Αξιολογήσεις ευπάθειας και δοκιμές διείσδυσης – Ποια είναι η διαφορά;

Η σύγχυση μεταξύ των όρων «δοκιμές διείσδυσης» και «αξιολογήσεις ευπάθειας» συχνά ξεκινάει στο επίπεδο της γλώσσας. Όσοι δεν είναι επαγγελματίες στον τομέα της ασφάλειας ιστού (web security), όπως είναι οι δημοσιογράφοι, πολλές φορές αναφερόμενοι σε κάποια σημαντική ιστορία που επηρεάζει τους καταναλωτές, χρησιμοποιούν τους όρους εναλλακτικά, σαν να αναφέρονται στην ίδια διαδικασία.

Διαβάστε το άρθρο της Netsparker που επιμελήθηκε η NSS και ξεδιαλύνει τις διαφορές, αναλύοντας  τους όρους αυτούς.

Διαφορά μεταξύ των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης

Οι έμπειροι επαγγελματίες του κλάδου γνωρίζουν τη διαφορά, όμως όσοι είναι… νέοι στον χώρο, και αυτοί, συγχέουν τις έννοιες. Γιατί; Αυτό συμβαίνει διότι ακόμη και οι επαγγελματίες τυγχάνει πολλές φορές να χρησιμοποιούν όρους και έννοιες με ασαφείς ή ανακριβείς τρόπους, όταν θα έπρεπε να είναι σε θέση να διακρίνουν πράγματα που διαφέρουν. Ας δούμε όμως τη σαφή διαφορά μεταξύ τους.

Τι είναι οι αξιολογήσεις ευπάθειας; 

Μία αξιολόγηση ευπάθειας περιλαμβάνει τη διεξαγωγή μιας σειράς πολλαπλών δοκιμών ενάντια σε ορισμένες ιστοσελίδες, σε εφαρμογές ιστού, σε διευθύνσεις IP και σε εύρη IP, χρησιμοποιώντας μια γνωστή λίστα ευπαθειών και τρωτών σημείων, σαν αυτά που περιλαμβάνονται στη λίστα Top 10 του OWASP.

Όσοι πραγματοποιούν αξιολογήσεις, μπορούν επίσης να πραγματοποιήσουν δοκιμές σε συστήματα που γνωρίζουν ότι έχουν εσφαλμένα διαμορφωθεί ή στα οποία δεν έχουν εφαρμοστεί ενημερώσεις ασφαλείας και patches.

Συχνά, χρησιμοποιούνται αυτοματοποιημένα εργαλεία σάρωσης ασφαλείας.

Τα συνδρομητικά εργαλεία με άδεια εμπορικής χρήστης θεωρούνται περισσότερο ασφαλή – έρχονται με τακτικές ενημερώσεις, υπάρχουν λιγότερες πιθανότητες να συμπεριλαμβάνουν κακόβουλο κώδικα (τα αντίστοιχα εργαλεία ανοιχτού κώδικα, πάντως, έχουν το σημαντικό πλεονέκτημα να είναι ακριβώς τα ίδια εργαλεία που προτιμούν να χρησιμοποιούν κακόβουλοι χάκερς).   

Οι εκτιμήσεις ευπάθειας τείνουν να περιλαμβάνουν τα ακόλουθα στάδια:

  • Προσδιορισμός όλων των πόρων, και των συνδεδεμένων πόρων, των συστημάτων πληροφορικής στο εσωτερικό ενός οργανισμού
  • Αντιστοίχιση κάποιας τιμής ή προτεραιότητας σε κάθε έναν (από αυτούς)
  • Διεξαγωγή αξιολόγησης μίας λίστας γνωστών τρωτών σημείων κατά μήκος ενός μεγάλου αριθμού επιφανειών επίθεσης (από login screens έως παραμέτρους διευθύνσεων URL και μέχρι διακομιστές ηλεκτρονικής αλληλογραφίας)
  • Καθορισμός των πιο κρίσιμων τρωτών σημείων και λήψη αποφάσεων σχετικά με τον τρόπο αντιμετώπισης των υπολοίπων

Τι είναι η δοκιμή διείσδυσης;

Η δοκιμή διείσδυσης (pen testing) από την άλλη – μολονότι ότι μπορεί να θεωρηθεί ως ένας τύπος αξιολόγησης ευπάθειας – περιλαμβάνει την αναπαραγωγή ενός συγκεκριμένου τύπου επίθεσης που μπορεί να εκτελεστεί από κάποιον χάκερ. Κάποιος που πραγματοποιεί δοκιμές διείσδυσης θα εξερευνήσει διεξοδικά τα συστήματα μέχρι να εντοπίσει κάποια ευπάθεια. Ενδεχομένως να χρησιμοποιήσει ακόμα και κάποιο εργαλείο αξιολόγησης ευπάθειας για να αποκαλυφθεί κάποια μια ευπάθεια. Μόλις εντοπιστεί κάτι, τότε θα γίνει προσπάθεια εκμετάλλευσης, για να καθοριστεί αν είναι δυνατό για έναν χάκερ να επιτύχει ένα συγκεκριμένο στόχο (πρόσβαση, αλλαγή ή διαγραφή δεδομένων, για παράδειγμα).

Συχνά, ενώ πραγματοποιείται η δοκιμή διείσδυσης, μπορεί να συναντήσει –εκείνος που κάνει τη δοκιμή- τυχαία άλλες αδυναμίες και να τις ακολουθήσει εκεί που οδηγούν. Όποιος κάνει επίσης τη δοκιμή μπορεί να χρησιμοποιήσει κάποιο αυτοματοποιημένο εργαλείο σε αυτό το σημείο για να εκτελέσει μια σειρά από exploits ενάντια στην ευπάθεια. 

Ορισμένες δοκιμές διείσδυσης αναφέρονται ως «white box» για να υποδείξουν ότι ο δοκιμαστής διείσδυσης έχει δώσει λεπτομερείς πληροφορίες για το περιβάλλον, όπως έναν κατάλογο περιουσιακών στοιχείων που ανήκουν στον οργανισμό, πηγαίο κώδικα, ονόματα υπαλλήλων και διευθύνσεις ηλεκτρονικού ταχυδρομείου κ.λπ. Όταν –οι δοκιμές- αναφέρονται ως «black box», με αυτό τον τρόπο υποδεικνύεται ότι οι δοκιμές διείσδυσης διεξήχθησαν ή διεξάγονται χωρίς προηγούμενη πληροφόρηση σχετικά με την εσωτερική δομή του οργανισμού, χωρίς πρόσβαση σε πηγαίο κώδικα κλπ. Αυτό το είδος δοκιμής διείσδυσης μπορεί να μοιάζει περισσότερο με τις δραστηριότητες ενός κακόβουλου χάκερ, όμως μπορεί επίσης να οδηγήσει σε μικρότερη κάλυψη των δυνητικά ευάλωτων περιουσιακών στοιχείων κάποιας επιχείρησης ή οργανισμού.

