Η πιο πρόσφατη πολιτική γραμμή της αμερικανικής κυβέρνησης φαίνεται να ανατρέπει τη μέχρι πρότινος στάση των Ηνωμένων Πολιτειών απέναντι στη Ρωσία, όσον αφορά την κυβερνοασφάλεια. Σύμφωνα με δημοσιεύματα, η νέα ηγεσία στο Πεντάγωνο, υπό τον Υπουργό Άμυνας Πιτ Χέγκσεθ, έδωσε εντολή στην Υπηρεσία Κυβερνοασφάλειας των Ενόπλων Δυνάμεων (U.S. Cyber Command) να παύσει κάθε επιθετικό σχεδιασμό κατά της Ρωσίας. Παράλληλα, έγγραφο που διακινήθηκε εσωτερικά στην αμερικανική Υπηρεσία Κυβερνοασφάλειας και Προστασίας Υποδομών (CISA) φαίνεται να υποβαθμίζει τον ρόλο της Ρωσίας ως εγκληματία στον χώρο του κυβερνοεγκλήματος, προκαλώντας προβληματισμό σε στελέχη των υπηρεσιών. Οι αναφορές αυτές έρχονται σε αντίθεση με τα σταθερά πορίσματα πολυάριθμων ερευνών που θέτουν διαχρονικά τη Ρωσία στις κορυφαίες θέσεις απειλών προς τις ΗΠΑ.

Ωστόσο, δεν λείπουν οι ανησυχίες, κυρίως από υπαλλήλους που διατείνονται ότι η νέα κατεύθυνση της κυβέρνησης μπορεί να αποδυναμώσει την αμερικανική ετοιμότητα απέναντι σε ενδεχόμενους κυβερνοπολέμους. Σε πρόσφατο υπόμνημα το οποίο επικαλείται η εφημερίδα The Guardian, αναφέρεται ότι πολλοί υπάλληλοι της CISA αποθαρρύνονται πλέον από το να εστιάζουν στη ρωσική απειλή, εγείροντας υποψίες πως σημαντικά κενά ασφαλείας ενδέχεται να παραμείνουν ακάλυπτα. Στο ίδιο πλαίσιο, γίνεται λόγος για ευρύτερες περικοπές και απολύσεις προσωπικού σε αρκετές υπηρεσίες ασφαλείας, που δυνητικά δυσχεραίνουν ακόμα περισσότερο τη συνολική αμυντική θωράκιση.

Την ίδια ώρα, μια ξεχωριστή υπόθεση έφερε στο φως μαζικές απολύσεις στην Υπηρεσία Εθνικής Ασφαλείας (NSA), όπου περίπου 100 υπάλληλοι απομακρύνθηκαν για “απαράδεκτη συμπεριφορά” στα εταιρικά τους συστήματα. Παρά το γεγονός ότι οι συγκεκριμένες απολύσεις δεν συνδέονται ευθέως με τη ρωσική κυβερνοαπειλή, εντούτοις ενισχύουν την εικόνα αναταραχής στο εσωτερικό των αμερικανικών μυστικών υπηρεσιών. Η Νέα Διευθύντρια Εθνικών Πληροφοριών, Τούλσι Γκάμπαρντ, δήλωσε ότι τέτοια κρούσματα απειλούν την αποτελεσματικότητα της υπηρεσίας, αν και συνολικά η NSA παραμένει ένα από τα πιο πολυπληθή και ισχυρά παρακλάδια της αμερικανικής αντικατασκοπείας.

