Συμβουλές της ΕΛ.ΑΣ για το κακόβουλο λογισμικό ransomware – Τι να προσέχουν οι χρήστες

Για την εμφάνιση στην Ελλάδα νέων εκδόσεων του κακόβουλου λογισμικού «Dharma», το οποίο είναι τύπου «Ransomware – Cryptoware» και μπορεί να επηρεάσει αρκετές εκδόσεις λειτουργικού συστήματος, ενημερώνει τους πολίτες η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ), ενώ τους συμβουλεύει για τις ενέργειες που πρέπει να κάνουν.

Ειδικότερα, σύμφωνα με τη Δίωξη Ηλεκτρονικού Εγκλήματος, το κακόβουλο λογισμικό μολύνει τους ηλεκτρονικούς υπολογιστές με δύο, κυρίως, τρόπους: Μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, που εμπεριέχουν κακόβουλα επισυναπτόμενα αρχεία και μέσω επισφαλών ή «μολυσμένων» ιστοσελίδων.

Ως προς τα κακόβουλα αρχεία, πρόκειται συνήθως για αρχεία τύπου .docx και .pdf, στα οποία έχουν ενσωματωθεί κακόβουλες μακροεντολές, που εκτελούνται κατά το άνοιγμά τους και εγκαθιστούν το κακόβουλο λογισμικό στον ηλεκτρονικό υπολογιστή. Μετά την εγκατάστασή του στο λειτουργικό σύστημα, το ransomware κρυπτογραφεί – κλειδώνει ψηφιακά αρχεία, που είναι αποθηκευμένα στον ηλεκτρονικό υπολογιστή του χρήστη που έχει μολυνθεί.

Για να ξεκλειδωθούν τα μολυσμένα αρχεία ενός ηλεκτρονικού υπολογιστή, ζητείται η καταβολή χρηματικού ποσού, με τη χρήση του ψηφιακού νομίσματος Bitcoin (BTC) ως «λύτρα», σε διαφορετική περίπτωση καθίστανται απροσπέλαστα για το χρήστη τους.

Οπως επισημαίνει η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, το συγκεκριμένο κακόβουλο λογισμικό έχει τη δυνατότητα να αυτοδιαδίδεται μέσω του τοπικού δικτύου και να κρυπτογραφεί τα αρχεία κάθε συστήματος στο οποίο αποκτά πρόσβαση. Η δυνατότητα αυτή το καθιστά εξαιρετικά επικίνδυνο σε εταιρικά δίκτυα όπου η διάδοση μπορεί να είναι ραγδαία.

Η ΔΔΗΕ καλεί τους χρήστες του διαδικτύου και τους διαχειριστές δικτύων να είναι ιδιαίτερα προσεκτικοί και να λαμβάνουν μέτρα ψηφιακής προστασίας και ασφάλειας για την αποφυγή προσβολής από το κακόβουλο λογισμικό, καθώς και να μην πληρώνουν τα χρήματα που ζητούνται, προκειμένου να αποθαρρύνονται τέτοιες παράνομες πρακτικές και να αποτρέπεται η περαιτέρω εξάπλωση του φαινομένου.

Οι ενέργειες που πρέπει να κάνουν οι χρήστες του διαδικτύου και οι διαχειριστές δικτύων είναι οι εξής, σύμφωνα πάντα με την ΔΔΗΕ:

-Να δημιουργούν αντίγραφα ασφαλείας των αρχείων (backup) σε τακτά χρονικά διαστήματα, σε εξωτερικό μέσο αποθήκευσης και να διατηρούνται εκτός δικτύου, έτσι ώστε να είναι δυνατή η αποκατάστασή τους.

-Στις περιπτώσεις όπου λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη προέλευση, να μην ανοίγουν τους συνδέσμους (links) και να μην κατεβάζουν συνημμένα αρχεία, που περιέχονται στα μηνύματα αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα και το περιεχόμενο του συνημμένου αρχείου. Ιδιαίτερη προσοχή θα πρέπει να δίνεται σε μηνύματα ηλεκτρονικού ταχυδρομείου, όπου ως αποστολέας φαίνεται να είναι κάποια υπηρεσία ή εταιρεία άγνωστη προς αυτούς.

-Να πληκτρολογούν τις διευθύνσεις των ιστοσελίδων (URL) στον φυλλομετρητή ιστοσελίδων (browser), αντί να χρησιμοποιούν υπερσυνδέσμους (links).

-Να χρησιμοποιούν γνήσια λογισμικά προγράμματα, ενώ θα πρέπει να υπάρχει πάντα ενημερωμένο πρόγραμμα προστασίας από κακόβουλο λογισμικό του ηλεκτρονικού υπολογιστή.

-Να ελέγχουν και να έχουν πάντοτε ενημερωμένη την έκδοση του λειτουργικού τους συστήματος.

-Να απενεργοποιήσουν την εκτέλεση μακροεντολών και JavaScript στις εφαρμογές με τις οποίες ανοίγουν αρχεία τύπου .docx και .pdf.

-Να φροντίζουν για την προστασία και των φορητών τους συσκευών (tablet & έξυπνα κινητά τηλέφωνα).

Περισσότερες οδηγίες και συμβουλές υπάρχουν στον ιστότοπο http://www.cyberalert.gr/mobile-malware/.

Επίσης, η ΔΔΗΕ σημειώνει ότι για περιστατικά μολύνσεων από κακόβουλο λογισμικό τύπου Ransomware – Cryptoware, η EUROPOL και το European Cybercrime Centre (EC3) έχουν θέσει σε λειτουργία τον ιστότοπο https://www.nomoreransom.org , όπου οι πολίτες μπορούν να βρουν συμβουλές προστασίας, αλλά και κλειδιά αποκρυπτογράφησης για ορισμένες μορφές κακόβουλου λογισμικού.

Πηγή

Advertisements

Σημαντικές κυβερνοεπιθέσεις σχετίζονται μεταξύ τους σύμφωνα με την ESET

Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016.

Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer.

Όπως αναφέρει ο Ερευνητής της ESET, Anton Cherepanov, επικεφαλής των ερευνών για το Industroyer και το NotPetya.

«Οι υποψίες για σύνδεση μεταξύ του Industroyer και της ομάδας TeleBots προέκυψαν λίγο μετά την επίθεση του Industroyer στο ουκρανικό δίκτυο ηλεκτρικής ενέργειας. Ωστόσο, κανένα αποδεικτικό στοιχείο δεν είχε δημοσιοποιηθεί – μέχρι τώρα»

Τον Απρίλιο του 2018, η ESET ανακάλυψε νέα δραστηριότητα της ομάδας TeleBots: την προσπάθεια για ένα νέο backdoor, το οποίο η ESET ανιχνεύει ως Exaramel. Η ανάλυση της ESET δείχνει ότι αυτό το backdoor είναι μια βελτιωμένη έκδοση του αρχικού backdoor Industroyer και πρόκειται για το πρώτο αποδεικτικό στοιχείο που συνδέει το Industroyer με την ομάδα TeleBots.

«Η ανακάλυψη του Exaramel δείχνει ότι η ομάδα TeleBots εξακολουθεί να είναι ενεργή το 2018 και οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία και τις τακτικές τους. Θα συνεχίσουμε να παρακολουθούμε τη δραστηριότητα αυτής της ομάδας»

Πηγή

Έκθεση για τα FakeNews και την κριτική σκέψη στο διαδίκτυο

 

Τα παιδιά και οι νέοι σήμερα μεγαλώνουν σε ένα παγκοσμιοποιημένο περιβάλλον και επεξεργάζονται πληροφορίες από μια ευρεία ποικιλία πηγών. Χρειάζονται κρίσιμες δεξιότητες για να προστατευθούν από τις πιθανές παγίδες όταν καταναλώνουν ειδήσεις, ιδιαίτερα όταν χρησιμοποιούν διαδικτυακές πηγές και κοινωνικά μέσα για αυτό το σκοπό.

