8 συμβουλές από την Ευρωπαϊκή Επιτροπή για έξυπνες και ασφαλείς αγορές μέσω διαδικτύου

Προϊόντα απ΄όλο τον κόσμο παραδίδονται στο σπίτι μας με μερικά μόνο κλικ. Αυτό είναι το πλεονέκτημα των ηλεκτρονικών αγορών. Όμως, τι γίνεται με την ασφάλεια των προϊόντων που αγοράζουμε από το διαδίκτυο;

Ως καταναλωτές, έχουμε την απαίτηση τα προϊόντα αυτά να μην ενέχουν κανένα κίνδυνο.

Για τον λόγο αυτό υπάρχουν κανόνες και μηχανισμοί ασφαλείας που πρέπει να τηρούνται προτού ένα προϊόν διατεθεί στους καταναλωτές. Επίσης, οι εθνικές αρχές σε όλη την Ευρωπαϊκή Ένωση λαμβάνουν μέτρα ώστε τα προϊόντα που αγοράζουμε να είναι ασφαλή. Πρέπει, όμως και εμείς οι ίδιοι να παίρνουμε ορισμένες προφυλάξεις.

Για να κάνετε έξυπνες και ΑΣΦΑΛΕΙΣ αγορές μέσω διαδικτύου, ακολουθήστε τις παρακάτω 8 συμβουλές.

Περισσότερα εδώ…

Πηγή

Advertisements

CyberArk. Αντίστροφη μέτρηση για τον GDPR: Ανταποκρινόμενοι στην ειδοποίηση 72-ωρών για παραβίαση προσωπικών δεδομένων

Ακολουθεί ένα ερώτημα αξίας εκατομμυρίων δολαρίων (το οποίο θα μπορούσε κυριολεκτικά να είναι ένα ερώτημα εκατομμυρίων δολαρίων, αν ληφθούν υπόψη τα πιθανά πρόστιμα στο παιχνίδι): Πόσο γρήγορα μπορεί ο οργανισμός σας να ανταποκριθεί μετά από μία παραβίαση προσωπικών δεδομένων;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), ο οποίος αρχίζει να ισχύει στις 25 Μαΐου 2018, απαιτεί από τους οργανισμούς να αναφέρουν τη μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα εντός 72 ωρών από την ανίχνευση της παραβίασης.

Αν πιστεύετε ότι μοιάζει με ένα ιδιαίτερα στενό χρονικό περιθώριο – έχετε απόλυτο δίκιο. Σύμφωνα με μία πρόσφατη μελέτη, μόνο το 10% των οργανώσεων που παραβιάστηκαν κατάφερε να ειδοποιήσει τις ρυθμιστικές αρχές εντός 72 ωρών από την ανακάλυψη της παραβίασης. Επιπλέον, το 38% δήλωσε ότι για την κοινοποίηση απαιτήθηκαν από δύο έως και πέντε μήνες για να ολοκληρωθεί.

Πέραν της αρχικής αυτής κοινοποίησης, το άρθρο 33 του GDPR απαιτεί επίσης από τους οργανισμούς να περιγράφουν και να τεκμηριώνουν τις ακόλουθες πληροφορίες:

  • Η φύση της παραβίασης των προσωπικών δεδομένων, οι κατηγορίες και ο κατά προσέγγιση αριθμός των προσώπων των οποίων τα δεδομένα επηρεάστηκαν
  • Πιθανές συνέπειες
  • Μέτρα που ελήφθησαν ή προτείνονται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των προσωπικών δεδομένων

Η πραγματική αλήθεια είναι ότι είναι πιθανόν, επιτιθέμενοι, αυτή την ώρα που διαβάζετε το κείμενο, να κρύβονται στο περιβάλλον της εταιρείας σας, χωρίς να έχουν γίνει αντιληπτοί, και περιηγούνται στο δίκτυο αναζητώντας τη σωστή οδό για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.

