Οι χάκερ θα μπορούσαν να σκοτώσουν περισσότερους ανθρώπους από ένα πυρηνικό όπλο

Οι άνθρωποι σε όλο τον κόσμο μπορεί να ανησυχούν για την άνοδο των πυρηνικών εντάσεων, αλλά μια κυβερνοεπίθεση θα μπορούσε να είναι εξίσου επιζήμια υποστηρίζει ο καθηγητής κυβερνοασφάλειας, ρομποτικής και τεχνητής νοημοσύνης Jeremy Straub σε άρθρο του στο Live Science. “Oι χάκερ έχουν ήδη θέσει τις βάσεις“, αναφέρει χαρακτηριστικά.

Με τις ΗΠΑ και τη Ρωσία να αποχωρούν από τη Συνθήκη INF και να αρχίζουν να αναπτύσσουν νέα πυρηνικά όπλα, οι εντάσεις με το Ιράν και τη Βόρεια Κορέα να βρίσκονται στο αποκορύφωμα, η παγκόσμια απειλή για τον ανθρώπινο πολιτισμό είναι υψηλή. Ορισμένοι φοβούνται μια νέα κούρσα πυρηνικών εξοπλισμών.

Αυτή η απειλή είναι σοβαρή, αλλά μια άλλη μπορεί να είναι εξίσου σοβαρή και λιγότερο ορατή στο κοινό. Μέχρι στιγμής, τα περισσότερα από τα γνωστά περιστατικά hacking, ακόμη και εκείνα με υποστήριξη από ξένες κυβερνήσεις, επικεντρώνονται σε “απλά” πράγματα όπως η υποκλοπή δεδομένων. Δυστυχώς, υπάρχουν ενδείξεις ότι οι χάκερ έχουν τοποθετήσει κακόβουλο λογισμικό στα συστήματα ισχύος και ύδρευσης των Η.Π.Α., όπου βρίσκονται σε αναμονή, έτοιμα να ενεργοποιηθούν. Ο στρατός των Η.Π.Α. έχει επίσης διαπεράσει τους υπολογιστές που ελέγχουν τα ρωσικά ηλεκτρικά συστήματα.

Ο Straub πιστεύει πως μια κυβερνοεπίθεση εναντίον ενός στόχου που μπορεί να εξαπλωθεί, ή εναντίον πολλαπλών μικρότερων στόχων, θα μπορούσε να προκαλέσει εκτεταμένες ζημιές σε υποδομές, καθώς και πολλούς τραυματισμούς και θανάτους, που θα μπορούσαν να συγκριθούν με αυτούς από τη χρήση ενός πυρηνικού όπλου.

Σε αντίθεση με ένα πυρηνικό όπλο, το οποίο θα εξαΰλωνε τους ανθρώπους σε ακτίνα 100 μέτρων και θα σκοτώνει σχεδόν τους πάντες σε ακτίνα ενός χιλιομέτρου, ο αριθμός των θανάτων από τις περισσότερες κυβερνοεπιθέσεις θα είναι πιο αργός. Οι άνθρωποι μπορεί να πεθάνουν από έλλειψη τροφίμων, ηλεκτρικής ενέργειας ή φυσικού αερίου ή ακόμη και από συγκρούσεις αυτοκινήτων που οφείλονται σε χαλασμένο σύστημα φωτεινών σηματοδοτών. Αυτό θα μπορούσε να συμβεί σε μια ευρεία περιοχή, με αποτέλεσμα μαζικούς τραυματισμούς ή ακόμα και θανάτους.

Αυτό μπορεί να ακούγεται ανησυχητικό, αλλά κοιτάξτε τι συνέβη τα τελευταία χρόνια, στις Η.Π.Α. και σε όλο τον κόσμο“.

Στις αρχές του 2016, χάκερ πήραν τον έλεγχο μιας μονάδας επεξεργασίας για πόσιμο νερό στις ΗΠΑ και άλλαξαν το χημικό μείγμα που χρησιμοποιήθηκε για τον καθαρισμό του. Αν είχαν γίνει χειρότερες αλλαγές – και δεν το πρόσεχε κανείς – η επίθεση θα μπορούσε να έχει οδηγήσει σε μαζικές δηλητηριάσεις, και έλλειψη πόσιμου νερού.

Το 2016 και το 2017, χάκερ έκλεισαν μεγάλα τμήματα του ηλεκτρικού δικτύου στην Ουκρανία. Αυτή η επίθεση ήταν ηπιότερη από ό, τι θα μπορούσε να εξελιχθεί, καθώς δεν καταστράφηκε εξοπλισμός κατά τη διάρκεια της, παρά το γεγονός πως θα μπορούσε. Η επίθεση είχε σκοπό να στείλει ένα μήνυμα. Το 2018, άγνωστοι απέκτησαν πρόσβαση στο σύστημα ηλεκτρικής ενέργειας του Ηνωμένου Βασιλείου. Το 2019 μια παρόμοια επίθεση μπορεί να διαπέρασε το ηλεκτρικό δίκτυο των Η.Π.Α.

Τον Αύγουστο του 2017, ένα πετροχημικό εργοστάσιο της Σαουδικής Αραβίας δέχτηκε επίθεση από χάκερ που προσπάθησαν να ανατινάξουν τον εξοπλισμό, αποκτώντας πρόσβαση και έλεγχο των ηλεκτρονικών συσκευών που χρησιμοποιούνται σε βιομηχανικές εγκαταστάσεις πάσης φύσεως σε όλο τον κόσμο. Μόλις λίγους μήνες αργότερα, χάκερ έκλεισαν τα συστήματα παρακολούθησης των πετρελαιαγωγών και των αγωγών φυσικού αερίου στις Ηνωμένες Πολιτείες.

Το FBI έχει προειδοποιήσει ότι χάκερ έχουν στόχο ακόμη και πυρηνικές εγκαταστάσεις. Μια πυρηνική εγκατάσταση που θα δεχτεί επίθεση, θα μπορούσε να υποστεί διαφυγή ραδιενεργών υλικών, χημικών ουσιών ή ακόμη και μια καταστροφή ανάλογη με αυτή του Τσερνομπίλ.