Ωστόσο, η τελική έκθεση της Επιτροπής σχετικά με τις ψεύτικες ειδήσεις και τη διδασκαλία των δεξιοτήτων κριτικής σκέψης στα σχολεία, που δημοσιεύθηκε στις 13 Ιουνίου 2018, διαπίστωσε ότι μόνο το 2% των παιδιών και των νέων στο Ηνωμένο Βασίλειο έχουν τις κριτικές δεξιότητες που χρειάζονται για να αντιληφθούν αν μια ιστορία ειδήσεων είναι πραγματική ή ψεύτικη. Διαπίστωσε επίσης ότι σχεδόν τα δύο τρίτα των δασκάλων πιστεύουν πως οι ψεύτικες ειδήσεις βλάπτουν την ευημερία των παιδιών αυξάνοντας τα επίπεδα άγχους, βλάπτοντας την αυτοεκτίμησή τους και παραβιάζοντας την άποψή τους για τον κόσμο.

Ο πολλαπλασιασμός των ψεύτικων ειδήσεων στο διαδίκτυο οδηγεί τα παιδιά να εμπιστεύονται λιγότερο τις ειδήσεις που κυκλοφορούν. Σχεδόν το 50% των μεγαλύτερων παιδιών λαμβάνει τα νέα από ιστότοπους και τα κοινωνικά μέσα ενημέρωσης, ωστόσο μόνο το ένα τέταρτο αυτών των παιδιών εμπιστεύονται τις πηγές ειδήσεων στο διαδίκτυο. Η έκθεση διαπίστωσε επίσης ότι οι μισοί δάσκαλοι πιστεύουν ότι το εθνικό πρόγραμμα σπουδών δεν εξοπλίζει τα παιδιά με τις δεξιότητες που χρειάζονται για να εντοπίσουν τα ψεύτικα νέα και το ένα τρίτο αισθάνεται ότι οι κριτικές δεξιότητες που διδάσκονται στα σχολεία δεν εφαρμόζονται.

Βασικά ευρήματα της έρευνας:

  • Μόνο το 2% των παιδιών έχουν τις κριτικές δεξιότητες που χρειάζονται για να καταλάβουν αν μια είδηση είναι πραγματική ή ψεύτικη
  • Τα μισά παιδιά (49,9%) ανησυχούν για το γεγονός ότι δεν είναι σε θέση να εντοπίσουν ψεύτικα νέα
  • Τα δύο τρίτα των παιδιών (60,6%) εμπιστεύονται τώρα τα νέα λιγότερο λόγω του κύματος των ψεύτικων ειδήσεων
  • Τα δύο τρίτα των εκπαιδευτικών (60,9%) πιστεύουν ότι τα ψεύτικα νέα βλάπτουν την ευημερία των παιδιών, αυξάνοντας τα επίπεδα άγχους τους
  • Οι μισοί από τους εκπαιδευτικούς (53,5%) πιστεύουν ότι το εθνικό πρόγραμμα σπουδών δεν εξοπλίζει τα παιδιά με τις δεξιότητες γραμματισμού που χρειάζονται για να εντοπίσουν ψεύτικα νέα.

Πώς να εντοπίσεις τα fake news

Ο διεθνής οργανισμός βιβλιοθηκών, IFLA, παρουσιάζει πρακτικά tips που μπορούν να ακολουθούν οι χρήστες του διαδικτύου προκειμένου να εντοπίζουν ψεύτικες ή παραπλανητικές ειδήσεις.
Αναζήτησε την πηγή:Ποιος το λέει; Αναζήτησε πληροφορίες για την πηγή διάδοσης μιας είδησης. Το μέσο ή το πρόσωπο που τη δημιούργησε. Κάνοντας ένα απλό κλικ στην ιστοσελίδα που μεταδίδει τις πληροφορίες οι χρήστες μπορούν να αναζητήσουν στοιχεία σχετικά με τον σκοπό και τη λειτουργία του μέσου, αλλά και την εγκυρότητά του (υπάρχουν ιστότοποι που κατασκευάζονται αποκλειστικά και μόνο για τη μετάδοση ψεύτικων ειδήσεων, με στόχο να κερδίσουν χρήματα από διαφημίσεις ή να προωθήσουν συγκεκριμένη πολιτική ατζέντα).
Μην μένεις στο τίτλο: Πριν διαμοιράσεις περιεχόμενο στα μέσα κοινωνικής δικτύωσης ή καταλήξεις σε συμπεράσματα σχετικά με μια είδηση, βεβαιώσου για το βασικό: ότι την έχεις διαβάσει. Δεν είναι λίγοι οι αναγνώστες που μένουν στους εντυπωσιακούς τίτλους ή που δεν μπαίνουν καν στον κόπο να διαβάσουν ολόκληρο το άρθρο, αλλά επιλέγουν να το διαδώσουν συμβάλλοντας και αυτοί στη διασπορά των ψεύτικων ειδήσεων.
Είναι «νέο;»: Μια συνήθης πρακτική των ιστοσελίδων ή των χρηστών που διακινούν fake news στο διαδίκτυο είναι το να ανακυκλώνουν ψεύτικες ειδήσεις, που έχουν κυκλοφορήσει και στο παρελθόν. Αναζητώντας πληροφορίες σχετικά με το πότε κυκλοφόρησε πρώτη φορά μια είδηση, οι χρήστες μπορούν εύκολα να εξάγουν συμπεράσματα και για την εγκυρότητα του περιεχομένου.
Η παγίδα του αστείου: Ανάμεσα στις ιστοσελίδες που μεταδίδουν fake news για οικονομικούς ή πολιτικούς λόγους (ή και τα δύο) υπάρχουν και αυτές που το κάνουν για.. πλάκα! Πρόκειται για σατυρικές ιστοσελίδες οι οποίες σκαρφίζονται παράξενες ή αστείες ιστορίες τις οποίες μεταδίδουν αναγράφοντας ωστόσο πως πρόκειται για κατασκευασμένες ιστορίες. Ωστόσο δεν είναι λίγοι οι χρήστες (αλλά και τα ΜΜΕ) που πέφτουν στην παγίδα να πιστέψουν μια τέτοια είδηση και να την αναπαράγουν ως αληθινή.
Σκέψου τις προκαταλήψεις σου: Δεν είναι λίγες οι περιπτώσεις χρηστών που μεταδίδουν ψεύτικες ειδήσεις απλά και μόνο επειδή αυτές ικανοποιούν τις προσωπικές τους επιθυμίες και πεποιθήσεις. Πριν εμπιστευτείς μια είδηση που κοινοποίησε κάποιος διαδικτυακός σου φίλος ή πριν διαμοιραστείς μια πληροφορία που διάβασες στο διαδίκτυο, βεβαιώσου πως έχεις αναζητήσει και την «άλλη άποψη» και πως δεν πέφτεις στην παγίδα της μονομερούς προβολής των γεγονότων.
Ρώτα: Μπορεί να φαντάζει πολύ απλό αλλά σίγουρα είναι αποτελεσματικό. Μια απλή ερώτηση μπορεί να σου εξασφαλίσει ένα σωστό φιλτράρισμα των πληροφοριών που κυκλοφορούν στο διαδίκτυο. Εάν έχεις αμφιβολίες για μια είδηση ή χρειάζεσαι μια δεύτερη γνώμη μπορείς πάντα να την αναζητήσεις στο κοντινό σου περιβάλλον ή σε ομάδες και ιστοσελίδες που έχουν δημιουργηθεί με σκοπό την αντιμετώπιση των ψεύτικων ειδήσεων. Ρωτώντας άλλους χρήστες ή ακόμη και ειδικούς επί συγκεκριμένων θεμάτων θα λάβεις σίγουρα μια πιο ολοκληρωμένη εικόνα για τις πληροφορίες που μόλις συνάντησες σε έναν ιστότοπο με ψεύτικες ή παραπλανητικές ειδήσεις.

