο», δήλωσε ο εισηγητής του ΕΚ Antonio Tajani ( ΕΛΚ, Iταλία), προσθέτοντας ότι «το νέο κανονιστικό πλαίσιο θα μειώσει τα κόστη, θα βελτιώσει την ασφάλεια των πληρωμών και θα διευκολύνει την εμφάνιση νέων παραγόντων στην αγορά και νέων καινοτόμων μεθόδων πληρωμών»

Χρήση τρίτων παρόχων για τη μείωση του κόστους πληρωμής

Όποιος χρησιμοποιεί έναν online λογαριασμό θα έχει το δικαίωμα να χρησιμοποιήσει λογισμικό πληρωμών, συσκευές και εφαρμογές που παρέχονται από εξουσιοδοτημένο πάροχο/τρίτο μέρος. Ο πάροχος αυτός θα μπορεί να εκτελεί τις πληρωμές εξ ονόματος του πελάτη του.

Για παράδειγμα, άτομα που δεν έχουν πιστωτική ή χρεωστική κάρτα θα μπορούν πλέον να δίνουν εντολή σε νεοεισερχόμενες εταιρίες στην αγορά, όπως η Sofort στη Γερμανία, η Trustly στις Σκανδιναβικές χώρες και η iDeal στην Ολλανδία να χρησιμοποιούν τα τραπεζικά στοιχεία τους προκειμένου να κάνουν τις πληρωμές χρησιμοποιώντας τους τραπεζικούς τους λογαριασμούς.

Οι επιβαλλόμενες επιβαρύνσεις, από τους παρόχους υπηρεσιών πληρωμών δεν θα πρέπει να υπερβαίνουν το άμεσο κόστος. Θα απαγορεύεται επίσης η επιβολή επιβαρύνσεων για τη χρήση μέσων πληρωμών, όπως οι πιστωτικές και οι χρεωστικές κάρτες, στα οποία εφαρμόζονται ήδη διατραπεζικές προμήθειες.

Ασφαλέστερες πληρωμές

Η τράπεζα που διαχειρίζεται το λογαριασμό ενός πελάτη θα μπορεί «να αρνηθεί σε πάροχο υπηρεσιών πληροφοριών ή σε πάροχο υπηρεσιών εκκίνησης πληρωμών την πρόσβαση σε λογαριασμό πληρωμών, για αντικειμενικά δικαιολογημένους και δεόντως τεκμηριωμένους λόγους» οι οποίοι έχουν κοινοποιηθεί στις εποπτικές αρχές. Η διάταξη αυτή θα αποκλείσει ουσιαστικά την οποιαδήποτε δυνατότητα των τραπεζών να θέτουν εμπόδια εισόδου στην αγορά για τις νέες υπηρεσίες πληρωμών.

Οι νέοι πάροχοι υπηρεσιών πληρωμών, από την πλευρά τους, θα πρέπει να εξασφαλίζουν τον ασφαλή έλεγχο της ταυτότητας του χρήστη εξαλείφοντας τους όποιους κινδύνους εξαπάτησης. Θα πρέπει να διασφαλίζουν επίσης ότι η μεταφορά των προσωπικών δεδομένων ενός χρήστη πραγματοποιείται μόνο μέσω ασφαλών διαύλων και ότι η όποια κοινοποίηση τους θα γίνεται μόνο με τη συγκατάθεση του χρήστη.

Σε περίπτωση μη εξουσιοδοτημένης πληρωμής από κάποιον λογαριασμό, ο κάτοχός του δεν θα χάνει πάνω από 50 ευρώ εάν το μέσο πληρωμής έχει χαθεί, κλαπεί ή υπεξαιρεθεί. Ένας πάροχος υπηρεσιών που δεν προλαμβάνει την περίπτωση μιας τέτοιας απάτης μετά την κοινοποίηση της απώλειας από το χρήστη, ή δεν εξασφαλίζει την ορθή και ασφαλή ταυτοποίηση των στοιχείων του χρήστη, θα θεωρείται υπεύθυνος για τις απώλειες του πελάτη του και θα καλείται να καλύψει την οικονομική ζημία που αυτός υπέστη.

Η νέα οδηγία θα πρέπει τώρα να εγκριθεί και επισήμως από τα κράτη μέλη της ΕΕ προκειμένου να τεθεί άμεσα σε ισχύ.

Πηγή