Για να αναφέρετε γρήγορα και με ακρίβεια μια παραβίαση – ή, ακόμα καλύτερα, να εντοπίσετε μια απειλή πριν από τη πραγματοποίηση της παραβίασης – χρειάζεστε ισχυρούς λειτουργικούς ελέγχους. Μια ισχυρή στρατηγική ασφαλείας προνομιακών λογαριασμών είναι κρίσιμης σημασίας για τέτοιου είδους έλεγχο.

Εντοπίστε και σταματήστε τις απειλές νωρίς στον κύκλο ζωής της επίθεσης (attack cycle)

Τα εργαλεία και οι λύσεις ασφάλειας αναπτύσσονται διαρκώς ώστε να είναι σε θέση να προστατεύουν τους οργανισμούς από υφιστάμενα τρωτά σημεία, ευπάθειες και απειλές. Όμως, οι επιτιθέμενοι είναι συχνά ένα βήμα μπροστά, σχεδιάζοντας νέους, εξελιγμένους τρόπους για να διεισδύσουν σε εταιρείες και επιχειρήσεις. Ακριβώς για αυτό το λόγο είναι κρίσιμης σημασίας να υιοθετήσετε τη νοοτροπία ενός επιτιθέμενου όταν ενισχύετε τις πρακτικές ασφαλείας σας καθώς προετοιμάζεστε για τον GDPR. Για να γίνει αυτό, είναι σημαντικό να εντοπιστούν και να αποκλειστούν οι απειλές στην έναρξη του κύκλου επίθεσης.

Λάβετε υπόψη σας τα παρακάτω τέσσερα βήματα:

  • Αρχικά αναζητήστε εκτεθειμένους προνομιακούς λογαριασμούς. Έχετε στη διάθεσή σας μια λύση για εκτεθειμένα διαπιστευτήρια και για ειδοποιήσεις μη εξουσιοδοτημένης πρόσβασης; Η ανεπιθύμητη εξουσιοδότηση παρέχει σε μια υπηρεσία τη δυνατότητα να μιμείται κάποιον χρήστη σε μία άλλη υπηρεσία. Και κάτι τέτοιο έχει μεγάλο αντίκτυπο στην ασφάλεια.Όταν έχει ενεργοποιηθεί η περίπτωση μίας “unconstrained delegation”, καθώς ο προνομιούχος χρήστης συνδέεται με το μηχάνημά σας, το ticket-granting-ticker (TGT) θα αποθηκευτεί στη μνήμη, για να είναι σε θέση να αναπαραχθεί για να μετακινηθεί πλευρικά και να θέσει σε κίνδυνο έναν domain controller.
  • Προσδιορίστε τους ελέγχους που μπορούν να παρακάμψουν την ασφάλεια προνομιακών λογαριασμών. Οι προνομιακοί λογαριασμοί είναι μια σημαντική ευπάθεια ή αδυναμία όταν δεν είναι ασφαλείς, και υπάρχουν σε κάθε οργανισμό και επιχείρηση. Μπορείτε να προσδιορίσετε πόσοι είναι οι προνομιακοί λογαριασμοί και οι υπηρεσιακοί λογαριασμοί που έχετε υπό την διαχείριση και επιτήρησή σας; Είναι ασφαλισμένοι; Έχετε εγκατεστημένη μία λύση που μπορεί να ανιχνεύσει κάποια πιθανή κλοπή διαπιστευτηρίων ή να κάνει rotate τα διαπιστευτήρια και τους κωδικούς πρόσβασης για να μη δώσει τη δυνατότητα στους επιτιθέμενους να κλιμακώσουν τα προνόμια και να πλοηγηθούν στο περιβάλλον;
  • Προσδιορίστε τις επιθέσεις που είναι γνωστό ότι παρακάμπτουν την επαλήθευση ταυτότητας. Έχετε έναν τρόπο ανίχνευσης επιθέσεων που εκμεταλλεύονται τον έλεγχο ταυτότητας Kerberos; Αυτές οι επιθέσεις μπορεί να είναι πολύ επιζήμιες – μερικές από τις οποίες παρέχουν απεριόριστη πρόσβαση και απεριόριστο χρόνο για αναγνώριση. Λαμβάνετε υπόψη σας και τις επιθέσεις που ξεκινούν βαθιά στο εσωτερικό του δίκτυο;
  • Εντοπίστε την κατάχρηση της προνομιακής πρόσβασης. Μπορείτε να ορίσετε με σαφήνεια τον τύπο δραστηριότητας που είναι φυσιολογική; Με άλλα λόγια, τις συνήθεις συναλλαγές σε σύγκριση με κάποια περίεργη ή ασυνήθιστη δραστηριότητα που μπορεί να είναι επικίνδυνη για τον οργανισμό; Ακολουθείτε αυτή την risk-based προσέγγιση για την ασφάλεια προνομιακών λογαριασμών; Έχετε στη διάθεση σας μια λύση που θα εμποδίσει τους επιτιθέμενους από το να αποκτήσουν πρόσβαση σε κρίσιμα συστήματα και εφαρμογές που διατηρούν ευαίσθητα προσωπικά δεδομένα της Ευρωπαϊκής Ένωσης;