Αξιολογήσεις ευπάθειας και δοκιμές διείσδυσης – Ποια είναι η διαφορά;

Η σύγχυση μεταξύ των όρων «δοκιμές διείσδυσης» και «αξιολογήσεις ευπάθειας» συχνά ξεκινάει στο επίπεδο της γλώσσας. Όσοι δεν είναι επαγγελματίες στον τομέα της ασφάλειας ιστού (web security), όπως είναι οι δημοσιογράφοι, πολλές φορές αναφερόμενοι σε κάποια σημαντική ιστορία που επηρεάζει τους καταναλωτές, χρησιμοποιούν τους όρους εναλλακτικά, σαν να αναφέρονται στην ίδια διαδικασία.

Διαβάστε το άρθρο της Netsparker που επιμελήθηκε η NSS και ξεδιαλύνει τις διαφορές, αναλύοντας  τους όρους αυτούς.

Διαφορά μεταξύ των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης

Οι έμπειροι επαγγελματίες του κλάδου γνωρίζουν τη διαφορά, όμως όσοι είναι… νέοι στον χώρο, και αυτοί, συγχέουν τις έννοιες. Γιατί; Αυτό συμβαίνει διότι ακόμη και οι επαγγελματίες τυγχάνει πολλές φορές να χρησιμοποιούν όρους και έννοιες με ασαφείς ή ανακριβείς τρόπους, όταν θα έπρεπε να είναι σε θέση να διακρίνουν πράγματα που διαφέρουν. Ας δούμε όμως τη σαφή διαφορά μεταξύ τους.

Τι είναι οι αξιολογήσεις ευπάθειας; 

Μία αξιολόγηση ευπάθειας περιλαμβάνει τη διεξαγωγή μιας σειράς πολλαπλών δοκιμών ενάντια σε ορισμένες ιστοσελίδες, σε εφαρμογές ιστού, σε διευθύνσεις IP και σε εύρη IP, χρησιμοποιώντας μια γνωστή λίστα ευπαθειών και τρωτών σημείων, σαν αυτά που περιλαμβάνονται στη λίστα Top 10 του OWASP.

Όσοι πραγματοποιούν αξιολογήσεις, μπορούν επίσης να πραγματοποιήσουν δοκιμές σε συστήματα που γνωρίζουν ότι έχουν εσφαλμένα διαμορφωθεί ή στα οποία δεν έχουν εφαρμοστεί ενημερώσεις ασφαλείας και patches.

Συχνά, χρησιμοποιούνται αυτοματοποιημένα εργαλεία σάρωσης ασφαλείας.

Τα συνδρομητικά εργαλεία με άδεια εμπορικής χρήστης θεωρούνται περισσότερο ασφαλή – έρχονται με τακτικές ενημερώσεις, υπάρχουν λιγότερες πιθανότητες να συμπεριλαμβάνουν κακόβουλο κώδικα (τα αντίστοιχα εργαλεία ανοιχτού κώδικα, πάντως, έχουν το σημαντικό πλεονέκτημα να είναι ακριβώς τα ίδια εργαλεία που προτιμούν να χρησιμοποιούν κακόβουλοι χάκερς).   

Οι εκτιμήσεις ευπάθειας τείνουν να περιλαμβάνουν τα ακόλουθα στάδια:

  • Προσδιορισμός όλων των πόρων, και των συνδεδεμένων πόρων, των συστημάτων πληροφορικής στο εσωτερικό ενός οργανισμού
  • Αντιστοίχιση κάποιας τιμής ή προτεραιότητας σε κάθε έναν (από αυτούς)
  • Διεξαγωγή αξιολόγησης μίας λίστας γνωστών τρωτών σημείων κατά μήκος ενός μεγάλου αριθμού επιφανειών επίθεσης (από login screens έως παραμέτρους διευθύνσεων URL και μέχρι διακομιστές ηλεκτρονικής αλληλογραφίας)
  • Καθορισμός των πιο κρίσιμων τρωτών σημείων και λήψη αποφάσεων σχετικά με τον τρόπο αντιμετώπισης των υπολοίπων

Τι είναι η δοκιμή διείσδυσης;

Η δοκιμή διείσδυσης (pen testing) από την άλλη – μολονότι ότι μπορεί να θεωρηθεί ως ένας τύπος αξιολόγησης ευπάθειας – περιλαμβάνει την αναπαραγωγή ενός συγκεκριμένου τύπου επίθεσης που μπορεί να εκτελεστεί από κάποιον χάκερ. Κάποιος που πραγματοποιεί δοκιμές διείσδυσης θα εξερευνήσει διεξοδικά τα συστήματα μέχρι να εντοπίσει κάποια ευπάθεια. Ενδεχομένως να χρησιμοποιήσει ακόμα και κάποιο εργαλείο αξιολόγησης ευπάθειας για να αποκαλυφθεί κάποια μια ευπάθεια. Μόλις εντοπιστεί κάτι, τότε θα γίνει προσπάθεια εκμετάλλευσης, για να καθοριστεί αν είναι δυνατό για έναν χάκερ να επιτύχει ένα συγκεκριμένο στόχο (πρόσβαση, αλλαγή ή διαγραφή δεδομένων, για παράδειγμα).

Συχνά, ενώ πραγματοποιείται η δοκιμή διείσδυσης, μπορεί να συναντήσει –εκείνος που κάνει τη δοκιμή- τυχαία άλλες αδυναμίες και να τις ακολουθήσει εκεί που οδηγούν. Όποιος κάνει επίσης τη δοκιμή μπορεί να χρησιμοποιήσει κάποιο αυτοματοποιημένο εργαλείο σε αυτό το σημείο για να εκτελέσει μια σειρά από exploits ενάντια στην ευπάθεια. 

Ορισμένες δοκιμές διείσδυσης αναφέρονται ως «white box» για να υποδείξουν ότι ο δοκιμαστής διείσδυσης έχει δώσει λεπτομερείς πληροφορίες για το περιβάλλον, όπως έναν κατάλογο περιουσιακών στοιχείων που ανήκουν στον οργανισμό, πηγαίο κώδικα, ονόματα υπαλλήλων και διευθύνσεις ηλεκτρονικού ταχυδρομείου κ.λπ. Όταν –οι δοκιμές- αναφέρονται ως «black box», με αυτό τον τρόπο υποδεικνύεται ότι οι δοκιμές διείσδυσης διεξήχθησαν ή διεξάγονται χωρίς προηγούμενη πληροφόρηση σχετικά με την εσωτερική δομή του οργανισμού, χωρίς πρόσβαση σε πηγαίο κώδικα κλπ. Αυτό το είδος δοκιμής διείσδυσης μπορεί να μοιάζει περισσότερο με τις δραστηριότητες ενός κακόβουλου χάκερ, όμως μπορεί επίσης να οδηγήσει σε μικρότερη κάλυψη των δυνητικά ευάλωτων περιουσιακών στοιχείων κάποιας επιχείρησης ή οργανισμού.

Ποια αποτελέσματα μπορώ να περιμένω από κάθε προσέγγιση; 

Η απάντηση σε αυτή την ερώτηση θα μπορούσε να τεθεί καλύτερα αν σκεφτούμε ανάποδα, δηλαδή προς τα πίσω: Ποια είναι τα αποτελέσματα που θέλετε; 

Έκθεση αξιολόγησης ευπάθειας κατά μήκος όλων των τρωτών σημείων 

Τα αποτελέσματα συγκεντρώνονται σε μια αυτοματοποιημένη, μακροσκελή αναφορά, που περιλαμβάνει μία εκτεταμένη λίστα τρωτών σημείων που έχουν ανιχνευθεί και ταξινομηθεί κατά προτεραιότητα, από το πόσο σοβαρά και κρίσιμα είναι για την επιχείρησή. Με το πέρασμα του χρόνου, αυτή η λίστα μπορεί να αποκαλύψει αλλαγές από την τελευταία αναφορά. Ορισμένοι πάντως θα επικρίνουν τα επιτευχθέντα αποτελέσματα επειδή, σε αντίθεση με τις δοκιμές διείσδυσης, μπορεί να περιέχουν ψευδώς θετικά ή ψευδώς αρνητικά. Φυσικά, κάτι τέτοιο δεν πρόκειται να συμβεί αν χρησιμοποιείτε τον σαρωτή ευπάθειας εφαρμογών ιστού Netsparker (web application vulnerability scanner) για να διεξάγετε τις δοκιμές διείσδυσης. Και αυτό είναι ένα από τα βασικά χαρακτηριστικά που διαφοροποιούν την Netsparker – η αυτόματη επαλήθευση εντοπισμένων τρωτών σημείων με το Proof-Based Scanning.