Υπάρχουν τρία βασικά σενάρια για το πώς θα μπορούσε να εξελιχθεί μια κυβερνοεπίθεση μεγάλης κλίμακας και καταστροφικότητας. Θα μπορούσε να ξεκινήσει με την υπηρεσία πληροφοριών μίας χώρας να κλέβει, να διαγράφει ή να θέτει σε κίνδυνο τα στρατιωτικά δεδομένα άλλου έθνους. Οι διαδοχικοί γύροι αντιποίνων θα μπορούσαν να επεκτείνουν το πεδίο των επιθέσεων και τη σοβαρότητα των ζημιών στην πολιτική ζωή.

Σε μια άλλη περίπτωση, ένα έθνος ή μια τρομοκρατική οργάνωση θα μπορούσε να εξαπολύσει μια μαζικά καταστροφική κυβερνοεπίεθση, στοχεύοντας ταυτόχρονα σε πολλές επιχειρήσεις κοινής ωφέλειας, εγκαταστάσεις επεξεργασίας νερού ή βιομηχανικές εγκαταστάσεις ή σε συνδυασμό αυτών για μεγαλύτερη ζημιά.

Ίσως η πιο πιθανή περίπτωση όμως, είναι ότι μπορεί να συμβεί κατά λάθος. Σε πολλές περιπτώσεις, τα ανθρώπινα και μηχανικά λάθη σχεδόν κατέστρεψαν τον κόσμο κατά τη διάρκεια του Ψυχρού Πολέμου. Κάτι ανάλογο θα μπορούσε να συμβεί και στο ψηφιακού χώρου.

Ακριβώς όπως δεν υπάρχει τρόπος να προστατευθεί κάποιος απόλυτα από μια πυρηνική επίθεση, υπάρχουν τρόποι μόνο για τον μετριασμό μιας κυβερνοεπίθεσης.

Το βασικότερο είναι οι κυβερνήσεις, οι επιχειρήσεις και οι απλοί άνθρωποι να ασφαλίσουν τα συστήματά τους για να αποτρέψουν τους εξωτερικούς εισβολείς από το να εισέλθουν και στη συνέχεια να εκμεταλλευτούν τις συνδέσεις τους και να αποκτήσουν πρόσβαση σε περισσότερα συστήματα.

Τα κρίσιμα συστήματα, όπως αυτά των επιχειρήσεων κοινής ωφέλειας, των εταιρειών μεταφοράς και των επιχειρήσεων που χρησιμοποιούν επικίνδυνες ουσίες, πρέπει να είναι πολύ πιο ασφαλή. Μία ανάλυση έδειξε ότι μόνο το ένα πέμπτο των εταιρειών που χρησιμοποιούν ηλεκτρονικούς υπολογιστές για να ελέγχουν τα βιομηχανικά μηχανήματα στις ΗΠΑ ελέγχουν τον εξοπλισμό τους για την ανίχνευση πιθανών επιθέσεων, και ότι στο 40% των επιθέσεων, ο εισβολέας είχε ήδη πρόσβαση στο σύστημα περισσότερο από ένα χρόνο. Μια άλλη έρευνα διαπίστωσε ότι σχεδόν τα τρία τέταρτα των εταιριών ηλεκτρικής ενέργειας, δέχτηκαν κάποιου είδους ηλεκτρονική επίθεση στα συστήματά τους κατά το προηγούμενο έτος.

Πτήση

Advertisements

Οι 7 μεγαλύτερες επιθέσεις χάκερ στην ιστορία

Οι διαρροές προσωπικών στοιχείων και οι παραβιάσεις δεδομένων από χάκερ, αποτελεί «πληγή» του 21ου αιώνα.

Το τελευταίο θύμα της τεχνολογικής επανάστασης ήταν η τράπεζα Capital One, η οποία ανακοίνωσε πως χάκερ απέκτησαν πρόσβαση στα στοιχεία περισσότερων από 100.000.000 πελατών της.

Η επίθεση ενδέχεται να θέσει σε κίνδυνο προσωπικά στοιχεία των πελατών, όπως ο αριθμός του τραπεζικού τους λογαριασμού και οι κινήσεις αυτού.

Τα εκατό εκατομμύρια «θύματα» είναι πολλά, αλλά αυτή η επίθεση ωχριά μπροστά σε άλλες περιπτώσεις χάκινγκ.

Στην παραπάνω gallery μπορείτε να δείτε επτά από τις σοβαρότερες επιθέσεις χάκερ.

Η συνέχεια εδώ.

Χάκερς “χτύπησαν” το WhatsApp

Χάκερ εγκατέστησαν εξ αποστάσεως λογισμικό κατασκοπίας σε κινητά τηλέφωνα και άλλες συσκευές, εκμεταλλευόμενοι ένα ευάλωτο σημείο στην εφαρμογή ανταλλαγής μηνυμάτων WhatsApp, που ανήκει στο Facebook. Η κυβερνοεπίθεση, που έγινε αντιληπτή προ ημερών, αφορούσε μόνο ένα επιλεγμένο αριθμό χρηστών (όχι όλη τη βάση των περίπου 1,5 δισεκατομμυρίων χρηστών) και ενορχηστρώθηκε από ένα «κυβερνο-δράστη μεγάλων ικανοτήτων», σύμφωνα με το WhatsApp, που κυκλοφόρησε τη Δευτέρα μια αναβάθμιση ασφαλείας και καλεί τους χρήστες να την εγκαταστήσουν άμεσα στη συσκευή τους.

Το λογισμικό κατασκοπίας έχει αναπτύξει η ισραηλινή εταιρεία κυβερνοασφάλειας NSO Group, η οποία όμως αρνήθηκε την παραμικρή εμπλοκή της στην υπόθεση. Οι χάκερ χρησιμοποίησαν τη λειτουργία φωνητικής κλήσης του WhatsApp για να καλέσουν τη συσκευή του χρήστη-στόχου. Ακόμη κι αν αυτός δεν απαντούσε, το λογισμικό κατασκοπίας μπορούσε να «τρυπώσει» και να εγκατασταθεί στη συσκευή του, ενώ η κλήση συχνά εξαφανιζόταν από το μητρώο κλήσεων σαν μην είχε γίνει ποτέ, σύμφωνα με τους «Φαϊνάνσιαλ Τάιμς», το BBC και τη «Γκάρντιαν».

