Σημαντικές κυβερνοεπιθέσεις σχετίζονται μεταξύ τους σύμφωνα με την ESET

Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016.

Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer.

Όπως αναφέρει ο Ερευνητής της ESET, Anton Cherepanov, επικεφαλής των ερευνών για το Industroyer και το NotPetya.

«Οι υποψίες για σύνδεση μεταξύ του Industroyer και της ομάδας TeleBots προέκυψαν λίγο μετά την επίθεση του Industroyer στο ουκρανικό δίκτυο ηλεκτρικής ενέργειας. Ωστόσο, κανένα αποδεικτικό στοιχείο δεν είχε δημοσιοποιηθεί – μέχρι τώρα»

Τον Απρίλιο του 2018, η ESET ανακάλυψε νέα δραστηριότητα της ομάδας TeleBots: την προσπάθεια για ένα νέο backdoor, το οποίο η ESET ανιχνεύει ως Exaramel. Η ανάλυση της ESET δείχνει ότι αυτό το backdoor είναι μια βελτιωμένη έκδοση του αρχικού backdoor Industroyer και πρόκειται για το πρώτο αποδεικτικό στοιχείο που συνδέει το Industroyer με την ομάδα TeleBots.

«Η ανακάλυψη του Exaramel δείχνει ότι η ομάδα TeleBots εξακολουθεί να είναι ενεργή το 2018 και οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία και τις τακτικές τους. Θα συνεχίσουμε να παρακολουθούμε τη δραστηριότητα αυτής της ομάδας»

Πηγή

Advertisements

Αξιολογήσεις ευπάθειας και δοκιμές διείσδυσης – Ποια είναι η διαφορά;

Η σύγχυση μεταξύ των όρων «δοκιμές διείσδυσης» και «αξιολογήσεις ευπάθειας» συχνά ξεκινάει στο επίπεδο της γλώσσας. Όσοι δεν είναι επαγγελματίες στον τομέα της ασφάλειας ιστού (web security), όπως είναι οι δημοσιογράφοι, πολλές φορές αναφερόμενοι σε κάποια σημαντική ιστορία που επηρεάζει τους καταναλωτές, χρησιμοποιούν τους όρους εναλλακτικά, σαν να αναφέρονται στην ίδια διαδικασία.

Διαβάστε το άρθρο της Netsparker που επιμελήθηκε η NSS και ξεδιαλύνει τις διαφορές, αναλύοντας  τους όρους αυτούς.

Διαφορά μεταξύ των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης

Οι έμπειροι επαγγελματίες του κλάδου γνωρίζουν τη διαφορά, όμως όσοι είναι… νέοι στον χώρο, και αυτοί, συγχέουν τις έννοιες. Γιατί; Αυτό συμβαίνει διότι ακόμη και οι επαγγελματίες τυγχάνει πολλές φορές να χρησιμοποιούν όρους και έννοιες με ασαφείς ή ανακριβείς τρόπους, όταν θα έπρεπε να είναι σε θέση να διακρίνουν πράγματα που διαφέρουν. Ας δούμε όμως τη σαφή διαφορά μεταξύ τους.

Τι είναι οι αξιολογήσεις ευπάθειας; 

Μία αξιολόγηση ευπάθειας περιλαμβάνει τη διεξαγωγή μιας σειράς πολλαπλών δοκιμών ενάντια σε ορισμένες ιστοσελίδες, σε εφαρμογές ιστού, σε διευθύνσεις IP και σε εύρη IP, χρησιμοποιώντας μια γνωστή λίστα ευπαθειών και τρωτών σημείων, σαν αυτά που περιλαμβάνονται στη λίστα Top 10 του OWASP.

Όσοι πραγματοποιούν αξιολογήσεις, μπορούν επίσης να πραγματοποιήσουν δοκιμές σε συστήματα που γνωρίζουν ότι έχουν εσφαλμένα διαμορφωθεί ή στα οποία δεν έχουν εφαρμοστεί ενημερώσεις ασφαλείας και patches.

Συχνά, χρησιμοποιούνται αυτοματοποιημένα εργαλεία σάρωσης ασφαλείας.

Τα συνδρομητικά εργαλεία με άδεια εμπορικής χρήστης θεωρούνται περισσότερο ασφαλή – έρχονται με τακτικές ενημερώσεις, υπάρχουν λιγότερες πιθανότητες να συμπεριλαμβάνουν κακόβουλο κώδικα (τα αντίστοιχα εργαλεία ανοιχτού κώδικα, πάντως, έχουν το σημαντικό πλεονέκτημα να είναι ακριβώς τα ίδια εργαλεία που προτιμούν να χρησιμοποιούν κακόβουλοι χάκερς).   

Οι εκτιμήσεις ευπάθειας τείνουν να περιλαμβάνουν τα ακόλουθα στάδια:

  • Προσδιορισμός όλων των πόρων, και των συνδεδεμένων πόρων, των συστημάτων πληροφορικής στο εσωτερικό ενός οργανισμού
  • Αντιστοίχιση κάποιας τιμής ή προτεραιότητας σε κάθε έναν (από αυτούς)
  • Διεξαγωγή αξιολόγησης μίας λίστας γνωστών τρωτών σημείων κατά μήκος ενός μεγάλου αριθμού επιφανειών επίθεσης (από login screens έως παραμέτρους διευθύνσεων URL και μέχρι διακομιστές ηλεκτρονικής αλληλογραφίας)
  • Καθορισμός των πιο κρίσιμων τρωτών σημείων και λήψη αποφάσεων σχετικά με τον τρόπο αντιμετώπισης των υπολοίπων

Τι είναι η δοκιμή διείσδυσης;

Η δοκιμή διείσδυσης (pen testing) από την άλλη – μολονότι ότι μπορεί να θεωρηθεί ως ένας τύπος αξιολόγησης ευπάθειας – περιλαμβάνει την αναπαραγωγή ενός συγκεκριμένου τύπου επίθεσης που μπορεί να εκτελεστεί από κάποιον χάκερ. Κάποιος που πραγματοποιεί δοκιμές διείσδυσης θα εξερευνήσει διεξοδικά τα συστήματα μέχρι να εντοπίσει κάποια ευπάθεια. Ενδεχομένως να χρησιμοποιήσει ακόμα και κάποιο εργαλείο αξιολόγησης ευπάθειας για να αποκαλυφθεί κάποια μια ευπάθεια. Μόλις εντοπιστεί κάτι, τότε θα γίνει προσπάθεια εκμετάλλευσης, για να καθοριστεί αν είναι δυνατό για έναν χάκερ να επιτύχει ένα συγκεκριμένο στόχο (πρόσβαση, αλλαγή ή διαγραφή δεδομένων, για παράδειγμα).

Συχνά, ενώ πραγματοποιείται η δοκιμή διείσδυσης, μπορεί να συναντήσει –εκείνος που κάνει τη δοκιμή- τυχαία άλλες αδυναμίες και να τις ακολουθήσει εκεί που οδηγούν. Όποιος κάνει επίσης τη δοκιμή μπορεί να χρησιμοποιήσει κάποιο αυτοματοποιημένο εργαλείο σε αυτό το σημείο για να εκτελέσει μια σειρά από exploits ενάντια στην ευπάθεια. 

Ορισμένες δοκιμές διείσδυσης αναφέρονται ως «white box» για να υποδείξουν ότι ο δοκιμαστής διείσδυσης έχει δώσει λεπτομερείς πληροφορίες για το περιβάλλον, όπως έναν κατάλογο περιουσιακών στοιχείων που ανήκουν στον οργανισμό, πηγαίο κώδικα, ονόματα υπαλλήλων και διευθύνσεις ηλεκτρονικού ταχυδρομείου κ.λπ. Όταν –οι δοκιμές- αναφέρονται ως «black box», με αυτό τον τρόπο υποδεικνύεται ότι οι δοκιμές διείσδυσης διεξήχθησαν ή διεξάγονται χωρίς προηγούμενη πληροφόρηση σχετικά με την εσωτερική δομή του οργανισμού, χωρίς πρόσβαση σε πηγαίο κώδικα κλπ. Αυτό το είδος δοκιμής διείσδυσης μπορεί να μοιάζει περισσότερο με τις δραστηριότητες ενός κακόβουλου χάκερ, όμως μπορεί επίσης να οδηγήσει σε μικρότερη κάλυψη των δυνητικά ευάλωτων περιουσιακών στοιχείων κάποιας επιχείρησης ή οργανισμού.