Οι αναφορές οφείλουν να περιλαμβάνουν έναν οδηγό που θα υποδεικνύει τρόπους αποκατάστασης των τρωτών σημείων και ευπαθειών που εντοπίστηκαν. Κάποιες φορές τα ίδια τα εργαλεία συνοδεύονται από τα κατάλληλα patches που μπορούν να τρέξουν και να εφαρμόσουν οι διάφοροι συνδρομητές. Στις περισσότερες περιπτώσεις, τα αποτελέσματα μπορούν να διανεμηθούν στη συνέχεια σε εξειδικευμένες ομάδες ανάπτυξης για να εφαρμόσουν διορθώσεις, να απομακρύνουν τις πιο σοβαρές ευπάθειες αλλά και να αντιμετωπίσουν με το κατάλληλο τρόπο τις λιγότερο σοβαρές στη συνέχεια. Σε έναν ιδανικό κόσμο, αυτή η δραστηριότητα είναι συνεχιζόμενη, αφού προγραμματίζεται τακτικά, και είναι ενσωματωμένη στο SDLC (Software Development Life Cycle) κάθε οργανισμού. 

Αναφορές δοκιμών διείσδυσης που αναλύουν σε βάθος σε κάθε ευπάθεια 

Με τη δοκιμή διείσδυσης, δεν υπάρχει κάποια μακροσκελή δημόσια αναφορά, αν και κάποιοι καταγράφουν και δημοσιεύουν τις ενέργειές τους και τα ανώνυμα ευρήματα τους, αναρτούν σε blogs τα πειράματά τους ή επιχειρούν χάκινγκ σε συνέδρια. Αν ωστόσο προσλάβετε κάποιον για να πραγματοποιήσει δοκιμές διείσδυσης, οφείλει να σας ετοιμάσει και να σας παρουσιάσει μια αναφορά, αν και στις περισσότερες περιπτώσεις τέτοιες αναφορές επικεντρώνονται στη μέθοδο της επίθεσης ή στα exploits αλλά και ακριβώς ποια δεδομένα βρίσκονται σε κίνδυνο. Γενικά, επίσης, θα συνοδεύεται και από προτάσεις σχετικά με το τι μπορεί να κάνει κάποιος χάκερ σε αυτά ή με αυτά. Τα παραπάνω, θα βοηθήσουν τους αναλυτές επιχειρήσεων και τους μη τεχνικούς επαγγελματίες, που μπορεί να μην καταλαβαίνουν ή αντιλαμβάνονται όλη αυτή τη τεχνολογία που υπάρχει πίσω από τις δοκιμές τους είδους, να αντιληφθούν γρήγορα τον αντίκτυπο των επιχειρηματικών διαδικασιών.

Κάποιες φορές οι εκθέσεις περιλαμβάνουν επίσης συμβουλές αποκατάστασης. Ωστόσο, δεν ενσωματώνουν όλες οι δοκιμές διείσδυσης το λεγόμενο «exploitation των τρωτών σημείων» με τον τρόπο που το κάνει η λύση Netsparker. Μπορεί απλώς να αρκεί η επίδειξη ότι μία επίθεση μπορεί να είναι δυνατή. Σε ορισμένες περιπτώσεις, η αναφορά δοκιμής διείσδυσης μπορεί απλώς να αναφέρει θεωρητικές ευπάθειες επειδή οποιαδήποτε προσπάθεια «εκμετάλλευσης» θα μπορούσε να οδηγήσει σε μία καταστροφική άρνηση υπηρεσίας (DoS). Και τέλος, δεν υπάρχει αξιολόγηση των τρωτών σημείων ή των ευπαθειών, δεδομένου ότι ο στόχος είναι απλώς να γίνει ένα πράγμα, ή τουλάχιστον να καθοριστεί αν μπορεί να γίνει. 

Οι αξιολογήσεις ευπάθειας αποτελούν εργαλείο για τη διαρκή βελτίωση της ασφάλειας στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC).

Οι εκτιμήσεις ή αξιολογήσεις ευπάθειας αποτελούν έναν ιδιαίτερα συστηματοποιημένο τρόπο για να αποκτήσουν καθιερωμένες εταιρείες και οργανισμοί μια ολοκληρωμένη εικόνα για τη στάση τους στην ασφάλεια και κατόπιν να την διατηρήσουν και να την βελτιώνουν διαρκώς.

Όταν προστίθενται νέες συσκευές, θύρες, ιστότοποι, εφαρμογές ιστού ή υπηρεσίες, συμπεριλαμβάνονται στις συνήθεις σαρώσεις. Μια αξιολόγηση ευπάθειας είναι ένας πολύ καλός τρόπος για να εντοπίσετε και τελικά να διορθώσετε κοινές ευπάθειες στις εφαρμογές και στους διακομιστές σας. Οι περισσότεροι επαγγελματίες στον χώρο της ασφάλειας συστήνουν στις εταιρείες να προχωρούν σε αξιολογήσεις ευπάθειας τουλάχιστον ανά τρίμηνο.

Παρόλα αυτά, η Netsparker, δεδομένου ότι η λύση της επιτρέπει τον ορισμό προγραμματισμένων σαρώσεων, σας συστήνει να πραγματοποιείτε σαρώσεις συχνότερα.  Σε κάθε περίπτωση, θα πρέπει να διεξάγετε αξιολογήσεις ευπάθειας μετά από οποιαδήποτε σημαντική αλλαγή ή προσθήκη στις εφαρμογές ιστού ή στα web APIs.

Με το Netsparker, αν θέλετε, μπορείτε να εκτελέσετε σαρώσεις σε καθημερινή βάση, και περιλαμβάνει ειδοποιήσεις που σας εφιστούν την προσοχή σας σε τρωτά σημεία και ευπάθειες που θα ανακαλυφθούν. Στη συνέχεια, οι πόροι μπορούν να χρησιμοποιηθούν ταχέως για την αντιμετώπιση κρίσιμων και σημαντικών απειλών.

Οι δοκιμές διείσδυσης αποκαλύπτουν «εύθραυστες ρωγμές» στην αρχιτεκτονική ασφαλείας σας

Από την ώρα που οι δοκιμές διείσδυσης είναι τόσο συγκεκριμένες, είναι ιδανικές για περιβάλλοντα όπου η ασφάλεια Ιστού καθώς και του δικτύου ενός οργανισμού θεωρείται ότι είναι ήδη αρκετά ισχυρή. Οι οργανισμοί μπορούν να ζητήσουν από έναν ελεγκτή να επιχειρήσει να κάνει κάτι συγκεκριμένο, όπως να επιχειρήσει να αποκτήσει πρόσβαση σε μια βάση δεδομένων τραπεζικών συναλλαγών ή τραπεζικών στοιχείων ή προσπαθήσει να τροποποιήσει ή να διαγράψει τον φάκελο κάποιου χρήστη (δεδομένα κ.λπ). Σκοπός είναι να μειωθεί η έκθεση σε συγκεκριμένους κινδύνους.