Η παρεμπόδιση της μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα θα σας βοηθήσει να αποτρέψετε τις παραβιάσεις δεδομένων εκ των προτέρων. Στο μέγιστο δυνατό, η αυτόματη ανίχνευση και η παρεμπόδιση της πρόσβασης θα πρέπει να είναι μια προληπτική λειτουργία ενσωματωμένη στη λύση Privileged Account Security. Αυτός ο τύπος έγκαιρης ανίχνευσης είναι διαφορετικός από τις περιμετρικές άμυνες, οι οποίες εστιάζουν στο monitoring και σε ελέγχους ασφαλείας που αφορούν κυρίως στην προστασία των συστημάτων σας από εξωτερικές επιθέσεις.

Η ισχυρή στρατηγική ασφαλείας προνομιακών λογαριασμών επικεντρώνεται στην προληπτική ανίχνευση απειλών για τα προσωπικά δεδομένα από μέσα προς τα έξω. Η δημιουργία προφίλ σε πραγματικό χρόνο και η ανάλυση της συμπεριφοράς μεμονωμένων προνομιούχων δικτυακών συνεδριών μπορεί να βοηθήσει έναν οργανισμό να εντοπίσει έγκαιρα τις παραβιάσεις, με σχετικές ειδοποιήσεις που έχουν προτεραιότητα όταν ανιχνεύεται μη φυσιολογική δραστηριότητα.

Στη δεύτερη συμβουλευτική έκθεση της CyberArk για τον GDPR, παρέχεται μια λίστα με σημεία ελέγχου που έχουν στόχο την προληπτική ανίχνευση και την προνομιακή πρόσβαση, ώστε να είστε προετοιμασμένοι για τις απαιτήσεις notification και reporting του GDPR.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Πηγή

Η διόρθωση κενών ασφαλείας κάνει πιο αργούς τους υπολογιστές

H Microsoft έκανε γνωστό ότι οι αναβαθμίσεις λογισμικού που αποσκοπούν στο κλείσιμο των κενών ασφαλείας, τα οποία ανακαλύφθηκαν στις 3 Ιανουαρίου, σχεδόν σε όλους τους κεντρικούς επεξεργαστές, έχουν ως αποτέλεσμα να γίνονται πιο αργοί μερικοί υπολογιστές, τόσο προσωπικοί (PCs) όσο και εξυπηρετητές (servers).

Τα συστήματα που χρησιμοποιούν παλαιότερα τσιπ της Intel, εμφανίζουν αισθητή επιβράδυνση και μείωση της απόδοσής τους, αναφέρεται σε σχετικές δηλώσεις σε ιστολόγιο της Microsoft, σύμφωνα με το πρακτορείο Ρόιτερς. Είναι προφανές ότι ένα «φρένο» στη λειτουργία των υπολογιστών τους είναι το τελευταίο πράγμα που θέλει να δει ένας χρήστης, πολύ περισσότερο ένα μεγάλο κέντρο δεδομένων που χρησιμοποιεί πολλούς υπολογιστές.