Ποια αποτελέσματα μπορώ να περιμένω από κάθε προσέγγιση; 

Η απάντηση σε αυτή την ερώτηση θα μπορούσε να τεθεί καλύτερα αν σκεφτούμε ανάποδα, δηλαδή προς τα πίσω: Ποια είναι τα αποτελέσματα που θέλετε; 

Έκθεση αξιολόγησης ευπάθειας κατά μήκος όλων των τρωτών σημείων 

Τα αποτελέσματα συγκεντρώνονται σε μια αυτοματοποιημένη, μακροσκελή αναφορά, που περιλαμβάνει μία εκτεταμένη λίστα τρωτών σημείων που έχουν ανιχνευθεί και ταξινομηθεί κατά προτεραιότητα, από το πόσο σοβαρά και κρίσιμα είναι για την επιχείρησή. Με το πέρασμα του χρόνου, αυτή η λίστα μπορεί να αποκαλύψει αλλαγές από την τελευταία αναφορά. Ορισμένοι πάντως θα επικρίνουν τα επιτευχθέντα αποτελέσματα επειδή, σε αντίθεση με τις δοκιμές διείσδυσης, μπορεί να περιέχουν ψευδώς θετικά ή ψευδώς αρνητικά. Φυσικά, κάτι τέτοιο δεν πρόκειται να συμβεί αν χρησιμοποιείτε τον σαρωτή ευπάθειας εφαρμογών ιστού Netsparker (web application vulnerability scanner) για να διεξάγετε τις δοκιμές διείσδυσης. Και αυτό είναι ένα από τα βασικά χαρακτηριστικά που διαφοροποιούν την Netsparker – η αυτόματη επαλήθευση εντοπισμένων τρωτών σημείων με το Proof-Based Scanning.

Οι αναφορές οφείλουν να περιλαμβάνουν έναν οδηγό που θα υποδεικνύει τρόπους αποκατάστασης των τρωτών σημείων και ευπαθειών που εντοπίστηκαν. Κάποιες φορές τα ίδια τα εργαλεία συνοδεύονται από τα κατάλληλα patches που μπορούν να τρέξουν και να εφαρμόσουν οι διάφοροι συνδρομητές. Στις περισσότερες περιπτώσεις, τα αποτελέσματα μπορούν να διανεμηθούν στη συνέχεια σε εξειδικευμένες ομάδες ανάπτυξης για να εφαρμόσουν διορθώσεις, να απομακρύνουν τις πιο σοβαρές ευπάθειες αλλά και να αντιμετωπίσουν με το κατάλληλο τρόπο τις λιγότερο σοβαρές στη συνέχεια. Σε έναν ιδανικό κόσμο, αυτή η δραστηριότητα είναι συνεχιζόμενη, αφού προγραμματίζεται τακτικά, και είναι ενσωματωμένη στο SDLC (Software Development Life Cycle) κάθε οργανισμού. 

Αναφορές δοκιμών διείσδυσης που αναλύουν σε βάθος σε κάθε ευπάθεια 

Με τη δοκιμή διείσδυσης, δεν υπάρχει κάποια μακροσκελή δημόσια αναφορά, αν και κάποιοι καταγράφουν και δημοσιεύουν τις ενέργειές τους και τα ανώνυμα ευρήματα τους, αναρτούν σε blogs τα πειράματά τους ή επιχειρούν χάκινγκ σε συνέδρια. Αν ωστόσο προσλάβετε κάποιον για να πραγματοποιήσει δοκιμές διείσδυσης, οφείλει να σας ετοιμάσει και να σας παρουσιάσει μια αναφορά, αν και στις περισσότερες περιπτώσεις τέτοιες αναφορές επικεντρώνονται στη μέθοδο της επίθεσης ή στα exploits αλλά και ακριβώς ποια δεδομένα βρίσκονται σε κίνδυνο. Γενικά, επίσης, θα συνοδεύεται και από προτάσεις σχετικά με το τι μπορεί να κάνει κάποιος χάκερ σε αυτά ή με αυτά. Τα παραπάνω, θα βοηθήσουν τους αναλυτές επιχειρήσεων και τους μη τεχνικούς επαγγελματίες, που μπορεί να μην καταλαβαίνουν ή αντιλαμβάνονται όλη αυτή τη τεχνολογία που υπάρχει πίσω από τις δοκιμές τους είδους, να αντιληφθούν γρήγορα τον αντίκτυπο των επιχειρηματικών διαδικασιών.

Κάποιες φορές οι εκθέσεις περιλαμβάνουν επίσης συμβουλές αποκατάστασης. Ωστόσο, δεν ενσωματώνουν όλες οι δοκιμές διείσδυσης το λεγόμενο «exploitation των τρωτών σημείων» με τον τρόπο που το κάνει η λύση Netsparker. Μπορεί απλώς να αρκεί η επίδειξη ότι μία επίθεση μπορεί να είναι δυνατή. Σε ορισμένες περιπτώσεις, η αναφορά δοκιμής διείσδυσης μπορεί απλώς να αναφέρει θεωρητικές ευπάθειες επειδή οποιαδήποτε προσπάθεια «εκμετάλλευσης» θα μπορούσε να οδηγήσει σε μία καταστροφική άρνηση υπηρεσίας (DoS). Και τέλος, δεν υπάρχει αξιολόγηση των τρωτών σημείων ή των ευπαθειών, δεδομένου ότι ο στόχος είναι απλώς να γίνει ένα πράγμα, ή τουλάχιστον να καθοριστεί αν μπορεί να γίνει. 

Οι αξιολογήσεις ευπάθειας αποτελούν εργαλείο για τη διαρκή βελτίωση της ασφάλειας στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC).

Οι εκτιμήσεις ή αξιολογήσεις ευπάθειας αποτελούν έναν ιδιαίτερα συστηματοποιημένο τρόπο για να αποκτήσουν καθιερωμένες εταιρείες και οργανισμοί μια ολοκληρωμένη εικόνα για τη στάση τους στην ασφάλεια και κατόπιν να την διατηρήσουν και να την βελτιώνουν διαρκώς.

Όταν προστίθενται νέες συσκευές, θύρες, ιστότοποι, εφαρμογές ιστού ή υπηρεσίες, συμπεριλαμβάνονται στις συνήθεις σαρώσεις. Μια αξιολόγηση ευπάθειας είναι ένας πολύ καλός τρόπος για να εντοπίσετε και τελικά να διορθώσετε κοινές ευπάθειες στις εφαρμογές και στους διακομιστές σας. Οι περισσότεροι επαγγελματίες στον χώρο της ασφάλειας συστήνουν στις εταιρείες να προχωρούν σε αξιολογήσεις ευπάθειας τουλάχιστον ανά τρίμηνο.

Παρόλα αυτά, η Netsparker, δεδομένου ότι η λύση της επιτρέπει τον ορισμό προγραμματισμένων σαρώσεων, σας συστήνει να πραγματοποιείτε σαρώσεις συχνότερα.  Σε κάθε περίπτωση, θα πρέπει να διεξάγετε αξιολογήσεις ευπάθειας μετά από οποιαδήποτε σημαντική αλλαγή ή προσθήκη στις εφαρμογές ιστού ή στα web APIs.

Με το Netsparker, αν θέλετε, μπορείτε να εκτελέσετε σαρώσεις σε καθημερινή βάση, και περιλαμβάνει ειδοποιήσεις που σας εφιστούν την προσοχή σας σε τρωτά σημεία και ευπάθειες που θα ανακαλυφθούν. Στη συνέχεια, οι πόροι μπορούν να χρησιμοποιηθούν ταχέως για την αντιμετώπιση κρίσιμων και σημαντικών απειλών.

Οι δοκιμές διείσδυσης αποκαλύπτουν «εύθραυστες ρωγμές» στην αρχιτεκτονική ασφαλείας σας

Από την ώρα που οι δοκιμές διείσδυσης είναι τόσο συγκεκριμένες, είναι ιδανικές για περιβάλλοντα όπου η ασφάλεια Ιστού καθώς και του δικτύου ενός οργανισμού θεωρείται ότι είναι ήδη αρκετά ισχυρή. Οι οργανισμοί μπορούν να ζητήσουν από έναν ελεγκτή να επιχειρήσει να κάνει κάτι συγκεκριμένο, όπως να επιχειρήσει να αποκτήσει πρόσβαση σε μια βάση δεδομένων τραπεζικών συναλλαγών ή τραπεζικών στοιχείων ή προσπαθήσει να τροποποιήσει ή να διαγράψει τον φάκελο κάποιου χρήστη (δεδομένα κ.λπ). Σκοπός είναι να μειωθεί η έκθεση σε συγκεκριμένους κινδύνους.