Οι δοκιμαστές διείσδυσης ελέγχουν για αδύναμα σημεία στην αρχιτεκτονική. Ενώ οι αξιολογήσεις ευπαθειών ή τρωτών σημείων αντιμετωπίζουν ως επί το πλείστον τα κενά ασφαλείας στο λογισμικό, οι δοκιμαστές διείσδυσης συχνά χρησιμοποιούν τεχνικές phishing ή κοινωνικής μηχανικής αλλά και άλλες τεχνικές για να επιτύχουν το στόχο τους. Ως εκ τούτου, μπορούν να παρέχουν μια σαφέστερη και ακριβέστερη απεικόνιση ή εκτίμηση του επιπέδου ασφαλείας μίας εταιρείας. Λειτουργούν ακριβώς όπως οι κακόβουλοι χάκερ, αλλά χωρίς να προκαλούν καταστροφικές απώλειες ή αλλοίωση δεδομένων, φυσικά! Για παράδειγμα, ένας δοκιμαστής διείσδυσης μπορεί να προσπαθήσει να δημιουργήσει μια σύνδεση με έναν απομακρυσμένο διακομιστή χωρίς να εντοπιστεί, προκειμένου να απομακρύνει ευαίσθητα δεδομένα από ένα σύστημα. Είναι ένας χρήσιμος τρόπος για να αποδειχτεί ότι υπάρχουν πιθανότητες για κάποιους επιτιθέμενους να επιτύχουν τους κακόβουλους σκοπούς τους. Φαινομενικά, όμως, ένας δοκιμαστής διείσδυσης θα προχωρούσε στη διεξαγωγή μίας ατελείωτης σειράς από απόπειρες χάκινγκ.

Συστήνεται οι δοκιμές διείσδυσης να διεξάγονται τουλάχιστον μία φορά το χρόνο. 

Ποια σενάρια μπορούν να βοηθήσουν στην επιλογή της σωστής προσέγγισης; 

Τόσο οι αξιολογήσεις ευπάθειας όσο και οι δοκιμές διείσδυσης πρέπει να πραγματοποιούνται ενάντια σε συσκευές δικτύου και ενάντια σε εσωτερικούς και εξωτερικούς διακομιστές. Είναι σημαντικό να καθοριστεί αν μια επίθεση μπορεί να γίνει από το εξωτερικό (για παράδειγμα, από έναν κακόβουλο εισβολέα που στοχεύει σε διαθέσιμες στο κοινό επιφάνειες στόχων στο διαδίκτυο) ή από το εσωτερικό (για παράδειγμα, από έναν δυσαρεστημένο υπάλληλο ή παλιό συνεργάτη, κάποιον χρήστη με δικαιώματα που δεν θα έπρεπε να έχει ή από κάποιον υπολογιστή που έχει μολυνθεί στο εσωτερικό δίκτυο). 

Οι αξιολογήσεις ευπάθειας βοηθούν τις επιχειρήσεις να είναι συνεπείς με τη συμμόρφωση τους σε πρότυπα 

Μερικές φορές οι εταιρείες και οργανισμοί πρέπει να εργάζονται εντός συγκεκριμένων παραμέτρων: έχουν PCI DSS ή άλλες μορφές συμμόρφωσης που οφείλουν να τηρούν και θέλουν να ελέγξουν αν η υφιστάμενη αρχιτεκτονική τους, και τα συστήματα και οι συσκευές τους είναι σε θέση να περάσουν τη δοκιμή. Μπορεί να θέλουν να εκτελέσουν μια σάρωση θυρών ή να ελέγξουν τα πάντα στη λίστα Top 10 του OWASP. Σε τέτοια σενάρια, μια αξιολόγηση ευπάθειας θα δώσει μια πιο ρεαλιστική και συστηματική προσέγγιση. Ακόμα και μια πολύ μεγάλη ομάδα προγραμματιστών δεν θα μπορούσε να φέρει εις πέρας τέτοιες δοκιμές. 

Οι δοκιμές διείσδυσης βοηθούν όλους τους οργανισμούς να μένουν μπροστά από τους χάκερς 

Οι δοκιμές διείσδυσης βοηθούν επίσης στην ασφάλεια αλλά υπό διαφορετική γωνία. Οι δοκιμαστές (εκείνοι που θα πραγματοποιήσουν τις δοκιμές διείσδυσης) θα αποκαλύψουν τους κινδύνους ασφαλείας με τον ίδιο τρόπο που το κάνουν οι χάκερ – πραγματοποιώντας επιθέσεις έχοντας στο νου τους μόνο ένα σκοπό, να αποκτήσουν πρόσβαση σε συγκεκριμένα δεδομένα ή να αλλάξουν κάτι στον ιστότοπο ενός οργανισμού, για παράδειγμα. Οι δοκιμαστές διείσδυσης είναι καλύτερο να «προσλαμβάνονται» με ανοιχτό μυαλό, αφήνοντάς τους ελεύθερους να διεξάγουν τόσο τις επιδιωκόμενες επιθέσεις όσο και οτιδήποτε άλλο που πέσει στην αντίληψη τους, αναλόγως βεβαίως και της επαγγελματικής τους πείρας. 

Τι γίνεται με τους «δοκιμαστές»; 

Ένα από τα πιο σημαντικά ερωτήματα που πρέπει να θέσετε, για να αποφύγετε τη σύγχυση μεταξύ της αξιολόγησης ευπάθειας και της δοκιμής διείσδυσης είναι: Ποιος διεξάγει τη δοκιμή; 

Οι επαγγελματίες ασφάλειας πληροφοριών δημιουργούν εσωτερικές διαδικασίες για συνεχή βελτίωση 

Σε αντίθεση με ορισμένα άρθρα σχετικά με το θέμα, οι δοκιμές ευπάθειας δεν είναι μια πλήρως αυτοματοποιημένη διαδικασία, με την έννοια ότι το μόνο που θα χρειαστεί είναι να πατήσετε ένα κουμπί. Το άτομο που διαχειρίζεται συχνές, αυτοματοποιημένες αξιολογήσεις ευπάθειας θα πρέπει να εξειδικεύεται εξίσου και να έχει εμπειρία και στις διαδικασίες ασφάλειας πληροφοριών. Οφείλει να γνωρίζει ποια περιβάλλοντα και ποιες επιφάνειες επίθεσης πρέπει να αξιολογήσει καθώς και πάνω σε τι να τα αξιολογήσει, καθώς ακόμα και οι αυτοματοποιημένοι σαρωτές ασφαλείας απαιτούν εξίσου κάποια διαμόρφωση ή ρύθμιση. Επιπλέον, πρέπει να είναι σε θέση να ερμηνεύει τις όποιες αναφορές προκύπτουν αλλά και να διατυπώνει συστάσεις σχετικά με το τι πρέπει να γίνει στη συνέχεια. 

Οι εσωτερικοί επαγγελματίες ασφαλείας που είναι υπεύθυνοι για την αξιολόγηση ευπαθειών αποτελούν πρόσθετη αξία για την στάση ασφαλείας που κρατούν εταιρείες και οργανισμοί. Κατά πρώτο λόγο είναι σε θέση να ορίσουν τις βασικές γραμμές. Επιπλέον, το πιθανότερο είναι να θελήσουν να καθιερώσουν κάποια συστήματα, όπως κάποιο χρονοδιάγραμμα αξιολόγησης και αναφορών.

Συμβάλουν στην ευαισθητοποίηση των εργαζομένων εντός της εταιρείας, και παράλληλα ευνοούν την διαρκή μείωση των κινδύνων ασφαλείας. Εν τω μεταξύ, είναι σχεδόν σίγουρο πως θα επεκτείνουν τις δικές τους γνώσεις και δεξιότητες. Και αναμφισβήτητα είναι πολύ πιο πιθανό να αισθάνονται πιστοί στην εταιρεία που εργάζονται ήδη. 

Οι δοκιμαστές διείσδυσης λένε τα πράγματα με το όνομα τους 

Όσοι επιχειρούν δοκιμές διεισδύσεις θα πρέπει επίσης να είναι έμπειροι επαγγελματίες και να έχουν αυτοπεποίθηση για τις ικανότητές και τις δεξιότητές τους.