Από την πλευρά της, η Intel αρνείται ότι τα τσιπάκια της μπορούν να επηρεασθούν αρνητικά μετά το «μπάλωμα» των κενών ασφαλείας. Όπως δήλωσε προ ημερών, ένας τυπικός οικιακός ή επιχειρηματικός χρήστης δεν θα διαπιστώσει σημαντική καθυστέρηση στις συνήθεις εργασίες του, όπως το γράψιμο κειμένου, η ανάγνωση ηλεκτρονικού ταχυδρομείου ή η πρόσβαση σε ψηφιακές φωτογραφίες.

Επιπλέον, σύμφωνα με τη Microsoft, η κατάσταση φαίνεται να είναι ακόμη χειρότερη με ορισμένους παλαιότερους επεξεργαστές της Advanced Micro Devices (AMD), ανταγωνίστριας της Intel, καθώς οι αναβαθμίσεις ασφαλείας οδήγησαν σε πλήρες «πάγωμα» μερικούς υπολογιστές με τέτοια τσιπάκια. Γι’ αυτό, η Microsoft γνωστοποίησε ότι σταματά προσωρινά την αναβάθμιση λογισμικού για ορισμένους επεξεργαστές της AMD, προκειμένου να αποφευχθεί η ολοκληρωτική κατάρρευση του υπολογιστή.

Η Microsoft έχει αρχίσει να κυκλοφορεί αναβαθμίσεις ασφαλείας για τις συσκευές με το λειτουργικό σύστημα Windows, εξαιρώντας πλέον αυτές με ορισμένα τσιπ της AMD. Η απόφαση αυτή θα καθυστερήσει την προστασία των υπολογιστών με τσιπ της AMD από πιθανές μελλοντικές επιθέσεις από χάκερ που θα θελήσουν να εκμεταλλευθούν τα διάσημα πλέον κενά ασφαλείας Meltdown και Spectre.

Αυτό είχε ως συνέπεια να εμφανίσουν πτώση οι μετοχές της AMD στο αμερικανικό χρηματιστήριο, όπως νωρίτερα είχε συμβεί και με τις μετοχές της Intel. Πριν όμως γίνει γνωστό το πρόβλημα της Microsoft με τα τσιπ της AMD, οι μετοχές της τελευταίας είχαν ανέβει έως κατά 20%, καθώς οι επενδυτές αισιοδοξούσαν ότι η AMD θα επωφεληθεί σε βάρος της Intel, της οποίας οι επεξεργαστές είχαν φανεί ότι επηρεάζονται περισσότερο.

Η Microsoft ανακοίνωσε ότι συνεργάζεται με την AMD για να βρεθεί λύση στο πρόβλημα, ώστε η κάλυψη των κενών ασφαλείας να συμπεριλάβει και όλους τους επεξεργαστές της τελευταίας.

Το πρόβλημα αφορά και τα τσιπ της ARM, που ανήκει στην ιαπωνική SoftBank. Η ARM εκτίμησε ότι περίπου το 5% των περισσοτέρων από 120 δισεκατομμυρίων τσιπ που η ίδια και οι συνεργάτες της έχουν πουλήσει από το 1991, επηρεάζονται από το Spectre, ενώ πολύ μικρότερος είναι ο αριθμός των τσιπ της που είναι ευάλωτα στο Meltdown. Η Intel και η AMD δεν έχουν αποκαλύψει μέχρι σήμερα τον εκτιμώμενο αριθμό των δικών τους τσιπ παγκοσμίως που επηρεάζονται.

Η Cisco Systems έκανε γνωστό ότι, από την πλευρά της, εντόπισε 18 προϊόντα της (servers, routers κ.α.) που είναι ευάλωτα στα δύο κενά ασφαλείας και διαβεβαίωσε ότι θα έχει ετοιμάσει τις αναγκαίες διορθώσεις ασφαλείας έως τις 18 Φεβρουαρίου.

Τη Δευτέρα η Apple κυκλοφόρησε μια αναβαθμισμένη έκδοση του λειτουργικού συστήματός της για να διορθώσει το πρόβλημα.