Οι δοκιμαστές διείσδυσης ελέγχουν για αδύναμα σημεία στην αρχιτεκτονική. Ενώ οι αξιολογήσεις ευπαθειών ή τρωτών σημείων αντιμετωπίζουν ως επί το πλείστον τα κενά ασφαλείας στο λογισμικό, οι δοκιμαστές διείσδυσης συχνά χρησιμοποιούν τεχνικές phishing ή κοινωνικής μηχανικής αλλά και άλλες τεχνικές για να επιτύχουν το στόχο τους. Ως εκ τούτου, μπορούν να παρέχουν μια σαφέστερη και ακριβέστερη απεικόνιση ή εκτίμηση του επιπέδου ασφαλείας μίας εταιρείας. Λειτουργούν ακριβώς όπως οι κακόβουλοι χάκερ, αλλά χωρίς να προκαλούν καταστροφικές απώλειες ή αλλοίωση δεδομένων, φυσικά! Για παράδειγμα, ένας δοκιμαστής διείσδυσης μπορεί να προσπαθήσει να δημιουργήσει μια σύνδεση με έναν απομακρυσμένο διακομιστή χωρίς να εντοπιστεί, προκειμένου να απομακρύνει ευαίσθητα δεδομένα από ένα σύστημα. Είναι ένας χρήσιμος τρόπος για να αποδειχτεί ότι υπάρχουν πιθανότητες για κάποιους επιτιθέμενους να επιτύχουν τους κακόβουλους σκοπούς τους. Φαινομενικά, όμως, ένας δοκιμαστής διείσδυσης θα προχωρούσε στη διεξαγωγή μίας ατελείωτης σειράς από απόπειρες χάκινγκ.

Συστήνεται οι δοκιμές διείσδυσης να διεξάγονται τουλάχιστον μία φορά το χρόνο. 

Ποια σενάρια μπορούν να βοηθήσουν στην επιλογή της σωστής προσέγγισης; 

Τόσο οι αξιολογήσεις ευπάθειας όσο και οι δοκιμές διείσδυσης πρέπει να πραγματοποιούνται ενάντια σε συσκευές δικτύου και ενάντια σε εσωτερικούς και εξωτερικούς διακομιστές. Είναι σημαντικό να καθοριστεί αν μια επίθεση μπορεί να γίνει από το εξωτερικό (για παράδειγμα, από έναν κακόβουλο εισβολέα που στοχεύει σε διαθέσιμες στο κοινό επιφάνειες στόχων στο διαδίκτυο) ή από το εσωτερικό (για παράδειγμα, από έναν δυσαρεστημένο υπάλληλο ή παλιό συνεργάτη, κάποιον χρήστη με δικαιώματα που δεν θα έπρεπε να έχει ή από κάποιον υπολογιστή που έχει μολυνθεί στο εσωτερικό δίκτυο). 

Οι αξιολογήσεις ευπάθειας βοηθούν τις επιχειρήσεις να είναι συνεπείς με τη συμμόρφωση τους σε πρότυπα 

Μερικές φορές οι εταιρείες και οργανισμοί πρέπει να εργάζονται εντός συγκεκριμένων παραμέτρων: έχουν PCI DSS ή άλλες μορφές συμμόρφωσης που οφείλουν να τηρούν και θέλουν να ελέγξουν αν η υφιστάμενη αρχιτεκτονική τους, και τα συστήματα και οι συσκευές τους είναι σε θέση να περάσουν τη δοκιμή. Μπορεί να θέλουν να εκτελέσουν μια σάρωση θυρών ή να ελέγξουν τα πάντα στη λίστα Top 10 του OWASP. Σε τέτοια σενάρια, μια αξιολόγηση ευπάθειας θα δώσει μια πιο ρεαλιστική και συστηματική προσέγγιση. Ακόμα και μια πολύ μεγάλη ομάδα προγραμματιστών δεν θα μπορούσε να φέρει εις πέρας τέτοιες δοκιμές. 

Οι δοκιμές διείσδυσης βοηθούν όλους τους οργανισμούς να μένουν μπροστά από τους χάκερς 

Οι δοκιμές διείσδυσης βοηθούν επίσης στην ασφάλεια αλλά υπό διαφορετική γωνία. Οι δοκιμαστές (εκείνοι που θα πραγματοποιήσουν τις δοκιμές διείσδυσης) θα αποκαλύψουν τους κινδύνους ασφαλείας με τον ίδιο τρόπο που το κάνουν οι χάκερ – πραγματοποιώντας επιθέσεις έχοντας στο νου τους μόνο ένα σκοπό, να αποκτήσουν πρόσβαση σε συγκεκριμένα δεδομένα ή να αλλάξουν κάτι στον ιστότοπο ενός οργανισμού, για παράδειγμα. Οι δοκιμαστές διείσδυσης είναι καλύτερο να «προσλαμβάνονται» με ανοιχτό μυαλό, αφήνοντάς τους ελεύθερους να διεξάγουν τόσο τις επιδιωκόμενες επιθέσεις όσο και οτιδήποτε άλλο που πέσει στην αντίληψη τους, αναλόγως βεβαίως και της επαγγελματικής τους πείρας. 

Τι γίνεται με τους «δοκιμαστές»; 

Ένα από τα πιο σημαντικά ερωτήματα που πρέπει να θέσετε, για να αποφύγετε τη σύγχυση μεταξύ της αξιολόγησης ευπάθειας και της δοκιμής διείσδυσης είναι: Ποιος διεξάγει τη δοκιμή; 

Οι επαγγελματίες ασφάλειας πληροφοριών δημιουργούν εσωτερικές διαδικασίες για συνεχή βελτίωση 

Σε αντίθεση με ορισμένα άρθρα σχετικά με το θέμα, οι δοκιμές ευπάθειας δεν είναι μια πλήρως αυτοματοποιημένη διαδικασία, με την έννοια ότι το μόνο που θα χρειαστεί είναι να πατήσετε ένα κουμπί. Το άτομο που διαχειρίζεται συχνές, αυτοματοποιημένες αξιολογήσεις ευπάθειας θα πρέπει να εξειδικεύεται εξίσου και να έχει εμπειρία και στις διαδικασίες ασφάλειας πληροφοριών. Οφείλει να γνωρίζει ποια περιβάλλοντα και ποιες επιφάνειες επίθεσης πρέπει να αξιολογήσει καθώς και πάνω σε τι να τα αξιολογήσει, καθώς ακόμα και οι αυτοματοποιημένοι σαρωτές ασφαλείας απαιτούν εξίσου κάποια διαμόρφωση ή ρύθμιση. Επιπλέον, πρέπει να είναι σε θέση να ερμηνεύει τις όποιες αναφορές προκύπτουν αλλά και να διατυπώνει συστάσεις σχετικά με το τι πρέπει να γίνει στη συνέχεια. 

Οι εσωτερικοί επαγγελματίες ασφαλείας που είναι υπεύθυνοι για την αξιολόγηση ευπαθειών αποτελούν πρόσθετη αξία για την στάση ασφαλείας που κρατούν εταιρείες και οργανισμοί. Κατά πρώτο λόγο είναι σε θέση να ορίσουν τις βασικές γραμμές. Επιπλέον, το πιθανότερο είναι να θελήσουν να καθιερώσουν κάποια συστήματα, όπως κάποιο χρονοδιάγραμμα αξιολόγησης και αναφορών.

Συμβάλουν στην ευαισθητοποίηση των εργαζομένων εντός της εταιρείας, και παράλληλα ευνοούν την διαρκή μείωση των κινδύνων ασφαλείας. Εν τω μεταξύ, είναι σχεδόν σίγουρο πως θα επεκτείνουν τις δικές τους γνώσεις και δεξιότητες. Και αναμφισβήτητα είναι πολύ πιο πιθανό να αισθάνονται πιστοί στην εταιρεία που εργάζονται ήδη. 

Οι δοκιμαστές διείσδυσης λένε τα πράγματα με το όνομα τους 

Όσοι επιχειρούν δοκιμές διεισδύσεις θα πρέπει επίσης να είναι έμπειροι επαγγελματίες και να έχουν αυτοπεποίθηση για τις ικανότητές και τις δεξιότητές τους.

Οι περισσότεροι επαγγελματίες στον τομέα, συστήνουν οι δοκιμαστές διείσδυσης να είναι ανεξάρτητοι, εξωτερικοί επαγγελματίες. Πρέπει να διατηρούν αρκετή απόσταση από την εταιρεία ή τα συστήματα σας, ώστε να μην παρεμποδίζονται ή επηρεάζονται από ανησυχίες σχετικά με την προσωπική τους οικονομική ασφάλεια, την πίστη τους ή την πολιτική της εταιρείας. Και αυτό τους δίνει τη δυνατότητα έχοντας το ελεύθερο να πουν την γνώμη τους ανεπηρέαστα, και να στην ουσία να πουν τα πράγματα με το όνομα τους σχετικά με την κατάστασή της εταιρείας σας στον τομέα της ασφάλειας, όσο και αν αυτό πονάει. 