Οι περισσότεροι επαγγελματίες στον τομέα, συστήνουν οι δοκιμαστές διείσδυσης να είναι ανεξάρτητοι, εξωτερικοί επαγγελματίες. Πρέπει να διατηρούν αρκετή απόσταση από την εταιρεία ή τα συστήματα σας, ώστε να μην παρεμποδίζονται ή επηρεάζονται από ανησυχίες σχετικά με την προσωπική τους οικονομική ασφάλεια, την πίστη τους ή την πολιτική της εταιρείας. Και αυτό τους δίνει τη δυνατότητα έχοντας το ελεύθερο να πουν την γνώμη τους ανεπηρέαστα, και να στην ουσία να πουν τα πράγματα με το όνομα τους σχετικά με την κατάστασή της εταιρείας σας στον τομέα της ασφάλειας, όσο και αν αυτό πονάει. 

Και ποιο είναι το κόστος; 

Το κόστος των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης εξαρτάται στην ουσία από το μέγεθος της επιχείρησης (από την επιφάνεια επίθεσης επομένως κ.λπ). Για τις μικρές εταιρείες, η τιμή θα είναι σημαντικά χαμηλότερη από ό, τι είναι για μια μεγάλη εταιρία με χιλιάδες δυνητικά ευάλωτες συσκευές και υπολογιστές, IPs και παρόχους Internet. 

Ανεξάρτητα από το κόστος, οι εκτιμήσεις ευπαθειών ή τρωτότητας συνεισφέρουν στην καλύτερη απόδοση της επένδυσής σας. Ενώ μια δοκιμή διείσδυσης μπορεί να προσφέρει μία αρκετά καλή και βαθιά εικόνα για το πόσο ασφαλή είναι τα συστήματά σας, στην πραγματικότητα αποκαλύπτει μόνο ένα πράγμα και προς μία κατεύθυνση. Από την άλλη, με τις αξιολογήσεις ευπαθειών και επενδύοντας σε χρόνο και πόρους στην ανάπτυξη συστημάτων και διαδικασιών θα έχετε ένα σταθερό επίπεδο ασφάλειας πάνω στο οποίο θα αναπτυχθούν περαιτέρω τα συστήματά σας και θα ενσωματωθούν νέα εξαρτήματα. 

Επομένως ποια προσέγγιση επιλέγουμε; 

Με λίγα λόγια, κάνετε και τα δύο! Και οι δύο προσεγγίσεις έχουν την ικανότητα να αποκαλύψουν κενά ασφαλείας που εκθέτουν τα συστήματα σας και την ασφάλειά σας και μπορούν να εντοπίσουν άλλες λιγότερο προφανείς ευπάθειες, πολλές από τις οποίες δεν θα αναζητούσατε καν. Ένα πράγμα είναι σίγουρο, αν δεν πραγματοποιείτε σαρώσεις και δοκιμές, κάποια στιγμή θα βρεθείτε αντιμέτωποι με την απώλεια δεδομένων. Το ερώτημα λοιπόν είναι το πότε. Είτε πρόκειται για γνωστό θέμα ευπάθειας το οποίο δεν έχετε αντιμετωπίσει ή κάποιο κενό ασφαλείας που δεν έχετε φροντίσει να κλείσει, είτε το αποτέλεσμα ενός χάκερ που βαριόταν ένα απόγευμα Κυριακής (ναι, και θα είστε τυχεροί αν δεν είναι κακόβουλος), το αποτέλεσμα είναι το ίδιο.

Η ώριμη και προληπτική προσέγγιση είναι να καθιερώσετε τις δοκιμές ευπάθειας και τη σάρωση στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC) και επιπλέον να χρησιμοποιήσετε μερικούς ασυνήθιστους τύπους για να κάνετε ό, τι μπορεί και ένας χάκερ, αλλά με… φιλικούς όρους (προσλαμβάνοντας έναν αξιόπιστο δοκιμαστή). Στη συνέχεια, μπορείτε να διαβάσετε όλες τις αναφορές και τα αποτελέσματα, να εξετάσετε τις συστάσεις που έγιναν και να λάβετε έξυπνες αποφάσεις σχετικά με το πώς θα διατηρήσετε τη στάση ασφαλείας του οργανισμού σας όσα βήματα πιο μπροστά γίνεται από τους κακούς.

Πηγή NSS

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Πηγή

Πάνω από το 1/3 των επιθέσεων phishing διεθνώς στο β’ τρίμηνο του 2018 είχαν στόχο πελάτες του χρηματοπιστωτικού τομέα

Οι anti-phising τεχνολογίες της Kaspersky Lab, κατά τη διάρκεια του β’ τριμήνου του 2018, απέτρεψαν πάνω από 107 εκατομμύρια απόπειρες επισκέψεων διεθνώς σε σελίδες phising, από τις οποίες το 36% αφορούσε χρηματοπιστωτικές υπηρεσίες. Οι επιθέσεις στόχευαν σε ανύποπτους πελάτες μέσω ψεύτικων τραπεζικών σελίδων ή σελίδων πληρωμής.

Ο τομέας της Πληροφορικής ήταν ο δεύτερος κατά σειρά που δέχτηκε τις περισσότερες επιθέσεις (το 14% του συνόλου). Σε σύγκριση με το πρώτο τρίμηνο φέτος, το ποσοστό των επιθέσεων σε χρηματοπιστωτικούς οργανισμούς μειώθηκε κατά 8,2%, ενώ οι επιθέσεις στις εταιρείες πληροφορικής αυξήθηκαν κατά 12,3%, σύμφωνα με την έκθεση της Kaspersky Lab «Το spam και το phishing στο δεύτερο τρίμηνο του 2018».

Τα παραπάνω ευρήματα, σύμφωνα με τη ρωσική εταιρεία κυβερνο-ασφάλειας, δείχνουν ότι, για την προστασία των χρημάτων τους, οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί όταν πλοηγούνται στο Διαδίκτυο. Δημιουργώντας ψεύτικες σελίδες που παριστάνουν τις πρωτότυπες ιστοσελίδες τραπεζών, πληρωμών ή αγορών, οι εισβολείς συλλέγουν ευαίσθητες πληροφορίες από τα θύματα, όπως το όνομα, τον κωδικό πρόσβασης, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, τους αριθμούς τηλεφώνου, τον αριθμό της πιστωτικής κάρτας και τον κωδικό PIN.

Η Βραζιλία παρέμεινε η χώρα με το μεγαλύτερο μερίδιο χρηστών που δέχθηκε επιθέσεις από phishers κατά το δεύτερο τρίμηνο του 2018 (15,51%). Ακολούθησαν η Κίνα (14,44%), η Γεωργία (14,44%), το Κιργιστάν (13,6%) και η Ρωσία (13,27%).

Εκτός από το «παραδοσιακό» phishing, το οποίο βοηθά στην παράνομη πρόσβαση στους τραπεζικούς λογαριασμούς, οι κυβερνο-εγκληματίες εσχάτως προσπαθούν να αναγκάσουν τα θύματά τους να τους μεταβιβάσουν κρυπτονομίσματα.

Εξάλλου, κατά το δεύτερο τρίμηνο του 2018 ο μέσος όρος των spam στο παγκόσμιο ηλεκτρονικό ταχυδρομείο ήταν περίπου 50% (δηλαδή τα μισά), κατά 2,2% μικρότερο ποσοστό από το μέσο όρο του τελευταίου τριμήνου του 2017.

Η Κίνα είναι πλέον η πιο δημοφιλής πηγή spam, ξεπερνώντας τις ΗΠΑ και τη Γερμανία. Η χώρα που στοχοποιήθηκε περισσότερο από κακόβουλα μηνύματα, ήταν για άλλη μια φορά η Γερμανία.