Ποια αποτελέσματα μπορώ να περιμένω από κάθε προσέγγιση; 

Η απάντηση σε αυτή την ερώτηση θα μπορούσε να τεθεί καλύτερα αν σκεφτούμε ανάποδα, δηλαδή προς τα πίσω: Ποια είναι τα αποτελέσματα που θέλετε; 

Έκθεση αξιολόγησης ευπάθειας κατά μήκος όλων των τρωτών σημείων 

Τα αποτελέσματα συγκεντρώνονται σε μια αυτοματοποιημένη, μακροσκελή αναφορά, που περιλαμβάνει μία εκτεταμένη λίστα τρωτών σημείων που έχουν ανιχνευθεί και ταξινομηθεί κατά προτεραιότητα, από το πόσο σοβαρά και κρίσιμα είναι για την επιχείρησή. Με το πέρασμα του χρόνου, αυτή η λίστα μπορεί να αποκαλύψει αλλαγές από την τελευταία αναφορά. Ορισμένοι πάντως θα επικρίνουν τα επιτευχθέντα αποτελέσματα επειδή, σε αντίθεση με τις δοκιμές διείσδυσης, μπορεί να περιέχουν ψευδώς θετικά ή ψευδώς αρνητικά. Φυσικά, κάτι τέτοιο δεν πρόκειται να συμβεί αν χρησιμοποιείτε τον σαρωτή ευπάθειας εφαρμογών ιστού Netsparker (web application vulnerability scanner) για να διεξάγετε τις δοκιμές διείσδυσης. Και αυτό είναι ένα από τα βασικά χαρακτηριστικά που διαφοροποιούν την Netsparker – η αυτόματη επαλήθευση εντοπισμένων τρωτών σημείων με το Proof-Based Scanning.

Οι αναφορές οφείλουν να περιλαμβάνουν έναν οδηγό που θα υποδεικνύει τρόπους αποκατάστασης των τρωτών σημείων και ευπαθειών που εντοπίστηκαν. Κάποιες φορές τα ίδια τα εργαλεία συνοδεύονται από τα κατάλληλα patches που μπορούν να τρέξουν και να εφαρμόσουν οι διάφοροι συνδρομητές. Στις περισσότερες περιπτώσεις, τα αποτελέσματα μπορούν να διανεμηθούν στη συνέχεια σε εξειδικευμένες ομάδες ανάπτυξης για να εφαρμόσουν διορθώσεις, να απομακρύνουν τις πιο σοβαρές ευπάθειες αλλά και να αντιμετωπίσουν με το κατάλληλο τρόπο τις λιγότερο σοβαρές στη συνέχεια. Σε έναν ιδανικό κόσμο, αυτή η δραστηριότητα είναι συνεχιζόμενη, αφού προγραμματίζεται τακτικά, και είναι ενσωματωμένη στο SDLC (Software Development Life Cycle) κάθε οργανισμού. 

Αναφορές δοκιμών διείσδυσης που αναλύουν σε βάθος σε κάθε ευπάθεια 

Με τη δοκιμή διείσδυσης, δεν υπάρχει κάποια μακροσκελή δημόσια αναφορά, αν και κάποιοι καταγράφουν και δημοσιεύουν τις ενέργειές τους και τα ανώνυμα ευρήματα τους, αναρτούν σε blogs τα πειράματά τους ή επιχειρούν χάκινγκ σε συνέδρια. Αν ωστόσο προσλάβετε κάποιον για να πραγματοποιήσει δοκιμές διείσδυσης, οφείλει να σας ετοιμάσει και να σας παρουσιάσει μια αναφορά, αν και στις περισσότερες περιπτώσεις τέτοιες αναφορές επικεντρώνονται στη μέθοδο της επίθεσης ή στα exploits αλλά και ακριβώς ποια δεδομένα βρίσκονται σε κίνδυνο. Γενικά, επίσης, θα συνοδεύεται και από προτάσεις σχετικά με το τι μπορεί να κάνει κάποιος χάκερ σε αυτά ή με αυτά. Τα παραπάνω, θα βοηθήσουν τους αναλυτές επιχειρήσεων και τους μη τεχνικούς επαγγελματίες, που μπορεί να μην καταλαβαίνουν ή αντιλαμβάνονται όλη αυτή τη τεχνολογία που υπάρχει πίσω από τις δοκιμές τους είδους, να αντιληφθούν γρήγορα τον αντίκτυπο των επιχειρηματικών διαδικασιών.

Κάποιες φορές οι εκθέσεις περιλαμβάνουν επίσης συμβουλές αποκατάστασης. Ωστόσο, δεν ενσωματώνουν όλες οι δοκιμές διείσδυσης το λεγόμενο «exploitation των τρωτών σημείων» με τον τρόπο που το κάνει η λύση Netsparker. Μπορεί απλώς να αρκεί η επίδειξη ότι μία επίθεση μπορεί να είναι δυνατή. Σε ορισμένες περιπτώσεις, η αναφορά δοκιμής διείσδυσης μπορεί απλώς να αναφέρει θεωρητικές ευπάθειες επειδή οποιαδήποτε προσπάθεια «εκμετάλλευσης» θα μπορούσε να οδηγήσει σε μία καταστροφική άρνηση υπηρεσίας (DoS). Και τέλος, δεν υπάρχει αξιολόγηση των τρωτών σημείων ή των ευπαθειών, δεδομένου ότι ο στόχος είναι απλώς να γίνει ένα πράγμα, ή τουλάχιστον να καθοριστεί αν μπορεί να γίνει. 

Οι αξιολογήσεις ευπάθειας αποτελούν εργαλείο για τη διαρκή βελτίωση της ασφάλειας στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC).

Οι εκτιμήσεις ή αξιολογήσεις ευπάθειας αποτελούν έναν ιδιαίτερα συστηματοποιημένο τρόπο για να αποκτήσουν καθιερωμένες εταιρείες και οργανισμοί μια ολοκληρωμένη εικόνα για τη στάση τους στην ασφάλεια και κατόπιν να την διατηρήσουν και να την βελτιώνουν διαρκώς.

Όταν προστίθενται νέες συσκευές, θύρες, ιστότοποι, εφαρμογές ιστού ή υπηρεσίες, συμπεριλαμβάνονται στις συνήθεις σαρώσεις. Μια αξιολόγηση ευπάθειας είναι ένας πολύ καλός τρόπος για να εντοπίσετε και τελικά να διορθώσετε κοινές ευπάθειες στις εφαρμογές και στους διακομιστές σας. Οι περισσότεροι επαγγελματίες στον χώρο της ασφάλειας συστήνουν στις εταιρείες να προχωρούν σε αξιολογήσεις ευπάθειας τουλάχιστον ανά τρίμηνο.

Παρόλα αυτά, η Netsparker, δεδομένου ότι η λύση της επιτρέπει τον ορισμό προγραμματισμένων σαρώσεων, σας συστήνει να πραγματοποιείτε σαρώσεις συχνότερα.  Σε κάθε περίπτωση, θα πρέπει να διεξάγετε αξιολογήσεις ευπάθειας μετά από οποιαδήποτε σημαντική αλλαγή ή προσθήκη στις εφαρμογές ιστού ή στα web APIs.