Πηγή

Σχόλιο της Kaspersky Lab σχετικά με τα Meltdown και Spectre που επηρεάζουν σχεδόν όλους τους επεξεργαστές των υπολογιστών και κινητών του κόσμου

 

Ido Naor & Jornt van der Wiel, Senior Security Researchers, Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab

Έχουν εντοπιστεί δύο σοβαρά κενά ασφάλειας στους επεξεργαστές (τσιπάκια) της Intel και τα οποία θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να εκμεταλλευτούν ευαίσθητες πληροφορίες από εφαρμογές αποκτώντας πρόσβαση στη μνήμη πυρήνα (core memory). Η πρώτη ευπάθεια, το Meltdown, μπορεί να απομακρύνει αποτελεσματικά το εμπόδιο μεταξύ των εφαρμογών χρηστών και των ευαίσθητων τμημάτων του λειτουργικού συστήματος. Η δεύτερη ευπάθεια, το Specter, που βρέθηκε επίσης στα τσιπάκια των AMD και ARM, μπορεί να «ξεγελάσει» τις ευάλωτες εφαρμογές ώστε να διαρρέουν τα περιεχόμενα της μνήμης τους.

Οι εφαρμογές που είναι εγκατεστημένες σε μια συσκευή γενικά «τρέχουν» σε «λειτουργία χρήστη», μακριά από τα πιο ευαίσθητα τμήματα του λειτουργικού συστήματος. Αν μια εφαρμογή χρειάζεται πρόσβαση σε μια ευαίσθητη περιοχή, για παράδειγμα στον υποκείμενο δίσκο, το δίκτυο ή τη μονάδα επεξεργασίας πρέπει να ζητήσει άδεια χρήσης της «προστατευμένης λειτουργίας». Στην περίπτωση του Meltdown, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στην προστατευμένη λειτουργία και στη μνήμη πυρήνα χωρίς να χρειάζεται άδεια, αφαιρώντας αποτελεσματικά το εμπόδιο, επιτρέποντάς του να κλέψει δεδομένα από τη μνήμη των εφαρμογών που εκτελούνται, όπως δεδομένα από διαχειριστές κωδικών πρόσβασης, προγράμματα περιήγησης, ηλεκτρονικά ταχυδρομεία και φωτογραφίες και έγγραφα.

Δεδομένου ότι πρόκειται για hardware bugs, η επιδιόρθωση τους είναι σημαντική δουλειά. Τα patches για το Meltdown έχουν εκδοθεί για λογισμικά Linux, Windows και OS X και έχουν ξεκινήσει εργασίες για την ενίσχυση του λογισμικού κατά μελλοντικής εκμετάλλευσης του Spectre. Η Google δημοσίευσε περαιτέρω πληροφορίες εδώ. Είναι ζωτικής σημασίας να εγκαθιστούν οι χρήστες τα διαθέσιμα patches χωρίς καθυστέρηση. Θα χρειαστεί χρόνος για τους επιτιθέμενους να καταλάβουν πώς να εκμεταλλευτούν τις ευπάθειες – παρέχοντας ένα μικρό αλλά κρίσιμο παράθυρο για προστασία.

Πηγή

Κυβερνοεπιθέσεις: Αύξηση 2.500% τα τελευταία δυο χρόνια παγκοσμίως

Οι κυβερνοεπιθεσεις ως ένα φαινόμενο που θα μας απασχολήσει πολύ τα επόμενα χρόνια θα είναι το θέμα της ημερίδας The 72 Hours που θα πραγματοποιηθεί την επόμενη εβδομάδα σε κεντρικό ξενοδοχείο της Αθήνας. Ως δεδομένο πλέον χαρακτηρίζεται το γεγονός πως μια εταιρεία θα δεχτεί στο μέλλον μια επίθεση από χάκερ, αν αυτό βέβαια δεν έχει συμβεί ήδη.