Προστασία των δεδομένων και της ιδιωτικής ζωής στο Διαδίκτυο

Εξαιρετικά αυστηρούς κανόνες για τη θωράκιση της ιδιωτικής ζωής, οι οποίοι εγγυώνται την προστασία των προσωπικών δεδομένων οποτεδήποτε αυτά συγκεντρώνονται, εφαρμόζει από τις 25 Μαΐου η Ε.Ε. Με ένα ενημερωτικό σημείωμα της, η Ευρωπαϊκή Επιτροπή ανέλυσε πρόσφατα, διεξοδικά, τα δικαιώματα των Ευρωπαίων πολιτών σχετικά με την προστασία των δεδομένων τους. Όπως εξηγεί στο εν λόγω κείμενο, οι κανόνες ισχύουν για επιχειρήσεις και φορείς (ιδιωτικούς ή δημόσιους) που έχουν την έδρα τους τόσο εντός, όσο και εκτός της Ε.Ε. και προσφέρουν αγαθά ή υπηρεσίες εντός της Ε.Ε., όπως το Facebook ή το Amazon, κάθε φορά που ζητούν ή επαναχρησιμοποιούν τα προσωπικά δεδομένα πολιτών της Ε.Ε.

“Ανεξάρτητα από τη μορφή με την οποία παρέχονται τα δεδομένα, κάθε φορά που οι παρεχόμενες πληροφορίες οι οποίες σας ταυτοποιούν άμεσα ή έμμεσα αποθηκεύονται ή υποβάλλονται σε επεξεργασία, πρέπει να τηρούνται τα δικαιώματα σας σχετικά με την προστασία των δεδομένων σας”, τονίζει το ενημερωτικό κείμενο. Οι κανόνες της Ε.Ε. για την προστασία δεδομένων, γνωστοί και ως “Γενικός Κανονισμός για την Προστασία Δεδομένων” (ΓΚΠΔ), περιγράφουν διαφορετικές περιπτώσεις, κατά τις οποίες οι επιχειρήσεις ή οι φορείς επιτρέπεται να συγκεντρώνουν ή να επαναχρησιμοποιούν πληροφορίες, που αφορούν τους πολίτες.

Εξαιρέσεις
Για παράδειγμα, εφόσον οι εταιρείες έχουν συνάψει σύμβαση – για παράδειγμα μια σύμβαση για την προμήθεια αγαθών ή υπηρεσιών (π.χ. όταν αγοράζετε ένα προϊόν μέσω διαδικτύου), ή σύμβαση εργασίας. Ή εφόσον συμμορφώνονται με νομική υποχρέωση – για παράδειγμα, όταν η επεξεργασία των δεδομένων αποτελεί νομική υποχρέωση, όπως στην περίπτωση που ο εργοδότης σας παρέχει πληροφορίες σχετικά με τις μηνιαίες αποδοχές σας στον οργανισμό κοινωνικής ασφάλισης, ώστε να έχετε κοινωνική κάλυψη. Επίσης, εφόσον η επεξεργασία των δεδομένων εξυπηρετεί τα ζωτικά συμφέροντά σας – π.χ. όταν πρόκειται για την προστασία της ζωής σας ή εφόσον αυτό απαιτείται για την ολοκλήρωση μιας δημόσιας αποστολής – που εντάσσεται κυρίως στα καθήκοντα δημόσιων υπηρεσιών, όπως σχολεία, νοσοκομεία και δήμοι. Εξάλλου, επιχειρήσεις ή φορείς επιτρέπεται να συγκεντρώνουν ή να επαναχρησιμοποιούν πληροφορίες που αφορούν τους πολίτες εφόσον υπάρχουν έννομα συμφέροντα – π.χ. εάν η τράπεζά σας χρησιμοποιεί τα προσωπικά δεδομένα σας για να ελέγξει κατά πόσον μπορείτε να διαθέτετε αποταμιευτικό λογαριασμό με υψηλότερο επιτόκιο.

Συγκατάθεση
Σε όλες τις άλλες περιπτώσεις, η επιχείρηση ή ο φορέας οφείλει να ζητήσει τη σύμφωνη γνώμη (συγκατάθεση) προτού συγκεντρώσει ή επαναχρησιμοποιήσει τα προσωπικά δεδομένα. Όταν μια επιχείρηση ή φορέας ζητά τη συγκατάθεσή σας, πρέπει να δηλώσετε ρητώς ότι συμφωνείτε, υπογράφοντας π.χ. ένα δελτίο συγκατάθεσης ή επιλέγοντας “ναι”, όταν σας ζητείται να απαντήσετε με ναι/όχι σε κάποια ιστοσελίδα. “Δεν αρκεί απλώς να δείξετε ότι δεν συμφωνείτε, μαρκάροντας π.χ. την επιλογή ότι δεν θέλετε να λαμβάνετε ηλεκτρονικά μηνύματα για σκοπούς εμπορικής προώθησης. Πρέπει να δηλώσετε ρητώς ότι συμφωνείτε με την αποθήκευση/επαναχρησιμοποίηση των δεδομένων σας για το σκοπό αυτόν”, διευκρινίζει η Επιτροπή.

Επίσης, πρέπει να δοθούν οι παρακάτω πληροφορίες πριν αποφασίσει κάποιος να δώσει τη συγκατάθεσή του: πληροφορίες σχετικά με την επιχείρηση/τον φορέα που θα επεξεργαστεί τα δεδομένα, μεταξύ άλλων τα στοιχεία επικοινωνίας τους, καθώς και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, εάν υπάρχει, ο λόγος για τον οποίο η επιχείρηση/ο φορέας θα χρησιμοποιήσει τα προσωπικά δεδομένα, το διάστημα για το οποίο πρόκειται να φυλάσσουν τα προσωπικά δεδομένα, λεπτομερή στοιχεία κάθε άλλης επιχείρησης ή φορέα που θα λάβει τα προσωπικά σας δεδομένα, πληροφορίες για τα δικαιώματα σχετικά με την προστασία των δεδομένων (πρόσβαση, διόρθωση, διαγραφή, καταγγελία, ανάκληση της συγκατάθεσης).

Ανάκληση συγκατάθεσης
Εξάλλου, ο ΓΚΠΔ προβλέπει διαδικασία ανάκλησης της συγκατάθεσης για χρήση προσωπικών δεδομένων, καθώς και δικαίωμα απαγόρευσης της επεξεργασίας τους. “Αν δώσατε κάποια στιγμή τη συγκατάθεσή σας σε επιχείρηση ή φορέα να χρησιμοποιεί τα προσωπικά σας δεδομένα, μπορείτε, ανά πάσα στιγμή, να επικοινωνήσετε με τον υπεύθυνο επεξεργασίας των δεδομένων (το πρόσωπο ή το φορέα που διαχειρίζεται τα προσωπικά σας δεδομένα) και να ανακαλέσετε την άδεια. Μόλις ανακαλέσετε την άδεια, η επιχείρηση/ο φορέας δεν μπορεί πλέον να χρησιμοποιεί τα προσωπικά σας δεδομένα”, εξηγεί η Επιτροπή.

Επίσης, όταν ένας φορέας επεξεργάζεται τα προσωπικά δεδομένα στο πλαίσιο των δικών του έννομων συμφερόντων ή του δημόσιου συμφέροντος ή για λογαριασμό μιας επίσημης αρχής, ενδέχεται ο πολίτης να έχει δικαίωμα απαγόρευσης της επεξεργασίας τους. Σε ορισμένες ειδικές περιπτώσεις, μπορεί να προέχει το δημόσιο συμφέρον και να επιτραπεί στην επιχείρηση ή τον φορέα να συνεχίσει να χρησιμοποιεί τα προσωπικά σας δεδομένα. Για παράδειγμα, αυτό θα μπορούσε να συμβεί σε περίπτωση επιστημονικής έρευνας και συγκέντρωσης στατιστικών στοιχείων από δημόσια αρχή στο πλαίσιο των επίσημων καθηκόντων της.

Διαφημιστικά μηνύματα
Όπως διευκρινίζει η Επιτροπή, για την απευθείας αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων που προωθούν συγκεκριμένες μάρκες ή προϊόντα, απαιτείται προηγούμενη συγκατάθεση: “Ωστόσο, εάν είστε ήδη πελάτης μιας συγκεκριμένης επιχείρησης, αυτή μπορεί να σας στέλνει απευθείας διαφημιστικά ηλεκτρονικά μηνύματα για τα δικά της παρόμοια προϊόντα ή υπηρεσίες. Έχετε δικαίωμα να αρνηθείτε ανά πάσα στιγμή τη λήψη τέτοιων απευθείας διαφημιστικών, οπότε η επιχείρηση οφείλει να πάψει αμέσως να χρησιμοποιεί τα δεδομένα σας. Σε κάθε περίπτωση, την πρώτη φορά που η επιχείρηση ή ο φορέας επικοινωνήσει μαζί σας, πρέπει να σας ενημερώσει σχετικά με το δικαίωμά σας να απαγορεύσετε τη χρησιμοποίηση των προσωπικών σας δεδομένων”.