Με το Netsparker, αν θέλετε, μπορείτε να εκτελέσετε σαρώσεις σε καθημερινή βάση, και περιλαμβάνει ειδοποιήσεις που σας εφιστούν την προσοχή σας σε τρωτά σημεία και ευπάθειες που θα ανακαλυφθούν. Στη συνέχεια, οι πόροι μπορούν να χρησιμοποιηθούν ταχέως για την αντιμετώπιση κρίσιμων και σημαντικών απειλών.

Οι δοκιμές διείσδυσης αποκαλύπτουν «εύθραυστες ρωγμές» στην αρχιτεκτονική ασφαλείας σας

Από την ώρα που οι δοκιμές διείσδυσης είναι τόσο συγκεκριμένες, είναι ιδανικές για περιβάλλοντα όπου η ασφάλεια Ιστού καθώς και του δικτύου ενός οργανισμού θεωρείται ότι είναι ήδη αρκετά ισχυρή. Οι οργανισμοί μπορούν να ζητήσουν από έναν ελεγκτή να επιχειρήσει να κάνει κάτι συγκεκριμένο, όπως να επιχειρήσει να αποκτήσει πρόσβαση σε μια βάση δεδομένων τραπεζικών συναλλαγών ή τραπεζικών στοιχείων ή προσπαθήσει να τροποποιήσει ή να διαγράψει τον φάκελο κάποιου χρήστη (δεδομένα κ.λπ). Σκοπός είναι να μειωθεί η έκθεση σε συγκεκριμένους κινδύνους.

Οι δοκιμαστές διείσδυσης ελέγχουν για αδύναμα σημεία στην αρχιτεκτονική. Ενώ οι αξιολογήσεις ευπαθειών ή τρωτών σημείων αντιμετωπίζουν ως επί το πλείστον τα κενά ασφαλείας στο λογισμικό, οι δοκιμαστές διείσδυσης συχνά χρησιμοποιούν τεχνικές phishing ή κοινωνικής μηχανικής αλλά και άλλες τεχνικές για να επιτύχουν το στόχο τους. Ως εκ τούτου, μπορούν να παρέχουν μια σαφέστερη και ακριβέστερη απεικόνιση ή εκτίμηση του επιπέδου ασφαλείας μίας εταιρείας. Λειτουργούν ακριβώς όπως οι κακόβουλοι χάκερ, αλλά χωρίς να προκαλούν καταστροφικές απώλειες ή αλλοίωση δεδομένων, φυσικά! Για παράδειγμα, ένας δοκιμαστής διείσδυσης μπορεί να προσπαθήσει να δημιουργήσει μια σύνδεση με έναν απομακρυσμένο διακομιστή χωρίς να εντοπιστεί, προκειμένου να απομακρύνει ευαίσθητα δεδομένα από ένα σύστημα. Είναι ένας χρήσιμος τρόπος για να αποδειχτεί ότι υπάρχουν πιθανότητες για κάποιους επιτιθέμενους να επιτύχουν τους κακόβουλους σκοπούς τους. Φαινομενικά, όμως, ένας δοκιμαστής διείσδυσης θα προχωρούσε στη διεξαγωγή μίας ατελείωτης σειράς από απόπειρες χάκινγκ.

Συστήνεται οι δοκιμές διείσδυσης να διεξάγονται τουλάχιστον μία φορά το χρόνο. 

Ποια σενάρια μπορούν να βοηθήσουν στην επιλογή της σωστής προσέγγισης; 

Τόσο οι αξιολογήσεις ευπάθειας όσο και οι δοκιμές διείσδυσης πρέπει να πραγματοποιούνται ενάντια σε συσκευές δικτύου και ενάντια σε εσωτερικούς και εξωτερικούς διακομιστές. Είναι σημαντικό να καθοριστεί αν μια επίθεση μπορεί να γίνει από το εξωτερικό (για παράδειγμα, από έναν κακόβουλο εισβολέα που στοχεύει σε διαθέσιμες στο κοινό επιφάνειες στόχων στο διαδίκτυο) ή από το εσωτερικό (για παράδειγμα, από έναν δυσαρεστημένο υπάλληλο ή παλιό συνεργάτη, κάποιον χρήστη με δικαιώματα που δεν θα έπρεπε να έχει ή από κάποιον υπολογιστή που έχει μολυνθεί στο εσωτερικό δίκτυο). 

Οι αξιολογήσεις ευπάθειας βοηθούν τις επιχειρήσεις να είναι συνεπείς με τη συμμόρφωση τους σε πρότυπα 

Μερικές φορές οι εταιρείες και οργανισμοί πρέπει να εργάζονται εντός συγκεκριμένων παραμέτρων: έχουν PCI DSS ή άλλες μορφές συμμόρφωσης που οφείλουν να τηρούν και θέλουν να ελέγξουν αν η υφιστάμενη αρχιτεκτονική τους, και τα συστήματα και οι συσκευές τους είναι σε θέση να περάσουν τη δοκιμή. Μπορεί να θέλουν να εκτελέσουν μια σάρωση θυρών ή να ελέγξουν τα πάντα στη λίστα Top 10 του OWASP. Σε τέτοια σενάρια, μια αξιολόγηση ευπάθειας θα δώσει μια πιο ρεαλιστική και συστηματική προσέγγιση. Ακόμα και μια πολύ μεγάλη ομάδα προγραμματιστών δεν θα μπορούσε να φέρει εις πέρας τέτοιες δοκιμές. 

Οι δοκιμές διείσδυσης βοηθούν όλους τους οργανισμούς να μένουν μπροστά από τους χάκερς 

Οι δοκιμές διείσδυσης βοηθούν επίσης στην ασφάλεια αλλά υπό διαφορετική γωνία. Οι δοκιμαστές (εκείνοι που θα πραγματοποιήσουν τις δοκιμές διείσδυσης) θα αποκαλύψουν τους κινδύνους ασφαλείας με τον ίδιο τρόπο που το κάνουν οι χάκερ – πραγματοποιώντας επιθέσεις έχοντας στο νου τους μόνο ένα σκοπό, να αποκτήσουν πρόσβαση σε συγκεκριμένα δεδομένα ή να αλλάξουν κάτι στον ιστότοπο ενός οργανισμού, για παράδειγμα. Οι δοκιμαστές διείσδυσης είναι καλύτερο να «προσλαμβάνονται» με ανοιχτό μυαλό, αφήνοντάς τους ελεύθερους να διεξάγουν τόσο τις επιδιωκόμενες επιθέσεις όσο και οτιδήποτε άλλο που πέσει στην αντίληψη τους, αναλόγως βεβαίως και της επαγγελματικής τους πείρας. 