Πηγή

Αξιολογήσεις ευπάθειας και δοκιμές διείσδυσης – Ποια είναι η διαφορά;

Η σύγχυση μεταξύ των όρων «δοκιμές διείσδυσης» και «αξιολογήσεις ευπάθειας» συχνά ξεκινάει στο επίπεδο της γλώσσας. Όσοι δεν είναι επαγγελματίες στον τομέα της ασφάλειας ιστού (web security), όπως είναι οι δημοσιογράφοι, πολλές φορές αναφερόμενοι σε κάποια σημαντική ιστορία που επηρεάζει τους καταναλωτές, χρησιμοποιούν τους όρους εναλλακτικά, σαν να αναφέρονται στην ίδια διαδικασία.

Διαβάστε το άρθρο της Netsparker που επιμελήθηκε η NSS και ξεδιαλύνει τις διαφορές, αναλύοντας  τους όρους αυτούς.

Διαφορά μεταξύ των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης

Οι έμπειροι επαγγελματίες του κλάδου γνωρίζουν τη διαφορά, όμως όσοι είναι… νέοι στον χώρο, και αυτοί, συγχέουν τις έννοιες. Γιατί; Αυτό συμβαίνει διότι ακόμη και οι επαγγελματίες τυγχάνει πολλές φορές να χρησιμοποιούν όρους και έννοιες με ασαφείς ή ανακριβείς τρόπους, όταν θα έπρεπε να είναι σε θέση να διακρίνουν πράγματα που διαφέρουν. Ας δούμε όμως τη σαφή διαφορά μεταξύ τους.

Τι είναι οι αξιολογήσεις ευπάθειας; 

Μία αξιολόγηση ευπάθειας περιλαμβάνει τη διεξαγωγή μιας σειράς πολλαπλών δοκιμών ενάντια σε ορισμένες ιστοσελίδες, σε εφαρμογές ιστού, σε διευθύνσεις IP και σε εύρη IP, χρησιμοποιώντας μια γνωστή λίστα ευπαθειών και τρωτών σημείων, σαν αυτά που περιλαμβάνονται στη λίστα Top 10 του OWASP.

Όσοι πραγματοποιούν αξιολογήσεις, μπορούν επίσης να πραγματοποιήσουν δοκιμές σε συστήματα που γνωρίζουν ότι έχουν εσφαλμένα διαμορφωθεί ή στα οποία δεν έχουν εφαρμοστεί ενημερώσεις ασφαλείας και patches.

Συχνά, χρησιμοποιούνται αυτοματοποιημένα εργαλεία σάρωσης ασφαλείας.

Τα συνδρομητικά εργαλεία με άδεια εμπορικής χρήστης θεωρούνται περισσότερο ασφαλή – έρχονται με τακτικές ενημερώσεις, υπάρχουν λιγότερες πιθανότητες να συμπεριλαμβάνουν κακόβουλο κώδικα (τα αντίστοιχα εργαλεία ανοιχτού κώδικα, πάντως, έχουν το σημαντικό πλεονέκτημα να είναι ακριβώς τα ίδια εργαλεία που προτιμούν να χρησιμοποιούν κακόβουλοι χάκερς).   

Οι εκτιμήσεις ευπάθειας τείνουν να περιλαμβάνουν τα ακόλουθα στάδια:

  • Προσδιορισμός όλων των πόρων, και των συνδεδεμένων πόρων, των συστημάτων πληροφορικής στο εσωτερικό ενός οργανισμού
  • Αντιστοίχιση κάποιας τιμής ή προτεραιότητας σε κάθε έναν (από αυτούς)
  • Διεξαγωγή αξιολόγησης μίας λίστας γνωστών τρωτών σημείων κατά μήκος ενός μεγάλου αριθμού επιφανειών επίθεσης (από login screens έως παραμέτρους διευθύνσεων URL και μέχρι διακομιστές ηλεκτρονικής αλληλογραφίας)
  • Καθορισμός των πιο κρίσιμων τρωτών σημείων και λήψη αποφάσεων σχετικά με τον τρόπο αντιμετώπισης των υπολοίπων

Τι είναι η δοκιμή διείσδυσης;

Η δοκιμή διείσδυσης (pen testing) από την άλλη – μολονότι ότι μπορεί να θεωρηθεί ως ένας τύπος αξιολόγησης ευπάθειας – περιλαμβάνει την αναπαραγωγή ενός συγκεκριμένου τύπου επίθεσης που μπορεί να εκτελεστεί από κάποιον χάκερ. Κάποιος που πραγματοποιεί δοκιμές διείσδυσης θα εξερευνήσει διεξοδικά τα συστήματα μέχρι να εντοπίσει κάποια ευπάθεια. Ενδεχομένως να χρησιμοποιήσει ακόμα και κάποιο εργαλείο αξιολόγησης ευπάθειας για να αποκαλυφθεί κάποια μια ευπάθεια. Μόλις εντοπιστεί κάτι, τότε θα γίνει προσπάθεια εκμετάλλευσης, για να καθοριστεί αν είναι δυνατό για έναν χάκερ να επιτύχει ένα συγκεκριμένο στόχο (πρόσβαση, αλλαγή ή διαγραφή δεδομένων, για παράδειγμα).

Συχνά, ενώ πραγματοποιείται η δοκιμή διείσδυσης, μπορεί να συναντήσει –εκείνος που κάνει τη δοκιμή- τυχαία άλλες αδυναμίες και να τις ακολουθήσει εκεί που οδηγούν. Όποιος κάνει επίσης τη δοκιμή μπορεί να χρησιμοποιήσει κάποιο αυτοματοποιημένο εργαλείο σε αυτό το σημείο για να εκτελέσει μια σειρά από exploits ενάντια στην ευπάθεια. 

Ορισμένες δοκιμές διείσδυσης αναφέρονται ως «white box» για να υποδείξουν ότι ο δοκιμαστής διείσδυσης έχει δώσει λεπτομερείς πληροφορίες για το περιβάλλον, όπως έναν κατάλογο περιουσιακών στοιχείων που ανήκουν στον οργανισμό, πηγαίο κώδικα, ονόματα υπαλλήλων και διευθύνσεις ηλεκτρονικού ταχυδρομείου κ.λπ. Όταν –οι δοκιμές- αναφέρονται ως «black box», με αυτό τον τρόπο υποδεικνύεται ότι οι δοκιμές διείσδυσης διεξήχθησαν ή διεξάγονται χωρίς προηγούμενη πληροφόρηση σχετικά με την εσωτερική δομή του οργανισμού, χωρίς πρόσβαση σε πηγαίο κώδικα κλπ. Αυτό το είδος δοκιμής διείσδυσης μπορεί να μοιάζει περισσότερο με τις δραστηριότητες ενός κακόβουλου χάκερ, όμως μπορεί επίσης να οδηγήσει σε μικρότερη κάλυψη των δυνητικά ευάλωτων περιουσιακών στοιχείων κάποιας επιχείρησης ή οργανισμού.