Η αλλαγή στάσης απέναντι στη Μόσχα αναμένεται να προκαλέσει πλήθος αντιδράσεων, καθώς μέχρι πρόσφατα οι ΗΠΑ θεωρούσαν τη Ρωσία μία από τις πλέον ισχυρές και επίμονες κυβερνοαπειλές διεθνώς. Αν και η Κίνα, το Ιράν και η Βόρεια Κορέα συγκαταλέγονται επίσης στις λίστες υψηλής επικινδυνότητας, πολλοί ειδικοί του χώρου πιστεύουν ότι ο ρόλος της Ρωσίας παραμένει αμετακίνητος. Το κατά πόσο η αμερικανική κυβέρνηση θα αναθεωρήσει – ή ενισχύσει – τη θέση της στο εγγύς μέλλον είναι κάτι που μένει να φανεί, σε ένα κλίμα που διαρκώς μεταβάλλεται και δοκιμάζει τις αντοχές του παγκόσμιου συστήματος κυβερνοασφάλειας.

Η κακόβουλη βιβλιοθήκη “automslc” στο PyPI, με περισσότερες από 100.000 λήψεις, έχει κεντρίσει το ενδιαφέρον της τεχνολογικής κοινότητας. Σύμφωνα με έκθεση των Socket researchers, η συγκεκριμένη επέκταση Python εκμεταλλεύεται σκληρά ενσωματωμένα (hardcoded) διαπιστευτήρια για να αποκτά πρόσβαση στο Deezer, μια δημοφιλή υπηρεσία streaming, παρακάμπτοντας τους όρους χρήσης της. Συγχρόνως, επικοινωνεί με έναν απομακρυσμένο διακομιστή Command and Control (C2) για να συντονίζει και να ελέγχει τις λήψεις τραγουδιών, μετατρέποντας ουσιαστικά τους χρήστες σε άθελά τους “κόμβους” πειρατείας.

Το “automslc” εμφανίζεται επιφανειακά ως εργαλείο για αυτοματοποίηση και ανάκτηση μεταδεδομένων μουσικής. Ωστόσο, κρυφά ενορχηστρώνει μαζικές λήψεις πλήρων κομματιών, αξιοποιώντας μια σειρά από Deezer APIs. Μέσω εντολών προς τον C2 server (στον οποίο στέλνει πληροφορίες όπως Deezer IDs, ISRCs και ειδικά tokens), η επέκταση αντλεί τα απαραίτητα κλειδιά και URLs για να κατεβάζει τραγούδια σε πλήρες μήκος, παραβιάζοντας κατάφωρα τους όρους της πλατφόρμας.

Με αυτήν την πρακτική, το “automslc” θέτει σοβαρά ζητήματα νομικής και ηθικής φύσης, καθώς οι χρήστες, εν αγνοία τους ή όχι, γίνονται μέρος μιας ευρύτερης πειρατικής λειτουργίας. Η ίδια η βιβλιοθήκη καταγράφει και αναμεταδίδει δεδομένα (π.χ. metadata, κρυπτογραφικά κλειδιά) προς τον απομακρυσμένο server, επιτρέποντας στον δράστη να παρακολουθεί τις λήψεις και να ελέγχει κεντρικά τις ενέργειες. Παράλληλα, τα σκληρά ενσωματωμένα διαπιστευτήρια Deezer διευκολύνουν την επανασύνδεση και την εκμετάλλευση της υπηρεσίας σε επαναλαμβανόμενη βάση.

Αρκετές λύσεις ασφαλείας ήδη εντοπίζουν και προειδοποιούν για την επέκταση, ενώ έχει υποβληθεί αίτημα αφαίρεσης στο PyPI. Στο μεταξύ, οι ειδικοί συνιστούν στους προγραμματιστές και τις ομάδες ασφαλείας να ελέγχουν προσεκτικά τις εξαρτήσεις τους, αξιοποιώντας εργαλεία όπως το Socket για έγκαιρο εντοπισμό κακόβουλων συμπεριφορών. Με τα περιστατικά κακόβουλων πακέτων να πολλαπλασιάζονται, η συστηματική ανάλυση κώδικα και η αφαίρεση ύποπτων εξαρτήσεων αποτελούν καίρια βήματα για την προστασία της εφοδιαστικής αλυσίδας λογισμικού.