Από την άλλη τέτοιες επιθέσεις έχουν έρθει στο φως της δημοσιότητας εξαιτίας προβλημάτων που δημιούργησαν σε κρατικούς μηχανισμούς όπως ιστοσελίδες υπουργείων αλλά και πολυεθνικών εταιριών που συχνά έχουν δημιουργήσει ειδικά τμήματα «άμυνας» για την αντιμετώπισης τους.

Για τους λόγους της επίσκεψης του στην χώρα μας αλλά και την συμμετοχή του στο παρακάνω συνέριο μας μίλησε ο Moty Cristal, Αντισυνταγματάρχης (εα) στις Ισραηλινές Αμυντικές Δυνάμεις (IDF), με εκτεταμένη επιχειρησιακή εμπειρία στη διαπραγμάτευση κρίσεων και διαλέξεις σε παγκόσμιο επίπεδο σχετικά με τη διαπραγμάτευση κρίσεων και τη σύνθετη διαχείριση κρίσεων.

«Ο σκοπός της επίσκεψής μου είναι να συμμετάσχω σε μια ξεχωριστή εκδήλωση, η οποία διοργανώνεται από την Dom Consulting. Επιθυμούμε να γίνει ευρέως γνωστή η πολυπλοκότητα της διαχείρισης των κρίσεων που προκαλούνται από κυβερνοεπιθέσεις . Η ενημέρωση του κοινού θα γίνει σε τρεις ενότητες.

Α) Αρχικά θα μιλήσουμε για την Ευρωπαϊκή δομή του GPRD και τους κανόνες που κάθε επιχείρηση πρέπει να ακολουθεί ώστε να είναι κατάλληλα προετοιμασμένη απέναντι σε κυβερνοεπιθέσεις.

Β) Στη συνέχεια θα ασχοληθούμε με την περιεκτικότητα και την πολυπλοκότητα αυτών των συμβάντων. Όταν μια εταιρία δεχθεί επίθεση στον κυβερνοχώρο, η κρίση που θα κληθεί να διαχειριστεί, δεν είναι μόνο οικονομική, επικοινωνιακή ή κρίση που αφορά αποκλειστικά το τμήμα πληροφορικής. Ένα τέτοιο συμβάν προκαλεί μια πολύπλευρη κρίση σε μια επιχείρηση και, σύμφωνα με την εμπειρία μας, ο τωρινός τρόπος αντιμετώπισης των κυβερνοεπιθέσεων σε ολόκληρο τον κόσμο, χρήζει σημαντικής βελτίωσης.

Γ) Τέλος επιδιώκουμε να ρίξουμε κάποιο φως σε δύο στοιχεία που χαρακτηρίζουν τις κυβερνοεπιθέσεις. Το πρώτο στοιχεία αφορά τους εκβιασμούς και τα λύτρα που ζητούνται μετά από κάποια κυβερνοεπίθεση. Το δεύτερο στοιχείο αφορά την επικοινωνιακή διαχείριση αυτών των ζητημάτων, καθώς ακόμα και μεγάλες εταιρίες όπως η Sony, η Netflix κλπ αποτυγχάνουν να διαχειριστούν αποτελεσματικά σε επικοινωνιακό επίπεδο, την κρίση που προκαλεί μια κυβερνοεπίθεση. Επομένως στην εκδήλωση αυτή θα μιλήσουμε για τον τρόπο με τον οποίο θα πρέπει να διαπραγματευόμαστε με τους κυβερνοεγκληματίες και τη στρατηγική επικοινωνίας που πρέπει να αναπτύξουμε».

Στην ερώτηση κατά ποσο πιστεύει πως το φαινόμενο τον κυβερνοεπιθεσεων θα αυξηθεί τα επόμενα χρόνια σε εταιρικό και κυβερνητικό επίπεδο ο κ. Moty απαντά πως «το κοινό πρέπει να αρχίσει να μεριμνά, διότι, τα τελευταία δύο χρόνια, οι επιθέσεις στον Κυβερνοχώρο έχουν αυξηθεί κατά 2500%, ενώ έχουν καταβληθεί ως λύτρα, πάνω από ένα δισεκατομμύριο δολάρια.