Και ποιο είναι το κόστος; 

Το κόστος των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης εξαρτάται στην ουσία από το μέγεθος της επιχείρησης (από την επιφάνεια επίθεσης επομένως κ.λπ). Για τις μικρές εταιρείες, η τιμή θα είναι σημαντικά χαμηλότερη από ό, τι είναι για μια μεγάλη εταιρία με χιλιάδες δυνητικά ευάλωτες συσκευές και υπολογιστές, IPs και παρόχους Internet. 

Ανεξάρτητα από το κόστος, οι εκτιμήσεις ευπαθειών ή τρωτότητας συνεισφέρουν στην καλύτερη απόδοση της επένδυσής σας. Ενώ μια δοκιμή διείσδυσης μπορεί να προσφέρει μία αρκετά καλή και βαθιά εικόνα για το πόσο ασφαλή είναι τα συστήματά σας, στην πραγματικότητα αποκαλύπτει μόνο ένα πράγμα και προς μία κατεύθυνση. Από την άλλη, με τις αξιολογήσεις ευπαθειών και επενδύοντας σε χρόνο και πόρους στην ανάπτυξη συστημάτων και διαδικασιών θα έχετε ένα σταθερό επίπεδο ασφάλειας πάνω στο οποίο θα αναπτυχθούν περαιτέρω τα συστήματά σας και θα ενσωματωθούν νέα εξαρτήματα. 

Επομένως ποια προσέγγιση επιλέγουμε; 

Με λίγα λόγια, κάνετε και τα δύο! Και οι δύο προσεγγίσεις έχουν την ικανότητα να αποκαλύψουν κενά ασφαλείας που εκθέτουν τα συστήματα σας και την ασφάλειά σας και μπορούν να εντοπίσουν άλλες λιγότερο προφανείς ευπάθειες, πολλές από τις οποίες δεν θα αναζητούσατε καν. Ένα πράγμα είναι σίγουρο, αν δεν πραγματοποιείτε σαρώσεις και δοκιμές, κάποια στιγμή θα βρεθείτε αντιμέτωποι με την απώλεια δεδομένων. Το ερώτημα λοιπόν είναι το πότε. Είτε πρόκειται για γνωστό θέμα ευπάθειας το οποίο δεν έχετε αντιμετωπίσει ή κάποιο κενό ασφαλείας που δεν έχετε φροντίσει να κλείσει, είτε το αποτέλεσμα ενός χάκερ που βαριόταν ένα απόγευμα Κυριακής (ναι, και θα είστε τυχεροί αν δεν είναι κακόβουλος), το αποτέλεσμα είναι το ίδιο.

Η ώριμη και προληπτική προσέγγιση είναι να καθιερώσετε τις δοκιμές ευπάθειας και τη σάρωση στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC) και επιπλέον να χρησιμοποιήσετε μερικούς ασυνήθιστους τύπους για να κάνετε ό, τι μπορεί και ένας χάκερ, αλλά με… φιλικούς όρους (προσλαμβάνοντας έναν αξιόπιστο δοκιμαστή). Στη συνέχεια, μπορείτε να διαβάσετε όλες τις αναφορές και τα αποτελέσματα, να εξετάσετε τις συστάσεις που έγιναν και να λάβετε έξυπνες αποφάσεις σχετικά με το πώς θα διατηρήσετε τη στάση ασφαλείας του οργανισμού σας όσα βήματα πιο μπροστά γίνεται από τους κακούς.

Πηγή NSS

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Πηγή

Πάνω από το 1/3 των επιθέσεων phishing διεθνώς στο β’ τρίμηνο του 2018 είχαν στόχο πελάτες του χρηματοπιστωτικού τομέα

Οι anti-phising τεχνολογίες της Kaspersky Lab, κατά τη διάρκεια του β’ τριμήνου του 2018, απέτρεψαν πάνω από 107 εκατομμύρια απόπειρες επισκέψεων διεθνώς σε σελίδες phising, από τις οποίες το 36% αφορούσε χρηματοπιστωτικές υπηρεσίες. Οι επιθέσεις στόχευαν σε ανύποπτους πελάτες μέσω ψεύτικων τραπεζικών σελίδων ή σελίδων πληρωμής.

Ο τομέας της Πληροφορικής ήταν ο δεύτερος κατά σειρά που δέχτηκε τις περισσότερες επιθέσεις (το 14% του συνόλου). Σε σύγκριση με το πρώτο τρίμηνο φέτος, το ποσοστό των επιθέσεων σε χρηματοπιστωτικούς οργανισμούς μειώθηκε κατά 8,2%, ενώ οι επιθέσεις στις εταιρείες πληροφορικής αυξήθηκαν κατά 12,3%, σύμφωνα με την έκθεση της Kaspersky Lab «Το spam και το phishing στο δεύτερο τρίμηνο του 2018».

Τα παραπάνω ευρήματα, σύμφωνα με τη ρωσική εταιρεία κυβερνο-ασφάλειας, δείχνουν ότι, για την προστασία των χρημάτων τους, οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί όταν πλοηγούνται στο Διαδίκτυο. Δημιουργώντας ψεύτικες σελίδες που παριστάνουν τις πρωτότυπες ιστοσελίδες τραπεζών, πληρωμών ή αγορών, οι εισβολείς συλλέγουν ευαίσθητες πληροφορίες από τα θύματα, όπως το όνομα, τον κωδικό πρόσβασης, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, τους αριθμούς τηλεφώνου, τον αριθμό της πιστωτικής κάρτας και τον κωδικό PIN.

Η Βραζιλία παρέμεινε η χώρα με το μεγαλύτερο μερίδιο χρηστών που δέχθηκε επιθέσεις από phishers κατά το δεύτερο τρίμηνο του 2018 (15,51%). Ακολούθησαν η Κίνα (14,44%), η Γεωργία (14,44%), το Κιργιστάν (13,6%) και η Ρωσία (13,27%).

Εκτός από το «παραδοσιακό» phishing, το οποίο βοηθά στην παράνομη πρόσβαση στους τραπεζικούς λογαριασμούς, οι κυβερνο-εγκληματίες εσχάτως προσπαθούν να αναγκάσουν τα θύματά τους να τους μεταβιβάσουν κρυπτονομίσματα.

Εξάλλου, κατά το δεύτερο τρίμηνο του 2018 ο μέσος όρος των spam στο παγκόσμιο ηλεκτρονικό ταχυδρομείο ήταν περίπου 50% (δηλαδή τα μισά), κατά 2,2% μικρότερο ποσοστό από το μέσο όρο του τελευταίου τριμήνου του 2017.

Η Κίνα είναι πλέον η πιο δημοφιλής πηγή spam, ξεπερνώντας τις ΗΠΑ και τη Γερμανία. Η χώρα που στοχοποιήθηκε περισσότερο από κακόβουλα μηνύματα, ήταν για άλλη μια φορά η Γερμανία.

Όλα όσα πρέπει να ξέρετε πριν συνδεθείτε σε δημόσιο Wi-Fi

Η χρήση δημόσιου Wi-Fi μπορεί να είναι επικίνδυνη, προειδοποιούν οι ειδικοί σε θέματα ασφάλειας, καθώς οι κυβερνοεγκληματίες χρησιμοποιούν όλο και περισσότερο τα δωρεάν hotspot για να κλέψουν προσωπικές πληροφορίες από τους χρήστες που συνδέονται σε αυτά. Παρόλο που η χρήση δεδομένων 3G ή 4G θεωρείται το πλέον κατάλληλο μέσο σύνδεσης, υπάρχουν στιγμές που το σήμα του κινητού τηλεφώνου δεν το επιτρέπει, οπότε ένα δημόσιο Wi-Fi είναι η αναπόφευκτη λύση. Στις περιπτώσεις αυτές, ακολουθώντας τα παρακάτω βήματα που προτείνει η ESET, οι χρήστες μπορέσουν να είναι σίγουροι ότι θα επιλέξουν όσο το δυνατόν πιο αξιόπιστα και ασφαλή hotspot.