Ποια αποτελέσματα μπορώ να περιμένω από κάθε προσέγγιση; 

Η απάντηση σε αυτή την ερώτηση θα μπορούσε να τεθεί καλύτερα αν σκεφτούμε ανάποδα, δηλαδή προς τα πίσω: Ποια είναι τα αποτελέσματα που θέλετε; 

Έκθεση αξιολόγησης ευπάθειας κατά μήκος όλων των τρωτών σημείων 

Τα αποτελέσματα συγκεντρώνονται σε μια αυτοματοποιημένη, μακροσκελή αναφορά, που περιλαμβάνει μία εκτεταμένη λίστα τρωτών σημείων που έχουν ανιχνευθεί και ταξινομηθεί κατά προτεραιότητα, από το πόσο σοβαρά και κρίσιμα είναι για την επιχείρησή. Με το πέρασμα του χρόνου, αυτή η λίστα μπορεί να αποκαλύψει αλλαγές από την τελευταία αναφορά. Ορισμένοι πάντως θα επικρίνουν τα επιτευχθέντα αποτελέσματα επειδή, σε αντίθεση με τις δοκιμές διείσδυσης, μπορεί να περιέχουν ψευδώς θετικά ή ψευδώς αρνητικά. Φυσικά, κάτι τέτοιο δεν πρόκειται να συμβεί αν χρησιμοποιείτε τον σαρωτή ευπάθειας εφαρμογών ιστού Netsparker (web application vulnerability scanner) για να διεξάγετε τις δοκιμές διείσδυσης. Και αυτό είναι ένα από τα βασικά χαρακτηριστικά που διαφοροποιούν την Netsparker – η αυτόματη επαλήθευση εντοπισμένων τρωτών σημείων με το Proof-Based Scanning.

Οι αναφορές οφείλουν να περιλαμβάνουν έναν οδηγό που θα υποδεικνύει τρόπους αποκατάστασης των τρωτών σημείων και ευπαθειών που εντοπίστηκαν. Κάποιες φορές τα ίδια τα εργαλεία συνοδεύονται από τα κατάλληλα patches που μπορούν να τρέξουν και να εφαρμόσουν οι διάφοροι συνδρομητές. Στις περισσότερες περιπτώσεις, τα αποτελέσματα μπορούν να διανεμηθούν στη συνέχεια σε εξειδικευμένες ομάδες ανάπτυξης για να εφαρμόσουν διορθώσεις, να απομακρύνουν τις πιο σοβαρές ευπάθειες αλλά και να αντιμετωπίσουν με το κατάλληλο τρόπο τις λιγότερο σοβαρές στη συνέχεια. Σε έναν ιδανικό κόσμο, αυτή η δραστηριότητα είναι συνεχιζόμενη, αφού προγραμματίζεται τακτικά, και είναι ενσωματωμένη στο SDLC (Software Development Life Cycle) κάθε οργανισμού. 

Αναφορές δοκιμών διείσδυσης που αναλύουν σε βάθος σε κάθε ευπάθεια 

Με τη δοκιμή διείσδυσης, δεν υπάρχει κάποια μακροσκελή δημόσια αναφορά, αν και κάποιοι καταγράφουν και δημοσιεύουν τις ενέργειές τους και τα ανώνυμα ευρήματα τους, αναρτούν σε blogs τα πειράματά τους ή επιχειρούν χάκινγκ σε συνέδρια. Αν ωστόσο προσλάβετε κάποιον για να πραγματοποιήσει δοκιμές διείσδυσης, οφείλει να σας ετοιμάσει και να σας παρουσιάσει μια αναφορά, αν και στις περισσότερες περιπτώσεις τέτοιες αναφορές επικεντρώνονται στη μέθοδο της επίθεσης ή στα exploits αλλά και ακριβώς ποια δεδομένα βρίσκονται σε κίνδυνο. Γενικά, επίσης, θα συνοδεύεται και από προτάσεις σχετικά με το τι μπορεί να κάνει κάποιος χάκερ σε αυτά ή με αυτά. Τα παραπάνω, θα βοηθήσουν τους αναλυτές επιχειρήσεων και τους μη τεχνικούς επαγγελματίες, που μπορεί να μην καταλαβαίνουν ή αντιλαμβάνονται όλη αυτή τη τεχνολογία που υπάρχει πίσω από τις δοκιμές τους είδους, να αντιληφθούν γρήγορα τον αντίκτυπο των επιχειρηματικών διαδικασιών.

Κάποιες φορές οι εκθέσεις περιλαμβάνουν επίσης συμβουλές αποκατάστασης. Ωστόσο, δεν ενσωματώνουν όλες οι δοκιμές διείσδυσης το λεγόμενο «exploitation των τρωτών σημείων» με τον τρόπο που το κάνει η λύση Netsparker. Μπορεί απλώς να αρκεί η επίδειξη ότι μία επίθεση μπορεί να είναι δυνατή. Σε ορισμένες περιπτώσεις, η αναφορά δοκιμής διείσδυσης μπορεί απλώς να αναφέρει θεωρητικές ευπάθειες επειδή οποιαδήποτε προσπάθεια «εκμετάλλευσης» θα μπορούσε να οδηγήσει σε μία καταστροφική άρνηση υπηρεσίας (DoS). Και τέλος, δεν υπάρχει αξιολόγηση των τρωτών σημείων ή των ευπαθειών, δεδομένου ότι ο στόχος είναι απλώς να γίνει ένα πράγμα, ή τουλάχιστον να καθοριστεί αν μπορεί να γίνει. 

Οι αξιολογήσεις ευπάθειας αποτελούν εργαλείο για τη διαρκή βελτίωση της ασφάλειας στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC).