Η συζήτηση για το "surveillance pricing", δηλαδή την προσαρμογή τιμών προϊόντων βάσει προσωπικών δεδομένων καταναλωτών, έχει ενταθεί στις Ηνωμένες Πολιτείες. Ο όρος αναφέρεται σε πρακτικές όπου επιχειρήσεις χρησιμοποιούν δεδομένα όπως τοποθεσία, καταναλωτικές συνήθειες και δημογραφικά χαρακτηριστικά για να καθορίσουν διαφορετικές τιμές για διαφορετικούς πελάτες. Παράλληλα, σχετικές ανησυχίες έχουν εγερθεί και για το "surveillance wages", δηλαδή τη χρήση δεδομένων για τη διαφοροποίηση μισθών εργαζομένων.

Η Καλιφόρνια, το Κολοράντο, η Τζόρτζια και το Ιλινόις συγκαταλέγονται μεταξύ των πολιτειών που προωθούν νομοθεσίες για την απαγόρευση τέτοιων πρακτικών. Στην Καλιφόρνια, ο Δημοκρατικός πολιτειακός βουλευτής Chris Ward προωθεί σχέδιο νόμου που θα απαγορεύει σε επιχειρήσεις να προσαρμόζουν τιμές βάσει ατομικών δεδομένων. Παρόμοια νομοθετικά μέτρα εισήχθησαν αυτόν τον μήνα και στις υπόλοιπες τρεις πολιτείες, με επιπλέον πρόνοια για απαγόρευση του "surveillance wages".

Πολιτικές και Καταναλωτικές Αντιδράσεις

Η συζήτηση για την εξατομικευμένη τιμολόγηση και τους αλγόριθμους καθορισμού μισθών έχει πυροδοτήσει πολιτικές αντιπαραθέσεις. Οι Δημοκρατικοί υποστηρίζουν ότι τέτοιες πρακτικές μπορούν να επιδεινώσουν τις κοινωνικές και φυλετικές ανισότητες, ενώ οι Ρεπουμπλικάνοι εμφανίζονται διστακτικοί στο να στηρίξουν νομοθετικές παρεμβάσεις.

Η Γερουσιαστής της Τζόρτζια, Nikki Merritt, υποστήριξε ότι η πρακτική αυτή μπορεί να ενισχύσει τις φυλετικές ανισότητες, καθώς οι αλγόριθμοι βασίζονται σε δεδομένα που ενδέχεται να έχουν προκαταλήψεις. Αντίστοιχα, ο πολιτειακός βουλευτής του Κολοράντο, Javier Mabrey, τόνισε πως η διακυβέρνηση Trump έχει αποδυναμώσει τους ομοσπονδιακούς καταναλωτικούς ελέγχους, αφήνοντας στα κράτη την ευθύνη να δράσουν.

Αντίθετα, ο Fred Ashton, από το American Action Forum, υποστήριξε πως η εξατομικευμένη τιμολόγηση μπορεί να έχει θετικά αποτελέσματα στην ανταγωνιστικότητα, ενώ ο πρώην πρόεδρος της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC), William Kovacic, σημείωσε ότι το φαινόμενο δεν είναι νέο – οι επιχειρήσεις πάντα χρησιμοποιούσαν διαβαθμισμένες τιμές, όπως εκπτώσεις για ηλικιωμένους ή διαφορετικές τιμές στα αεροπορικά εισιτήρια ανάλογα με τον χρόνο κράτησης.

Η Αντίδραση της FTC και το Μέλλον της Νομοθεσίας

Η FTC ξεκίνησε έρευνα για το surveillance pricing τον Ιούλιο του 2023, ζητώντας πληροφορίες από οκτώ εταιρείες σχετικά με τη χρήση προσωπικών δεδομένων για την προσαρμογή τιμών. Ωστόσο, η νέα διοίκηση υπό τον πρόεδρο Trump ανέστειλε την έρευνα τον Ιανουάριο του 2025, ακυρώνοντας το δημόσιο σχόλιο για το θέμα.