Ελέγξτε την αυθεντικότητα του δικτύου πριν συνδεθείτε

Το χειρότερο πράγμα που μπορείτε να κάνετε είναι να θεωρήσετε ότι ένα δίκτυο Wi-Fi είναι ασφαλές χωρίς πρώτα να το έχετε ελέγξει. Ένας γενικός κανόνας είναι ότι δεν συνδεόμαστε σε κανένα δίκτυο που ονομάζεται «Δωρεάν Wi-Fi», καθώς, ακόμη κι αν δεν είναι ένα κακόβουλο hotspot, μπορεί να απαιτείται η εγγραφή σε newsletter ή η υποχρέωση να παρακολουθήσετε διαφημίσεις. Ο Mark James, Security Specialist της ESET, αναφέρει: «Αν πρόκειται για ένα κοινόχρηστο μέρος (καφετέρια, McDonalds κ.λπ.), ρωτήστε κάποιον από το προσωπικό για το σωστό όνομα του WiFi – μην συνδέεστε απλώς με το πρώτο δίκτυο που βλέπετε».

Τι να κάνετε αφού συνδεθείτε σε δημόσιο hotspot

Αρχικά βεβαιωθείτε ότι έχει απενεργοποιηθεί η λειτουργία κοινής χρήσης – αναζητείστε τη σχετική ρύθμιση ανάλογα με τη συσκευή και το λειτουργικό που χρησιμοποιείτε. Οι περισσότεροι browser προσφέρουν την επιλογή ενεργοποίησης του HTTPS (ασφαλής περιήγηση) από προεπιλογή, φροντίστε να ελέγξετε ότι όντως έχει ενεργοποιηθεί. Πολλές υπηρεσίες – όπως το Google Mail – το κάνουν αυτό από προεπιλογή, ενώ άλλες θα εμφανίσουν την επιλογή ενεργοποίησης. Στη δεύτερη περίπτωση, αναζητήστε τη σχετική  επιλογή στο μενού «Ρυθμίσεις» των λογαριασμών και ενεργοποιήστε τη. Εάν πρέπει να συνδεθείτε με εταιρικό περιβάλλον (server, email), χρησιμοποιήστε VPN – διαφορετικά, περιμένετε να βρείτε ασφαλέστερη σύνδεση. Τέλος, μην χρησιμοποιήσετε οικονομικά και προσωπικά δεδομένα: μην πληκτρολογήσετε τα στοιχεία της πιστωτικής σας κάρτας, μην αγοράσετέ τίποτα, μην επισκεφθείτε την ιστοσελίδα της τράπεζάς σας.

Προτιμήστε να βλέπετε email και facebook από τον υπολογιστή σας

Οι χάκερ παρακολουθούν την κυκλοφορία δικτύου περιμένοντας χρήστες που θα πληκτρολογήσουν κωδικούς πρόσβασης σε λογαριασμούς email και social media. Γι’ αυτό είναι προτιμότερο να μπαίνετε στους λογαριασμούς αυτούς από τον υπολογιστή σας, καθώς εκεί μπορείτε να ελέγχετε αν το πρόγραμμα περιήγησης που χρησιμοποιείτε είναι ασφαλές (π.χ. μέσω HTTPS). Ο Mark James, ESET Security Specialist λέει: «Προσωπικά θα περιόριζα τις δραστηριότητές μου σε οτιδήποτε δεν απαιτεί όνομα χρήστη και κωδικό πρόσβασης για να συνδεθώ, αλλά έχετε υπόψη σας ότι οι περισσότερες εφαρμογές ενός smartphone θα συνδεθούν αυτόματα». Αν στέλνετε εταιρικά email ή email με ευαίσθητες πληροφορίες, καλύτερα να χρησιμοποιήσετε κρυπτογράφηση (διαβάστε εδώ περισσότερες λεπτομέρειες).

Ποια δημόσια hotspot θα πρέπει σίγουρα να αποφύγετε

Σε απομακρυσμένες περιοχές ή σε ορισμένες χώρες της Άπω Ανατολής, είναι απολύτως φυσιολογικό να συναντήσετε δίκτυα Wi-Fi χωρίς καμία απολύτως ασφάλεια. Πρόκειται για δίκτυα που κυρίως διευκολύνουν τους επισκέπτες, όσο ταξιδεύουν και  μετακινούνται διαρκώς στο ξενοδοχείο ή το μπαρ ή την καφετέρια. Μην συνδέεστε σε αυτά τα hotspot, προειδοποιεί ο Mark James της ESET: «Θα υπάρχει πρόσβαση από επιτήδειους στα δεδομένα σας και εσείς δεν θα το έχετε καταλάβει»

Ξεχάστε τελείως το hotspot όταν αποσυνδεθείτε από αυτό

Ακόμη και δίκτυα Wi-Fi hotspots που ανήκουν σε μεγάλες αλυσίδες επιχειρήσεων παρουσιάζουν κινδύνους. Τα smartphone μπορούν να αποθηκεύουν τα δημόσια hotspot Wi-Fi και να συνδέονται μόλις βρεθούν στην εμβέλειά τους από προεπιλογή, χωρίς να ενημερώνεται ο χρήστης. Αυτό σημαίνει ότι μπορεί να συνδεθούν και σε ψεύτικα hotspot με το ίδιο όνομα, τα οποία ανακατευθύνουν τους χρήστες σε κακόβουλες ιστοσελίδες που συλλέγουν ονόματα χρηστών και κωδικούς πρόσβασης. Για το λόγο αυτό, μία καλή πρακτική είναι να επιθεωρείτε προσεκτικά στην έξυπνη συσκευή σας τη λίστα με τα γνωστά δίκτυα.

Για ακόμη περισσότερες χρήσιμες συμβουλές ασφάλειας, περιηγηθείτε στο blog της ESET WeliveSecurity.com.

Πηγή

Οι επιθέσεις που εκμεταλλεύονται exploits για το Microsoft Office τετραπλασιάστηκαν στις αρχές του 2018

Τα exploits, λογισμικό που εκμεταλλεύεται ένα bug ή μία ευπάθεια, για το Microsoft Office in-the-wild βρέθηκαν στην κορυφή της λίστας των ψηφιακών «πονοκεφάλων» το πρώτο τρίμηνο του 2018. Συνολικά, ο αριθμός των χρηστών που δέχτηκαν επίθεση με κακόβουλα έγγραφα του Office αυξήθηκε περισσότερο από τέσσερις φορές σε σύγκριση με το πρώτο τρίμηνο του 2017. Μέσα σε μόλις τρεις μήνες, το ποσοστό των exploits που χρησιμοποιήθηκαν σε επιθέσεις αυξήθηκε σχεδόν στο 50% – μέγεθος διπλάσιο σε σχέση με το μέσο ποσοστό των exploits για το Microsoft Office το 2017. Αυτά είναι τα κυριότερα συμπεράσματα από την έκθεση «IT threat evolution» της Kaspersky Lab για το πρώτο τρίμηνο.  

Οι επιθέσεις που βασίζονται σε exploits θεωρούνται πολύ ισχυρές, καθώς δεν απαιτούν πρόσθετες αλληλεπιδράσεις με τον χρήστη και μπορούν να παραδώσουν διακριτικά τον επικίνδυνο κώδικά τους. Κατά συνέπεια, χρησιμοποιούνται ευρέως τόσο από ψηφιακούς εγκληματίες που αναζητούν το κέρδος όσο και από πιο εξελιγμένους, υποβοηθούμενους από έθνη, φορείς για τους κακόβουλους σκοπούς τους.

Το πρώτο τρίμηνο του 2018 παρατηρήθηκε μια μαζική εισροή αυτών των exploits, στοχεύοντας στο δημοφιλές λογισμικό Microsoft Office. Σύμφωνα με τους ειδικούς της Kaspersky Lab, αυτό είναι πιθανό να είναι η αιχμή μιας ευρύτερης τάσης, καθώς εντοπίστηκαν τουλάχιστον δέκα exploits ελεύθερα στο διαδίκτυο για το λογισμικό Microsoft Office το 2017-2018 – σε σύγκριση με δύο zero-day exploits για τον Adobe Flash player που χρησιμοποιήθηκαν in-the-wild κατά την ίδια χρονική περίοδο.

Το ποσοστό των τελευταίων στη διανομή των exploits που χρησιμοποιούνται σε επιθέσεις μειώνεται όπως αναμενόταν (το πρώτο τρίμηνο ήταν ελαφρώς χαμηλότερο από 3%) – η Adobe και η Microsoft κατέβαλαν πολλές προσπάθειες για να δυσχεράνουν την εκμετάλλευση του Flash Player.