Οι εκτιμήσεις ή αξιολογήσεις ευπάθειας αποτελούν έναν ιδιαίτερα συστηματοποιημένο τρόπο για να αποκτήσουν καθιερωμένες εταιρείες και οργανισμοί μια ολοκληρωμένη εικόνα για τη στάση τους στην ασφάλεια και κατόπιν να την διατηρήσουν και να την βελτιώνουν διαρκώς.

Όταν προστίθενται νέες συσκευές, θύρες, ιστότοποι, εφαρμογές ιστού ή υπηρεσίες, συμπεριλαμβάνονται στις συνήθεις σαρώσεις. Μια αξιολόγηση ευπάθειας είναι ένας πολύ καλός τρόπος για να εντοπίσετε και τελικά να διορθώσετε κοινές ευπάθειες στις εφαρμογές και στους διακομιστές σας. Οι περισσότεροι επαγγελματίες στον χώρο της ασφάλειας συστήνουν στις εταιρείες να προχωρούν σε αξιολογήσεις ευπάθειας τουλάχιστον ανά τρίμηνο.

Παρόλα αυτά, η Netsparker, δεδομένου ότι η λύση της επιτρέπει τον ορισμό προγραμματισμένων σαρώσεων, σας συστήνει να πραγματοποιείτε σαρώσεις συχνότερα.  Σε κάθε περίπτωση, θα πρέπει να διεξάγετε αξιολογήσεις ευπάθειας μετά από οποιαδήποτε σημαντική αλλαγή ή προσθήκη στις εφαρμογές ιστού ή στα web APIs.

Με το Netsparker, αν θέλετε, μπορείτε να εκτελέσετε σαρώσεις σε καθημερινή βάση, και περιλαμβάνει ειδοποιήσεις που σας εφιστούν την προσοχή σας σε τρωτά σημεία και ευπάθειες που θα ανακαλυφθούν. Στη συνέχεια, οι πόροι μπορούν να χρησιμοποιηθούν ταχέως για την αντιμετώπιση κρίσιμων και σημαντικών απειλών.

Οι δοκιμές διείσδυσης αποκαλύπτουν «εύθραυστες ρωγμές» στην αρχιτεκτονική ασφαλείας σας

Από την ώρα που οι δοκιμές διείσδυσης είναι τόσο συγκεκριμένες, είναι ιδανικές για περιβάλλοντα όπου η ασφάλεια Ιστού καθώς και του δικτύου ενός οργανισμού θεωρείται ότι είναι ήδη αρκετά ισχυρή. Οι οργανισμοί μπορούν να ζητήσουν από έναν ελεγκτή να επιχειρήσει να κάνει κάτι συγκεκριμένο, όπως να επιχειρήσει να αποκτήσει πρόσβαση σε μια βάση δεδομένων τραπεζικών συναλλαγών ή τραπεζικών στοιχείων ή προσπαθήσει να τροποποιήσει ή να διαγράψει τον φάκελο κάποιου χρήστη (δεδομένα κ.λπ). Σκοπός είναι να μειωθεί η έκθεση σε συγκεκριμένους κινδύνους.

Οι δοκιμαστές διείσδυσης ελέγχουν για αδύναμα σημεία στην αρχιτεκτονική. Ενώ οι αξιολογήσεις ευπαθειών ή τρωτών σημείων αντιμετωπίζουν ως επί το πλείστον τα κενά ασφαλείας στο λογισμικό, οι δοκιμαστές διείσδυσης συχνά χρησιμοποιούν τεχνικές phishing ή κοινωνικής μηχανικής αλλά και άλλες τεχνικές για να επιτύχουν το στόχο τους. Ως εκ τούτου, μπορούν να παρέχουν μια σαφέστερη και ακριβέστερη απεικόνιση ή εκτίμηση του επιπέδου ασφαλείας μίας εταιρείας. Λειτουργούν ακριβώς όπως οι κακόβουλοι χάκερ, αλλά χωρίς να προκαλούν καταστροφικές απώλειες ή αλλοίωση δεδομένων, φυσικά! Για παράδειγμα, ένας δοκιμαστής διείσδυσης μπορεί να προσπαθήσει να δημιουργήσει μια σύνδεση με έναν απομακρυσμένο διακομιστή χωρίς να εντοπιστεί, προκειμένου να απομακρύνει ευαίσθητα δεδομένα από ένα σύστημα. Είναι ένας χρήσιμος τρόπος για να αποδειχτεί ότι υπάρχουν πιθανότητες για κάποιους επιτιθέμενους να επιτύχουν τους κακόβουλους σκοπούς τους. Φαινομενικά, όμως, ένας δοκιμαστής διείσδυσης θα προχωρούσε στη διεξαγωγή μίας ατελείωτης σειράς από απόπειρες χάκινγκ.

Συστήνεται οι δοκιμές διείσδυσης να διεξάγονται τουλάχιστον μία φορά το χρόνο. 

Ποια σενάρια μπορούν να βοηθήσουν στην επιλογή της σωστής προσέγγισης; 

Τόσο οι αξιολογήσεις ευπάθειας όσο και οι δοκιμές διείσδυσης πρέπει να πραγματοποιούνται ενάντια σε συσκευές δικτύου και ενάντια σε εσωτερικούς και εξωτερικούς διακομιστές. Είναι σημαντικό να καθοριστεί αν μια επίθεση μπορεί να γίνει από το εξωτερικό (για παράδειγμα, από έναν κακόβουλο εισβολέα που στοχεύει σε διαθέσιμες στο κοινό επιφάνειες στόχων στο διαδίκτυο) ή από το εσωτερικό (για παράδειγμα, από έναν δυσαρεστημένο υπάλληλο ή παλιό συνεργάτη, κάποιον χρήστη με δικαιώματα που δεν θα έπρεπε να έχει ή από κάποιον υπολογιστή που έχει μολυνθεί στο εσωτερικό δίκτυο). 