Οι επιθέσεις αυτές γίνονται είτε για τακτικούς είτε για στρατηγικούς λόγους. Πίσω από αυτές τις επιθέσεις κρύβονται εταιρίες που θέλουν να βλάψουν τους ανταγωνιστές τους, ή κυβερνήσεις που θέλουν να βλάψουν άλλες χώρες. Θυμίζω, ως παράδειγμα, τις πρόσφατες κατηγορίες προς την Ρωσική Κυβέρνηση για την ανάμειξή της στις Αμερικανικές Εκλογές, με στόχο να εξυπηρετηθούν τα συμφέροντά της».

«Θεωρώ πως το θέμα των Κυβερνοεπιθέσεων πρέπει να απασχολήσει σοβαρά όλες τις Κυβερνήσεις και όλες τις εταιρίες, ειδικά εκείνες που λειτουργούν σε εθνικό επίπεδο όπως π.χ Τράπεζες, εταιρίες παροχής ρεύματος, εταιρίες παροχής νερού κλπ. Όλες αυτές οι εταιρίες είναι σοβαρά εκτεθειμένες σε μια τέτοια μορφή επίθεσης, όχι μόνο εδώ στην Ελλάδα αλλά σε ολόκληρο τον κόσμο. Πριν από 6 μήνες κυβερνοεγκληματίες επιτέθηκαν στο Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου και ζητούσαν λύτρα».

Πηγή

Σύσταση της ΑΔΑΕ για την ασφαλή χρήση των ασύρματων δικτύων αναφορικά με νέα ηλεκτρονική απειλή

Πρόσφατα εντοπίσθηκε μια νέα ηλεκτρονική απειλή με την ονομασία KRACK που εκμεταλλεύεται τις ευπάθειες των προτύπων ασφάλειας WPA και WPA2, τα οποία χρησιμοποιούνται στα ασύρματα δίκτυα Wi-Fi. Η νέα απειλή μπορεί να θέσει σε κίνδυνο την ακεραιότητα και την εμπιστευτικότητα των
δεδομένων που διακινούνται μεταξύ των τερματικών συσκευών των χρηστών και των ασύρματων σημείων πρόσβασης (Wi-Fi access points). Στις ευάλωτες τερματικές συσκευές περιλαμβάνονται φορητοί υπολογιστές, κινητά τηλέφωνα, tablets και άλλες συσκευές που συνδέονται σε Wi-Fi δίκτυο, με λειτουργικά συστήματα Android, iOS, Windows, Unix/Linux.

Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) συνιστά στους χρήστες ασύρματων δικτύων να είναι ιδιαίτερα προσεκτικοί και να αποφεύγουν τη διαβίβαση ευαίσθητων πληροφοριών ή εναλλακτικά να χρησιμοποιούν, όπου αυτό είναι τεχνικά δυνατό, άλλες μεθόδους κρυπτογράφησης για την επεξεργασία εμπιστευτικών πληροφοριών, όπως SSL/TLS, SSH και VPN, έως ότου διατεθούν ενημερώσεις ασφάλειας (software updates) για την αντιμετώπιση της ευπάθειας που αποκαλύφθηκε στο πρωτόκολλο WPA/WPA2.

Στον ιστότοπο της ΑΔΑΕ παρουσιάζονται μέτρα προστασίας του απορρήτου κατά την ασύρματη
πρόσβαση στο διαδίκτυο (http://www.adae.gr/enimerosi-christon-kai-syndromiton/), πολλές πηγές
πληροφόρησης σχετικά με τους κινδύνους του κυβερνοχώρου, πρακτικές οδηγίες για την αποφυγή
τους, καθώς και ένα ερωτηματολόγιο αξιολόγησης γνώσεων. Επίσης, οι επισκέπτες μπορούν να
ενημερωθούν από το έντυπο της ΑΔΑΕ για την προστασία του απορρήτου των επικοινωνιών, το οποίο
είναι αναρτημένο στη διεύθυνση http://www.adae.gr/fileadmin/cybersecurity/index.html.
Η ΑΔΑΕ δέχεται καταγγελίες και ερωτήματα πολιτών, τα οποία μπορούν να υποβάλλονται
ταχυδρομικώς ή αυτοπροσώπως (στη διεύθυνση: Ιερού Λόχου 3, Μαρούσι 151 24, Αθήνα), με
τηλεομοιοτυπία (fax) στον αριθμό +30 210 6387666, καθώς και ηλεκτρονικά (www.adae.gr) ή μέσω
ηλεκτρονικού ταχυδρομείου ( info@adae.gr)