Αφού οι ψηφιακοί εγκληματίες ανακαλύψουν μία ευπάθεια, προετοιμάζουν ένα έτοιμο προς χρήση exploit. Στη συνέχεια, χρησιμοποιούν τη μέθοδο spear-phishing ως φορέα «μόλυνσης», θέτοντας σε κίνδυνο τους χρήστες και τις εταιρείες μέσω email με κακόβουλα συνημμένα.  Ακόμη χειρότερα, τέτοιοι φορείς επίθεσης με spear-phishing είναι συνήθως διακριτικοί και χρησιμοποιούνται πολύ ενεργά σε εξειδικευμένες στοχευμένες επιθέσεις – υπήρχαν πολλά παραδείγματα αυτού μόνο τους τελευταίους έξι μήνες.

Για παράδειγμα, το φθινόπωρο του 2017, τα προηγμένα συστήματα πρόληψης exploits της Kaspersky Lab αναγνώρισαν ένα νέο zero-day exploit για τον Adobe Flash που χρησιμοποιήθηκε in-the-wild εναντίον των πελατών μας. Το exploit παραδόθηκε μέσω εγγράφου του Microsoft Office και το τελικό ωφέλιμο φορτίο ήταν η τελευταία έκδοση του κακόβουλου λογισμικού FinSpy. Η ανάλυση του ωφέλιμου φορτίου επέτρεψε στους ερευνητές να συνδέσουν την επίθεση αυτή με έναν εξειδικευμένο φορέα, γνωστό ως «BlackOasis». Τον ίδιο μήνα, οι ειδικοί της Kaspersky Lab δημοσίευσαν μία λεπτομερή ανάλυση του СVE-2017-11826, μια κρίσιμη zero-day ευπάθεια που χρησιμοποιείται για την εκκίνηση στοχευμένων επιθέσεων σε όλες τις εκδόσεις του Microsoft Office. Το exploit για την ευπάθεια αυτή είναι ένα έγγραφο RTF που περιέχει ένα έγγραφο DOCX που εκμεταλλεύεται το СVE-2017-11826 στον αναλυτή του Office Open XML. Τέλος, μόλις πριν από λίγες μέρες δημοσιεύθηκαν πληροφορίες σχετικά με zero-day exploit για τον Internet Explorer (CVE-2018-8174). Αυτή η ευπάθεια χρησιμοποιήθηκε επίσης και σε στοχευμένες επιθέσεις.

«Το απειλητικό τοπίο κατά το πρώτο τρίμηνο μάς δείχνει και πάλι ότι η έλλειψη προσοχής στη διαχείριση των patches είναι ένας από τους σημαντικότερους ψηφιακούς κινδύνους. Ενώ οι προμηθευτές συνήθως κυκλοφορούν patches για τις ευπάθειες, οι χρήστες συχνά δεν μπορούν να ενημερώσουν εγκαίρως τα προϊόντα τους, πράγμα που οδηγεί σε κύματα διακριτικών και εξαιρετικά αποτελεσματικών επιθέσεων τη στιγμή που οι ευπάθειες εκτίθενται στην ευρεία κοινότητα των ψηφιακών εγκληματιών», σημειώνει ο Alexander Liskin, ειδικός ασφαλείας στην Kaspersky Lab.

Άλλα στατιστικά στοιχεία σχετικά με διαδικτυακές απειλές από την έκθεση του πρώτου τριμήνου του 2018 περιλαμβάνουν:

  • Οι λύσεις της Kaspersky Lab ανίχνευσαν και απώθησαν 796.806.112 κακόβουλες επιθέσεις από διαδικτυακούς πόρους που βρίσκονται σε 194 χώρες σε όλο τον κόσμο.
  • 282.807.433 μοναδικά URLs ανιχνεύθηκαν ως κακόβουλα από τις λειτουργίες του web antivirus.
  • Απόπειρες «μόλυνσης» από κακόβουλο λογισμικό που έχει ως στόχο να κλέψει χρήματα μέσω ηλεκτρονικής πρόσβασης σε τραπεζικούς λογαριασμούς παρατηρήθηκαν σε 204.448 υπολογιστές χρηστών.
  • Το antivirus αρχείο της Kaspersky Lab ανίχνευσε συνολικά 187.597.494 μοναδικά κακόβουλα και δυνητικά ανεπιθύμητα αντικείμενα.

Τα προϊόντα mobile ασφάλειας της Kaspersky Lab ανίχνευσαν επίσης:

    • 1.322.578 κακόβουλα πακέτα εγκατάστασης.
    • 18.912 mobile τραπεζικά Trojans (πακέτα εγκατάστασης).

Για να μειωθεί ο κίνδυνος «μόλυνσης», συνιστάται στους χρήστες:

  • Να διατηρούν το εγκατεστημένο λογισμικό στον υπολογιστή τους ενημερωμένο και να ενεργοποιήσουν τη δυνατότητα αυτόματης ενημέρωσης αν είναι διαθέσιμη.
  • Όπου είναι δυνατόν, να επιλέξουν έναν προμηθευτή λογισμικού που αποδεικνύει μια υπεύθυνη προσέγγιση σε ένα πρόβλημα ευπάθειας. Ελέγξτε αν ο προμηθευτής του λογισμικού έχει το δικό του πρόγραμμα bug bounty.
  • Να πραγματοποιούν τακτικά σκανάρισμα του συστήματος για να ελέγχουν για πιθανές «μολύνσεις» και να βεβαιωθούν ότι διατηρούν όλο το λογισμικό ενημερωμένο.
  • Οι επιχειρήσεις θα πρέπει να χρησιμοποιούν μια λύση ασφάλειας που παρέχει λειτουργίες διαχείρισης patch και ευπαθειών, καθώς και πρόληψης exploits, όπως το Kaspersky Endpoint Security for Business. Η λειτουργία διαχείρισης patch εξαλείφει αυτόματα τα τρωτά σημεία, τα οποία και επιδιορθώνει προκαταβολικά. Η λειτουργία πρόληψης exploits παρακολουθεί τις ύποπτες ενέργειες των εφαρμογών και αποκλείει τις εκτελέσεις κακόβουλων αρχείων.

Διαβάστε την πλήρη έκδοση της έκθεσης «IT threat evolution» της Kaspersky Lab στον ειδικό ιστότοπο Securelist.com.

Πηγή

Προστασία Δεδομένων: Τι αλλάζει με το νέο κανονισμός της ΕΕ

Σημαντικές αλλαγές θα υπάρξουν από τις 25 Μαΐου στην Ελλάδα και στις άλλες χώρες της Ευρωπαϊκής Ένωσης, με την εφαρμογή του νέου ευρωπαϊκού Γενικού Κανονισμού για την Προστασία των Δεδομένων, ο οποίος αφορά τη συλλογή, χρήση και αποθήκευση των προσωπικών δεδομένων. Πρόκειται για την πιο σοβαρή μεταρρύθμιση σε αυτό τον τομέα από την ίδρυση του διαδικτύου.

Στόχος είναι η εφαρμογή αυστηρότερων κανόνων, προκειμένου οι 250 εκατομμύρια καθημερινοί χρήστες του διαδικτύου στην Ευρώπη και γενικότερα οι πολίτες να ελέγχουν καλύτερα τα online δεδομένα τους προσωπικού χαρακτήρα, τα οποία άλλοι (συνήθως επιχειρήσεις και μέσα κοινωνικής δικτύωσης) συλλέγουν και μοιράζονται με τρίτους (π.χ. διαφημιστικές εταιρείες).

Οι νέοι κανόνες για την προστασία της ιδιωτικότητας θα είναι οι αυστηρότεροι στον κόσμο και προβλέπουν βαριές ποινές για τις εταιρείες που θα τους παραβιάσουν. Το πρόστιμο μπορεί να φθάσει το 4% των ετήσιων εσόδων μιας εταιρείας, δηλαδή περίπου 1,6 δισεκατομμύρια δολάρια στην περίπτωση του Facebook. Οι ίδιοι κανόνες για την προστασία των δεδομένων των πολιτών και καταναλωτών θα ισχύουν για όλες τις εταιρείες που δραστηριοποιούνται στην ΕΕ, όπου και εάν βρίσκεται η έδρα τους.

Όταν επεξεργάζονται τα προσωπικά δεδομένα, οι εταιρείες (τεχνολογίας, τράπεζες, ασφαλιστικές, υγείας, λιανεμπορίου κ.α.) πρέπει πλέον να παρέχουν σαφείς πληροφορίες για ποιούς σκοπούς τα χρησιμοποιούν, για πόσο χρονικό διάστημα τα αποθηκεύουν, σε ποιούς άλλους τα κοινοποιούν και εάν τα δεδομένα θα διαβιβασθούν εκτός της ΕΕ. Οι εταιρείες πρέπει να παρέχουν στοιχεία επικοινωνίας των υπεύθυνων για την επεξεργασία και προστασία των δεδομένων. Όλες αυτές οι πληροφορίες θα πρέπει να διατυπώνονται σε σαφή και απλή γλώσσα.