Τι γίνεται με τους «δοκιμαστές»; 

Ένα από τα πιο σημαντικά ερωτήματα που πρέπει να θέσετε, για να αποφύγετε τη σύγχυση μεταξύ της αξιολόγησης ευπάθειας και της δοκιμής διείσδυσης είναι: Ποιος διεξάγει τη δοκιμή; 

Οι επαγγελματίες ασφάλειας πληροφοριών δημιουργούν εσωτερικές διαδικασίες για συνεχή βελτίωση 

Σε αντίθεση με ορισμένα άρθρα σχετικά με το θέμα, οι δοκιμές ευπάθειας δεν είναι μια πλήρως αυτοματοποιημένη διαδικασία, με την έννοια ότι το μόνο που θα χρειαστεί είναι να πατήσετε ένα κουμπί. Το άτομο που διαχειρίζεται συχνές, αυτοματοποιημένες αξιολογήσεις ευπάθειας θα πρέπει να εξειδικεύεται εξίσου και να έχει εμπειρία και στις διαδικασίες ασφάλειας πληροφοριών. Οφείλει να γνωρίζει ποια περιβάλλοντα και ποιες επιφάνειες επίθεσης πρέπει να αξιολογήσει καθώς και πάνω σε τι να τα αξιολογήσει, καθώς ακόμα και οι αυτοματοποιημένοι σαρωτές ασφαλείας απαιτούν εξίσου κάποια διαμόρφωση ή ρύθμιση. Επιπλέον, πρέπει να είναι σε θέση να ερμηνεύει τις όποιες αναφορές προκύπτουν αλλά και να διατυπώνει συστάσεις σχετικά με το τι πρέπει να γίνει στη συνέχεια. 

Οι εσωτερικοί επαγγελματίες ασφαλείας που είναι υπεύθυνοι για την αξιολόγηση ευπαθειών αποτελούν πρόσθετη αξία για την στάση ασφαλείας που κρατούν εταιρείες και οργανισμοί. Κατά πρώτο λόγο είναι σε θέση να ορίσουν τις βασικές γραμμές. Επιπλέον, το πιθανότερο είναι να θελήσουν να καθιερώσουν κάποια συστήματα, όπως κάποιο χρονοδιάγραμμα αξιολόγησης και αναφορών.

Συμβάλουν στην ευαισθητοποίηση των εργαζομένων εντός της εταιρείας, και παράλληλα ευνοούν την διαρκή μείωση των κινδύνων ασφαλείας. Εν τω μεταξύ, είναι σχεδόν σίγουρο πως θα επεκτείνουν τις δικές τους γνώσεις και δεξιότητες. Και αναμφισβήτητα είναι πολύ πιο πιθανό να αισθάνονται πιστοί στην εταιρεία που εργάζονται ήδη. 

Οι δοκιμαστές διείσδυσης λένε τα πράγματα με το όνομα τους 

Όσοι επιχειρούν δοκιμές διεισδύσεις θα πρέπει επίσης να είναι έμπειροι επαγγελματίες και να έχουν αυτοπεποίθηση για τις ικανότητές και τις δεξιότητές τους.

Οι περισσότεροι επαγγελματίες στον τομέα, συστήνουν οι δοκιμαστές διείσδυσης να είναι ανεξάρτητοι, εξωτερικοί επαγγελματίες. Πρέπει να διατηρούν αρκετή απόσταση από την εταιρεία ή τα συστήματα σας, ώστε να μην παρεμποδίζονται ή επηρεάζονται από ανησυχίες σχετικά με την προσωπική τους οικονομική ασφάλεια, την πίστη τους ή την πολιτική της εταιρείας. Και αυτό τους δίνει τη δυνατότητα έχοντας το ελεύθερο να πουν την γνώμη τους ανεπηρέαστα, και να στην ουσία να πουν τα πράγματα με το όνομα τους σχετικά με την κατάστασή της εταιρείας σας στον τομέα της ασφάλειας, όσο και αν αυτό πονάει. 

Και ποιο είναι το κόστος; 

Το κόστος των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης εξαρτάται στην ουσία από το μέγεθος της επιχείρησης (από την επιφάνεια επίθεσης επομένως κ.λπ). Για τις μικρές εταιρείες, η τιμή θα είναι σημαντικά χαμηλότερη από ό, τι είναι για μια μεγάλη εταιρία με χιλιάδες δυνητικά ευάλωτες συσκευές και υπολογιστές, IPs και παρόχους Internet. 

Ανεξάρτητα από το κόστος, οι εκτιμήσεις ευπαθειών ή τρωτότητας συνεισφέρουν στην καλύτερη απόδοση της επένδυσής σας. Ενώ μια δοκιμή διείσδυσης μπορεί να προσφέρει μία αρκετά καλή και βαθιά εικόνα για το πόσο ασφαλή είναι τα συστήματά σας, στην πραγματικότητα αποκαλύπτει μόνο ένα πράγμα και προς μία κατεύθυνση. Από την άλλη, με τις αξιολογήσεις ευπαθειών και επενδύοντας σε χρόνο και πόρους στην ανάπτυξη συστημάτων και διαδικασιών θα έχετε ένα σταθερό επίπεδο ασφάλειας πάνω στο οποίο θα αναπτυχθούν περαιτέρω τα συστήματά σας και θα ενσωματωθούν νέα εξαρτήματα. 

Επομένως ποια προσέγγιση επιλέγουμε; 

Με λίγα λόγια, κάνετε και τα δύο! Και οι δύο προσεγγίσεις έχουν την ικανότητα να αποκαλύψουν κενά ασφαλείας που εκθέτουν τα συστήματα σας και την ασφάλειά σας και μπορούν να εντοπίσουν άλλες λιγότερο προφανείς ευπάθειες, πολλές από τις οποίες δεν θα αναζητούσατε καν. Ένα πράγμα είναι σίγουρο, αν δεν πραγματοποιείτε σαρώσεις και δοκιμές, κάποια στιγμή θα βρεθείτε αντιμέτωποι με την απώλεια δεδομένων. Το ερώτημα λοιπόν είναι το πότε. Είτε πρόκειται για γνωστό θέμα ευπάθειας το οποίο δεν έχετε αντιμετωπίσει ή κάποιο κενό ασφαλείας που δεν έχετε φροντίσει να κλείσει, είτε το αποτέλεσμα ενός χάκερ που βαριόταν ένα απόγευμα Κυριακής (ναι, και θα είστε τυχεροί αν δεν είναι κακόβουλος), το αποτέλεσμα είναι το ίδιο.

Η ώριμη και προληπτική προσέγγιση είναι να καθιερώσετε τις δοκιμές ευπάθειας και τη σάρωση στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC) και επιπλέον να χρησιμοποιήσετε μερικούς ασυνήθιστους τύπους για να κάνετε ό, τι μπορεί και ένας χάκερ, αλλά με… φιλικούς όρους (προσλαμβάνοντας έναν αξιόπιστο δοκιμαστή). Στη συνέχεια, μπορείτε να διαβάσετε όλες τις αναφορές και τα αποτελέσματα, να εξετάσετε τις συστάσεις που έγιναν και να λάβετε έξυπνες αποφάσεις σχετικά με το πώς θα διατηρήσετε τη στάση ασφαλείας του οργανισμού σας όσα βήματα πιο μπροστά γίνεται από τους κακούς.