Με την ομοσπονδιακή δράση να αποδυναμώνεται, ομάδες υπέρ των καταναλωτών, όπως το Groundwork Collaborative και το Towards Justice, πιέζουν για νομοθετικές παρεμβάσεις σε επίπεδο πολιτειών. Παρά τις αντιδράσεις, η συζήτηση για το αν η εξατομικευμένη τιμολόγηση συνιστά καταναλωτική εκμετάλλευση ή απλώς εξελιγμένη επιχειρηματική στρατηγική συνεχίζεται, με τις πολιτείες να προσπαθούν να καλύψουν το ρυθμιστικό κενό.

Μια πρόσφατη έρευνα της εταιρείας κυβερνοασφάλειας Picus Security καταγράφει ανησυχητική αύξηση στις επιθέσεις κατά των διαχειριστών κωδικών πρόσβασης (password managers), με τις κυβερνοεπιθέσεις αυτού του τύπου να είναι τρεις φορές πιο πιθανές το 2024 σε σύγκριση με το προηγούμενο έτος.

Σύμφωνα με την έκθεση "Red Report 2025", η οποία ανέλυσε ένα εκατομμύριο διαφορετικά δείγματα κακόβουλου λογισμικού, το 25% των επιθέσεων στόχευε password managers ή άλλες μεθόδους αποθήκευσης κωδικών, όπως τα προγράμματα περιήγησης που επιτρέπουν την αυτόματη αποθήκευση διαπιστευτηρίων.

Η μέθοδος "SneakThief" και η νέα στρατηγική των χάκερ

Οι αναλυτές της Picus Security ανέφεραν πως η κλοπή διαπιστευτηρίων από αποθηκευμένους κωδικούς μπήκε για πρώτη φορά στη λίστα με τις δέκα κορυφαίες τακτικές του MITRE ATT&CK Framework, μιας παγκόσμιας βάσης δεδομένων που καταγράφει τις πιο επικίνδυνες τεχνικές κυβερνοεπιθέσεων.

Η νέα μέθοδος, που η εταιρεία αποκαλεί "SneakThief", βασίζεται σε κρυφές, επίμονες και αυτοματοποιημένες επιθέσεις, με τους χάκερ να χρησιμοποιούν περισσότερες από δώδεκα κακόβουλες ενέργειες για τη συλλογή δεδομένων χωρίς να γίνονται αντιληπτοί. Σύμφωνα με την έκθεση, οι κυβερνοεγκληματίες χρησιμοποιούν εξελιγμένες τεχνικές όπως:

• Memory scraping: Απόσπαση δεδομένων από τη μνήμη του συστήματος.
• Registry harvesting: Αναζήτηση και υποκλοπή κωδικών που είναι αποθηκευμένοι στο μητρώο των Windows.
• Εκμετάλλευση τοπικών και cloud-based αποθηκευτικών λύσεων κωδικών.

Ο συνιδρυτής και VP της Picus Labs, Dr. Suleyman Ozarslan, σχολίασε πως οι χάκερ εκμεταλλεύονται κάθε πιθανή αδυναμία για να αποκτήσουν πρόσβαση σε κωδικούς, περιγράφοντας το "SneakThief" ως την τέλεια ηλεκτρονική ληστεία.

Πώς να προστατευθείτε από τις επιθέσεις σε password managers

Η Picus Security συνιστά στους χρήστες των διαχειριστών κωδικών να λαμβάνουν πρόσθετα μέτρα ασφαλείας, όπως:

• Ενεργοποίηση του Multi-Factor Authentication (MFA) για πρόσβαση στους κωδικούς.
• Αποφυγή επαναχρησιμοποίησης κωδικών για διαφορετικές υπηρεσίες.
• Χρήση αξιόπιστων password managers που προσφέρουν end-to-end κρυπτογράφηση.
• Τακτική ενημέρωση των κωδικών πρόσβασης, ειδικά αν ένας έχει εκτεθεί σε διαρροή δεδομένων.