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να συλλέγονται και να αποτελούν αντικείμενο επεξεργασίας μόνο για σαφώς καθορισμένο σκοπό. Κατά τη συλλογή τους, οι εταιρείες θα ενημερώνουν για ποιό σκοπό θα χρησιμοποιηθούν τα δεδομένα και θα διασφαλίζουν ότι δεν θα διατηρούνται περισσότερο χρόνο από όσο είναι αναγκαίο.

Οι χρήστες θα έχουν δικαίωμα να ζητήσουν δωρεάν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διαθέτει ένας οργανισμός και να λάβουν αντίγραφο. Αν π.χ. κάποιος έχει αγοράσει μια συσκευή παρακολούθησης της φυσικής κατάστασής του και έχει εγγραφεί σε μια online εφαρμογή υγείας που παρακολουθεί τη δραστηριότητά του, μπορεί να ζητήσει από τον φορέα εκμετάλλευσης της εφαρμογής όλες τις πληροφορίες που έχουν υποβληθεί σε επεξεργασία για το άτομό του (όπως οι καρδιακοί παλμοί, οι επιδόσεις του κ.α.).

Εφόσον κάποιος έχει αγοράσει προϊόντα από μια επιχείρηση λιανικής πώλησης στο διαδίκτυο, μπορεί να ζητήσει από την εταιρεία να του δώσει όλα τα δεδομένα προσωπικού χαρακτήρα που αυτή διατηρεί, ακόμη και των ημερομηνιών και των ειδών των αγορών του.

Ο χρήστης-καταναλωτής έχει επίσης το δικαίωμα αντίταξης στη λήψη online διαφημιστικού υλικού. Αν π.χ. αγόρασε εισιτήρια στο διαδίκτυο για μια μουσική συναυλία και στη συνέχεια βομβαρδίζεται με ηλεκτρονικές διαφημίσεις για εκδηλώσεις για τις οποίες δεν ενδιαφέρεται, μπορεί να ενημερώσει την εταιρεία ηλεκτρονικής έκδοσης εισιτηρίων ότι δεν θέλει να λαμβάνει πια online διαφημιστικό υλικό και αυτή πρέπει αμέσως να σταματήσει να στέλνει ηλεκτρονικά μηνύματα.

Ακολουθούν δέκα ερωταπαντήσεις που θα βοηθήσουν τον καθένα να καταλάβει καλύτερα τις επερχόμενες αλλαγές.

1. Τι αφορά και ποιους καλύπτει ο νέος Κανονισμός;

Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της ΕΕ ρυθμίζει την επεξεργασία από άτομα, εταιρείες ή οργανισμούς των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.

Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.

2. Πότε δεν θα εφαρμόζεται ο κανονισμός;

Οι νέοι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, εφόσον δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα. Δεν θα εφαρμόζονται αν π.χ. ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (ισχύει η εξαίρεση των οικιακών δραστηριοτήτων).

3. Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα;

Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία. Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε ψηφιακή ή έντυπη μορφή.

4. Ποια είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα και ποιά όχι;

Το όνομα και επώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, η προσωπική ηλεκτρονική διεύθυνση (e-mail), o αναγνωριστικός αριθμός τραπεζικής κάρτας, τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό.

Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «πληροφορίες@εταιρεία.com» και κάθε είδους ανώνυμα δεδομένα.

5. Τι αποτελεί επεξεργασία δεδομένων;

Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Παραδείγματα επεξεργασίας αποτελούν η διαχείριση προσωπικού και η μισθοδοσία, η προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων, η δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο, η αποθήκευση διευθύνσεων IP και η μαγνητοσκόπηση με τηλεόραση κλειστού κυκλώματος.

6. Θα δει αλλαγές ο χρήστης στο Διαδίκτυο μετά τις 25 Μαΐου;

Όχι αισθητές. Μια αλλαγή για όσους ζουν στην ΕΕ, θα είναι ότι θα βλέπουν πια να τους «ακολουθούν» λιγότερες online διαφημίσεις μετά από κάποια ηλεκτρονική αγορά τους. Με τους νέους κανόνες, θα γίνει πιο δύσκολη η στοχευμένη ηλεκτρονική διαφήμιση που παίρνει «κατά πόδας» τον χρήστη από ιστοσελίδα σε ιστοσελίδα που επισκέπτεται, καθώς θα είναι πιο δύσκολο για τις εταιρείες να συλλέγουν και να πουλάνε πληροφορίες για τις διαδικτυακές συνήθειες των χρηστών, αφού πρώτα πάρουν την άδεια τους. Έτσι, η online διαφήμιση στην Ευρώπη θα τείνει να γίνει πιο γενική, όπως αυτή στην τηλεόραση, και όχι τόσο στοχευμένη όπως στις ΗΠΑ.

7. Ποια θα είναι τα νέα δικαιώματα των χρηστών;

Θα έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιός επεξεργάζεται τα προσωπικά δεδομένα τους και γιατί. Θα μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποιά ακριβώς στοιχεία οι εταιρείες διατηρούν γι’ αυτούς.

Θα έχουν επίσης το δικαίωμα στη «λήθη», δηλαδή, αν θέλουν, θα απαιτούν αυτά τα δεδομένα να διαγραφούν από τις βάσεις δεδομένων των εταιρειών. Αυτό δεν θα αφορά μόνο τις εταιρείες τεχνολογίας (π.χ. Facebook ή Google), αλλά τράπεζες, καταστήματα λιανεμπορίου και οποιαδήποτε άλλη εταιρεία ή οργανισμό κρατά προσωπικά δεδομένα, του εργοδότη συμπεριλαμβανομένου.

Για παράδειγμα, θα μπορεί κανείς, αν δεν είναι δημόσιο πρόσωπο, να ζητήσει από μία μηχανή αναζήτησης (π.χ. Google) να διαγράψει τους συνδέσμους (links), όπως ένα άρθρο εφημερίδας, που αναφέρονται σε μια προσωπική υπόθεση του παρελθόντος.

Αν, αντίστροφα, online προσωπικά δεδομένα χαθούν ή κλαπούν, η εταιρεία πρέπει μέσα σε 72 ώρες να ενημερώσει το άτομο και, αν δεν το κάνει, κινδυνεύει με πρόστιμο. Εάν κάποιος έχει υποστεί ζημία, μπορεί επίσης να ζητήσει αποζημίωση προσφεύγοντας στη δικαιοσύνη. Με δεδομένες τις συχνές κυβερνοεπιθέσεις χάκερ κατά εταιρειών, γίνεται αντιληπτή η σημασία αυτού του δικαιώματος.

Αν ο χρήστης-πολίτης υποψιάζεται ότι γίνεται κατάχρηση στη συλλογή δεδομένων που τον αφορούν, μπορεί να προσφύγει στην αρμόδια εθνική αρχή προστασίας προσωπικών δεδομένων, η οποία υποχρεούται να ερευνήσει το ζήτημα. Οι πολίτες μπορούν να προσφύγουν και ομαδικά εναντίον κάποιας εταιρείας, κάτι που έως τώρα ήταν ασυνήθιστο στην Ευρώπη, αντίθετα με τις ΗΠΑ.

Οργανώσεις πολιτών μπορούν να προσφύγουν για λογαριασμό ομάδων πολιτών. Αν μία υπόθεση κερδηθεί, αναμένεται να δημιουργηθεί νομικό προηγούμενο και για άλλες υποθέσεις, κάτι που θα αναγκάσει τις εταιρείες να πάρουν το ζήτημα της ιδιωτικότητας πιο σοβαρά.

Επίσης, δίνεται το δικαίωμα της «φορητότητας δεδομένων», δηλαδή δεν θα επιτρέπεται τα δεδομένα ενός προσώπου να «κλειδώνονται» σε μια εταιρεία ή πάροχο υπηρεσιών. Οι εταιρείες είναι υποχρεωμένες να επιτρέπουν στο χρήστη-καταναλωτή να «κατεβάζει» τα προσωπικά δεδομένα του και να τα μεταφέρει σε ανταγωνιστική εταιρεία, είτε πρόκειται για οικονομικά στοιχεία από τράπεζα σε τράπεζα, είτε για τη μεταφορά μιας playlist τραγουδιών από το Spotify σε ανταγωνιστική μουσική υπηρεσία streaming.