Πηγή

Yahoo: Τρία δισ. λογαριασμοί επηρεάστηκαν από την παραβίαση του 2013

Καθένας από τους 3 δισεκατομμύρια λογαριασμούς που είχαν ανοιχτεί στην υπηρεσία ηλεκτρονικού ταχυδρομείου της Yahoo έχουν επηρεαστεί από την κλοπή δεδομένων που είχε λάβει χώρα το 2013, σύμφωνα με πρόσφατη ανακοίνωση της εταιρείας.

Πρότινος, η Yahoo είχε ανακοινώσει ότι οι λογαριασμοί που είχαν επηρεαστεί έφταναν τους 1 δισεκατομμύριο, σε μια επίθεση που θεωρείτο η μεγαλύτερη παραβίαση δεδομένων στην ιστορία.

Η εταιρεία, η οποία πλέον είναι μέλος της Verizon Communications, είχε ανακοινώσει τον περασμένο Δεκέμβριο ότι τα στοιχεία χρηστών τουλάχιστον 1 δισεκατομμυρίου λογαριασμών είχαν κλαπεί από μια κυβερνοεπίθεση που είχε λάβει χώρα τον Αύγουστο του 2013.

Ωστόσο, αναφέρει σε ανακοίνωσή της ότι από τις πιο πρόσφατες έρευνες προκύπτει ότι οι κλεμμένες πληροφορίες δεν περιελάμβαναν κωδικούς πρόσβασης, δεδομένα πιστωτικών ή χρεωστικών καρτών ή οποιαδήποτε στοιχεία τραπεζικών λογαριασμών.

«Είναι σημαντικό να σημειωθεί ότι, σχετικά με την ανακοίνωση της Yahoo τον Δεκέμβριο για την παραβίαση του Αυγούστου του 2013, η εταιρεία έλαβε δραστικά μέτρα για την προστασία των λογαριασμών. Η Yahoo απαιτούσε από όλους τους χρήστες που δεν είχαν αλλάξει του κωδικούς πρόσβασης μετά την παραβίαση, να το πράξουν. Η εταιρεία επίσης ακύρωσε τις κρυπτογραφημένες ερωτήσεις και απαντήσεις ασφαλείας, ώστε αυτά να μην μπορούν να χρησιμοποιηθούν για την παράνομη πρόσβαση σε λογαριασμούς της Yahoo», αναφέρεται στην πρόσφατη ανακοίνωση.

Σε δημοσίευμά της η βρετανική εφημερίδα The Guardian υποστηρίζει ότι, η παραβίαση ήταν ιδιαίτερα δαπανηρή για την εταιρεία και τα στελέχη της. Τρανταχτά παραδείγματα, η Μαρίσα Μέϊερ, πρώην διευθύνουσα σύμβουλος της Yahoo, η οποία παραιτήθηκε μετά την ανακοίνωση της υπόθεσης και ο επικεφαλής της δικηγορικής ομάδας της εταιρείας, Ρόναλντ Μπελ, ο οποίος εγκατέλειψε το πόστο του μετά τις αποκαλύψεις.

Εκπρόσωπος της Yahoo δήλωσε αναφορικά με τον αληθινό αριθμό των λογαριασμών που έχουν επηρεαστεί από την κλοπή δεδομένων, ότι στα 3 δισεκατομμύρια περιλαμβάνονταν και πολλοί λογαριασμοί που είτε είχαν χρησιμοποιηθεί ελάχιστα, είτε καθόλου.

Πηγή