Οι αξιολογήσεις ευπάθειας βοηθούν τις επιχειρήσεις να είναι συνεπείς με τη συμμόρφωση τους σε πρότυπα 

Μερικές φορές οι εταιρείες και οργανισμοί πρέπει να εργάζονται εντός συγκεκριμένων παραμέτρων: έχουν PCI DSS ή άλλες μορφές συμμόρφωσης που οφείλουν να τηρούν και θέλουν να ελέγξουν αν η υφιστάμενη αρχιτεκτονική τους, και τα συστήματα και οι συσκευές τους είναι σε θέση να περάσουν τη δοκιμή. Μπορεί να θέλουν να εκτελέσουν μια σάρωση θυρών ή να ελέγξουν τα πάντα στη λίστα Top 10 του OWASP. Σε τέτοια σενάρια, μια αξιολόγηση ευπάθειας θα δώσει μια πιο ρεαλιστική και συστηματική προσέγγιση. Ακόμα και μια πολύ μεγάλη ομάδα προγραμματιστών δεν θα μπορούσε να φέρει εις πέρας τέτοιες δοκιμές. 

Οι δοκιμές διείσδυσης βοηθούν όλους τους οργανισμούς να μένουν μπροστά από τους χάκερς 

Οι δοκιμές διείσδυσης βοηθούν επίσης στην ασφάλεια αλλά υπό διαφορετική γωνία. Οι δοκιμαστές (εκείνοι που θα πραγματοποιήσουν τις δοκιμές διείσδυσης) θα αποκαλύψουν τους κινδύνους ασφαλείας με τον ίδιο τρόπο που το κάνουν οι χάκερ – πραγματοποιώντας επιθέσεις έχοντας στο νου τους μόνο ένα σκοπό, να αποκτήσουν πρόσβαση σε συγκεκριμένα δεδομένα ή να αλλάξουν κάτι στον ιστότοπο ενός οργανισμού, για παράδειγμα. Οι δοκιμαστές διείσδυσης είναι καλύτερο να «προσλαμβάνονται» με ανοιχτό μυαλό, αφήνοντάς τους ελεύθερους να διεξάγουν τόσο τις επιδιωκόμενες επιθέσεις όσο και οτιδήποτε άλλο που πέσει στην αντίληψη τους, αναλόγως βεβαίως και της επαγγελματικής τους πείρας. 

Τι γίνεται με τους «δοκιμαστές»; 

Ένα από τα πιο σημαντικά ερωτήματα που πρέπει να θέσετε, για να αποφύγετε τη σύγχυση μεταξύ της αξιολόγησης ευπάθειας και της δοκιμής διείσδυσης είναι: Ποιος διεξάγει τη δοκιμή; 

Οι επαγγελματίες ασφάλειας πληροφοριών δημιουργούν εσωτερικές διαδικασίες για συνεχή βελτίωση 

Σε αντίθεση με ορισμένα άρθρα σχετικά με το θέμα, οι δοκιμές ευπάθειας δεν είναι μια πλήρως αυτοματοποιημένη διαδικασία, με την έννοια ότι το μόνο που θα χρειαστεί είναι να πατήσετε ένα κουμπί. Το άτομο που διαχειρίζεται συχνές, αυτοματοποιημένες αξιολογήσεις ευπάθειας θα πρέπει να εξειδικεύεται εξίσου και να έχει εμπειρία και στις διαδικασίες ασφάλειας πληροφοριών. Οφείλει να γνωρίζει ποια περιβάλλοντα και ποιες επιφάνειες επίθεσης πρέπει να αξιολογήσει καθώς και πάνω σε τι να τα αξιολογήσει, καθώς ακόμα και οι αυτοματοποιημένοι σαρωτές ασφαλείας απαιτούν εξίσου κάποια διαμόρφωση ή ρύθμιση. Επιπλέον, πρέπει να είναι σε θέση να ερμηνεύει τις όποιες αναφορές προκύπτουν αλλά και να διατυπώνει συστάσεις σχετικά με το τι πρέπει να γίνει στη συνέχεια. 

Οι εσωτερικοί επαγγελματίες ασφαλείας που είναι υπεύθυνοι για την αξιολόγηση ευπαθειών αποτελούν πρόσθετη αξία για την στάση ασφαλείας που κρατούν εταιρείες και οργανισμοί. Κατά πρώτο λόγο είναι σε θέση να ορίσουν τις βασικές γραμμές. Επιπλέον, το πιθανότερο είναι να θελήσουν να καθιερώσουν κάποια συστήματα, όπως κάποιο χρονοδιάγραμμα αξιολόγησης και αναφορών.

Συμβάλουν στην ευαισθητοποίηση των εργαζομένων εντός της εταιρείας, και παράλληλα ευνοούν την διαρκή μείωση των κινδύνων ασφαλείας. Εν τω μεταξύ, είναι σχεδόν σίγουρο πως θα επεκτείνουν τις δικές τους γνώσεις και δεξιότητες. Και αναμφισβήτητα είναι πολύ πιο πιθανό να αισθάνονται πιστοί στην εταιρεία που εργάζονται ήδη. 

Οι δοκιμαστές διείσδυσης λένε τα πράγματα με το όνομα τους 

Όσοι επιχειρούν δοκιμές διεισδύσεις θα πρέπει επίσης να είναι έμπειροι επαγγελματίες και να έχουν αυτοπεποίθηση για τις ικανότητές και τις δεξιότητές τους.

Οι περισσότεροι επαγγελματίες στον τομέα, συστήνουν οι δοκιμαστές διείσδυσης να είναι ανεξάρτητοι, εξωτερικοί επαγγελματίες. Πρέπει να διατηρούν αρκετή απόσταση από την εταιρεία ή τα συστήματα σας, ώστε να μην παρεμποδίζονται ή επηρεάζονται από ανησυχίες σχετικά με την προσωπική τους οικονομική ασφάλεια, την πίστη τους ή την πολιτική της εταιρείας. Και αυτό τους δίνει τη δυνατότητα έχοντας το ελεύθερο να πουν την γνώμη τους ανεπηρέαστα, και να στην ουσία να πουν τα πράγματα με το όνομα τους σχετικά με την κατάστασή της εταιρείας σας στον τομέα της ασφάλειας, όσο και αν αυτό πονάει. 

Και ποιο είναι το κόστος; 

Το κόστος των αξιολογήσεων ευπάθειας και των δοκιμών διείσδυσης εξαρτάται στην ουσία από το μέγεθος της επιχείρησης (από την επιφάνεια επίθεσης επομένως κ.λπ). Για τις μικρές εταιρείες, η τιμή θα είναι σημαντικά χαμηλότερη από ό, τι είναι για μια μεγάλη εταιρία με χιλιάδες δυνητικά ευάλωτες συσκευές και υπολογιστές, IPs και παρόχους Internet. 