8. Οι χρήστες-καταναλωτές έχουν καταλάβει τι γίνεται;

Πολλοί όχι δυστυχώς. Ήδη αρκετές εταιρείες ενημερώνουν με e-mail και άλλους τρόπους τους χρήστες για τη νέα πολιτική τους σχετικά με τα προσωπικά δεδομένα, αλλά ο νόμος επιβάλλει οι όροι να είναι γραμμένοι απλά και όχι νομικίστικα, κάτι που συχνά δεν συμβαίνει. Επίσης οι εταιρείες πρέπει να δίνουν στον καθένα την επιλογή να μπλοκάρει τη συλλογή πληροφοριών που τον αφορούν. Όμως συχνά οι χρήστες συναινούν βιαστικά, χωρίς να καταλαβαίνουν και χωρίς να αξιοποιούν τις νέες δυνατότητες που έχουν.

9. Εκτός από τους χρήστες, οι εταιρείες έχουν κάτι να ωφεληθούν από τους νέους κανόνες;

Οι εταιρείες πλέον θα έχουν να κάνουν όχι με μια γραφειοκρατική πανσπερμία διαφορετικών εθνικών κανονισμών, αλλά με ενιαίους πανευρωπαϊκούς και προβλέψιμους κανόνες. Αυτό θα διευκολύνει, σύμφωνα με την Ευρωπαϊκή Επιτροπή, τις διεθνείς ψηφιακές συναλλαγές και την επέκταση σε άλλες χώρες και νέες αγορές, ιδίως όσον αφορά τις μικρότερες εταιρείες. Οι κανόνες θα είναι ίδιοι για τις εγκατεστημένες στην ΕΕ εταιρείες και για όσες έχουν έδρα εκτός ΕΕ (π.χ. ΗΠΑ), αλλά λειτουργούν στην ΕΕ. Η αύξηση της εμπιστοσύνης των καταναλωτών χάρη στους νέους κανόνες προστασίας των προσωπικών δεδομένων τελικά θα ωφελήσει οικονομικά τις εταιρείες.

10. Πόσο αποτελεσματικός θα είναι ο νέος Κανονισμός στην πράξη;

Είναι πολύ νωρίς να εκτιμήσει κανείς, ίσως χρειασθούν χρόνια. Πολλά θα εξαρτηθούν από το πόσο αυστηρά οι εθνικές εποπτικές αρχές θα εφαρμόσουν τους νέους κανόνες. Δυστυχώς, μια πρόσφατη έρευνα του πρακτορείου Reuters μεταξύ των ρυθμιστικών αρχών των χωρών της ΕΕ, κατέληξε στο συμπέρασμα ότι πολλοί από αυτούς τους ανεξάρτητους φορείς δεν είναι έτοιμοι ακόμη.

Οι 17 από τις 24 Αρχές που απάντησαν, δήλωσαν ότι είτε δεν έχουν την αναγκαία χρηματοδότηση, είτε επαρκές προσωπικό, είτε τις αναγκαίες εξουσίες για να εφαρμόσουν τους νέους κανόνες. Επιπλέον, σε αρκετές χώρες θα περάσουν μήνες, έως ότου οι κυβερνήσεις ενσωματώσουν το νέο ευρωπαϊκό κανονισμό στην εθνική νομοθεσία τους. Οι περισσότερες Αρχές θα ανταποκριθούν στα παράπονα των πολιτών, αλλά ελάχιστες θα δράσουν αυτόβουλα για να διασφαλίσουν ότι οι εταιρείες συμμορφώνονται με τους νέους κανόνες.

Έτσι, κρίσιμο ρόλο στην Ελλάδα και κάθε άλλη χώρα θα παίξει πόσο αποφασιστικά οι χρήστες-πολίτες θα διεκδικήσουν τα δικαιώματά τους και θα αξιοποιήσουν το νέο θεσμικό πλαίσιο. Τελικά, θα φανεί πόσο πράγματι νοιάζονται οι άνθρωποι για τα προσωπικά δεδομένα τους.

Πηγή

Ο Εχθρός Παρακολουθεί: Το Πεντάγωνο απαγορεύει τα smartphones κινεζικής προέλευσης!

«Απαράδεκτο ρίσκο ασφαλείας» θεωρεί τα κινεζικής προέλευσης κινητά τηλέφωνα το αμερικανικό Πεντάγωνο, απαγορεύοντας μάλιστα την πώλησή τους στα καταστήματα των αμερικανικών βάσεων ανά τον κόσμο. Η σχετική οδηγία αφορά δύο γνωστές μάρκες κινεζικών τηλεφώνων και μόντεμ (Huawei, ΖΤΕ) τα οποία κρίθηκαν ότι αποτελούν κίνδυνο για την ασφάλεια του προσωπικού, τις πληροφορίες και την αποστολή του στρατεύματος, αναφέρει δημοσίευμα της ιστοσελίδας του NBC News.

Η εντολή για την απομάκρυνση των εν λόγω συσκευών από τα ράφια των PX έχει ήδη δοθεί ενώ όσοι έχουν στη κατοχή τους τέτοιες συσκευές θα πρέπει να είναι ενήμεροι για το πρόβλημα ασφαλείας που συνιστούν, ασχέτως από πού τα έχουν αγοράσει, επισημαίνει εκπρόσωπος του Πενταγώνου. Κατά την διάρκεια πρόσφατης ακρόασης ενώπιον της Γερουσίας, ο Διευθυντής της Υπηρεσίας Πληροφοριών και οι επικεφαλής του FBI, της CIA, της Εθνικής Υπηρεσίας Ασφαλείας (NSA) της Στρατιωτικής Υπηρεσίας Πληροφοριών (DIA) και της National Geospatial Intelligence Agency υποστήριξαν ότι τα προϊόντα της Huawei δεν θα πρέπει να χρησιμοποιούνται για λόγους ασφαλείας.

Ο εκπρόσωπος του Πενταγώνου δεν προσδιόρισε την φύση της απειλής, ωστόσο στο παρελθόν Αμερικανοί αξιωματούχοι είχαν εκφράσει ανησυχίες ότι τα τηλέφωνα ενδεχομένως έχουν σχεδιασθεί ώστε να είναι προσβάσιμα από την κινεζική κυβέρνηση. Από την πλευρά της η εταιρία αρνείται ότι τα προϊόντα της συνιστούν κίνδυνο ασφάλειας.

Η κινεζική Huawei είναι ο τρίτος σε μέγεθος κατασκευαστής smartphones παγκοσμίως μετά την Apple και την Samsung και ο μεγαλύτερος στον τομέα του τηλεπικοινωνιακού εξοπλισμού. Θα μπορούσε η όλη ιστορία να είναι μια πτυχή του εμπορικού πολέμου ΗΠΑ-Κίνας; Πολύ πιθανόν. Όμως η κυβέρνηση του Πεκίνου κατέχει αναντίρρητα την… τεχνογνωσία όσον αφορά την παρακολούθηση και τον έλεγχο των πολιτών της, τί θα την εμπόδιζε να το δοκιμάσει και με τους αντιπάλους της μέσω της νέας τεχνολογίας;

Υπενθυμίζεται ότι πέρυσι, αντίστοιχο δημοσίευμα της ηλεκτρονικής έκδοσης της Wall Street Journal ανέφερε ότι η Ρωσία έχει βάλει στόχο τα smartphones των στρατιωτών του ΝΑΤΟ, επιδιώκοντας την συλλογή πληροφοριών που σχετίζονται με επιχειρήσεις, τον υπολογισμό της επάνδρωσης μονάδων και ό,τι άλλο μπορεί να είναι στρατιωτικώς χρήσιμο, ακόμη και ο εκφοβισμός του προσωπικού με προσεκτικά σχεδιασμένες επιχειρήσεις ψυχολογικού πολέμου. Δυτικοί στρατιωτικοί αναλυτές σημειώνουν ότι το νέο «μέτωπο» που έχει ανοίξει η Ρωσία με το ΝΑΤΟ αποσκοπεί στην μεθοδική εκμετάλλευση του πιο τρωτού σημείου των στρατιωτών της Συμμαχίας: των κινητών τους.

Σήμερα, όλοι έχουν κινητό και δεν το αποχωρίζονται ούτε κατά την διάρκεια επιχειρήσεων. Αν και έχουν εκδοθεί κατά καιρούς οδηγίες στο προσωπικό για ορθή και προσεκτική χρήση των ατομικών τους smartphones, η εξοικείωση με την τεχνολογία πολλές φορές βαίνει εις βάρος του παλιού και δοκιμασμένου στρατιωτικού αξιώματος: Προσοχή, ο Εχθρός Παρακολουθεί. Και οι νέες τεχνολογίες τον εξυπηρετούν αφάνταστα.

Αλέξανδρος Θεολόγου

Πηγή