Πηγή NSS

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Πηγή

Advertisements

Η διόρθωση κενών ασφαλείας κάνει πιο αργούς τους υπολογιστές

H Microsoft έκανε γνωστό ότι οι αναβαθμίσεις λογισμικού που αποσκοπούν στο κλείσιμο των κενών ασφαλείας, τα οποία ανακαλύφθηκαν στις 3 Ιανουαρίου, σχεδόν σε όλους τους κεντρικούς επεξεργαστές, έχουν ως αποτέλεσμα να γίνονται πιο αργοί μερικοί υπολογιστές, τόσο προσωπικοί (PCs) όσο και εξυπηρετητές (servers).

Τα συστήματα που χρησιμοποιούν παλαιότερα τσιπ της Intel, εμφανίζουν αισθητή επιβράδυνση και μείωση της απόδοσής τους, αναφέρεται σε σχετικές δηλώσεις σε ιστολόγιο της Microsoft, σύμφωνα με το πρακτορείο Ρόιτερς. Είναι προφανές ότι ένα «φρένο» στη λειτουργία των υπολογιστών τους είναι το τελευταίο πράγμα που θέλει να δει ένας χρήστης, πολύ περισσότερο ένα μεγάλο κέντρο δεδομένων που χρησιμοποιεί πολλούς υπολογιστές.

Από την πλευρά της, η Intel αρνείται ότι τα τσιπάκια της μπορούν να επηρεασθούν αρνητικά μετά το «μπάλωμα» των κενών ασφαλείας. Όπως δήλωσε προ ημερών, ένας τυπικός οικιακός ή επιχειρηματικός χρήστης δεν θα διαπιστώσει σημαντική καθυστέρηση στις συνήθεις εργασίες του, όπως το γράψιμο κειμένου, η ανάγνωση ηλεκτρονικού ταχυδρομείου ή η πρόσβαση σε ψηφιακές φωτογραφίες.

Επιπλέον, σύμφωνα με τη Microsoft, η κατάσταση φαίνεται να είναι ακόμη χειρότερη με ορισμένους παλαιότερους επεξεργαστές της Advanced Micro Devices (AMD), ανταγωνίστριας της Intel, καθώς οι αναβαθμίσεις ασφαλείας οδήγησαν σε πλήρες «πάγωμα» μερικούς υπολογιστές με τέτοια τσιπάκια. Γι’ αυτό, η Microsoft γνωστοποίησε ότι σταματά προσωρινά την αναβάθμιση λογισμικού για ορισμένους επεξεργαστές της AMD, προκειμένου να αποφευχθεί η ολοκληρωτική κατάρρευση του υπολογιστή.

Η Microsoft έχει αρχίσει να κυκλοφορεί αναβαθμίσεις ασφαλείας για τις συσκευές με το λειτουργικό σύστημα Windows, εξαιρώντας πλέον αυτές με ορισμένα τσιπ της AMD. Η απόφαση αυτή θα καθυστερήσει την προστασία των υπολογιστών με τσιπ της AMD από πιθανές μελλοντικές επιθέσεις από χάκερ που θα θελήσουν να εκμεταλλευθούν τα διάσημα πλέον κενά ασφαλείας Meltdown και Spectre.

Αυτό είχε ως συνέπεια να εμφανίσουν πτώση οι μετοχές της AMD στο αμερικανικό χρηματιστήριο, όπως νωρίτερα είχε συμβεί και με τις μετοχές της Intel. Πριν όμως γίνει γνωστό το πρόβλημα της Microsoft με τα τσιπ της AMD, οι μετοχές της τελευταίας είχαν ανέβει έως κατά 20%, καθώς οι επενδυτές αισιοδοξούσαν ότι η AMD θα επωφεληθεί σε βάρος της Intel, της οποίας οι επεξεργαστές είχαν φανεί ότι επηρεάζονται περισσότερο.

Η Microsoft ανακοίνωσε ότι συνεργάζεται με την AMD για να βρεθεί λύση στο πρόβλημα, ώστε η κάλυψη των κενών ασφαλείας να συμπεριλάβει και όλους τους επεξεργαστές της τελευταίας.

Το πρόβλημα αφορά και τα τσιπ της ARM, που ανήκει στην ιαπωνική SoftBank. Η ARM εκτίμησε ότι περίπου το 5% των περισσοτέρων από 120 δισεκατομμυρίων τσιπ που η ίδια και οι συνεργάτες της έχουν πουλήσει από το 1991, επηρεάζονται από το Spectre, ενώ πολύ μικρότερος είναι ο αριθμός των τσιπ της που είναι ευάλωτα στο Meltdown. Η Intel και η AMD δεν έχουν αποκαλύψει μέχρι σήμερα τον εκτιμώμενο αριθμό των δικών τους τσιπ παγκοσμίως που επηρεάζονται.

Η Cisco Systems έκανε γνωστό ότι, από την πλευρά της, εντόπισε 18 προϊόντα της (servers, routers κ.α.) που είναι ευάλωτα στα δύο κενά ασφαλείας και διαβεβαίωσε ότι θα έχει ετοιμάσει τις αναγκαίες διορθώσεις ασφαλείας έως τις 18 Φεβρουαρίου.

Τη Δευτέρα η Apple κυκλοφόρησε μια αναβαθμισμένη έκδοση του λειτουργικού συστήματός της για να διορθώσει το πρόβλημα.

Πηγή

50 παραβιάσεις κωδικών πρόσβασης την ώρα

Οι ερευνητές της Kaspersky Lab εξέτασαν τα δημοσίως διαθέσιμα εργαλεία hardware και λογισμικού για κρυφή υποκλοπή κωδικών πρόσβασης και ανακάλυψαν ότι ένα ισχυρό εργαλείο hacking μπορεί να δημιουργηθεί με μόλις 20$ και λίγες ώρες δουλειάς από κάποιον που διαθέτει βασικές γνώσεις προγραμματισμού. Σε ένα πείραμα που πραγματοποίησαν χρησιμοποίησαν μία USB συσκευή που βασίζεται σε ένα αυτοσχέδιο Raspberry Pi, ρυθμισμένο με συγκεκριμένο τρόπο και μάλιστα χωρίς να έχει εγκατεστημένο κάποιο κακόβουλο λογισμικό. Οπλισμένοι με αυτήν τη συσκευή, ήταν σε θέση να συλλέγουν κρυφά δεδομένα που σχετίζονται με την ταυτοποίηση των χρηστών από ένα εταιρικό δίκτυο, με ρυθμό 50 παραβιάσεων κωδικών πρόσβασης την ώρα.