Κανόνες για παιδιά
Εάν τα παιδιά επιθυμούν να κάνουν χρήση διαδικτυακών υπηρεσιών, όπως, δίκτυα κοινωνικής δικτύωσης, τηλεφόρτωση μουσικής ή παιχνιδιών, απαιτείται συχνά η συγκατάθεσή σας, ως ο γονέας ή ο νόμιμος κηδεμόνας τους, καθώς για τις υπηρεσίες αυτές χρησιμοποιούνται τα προσωπικά δεδομένα του παιδιού. Το παιδί σας δεν χρειάζεται, πλέον, γονική συναίνεση μόλις συμπληρώσει τα 16 χρόνια (σε ορισμένες χώρες της Ε.Ε. αυτό το όριο ηλικίας μπορεί να είναι τα 13 χρόνια). Οι έλεγχοι για το αν υπάρχει συγκατάθεση των γονέων πρέπει να είναι αποτελεσματικοί, για παράδειγμα μέσω της αποστολής ενός μηνύματος ελέγχου στην ηλεκτρονική διεύθυνση των γονέων.

Πρόσβαση στα δεδομένα
Επίσης, ο πολίτης μπορεί να ζητήσει πρόσβαση στα προσωπικά του δεδομένα, που διατηρεί μια επιχείρηση ή ένας φορέας και έχει το δικαίωμα να λάβει αντίγραφο των δεδομένων, δωρεάν, σε εύχρηστο μορφότυπο. Η επιχείρηση θα πρέπει να απαντήσει εντός ενός μηνός και οφείλει να δώσει αντίγραφο των προσωπικών δεδομένων, καθώς και κάθε συναφή πληροφορία σχετικά με το πώς χρησιμοποιήθηκαν ή χρησιμοποιούνται τα δεδομένα αυτά.

Φορητότητα δεδομένων
Σε ορισμένες περιπτώσεις, ο πολίτης μπορείτε να ζητήσετε από επιχείρηση ή φορέα να επιστρέψει τα δεδομένα ή να τα μεταφέρει απευθείας σε μια άλλη επιχείρηση, εάν αυτό είναι δυνατό από τεχνική άποψη. Αυτό είναι γνωστό ως “φορητότητα των δεδομένων”. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε το δικαίωμα αυτό εάν αποφασίσετε να αντικαταστήσετε μια υπηρεσία με μια άλλη παρόμοια, π.χ. να μετακινηθείτε από έναν ιστότοπο κοινωνικής δικτύωσης σε άλλον και επιθυμείτε να μεταφερθούν τα προσωπικά σας δεδομένα γρήγορα και εύκολα στη νέα υπηρεσία.

“Δικαίωμα στη λήθη”
Εφόσον τα προσωπικά σας δεδομένα δεν είναι πλέον απαραίτητα ή χρησιμοποιούνται παράνομα, μπορείτε να ζητήσετε τη διαγραφή τους. Αυτό είναι γνωστό ως “δικαίωμα στη λήθη”. Οι κανόνες αυτοί ισχύουν και για τις μηχανές αναζήτησης, όπως το Google, καθώς οι εν λόγω μηχανές θεωρούνται ως υπεύθυνοι επεξεργασίας δεδομένων.

Υποβολή καταγγελίας
Εάν πιστεύετε ότι δεν τηρούνται τα δικαιώματά σας σχετικά με την προστασία δεδομένων, μπορείτε να υποβάλετε καταγγελία απευθείας στην εθνική Αρχή προστασίας Δεδομένων, η οποία θα διερευνήσει την καταγγελία και θα απαντήσει εντός 3 μηνών. Μπορείτε, επίσης, να προσφύγετε απευθείας στα δικαστήρια κατά της σχετικής επιχείρησης ή του φορέα, αντί να απευθυνθείτε πρώτα στην εθνική αρχή προστασίας δεδομένων. Μπορεί να δικαιούστε αποζημίωση, εάν έχετε υποστεί υλική ή μη υλική ζημία (π.χ. οικονομικό ή ψυχολογικό πρόβλημα αντίστοιχα), εξαιτίας του γεγονότος ότι μια επιχείρηση ή ένας φορέας δεν τήρησε τους κανόνες της Ε.Ε. για την προστασία δεδομένων.

Πηγή

H Google παρακολουθεί την τοποθεσία σας ανεξάρτητα των ρυθμίσεων σας

Οι υπηρεσίες της Google στις φορητές συσκευές καταγράφουν και αποθηκεύουν την τοποθεσίας σας, ακόμα κι αν οι ρυθμίσεις το απαγορεύουν, σύμφωνα με μια νέα ερευνητική αναφορά της Associated Press.

Η αναφορά, επικυρωμένη από ερευνητές του Princeton, βρήκε ένα θέμα ασφαλείας με το Ιστορικό Τοποθεσιών της Google που εμφανίζεται σε 2 δισεκατομμύρια Android συσκευές και εκατοντάδες εκατομμύρια συσκευές iOS, που οι χρήστες χρησιμοποιούν το Google Maps ή άλλες μηχανές αναζήτησης. Η έρευνα της AP αποκάλυψε ότι ακόμα κι αν οι χρήστες έχουν κάνει «παύση» την λειτουργία του Ιστορικού Τοποθεσιών, οι εφαρμογές και υπηρεσίες της Google εξακολουθούν να αποθηκεύουν την τοποθεσία σας.

Εφαρμογές όπως τα Google Maps ζητάνε έγκριση πριν χρησιμοποιήσουν πληροφορίες τοποθεσίας. Η Google είπε στην AP ότι χρησιμοποιεί το Ιστορικό Τοποθεσιών, και την χρήση διαδικτύου και εφαρμογών και άλλες υπηρεσίες τοποθεσιών της συσκευής για να «βελτιώσει την εμπειρία των ανθρώπων σχετικά με τις τοποθεσίες τους» και λέει ότι παρέχει οδηγίες και ρυθμίσεις ώστε να τα κλείσουν. Παρ’ όλα αυτά, η αναφορά λέει ότι ακόμα και με την «παύση», η Google καταγράφει λεπτό προς λεπτό πληροφορίες τοποθεσιών.

Αυτό δεν αφορά μόνο το Google Maps αλλά υπηρεσίες όπως οι αυτόματες ενημερώσεις καιρού σε Android και αναζητήσεις στο Google που κρατάνε γεωγραφική θέση και συμπληρώνει ότι αυτές οι πληροφορίες μπορεί να χρησιμοποιούνται από την Google για καλύτερη διαχείριση των διαφημίσεων της.

Αντιπρόσωπος της Google έκανε στο PC Mag την παρακάτω δήλωση:

«Το Ιστορικό Τοποθεσιών είναι ένα προϊόν της Google που οι χρήστες έχουν την δυνατότητα να επεξεργαστούν, διαγράψουν και κλείσουν οποιαδήποτε στιγμή. Όπως λέει η αναφορά, κάνουμε γνωστό στους χρήστες ότι όταν το Ιστορικό Τοποθεσιών είναι απενεργοποιημένο, συνεχίζουμε να χρησιμοποιούμε την τοποθεσία τους ώστε να βελτιώσουμε την εμπειρία του με την Google όταν κάνουν ενέργειες όπως η αναζήτηση στο Google ή χρησιμοποιούν οδηγίες για να πάνε κάπου».

Η σελίδα υποστήριξης της Google έχει οδηγίες για το πως μπορείτε να διαχειριστείτε ή διαγράψετε το ιστορικό τοποθεσιών σας.

Πηγή