Ανεξάρτητα από το κόστος, οι εκτιμήσεις ευπαθειών ή τρωτότητας συνεισφέρουν στην καλύτερη απόδοση της επένδυσής σας. Ενώ μια δοκιμή διείσδυσης μπορεί να προσφέρει μία αρκετά καλή και βαθιά εικόνα για το πόσο ασφαλή είναι τα συστήματά σας, στην πραγματικότητα αποκαλύπτει μόνο ένα πράγμα και προς μία κατεύθυνση. Από την άλλη, με τις αξιολογήσεις ευπαθειών και επενδύοντας σε χρόνο και πόρους στην ανάπτυξη συστημάτων και διαδικασιών θα έχετε ένα σταθερό επίπεδο ασφάλειας πάνω στο οποίο θα αναπτυχθούν περαιτέρω τα συστήματά σας και θα ενσωματωθούν νέα εξαρτήματα. 

Επομένως ποια προσέγγιση επιλέγουμε; 

Με λίγα λόγια, κάνετε και τα δύο! Και οι δύο προσεγγίσεις έχουν την ικανότητα να αποκαλύψουν κενά ασφαλείας που εκθέτουν τα συστήματα σας και την ασφάλειά σας και μπορούν να εντοπίσουν άλλες λιγότερο προφανείς ευπάθειες, πολλές από τις οποίες δεν θα αναζητούσατε καν. Ένα πράγμα είναι σίγουρο, αν δεν πραγματοποιείτε σαρώσεις και δοκιμές, κάποια στιγμή θα βρεθείτε αντιμέτωποι με την απώλεια δεδομένων. Το ερώτημα λοιπόν είναι το πότε. Είτε πρόκειται για γνωστό θέμα ευπάθειας το οποίο δεν έχετε αντιμετωπίσει ή κάποιο κενό ασφαλείας που δεν έχετε φροντίσει να κλείσει, είτε το αποτέλεσμα ενός χάκερ που βαριόταν ένα απόγευμα Κυριακής (ναι, και θα είστε τυχεροί αν δεν είναι κακόβουλος), το αποτέλεσμα είναι το ίδιο.

Η ώριμη και προληπτική προσέγγιση είναι να καθιερώσετε τις δοκιμές ευπάθειας και τη σάρωση στο κύκλο ζωής ανάπτυξης λογισμικού της εταιρείας σας (SDLC) και επιπλέον να χρησιμοποιήσετε μερικούς ασυνήθιστους τύπους για να κάνετε ό, τι μπορεί και ένας χάκερ, αλλά με… φιλικούς όρους (προσλαμβάνοντας έναν αξιόπιστο δοκιμαστή). Στη συνέχεια, μπορείτε να διαβάσετε όλες τις αναφορές και τα αποτελέσματα, να εξετάσετε τις συστάσεις που έγιναν και να λάβετε έξυπνες αποφάσεις σχετικά με το πώς θα διατηρήσετε τη στάση ασφαλείας του οργανισμού σας όσα βήματα πιο μπροστά γίνεται από τους κακούς.

Πηγή NSS

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Πηγή

Πάνω από το 1/3 των επιθέσεων phishing διεθνώς στο β’ τρίμηνο του 2018 είχαν στόχο πελάτες του χρηματοπιστωτικού τομέα

Οι anti-phising τεχνολογίες της Kaspersky Lab, κατά τη διάρκεια του β’ τριμήνου του 2018, απέτρεψαν πάνω από 107 εκατομμύρια απόπειρες επισκέψεων διεθνώς σε σελίδες phising, από τις οποίες το 36% αφορούσε χρηματοπιστωτικές υπηρεσίες. Οι επιθέσεις στόχευαν σε ανύποπτους πελάτες μέσω ψεύτικων τραπεζικών σελίδων ή σελίδων πληρωμής.

Ο τομέας της Πληροφορικής ήταν ο δεύτερος κατά σειρά που δέχτηκε τις περισσότερες επιθέσεις (το 14% του συνόλου). Σε σύγκριση με το πρώτο τρίμηνο φέτος, το ποσοστό των επιθέσεων σε χρηματοπιστωτικούς οργανισμούς μειώθηκε κατά 8,2%, ενώ οι επιθέσεις στις εταιρείες πληροφορικής αυξήθηκαν κατά 12,3%, σύμφωνα με την έκθεση της Kaspersky Lab «Το spam και το phishing στο δεύτερο τρίμηνο του 2018».

Τα παραπάνω ευρήματα, σύμφωνα με τη ρωσική εταιρεία κυβερνο-ασφάλειας, δείχνουν ότι, για την προστασία των χρημάτων τους, οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί όταν πλοηγούνται στο Διαδίκτυο. Δημιουργώντας ψεύτικες σελίδες που παριστάνουν τις πρωτότυπες ιστοσελίδες τραπεζών, πληρωμών ή αγορών, οι εισβολείς συλλέγουν ευαίσθητες πληροφορίες από τα θύματα, όπως το όνομα, τον κωδικό πρόσβασης, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, τους αριθμούς τηλεφώνου, τον αριθμό της πιστωτικής κάρτας και τον κωδικό PIN.

Η Βραζιλία παρέμεινε η χώρα με το μεγαλύτερο μερίδιο χρηστών που δέχθηκε επιθέσεις από phishers κατά το δεύτερο τρίμηνο του 2018 (15,51%). Ακολούθησαν η Κίνα (14,44%), η Γεωργία (14,44%), το Κιργιστάν (13,6%) και η Ρωσία (13,27%).

Εκτός από το «παραδοσιακό» phishing, το οποίο βοηθά στην παράνομη πρόσβαση στους τραπεζικούς λογαριασμούς, οι κυβερνο-εγκληματίες εσχάτως προσπαθούν να αναγκάσουν τα θύματά τους να τους μεταβιβάσουν κρυπτονομίσματα.

Εξάλλου, κατά το δεύτερο τρίμηνο του 2018 ο μέσος όρος των spam στο παγκόσμιο ηλεκτρονικό ταχυδρομείο ήταν περίπου 50% (δηλαδή τα μισά), κατά 2,2% μικρότερο ποσοστό από το μέσο όρο του τελευταίου τριμήνου του 2017.