Προκειμένου να προστατεύσετε τον υπολογιστή ή το δίκτυό σας από επιθέσεις με τη βοήθεια παρόμοιων DIY συσκευών, οι ειδικοί ασφαλείας της Kaspersky Lab συμβουλεύουν τα παρακάτω:

Για τακτικούς χρήστες:

–    Όταν επιστρέφετε στον υπολογιστή σας, ελέγξτε αν υπάρχουν επιπλέον συσκευές USB που εξέχουν από τις θύρες σας.
–   Αποφύγετε την αποδοχή flash drives από μη αξιόπιστες πηγές. Αυτή η μονάδα θα μπορούσε στην πραγματικότητα να είναι ένας υποκλοπέας κωδικού πρόσβασης.
–   Αποκτήστε τη συνήθεια να τερματίζετε τις συνεδρίες σε ιστότοπους που απαιτούν έλεγχο ταυτότητας. Συνήθως, αυτό σημαίνει να κάνετε κλικ σε ένα κουμπί «αποσύνδεσης».
–    Να αλλάζετε τους κωδικούς πρόσβασης τακτικά – τόσο στον υπολογιστή σας, όσο και στις ιστοσελίδες που χρησιμοποιείτε συχνά. Θυμηθείτε ότι δεν χρησιμοποιούν όλες οι αγαπημένες σας ιστοσελίδες μηχανισμούς προστασίας από την αντικατάσταση δεδομένων cookie (cookie data substitution). Μπορείτε να χρησιμοποιήσετε εξειδικευμένο λογισμικό διαχείρισης κωδικών πρόσβασης για την εύκολη διαχείριση ισχυρών και ασφαλών κωδικών πρόσβασης, όπως το δωρεάν εργαλείο Kaspersky Password Manager.
–    Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων ζητώντας, για παράδειγμα, επιβεβαίωση σύνδεσης ή χρήση ενός διακριτικού υλικού hardware.
–   Να εγκαταστήσετε και να ενημερώνετε τακτικά μια λύση ασφαλείας από έναν αποδεδειγμένο και αξιόπιστο προμηθευτή.

Για τους διαχειριστές συστημάτων

–   Αν το επιτρέπει η τοπολογία του δικτύου, προτείνουμε να χρησιμοποιείτε αποκλειστικά πρωτόκολλο Kerberos για τον έλεγχο ταυτότητας των χρηστών του domain.
–  Περιορίστε τους χρήστες με προνόμια στο domain από τη σύνδεση στα συστήματα παλαιού τύπου, ειδικά οι διαχειριστές τομέα.
–  Οι κωδικοί πρόσβασης των domain users πρέπει να αλλάζονται τακτικά. Εάν, για οποιονδήποτε λόγο, η πολιτική του οργανισμού δεν συνεπάγεται τακτικές αλλαγές κωδικού πρόσβασης, φροντίστε να αλλάξετε αυτήν την πολιτική.
–    Όλοι οι υπολογιστές εντός ενός εταιρικού δικτύου πρέπει να προστατεύονται με λύσεις ασφάλειας και πρέπει να εξασφαλίζονται τακτικές ενημερώσεις.
–    Για να αποφευχθεί η σύνδεση μη εξουσιοδοτημένων συσκευών USB, μπορεί να είναι χρήσιμη μια λειτουργία ελέγχου συσκευής, όπως αυτή που είναι διαθέσιμη στη σουίτα Kaspersky Endpoint Security for Business.
–    Εάν είστε ιδιοκτήτης της διαδικτυακής πηγής, σας συνιστούμε να ενεργοποιήσετε το HSTS (αυστηρή ασφάλεια μεταφοράς HTTP), το οποίο εμποδίζει την εναλλαγή από το HTTPS σε πρωτόκολλο HTTP και την πλαστογράφηση των στοιχείων σύνδεσης από ένα κλεμμένο cookie.
–    Αν είναι δυνατόν, απενεργοποιήστε τη λειτουργία ακρόασης και ενεργοποιήστε τη ρύθμιση απομόνωσης Client (AP) σε Wi-Fi routers και switches, απενεργοποιώντας τους από την ακρόαση της κίνησης σε άλλους σταθμούς εργασίας.
–  Ενεργοποιήστε τη ρύθμιση DHCP Snooping για να προστατεύσετε τους χρήστες των εταιρικών δικτύων από τη λήψη αιτημάτων DHCP από πλαστούς DHCP server.

Πηγή

Νέοι κανόνες για την ασφάλεια δικτύων και πληροφοριών στην Ε.Ε.

Τους νέους κανόνες για την αναβάθμιση της ασφάλειας δικτύων και πληροφοριών σε ολόκληρη την Ε.Ε. εξέδωσε – και τυπικά – το Συμβούλιο της Ευρώπης. Πρόκειται για τη νέα Οδηγία, που αναμένεται να ενισχύσει την ασφάλεια δικτύων και πληροφοριών, αυξάνοντας τη συνεργασία μεταξύ των κρατών – μελών, όσον αφορά το ζωτικό θέμα της ασφάλειας στον κυβερνοχώρο.

Η θέση του Συμβουλίου για την Οδηγία εγκρίθηκε σε πρώτη ανάγνωση την περασμένη εβδομάδα, επιβεβαιώνοντας τη συμφωνία του Δεκεμβρίου του 2015 με το Ευρωπαϊκό Κοινοβούλιο. Για να ολοκληρωθεί η διαδικασία, απομένει να εγκριθεί η νομική πράξη από το Ευρωπαϊκό Κοινοβούλιο σε δεύτερη ανάγνωση. Η νέα Οδηγία αναμένεται να τεθεί σε ισχύ τον Αύγουστο του 2016.

Η νέα Οδηγία θεσπίζει υποχρεώσεις ασφαλείας για τους φορείς εκμετάλλευσης βασικών υπηρεσιών σε τομείς ζωτικής σημασίας, όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες. Η ίδια Οδηγία θέτει τον πήχη των υποχρεώσεων ασφαλείας και για τους παρόχους ψηφιακών υπηρεσιών (τις διαδικτυακές αγορές, τις μηχανές αναζήτησης και τις υπηρεσίες Cloud).

Με την εφαρμογή του νέου πλαισίου, κάθε χώρα – μέλος της Ε.Ε. θα κληθεί να ορίσει μία ή περισσότερες εθνικές Αρχές και να καταρτίσει στρατηγική για την αντιμετώπιση των απειλών στον κυβερνοχώρο.

Σύμφωνα με τον υφιστάμενο σχεδιασμό, η ολλανδική Προεδρία από κοινού με τον Οργανισμό της Ε.Ε. για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), έχει ήδη αρχίσει την προετοιμασία της εφαρμογής της Οδηγίας. Μια πρώτη άτυπη συνεδρίαση του δικτύου εθνικών ομάδων παρέμβασης σε συμβάντα ασφαλείας υπολογιστών (ομάδες CSIRT) που συστήθηκε δυνάμει της Οδηγίας, πραγματοποιήθηκε στις 5 Απριλίου στη Χάγη, ενώ ακολούθησε και δεύτερη συνεδρίαση στις 10 Μαΐου στη Ρίγα.