Η Κίνα είναι πλέον η πιο δημοφιλής πηγή spam, ξεπερνώντας τις ΗΠΑ και τη Γερμανία. Η χώρα που στοχοποιήθηκε περισσότερο από κακόβουλα μηνύματα, ήταν για άλλη μια φορά η Γερμανία.

«Απόρθητο» το κέντρο δεδομένων της Ελλάδας, παρά τις επιθέσεις των χάκερ

Υπό τη σκιά των επιθέσεων Τούρκων χάκερ σε ελληνικές ιστοσελίδες, ο Δημήτρης Γιάντσης, Διευθυντής της Κοινωνίας της Πληροφορίας, σημείωσε πως οι πιθανότητες να προσβληθεί το G Cloud είναι πρακτικά «πάρα πολύ μικρές».

Σχεδόν απόρθητο είναι το κέντρο δεδομένων G Cloud όπου είναι αποθηκευμένος μεγάλος όγκος πληροφοριών και πληροφοριακά δεδομένα του ελληνικού Δημοσίου, όπως δήλωσαν στον ΣΚΑΪ άνθρωποι που είναι επιφορτισμένοι με την φύλαξή του.

Υπό τη σκιά των επιθέσεων Τούρκων χάκερ σε ελληνικές ιστοσελίδες, ο Δημήτρης Γιάντσης, Διευθυντής της Κοινωνίας της Πληροφορίας, σημείωσε πως οι πιθανότητες να προσβληθεί το G Cloud είναι πρακτικά «πάρα πολύ μικρές».

Τόνισε δε πως το σύστημα είναι δομημένο με τέτοιο τρόπο ώστε να περιορίζεται το εύρος κάθε εισβολής. «Στην απίθανη περίπτωση που θα προσβληθεί κάποιο κομμάτι, αποκόπτεται το πληγωμένο κομμάτι αυτομάτως από όλα τα υπόλοιπα», είπε.

Σε φυσικό επίπεδο, το G Cloud είναι ένας από τους καλύτερα φυλασσόμενα χώρους της Αθήνας, με ομάδες οι οποίες είναι έτοιμες να επέμβουν ανά πάσα στιγμή.

Στο κέντρο υπάρχουν τρεις διακριτές είσοδοι με κάρτες, οι οποίες προέρχονται από τρία διαφορετικά κέντρα έκδοσης, ενώ το κέντρο έχει προστασία και για τις φυσικές καταστροφές.

Δείτε το βίντεο εδώ.

Πηγή

 

 

 

Οι ειδικοί προειδοποιούν: Η τεχνητή νοημοσύνη μπορεί να αξιοποιηθεί κακόβουλα από χάκερ

Η τεχνητή νοημοσύνη έχει πια φθάσει σε ένα σημείο ανάπτυξης που είναι δυνατό να την εκμεταλλευθούν κακόβουλα και προς όφελός τους αυταρχικά κράτη, τρομοκράτες και χάκερ, προειδοποιούν σε μια νέα έκθεση-καμπανάκι κινδύνου 26 ειδικοί σε θέματα ασφάλειας νέων τεχνολογιών.

Η έκθεση προβλέπει μέσα στα επόμενα πέντε έως δέκα χρόνια, μεταξύ άλλων, την ταχεία αύξηση του κυβερνο-εγκλήματος με τη βοήθεια της τεχνητής νοημοσύνης, τη χειραγώγηση των αυτόνομων drones και των αυτόνομων οχημάτων (που μπορεί να μετατρέπονται σε πυραύλους και σε φονικά όπλα κατά αθώων), τη διείσδυση και την πρόκληση βλαβών σε ζωτικά δίκτυα υποδομών, καθώς και την ευρεία εξάπλωση της κατευθυνόμενης προπαγάνδας με ποικίλους στόχους (από τον επηρεασμό των εκλογών έως την ειδησεογραφική παραπληροφόρηση) μέσω π.χ. της χρήσης αυτόνομων προγραμμάτων λογισμικού (bots) στο διαδίκτυο και της δημιουργίας ψευδών βίντεο (fake videos).

Η έκθεση κάνει λόγο για «νέα ισχυρά εργαλεία χειραγώγησης της κοινής γνώμης σε αδιανόητη στο παρελθόν κλίμακα», σε συνδυασμό με άνευ προηγουμένου δυνατότητες παρακολούθησης των πολιτών και παραβίασης της ιδιωτικότητας και των προσωπικών δεδομένων τους.

Οι ειδικοί καλούν τις κυβερνήσεις και τις εταιρίες όλου του κόσμου να συνειδητοποιήσουν τον κίνδυνο που πλέον αποτελούν οι μυριάδες εφαρμογές της τεχνητής νοημοσύνης και να κάνουν κάτι γι’ αυτό. Επισημαίνουν ότι η τεχνητή νοημοσύνη αποτελεί άλλη μια τυπική τεχνολογία-Ιανό με «διπλή χρήση», τόσο για καλό όσο και για κακό, εφόσον βρεθεί στα λάθος χέρια.

Η 100σελιδη έκθεση, στην οποία συμμετείχαν ειδικοί από το Ινστιτούτο για το Μέλλον της Ανθρωπότητας του Πανεπιστημίου της Οξφόρδης, του Κέντρου για την Μελέτη του Υπαρξιακού Κινδύνου του Πανεπιστημίου του Κέιμπριτζ, του Κέντρου για τη Νέα Αμερικανική Ασφάλεια, του Ιδρύματος Electronic Frontier και άλλων οργανισμών, προβλέπει αυτοματοποιημένες πλέον επιθέσεις από χάκερ (στον «αυτόματο πιλότο»), την χρήση λογισμικού σύνθεσης φωνής για λόγους εξαπάτησης, την αποστολή απατηλών ηλεκτρονικών μηνυμάτων-παγίδων που θα περιέχουν φαινομενικά αξιόπιστες προσωπικές πληροφορίες αντλημένες από τα μέσα κοινωνικής δικτύωσης κ.α.

Οι ειδικοί προτείνουν νέους νόμους, στενότερη συνεργασία μεταξύ πολιτικών και τεχνοκρατών και μεγαλύτερη παρέμβαση της κοινωνίας των πολιτών στο ζήτημα.

Πηγή