Το Συμβούλιο
Η Οδηγία για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ) αποτελεί σημαντικό στοιχείο της ευρωπαϊκής στρατηγικής για την ασφάλεια στον κυβερνοχώρο. Μεταξύ άλλων, απαιτεί από όλα τα κράτη – μέλη της Ε.Ε., τις βασικές εταιρείες του Διαδικτύου και τους φορείς υποδομής, όπως πλατφόρμες ηλεκτρονικού εμπορίου, κοινωνικά δίκτυα και υπηρεσίες μεταφορών, τραπεζικών συναλλαγών και υγείας, να εξασφαλίσουν ένα αξιόπιστο ψηφιακό περιβάλλον σε όλη την Ε.Ε.

Στόχος της οδηγίας είναι να δημιουργηθούν ισότιμοι όροι ανταγωνισμού με τη θέσπιση εναρμονισμένων κανόνων, που θα ισχύουν σε όλες τις χώρες της Ε.Ε. Μεταξύ των προτεινόμενων μέτρων, περιλαμβάνονται η απαίτηση, προς τα κράτη – μέλη να υιοθετήσουν στρατηγική ΑΔΠ και να ορίσουν εθνική αρχή ΑΔΠ, με επαρκείς πόρους για την πρόληψη, το χειρισμό και την αντιμετώπιση κινδύνων και περιστατικών ΑΔΠ.

Επίσης, προβλέπεται η δημιουργία ενός μηχανισμού συνεργασίας μεταξύ των κρατών – μελών και της Επιτροπής, με σκοπό την διάδοση έγκαιρων προειδοποιήσεων σχετικά με κινδύνους και περιστατικά, την ανταλλαγή πληροφοριών και την αντιμετώπιση απειλών και περιστατικών ΑΔΠ.

Επίσης, η Οδηγία εισάγει την απαίτηση για ορισμένες εταιρείες και υπηρεσίες ψηφιακής τεχνολογίας να θεσπίσουν πρακτικές διαχείρισης κινδύνων και να αναφέρουν τα σημαντικότερα περιστατικά ασφαλείας στην αρμόδια εθνική Αρχή.

Η υποχρέωση αναφοράς περιστατικών ασφαλείας έχει ως στόχο να συμβάλει στην ανάπτυξη κλίματος διαχείρισης κινδύνων και να εξασφαλίσει την ανταλλαγή πληροφοριών μεταξύ του ιδιωτικού και του δημόσιου τομέα.

Πηγή

84 % των εταιριών θα καταστρεφόταν σε περίπτωση μόλυνσης από ransomware

Πάνω από το ένα τρίτο των εταιριών στο Ηνωμένο Βασίλειο έχει υπάρξει θύμα απαγωγής για λύτρα από χάκερ ή γνωρίζει κάποια εταιρία που το δίκτυο της έχει μολυνθεί από ransomware, αποκαλύπτει νέα έρευνα της ESET.

Η έρευνα, που πραγματοποιήθηκε στο Infosecurity Europe τον Ιούνιο του 2015 σε δείγμα 200 επαγγελματιών του χώρου της ασφάλειας IT, αποκάλυψε επίσης ότι το 84 τοις εκατό των ερωτηθέντων πιστεύει ότι η εταιρία τους θα πληγεί σοβαρά σε περίπτωση μόλυνσης από ransomware. Ωστόσο, το 31 τοις εκατό των ερωτηθέντων παραδέχθηκε ότι αν είχαν μολυνθεί από ransomware δεν θα είχαν άλλη επιλογή από το να πληρώσουν τα λύτρα, διότι, εναλλακτικά, θα έχαναν όλα τα δεδομένα στον υπολογιστή τους.

O Mark James, Ειδικός σε θέματα ασφαλείας της ESET, σχολιάζοντας τα ευρήματα της έρευνας, σημειώνει: «Το ransomware αποτελεί ένα από τα πιο τρομακτικά είδη malware λόγω της καταστροφικής δύναμής του. Τα αποτελέσματα της έρευνας είναι πολύ ανησυχητικά, καθώς φαίνεται ότι οι επαγγελματίες της ασφάλειας εξακολουθούν να μην καταλαβαίνουν πώς να διαχειριστούν σωστά το ransomware. Το μεγαλύτερο πρόβλημα σε όλες τις μολύνσεις ransomware είναι η απόφαση για το πώς θα αντιμετωπίσουμε την επίθεση. Οι επιλογές μας είναι περιορισμένες: είτε πληρώνουμε τα λύτρα, το οποίο σίγουρα δεν συνιστάται, ή προχωρούμε σε επαναφορά από backup, ωστόσο, ανάλογα με το πόσο συχνά πραγματοποιείται back up των αρχείων, αυτό μπορεί να σημαίνει και απώλεια πολλών δεδομένων.»

Το ransomware μπορεί να συγκαταλεχθεί μεταξύ των πιο τρομακτικών μορφών εισβολής ενός υπολογιστή. Η επίθεση περιλαμβάνει την αντικατάσταση της οθόνη του υπολογιστή από ένα μήνυμα που φαίνεται να έχει σταλθεί από την αστυνομία, απαιτώντας χρήματα, ή ένα μήνυμα που λέει ότι τα αρχεία έχουν χαθεί, εκτός αν καταβληθούν λύτρα οπότε θα ξεκλειδωθούν. Τον τελευταίο χρόνο οι εγκληματίες του κυβερνοχώρου έχουν αναπτύξει μια σειρά από νέες παραλλαγές ransomware που έχουν επιτρέψει σε χάκερ να κρυπτογραφήσουν τα δεδομένα των θυμάτων τους, γεγονός που έχει αναγκάσει περισσότερους ανθρώπους να πληρώσουν τα λύτρα.

«Αν πέσετε θύμα μόλυνσης και όλα τα αρχεία σας είναι κρυπτογραφημένα  τότε έχετε μόνο μία επιλογή, θα πρέπει να προχωρήσετε σε αποκατάσταση από το backup. Με το τεράστιο όγκο των λύσεων που διατίθενται σήμερα το backup είναι πραγματικά πολύ φθηνό και μπορεί κυριολεκτικά να σώσει την επιχείρησή σας. Κάθε εταιρεία που πληρώνει τα λύτρα χρηματοδοτεί εγκληματίες, και εφόσον για τους χάκερ το ransomware αποδεικνύεται κερδοφόρο, θα καταβάλουν μεγαλύτερη προσπάθεια να δημιουργούν ακόμη πιο εξελιγμένες παραλλαγές, που θα είναι όλο και πιο δύσκολο να καταπολεμηθούν», ολοκληρώνει ο James.

Πηγή

Τα 5 πρώτα «θύματα» του Stuxnet για το σαμποτάζ του ιρανικού πυρηνικού προγράμματος

Πάνω από τέσσερα χρόνια έχουν περάσει από την ανακάλυψη του worm Stuxnet, ενός από τα πιο εξελιγμένα και επικίνδυνα κακόβουλα προγράμματα, που θεωρείται ότι ήταν και το πρώτο ψηφιακό όπλο. Ωστόσο, υπάρχουν ακόμη αρκετά μυστήρια γύρω από αυτήν την ιστορία. Ένα σημαντικό ερώτημα είναι ποιοι ήταν ακριβώς οι στόχοι της συνολικής δράσης του Stuxnet. Πλέον, έπειτα από την ανάλυση περισσότερων από 2.000 αρχείων του Stuxnet, τα οποία συγκεντρώθηκαν μέσα σε περίοδο δύο ετών, οι ερευνητές της Kaspersky Lab μπορούν να προσδιορίσουν τα πρώτα θύματα του worm.

Αρχικά, οι ερευνητές δεν είχαν καμία αμφιβολία ότι στο σύνολό της, η επίθεση ήταν στοχευμένη. Ο κώδικας του worm Stuxnet έμοιαζε επαγγελματικός και αποκλειστικός. Υπήρχαν αποδεικτικά στοιχεία ότι είχαν χρησιμοποιηθεί εξαιρετικά ακριβές ευπάθειες zero-day. Παρόλα αυτά, δεν ήταν ακόμη γνωστό τι είδους οργανισμοί είχαν δεχτεί αρχικά επιθέσεις και με ποιο τρόπο το κακόβουλο λογισμικό τελικά κατάφερε να πραγματοποιήσει το στόχο του, καταλήγοντας στις συσκευές φυγοκέντρησης για τον εμπλουτισμό ουρανίου σε συγκεκριμένες, απόρρητες εγκαταστάσεις.

Η νέα ανάλυση ρίχνει φως στα παραπάνω ερωτήματα. Οι πέντε οργανισμοί που δέχτηκαν αρχικά επίθεση δραστηριοποιούνται στον τομέα των βιομηχανικών συστημάτων ελέγχου (ICS) στο Ιράν, είτε κατασκευάζοντας τέτοια συστήματα είτε προμηθεύοντας υλικά και εξαρτήματα για την ανάπτυξή τους. Ο πέμπτος οργανισμός που δέχτηκε επίθεση έχει και το μεγαλύτερο ενδιαφέρον, επειδή παράγει – πέρα από προϊόντα βιομηχανικών αυτοματισμών – συσκευές φυγοκέντρησης για τον εμπλουτισμό ουρανίου. Ο εξοπλισμός αυτού του είδους θεωρείται ότι ο κύριος στόχος του Stuxnet.

Προφανώς, οι επιτιθέμενοι περίμεναν ότι οι οργανισμοί αυτοί θα ανταλλάσσουν δεδομένα με τους πελάτες τους, όπως οι μονάδες εμπλουτισμού ουράνιου, γεγονός που θα τους επέτρεπε στο κακόβουλο λογισμικό να εισέλθει στις εγκαταστάσεις-στόχους. Το αποτέλεσμα δείχνει ότι το σχέδιό τους ήταν πράγματι επιτυχημένο.

«Η ανάλυση των επαγγελματικών δραστηριοτήτων των πρώτων οργανισμών που έπεσαν θύματα του Stuxnet μας επιτρέπει να κατανοήσουμε καλύτερα τον τρόπο που είχε σχεδιαστεί η εκστρατεία στο σύνολο της. Πρόκειται για ένα παράδειγμα ενός φορέα επίθεσης ενάντια σε μια εφοδιαστική αλυσίδα, όπου το κακόβουλο λογισμικό μεταδίδεται στους οργανισμούς-στόχους έμμεσα, μέσα από τα δίκτυα των συνεργατών του οργανισμού», δήλωσε ο Alexander Gostev, Chief Security Expert στην Kaspersky Lab.

Οι ειδικοί της Kaspersky Lab έκαναν, όμως, και μία ακόμα ενδιαφέρουσα ανακάλυψη. Το Stuxnet δεν μεταδόθηκε μόνο μέσα από «μολυσμένα» USB sticks που συνδέονταν σε PC. Αυτή ήταν η αρχική θεωρία και εξηγούσε τον τρόπο με τον οποίο το malware μπορούσε να εισχωρήσει κρυφά σε μία θέση χωρίς άμεση σύνδεση στο Internet. Ωστόσο, τα δεδομένα που συγκεντρώθηκαν κατά τη διάρκεια της ανάλυσης της πρώτης επίθεσης έδειξαν ότι το δείγμα του πρώτου worm (Stuxnet.a) είχε δημιουργηθεί μόλις λίγες ώρες πριν εμφανιστεί σ’ ένα PC στον πρώτο οργανισμό που δέχτηκε επίθεση. Με δεδομένο αυτό το αυστηρό χρονοδιάγραμμα, είναι δύσκολο να φανταστούμε ότι κάποιος επιτιθέμενος συνέθεσε το δείγμα, το έβαλε σε ένα USB stick και το μετέφερε στο στοχοποιημένο οργανισμό μέσα σε λίγες ώρες. Είναι λογικό να υποθέσουμε ότι σε αυτή την περίπτωση, αυτοί που ήταν πίσω από το Stuxnet χρησιμοποίησαν διαφορετικές τεχνικές, πέρα από τη μόλυνση μέσα από USB.

Οι τελευταίες τεχνικές πληροφορίες σχετικά με κάποιους παράγοντες της επίθεσης του Stuxnet είναι διαθέσιμες στο Securelist, καθώς και στο νέο βιβλίο, “Countdown to Zero Day”, της δημοσιογράφου Kim Zetter. Το βιβλίο περιλαμβάνει άγνωστες μέχρι σήμερα πληροφορίες σχετικά με το Stuxnet. Ορισμένες από αυτές τις πληροφορίες βασίζονται σε συνεντεύξεις με μέλη της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab.

Πηγή

Ρεκόρ μέσω χάλκινης γραμμής

Το ρεκόρ στη μετάδοση δεδομένων μέσω χάλκινων τηλεφωνικών γραμμών κατέρριψαν πριν από δέκα ημέρες ερευνητές των Bell Labs, πετυχαίνοντας ταχύτητα 10 Gbps. Η συγκεκριμένη επίδοση έγινε πραγματικότητα χάρις στη νέα τεχνολογία XG-FAST που ανέπτυξαν τα Bell Labs, τα οποία αποτελούν τμήμα έρευνας & ανάπτυξης της Alcatel-Lucent. Παρόλο που το ρεκόρ καταρρίφθηκε στο εργαστήριο, σε μια διαδρομή καλωδίων με μήκος μόλις 30 μέτρα, οι ερευνητές υποστηρίζουν πως στον «πραγματικό κόσμο» η τεχνολογία ανοίγει τον δρόμο ώστε οι υποδομές παλιάς γενιάς, στις οποίες οι οπτικές ίνες δεν φτάνουν μέχρι τα σπίτια των χρηστών, να προσφέρουν στο μέλλον ταχύτητες έως 1 Gbps. Ετσι, θα μπορούν να χρησιμοποιήσουν πραγματικά γρήγορο Ίντερνετ ακόμη και όσοι ζουν σε περιοχές όπου είναι οικονομικά ασύμφορο ή πρακτικά αδύνατο για τους παρόχους να αντικαταστήσουν με οπτικές ίνες τα χάλκινα καλώδια που συνδέουν τις κατοικίες με το υπόλοιπο δίκτυο.

Πηγή