Η επίδραση της τεχνητής νοημοσύνης στις κυβερνοεπιθέσεις

Παρά τη ραγδαία ανάπτυξη της τεχνητής νοημοσύνης (AI) στον τομέα της κυβερνοασφάλειας, η έκθεση "Red Report 2025" δεν διαπίστωσε σημαντική αύξηση στη χρήση AI-driven malware το 2024. Ωστόσο, οι ειδικοί προειδοποιούν πως στο μέλλον οι κυβερνοεγκληματίες ενδέχεται να ενσωματώσουν πιο εξελιγμένες AI τεχνικές στις επιθέσεις τους.

Καθώς οι απειλές στον κυβερνοχώρο συνεχώς εξελίσσονται, η υιοθέτηση προληπτικών μέτρων ασφαλείας παραμένει η πιο αποτελεσματική στρατηγική για την προστασία προσωπικών δεδομένων και ψηφιακών ταυτοτήτων.

Η Google φαίνεται να προχωρά σε μία σημαντική αναβάθμιση ασφαλείας για τον περιηγητή Chrome, η οποία θα μπορούσε να αυτοματοποιήσει τη διαδικασία αλλαγής κωδικών πρόσβασης όταν αυτοί εντοπίζονται σε βάσεις δεδομένων παραβιάσεων. Αν και η εταιρεία χαρακτηρίζει τη νέα δυνατότητα ως «καινοτομία AI», δεν είναι απολύτως σαφές ποιος ακριβώς είναι ο ρόλος της τεχνητής νοημοσύνης στη διαδικασία.

Πώς Λειτουργεί η Νέα Δυνατότητα;

Ο γνωστός αναλυτής λογισμικού Leopeva64 εντόπισε τη νέα δυνατότητα σε πρώιμη έκδοση του Chrome Canary, της πειραματικής έκδοσης του προγράμματος περιήγησης. Η νέα επιλογή, με την ονομασία "Automated Password Change", περιγράφεται ως εξής:

"Όταν ο Chrome εντοπίζει ότι κάποιος από τους κωδικούς σας έχει παραβιαστεί, μπορεί να προσφέρει να τον αλλάξει αυτόματα όταν συνδεθείτε."

Αν και ο Chrome ήδη προειδοποιεί τους χρήστες για παραβιασμένους κωδικούς, η διαφορά τώρα είναι ότι θα μπορεί να αναλάβει αυτόματα την αλλαγή του κωδικού για λογαριασμό του χρήστη, αποθηκεύοντας τον νέο κωδικό στον Διαχειριστή Κωδικών της Google, όπου θα είναι κρυπτογραφημένος και ανέγγιχτος από τρίτους, σύμφωνα με την Google.

Πώς να Δοκιμάσετε τη Νέα Λειτουργία

Για όσους θέλουν να δοκιμάσουν τη νέα δυνατότητα:

1. Κατεβάστε την έκδοση Canary του Chrome.
2. Μεταβείτε στις ρυθμίσεις σημαίας (chrome://flags) και ενεργοποιήστε τις επιλογές:
   • "Improved password change service"
   • "Mark all credentials as leaked" (ώστε να ενεργοποιηθεί η ειδοποίηση ακόμα και αν δεν έχετε πραγματικά παραβιασμένους κωδικούς).
3. Συνδεθείτε σε οποιονδήποτε μη-Google ιστότοπο με έναν δοκιμαστικό κωδικό. Αν το σύστημα τον ανιχνεύσει ως παραβιασμένο, θα εμφανιστεί προτροπή για αλλαγή του κωδικού.

Είναι Όντως Καινοτομία AI;

Παρά την επισήμανση ως "AI innovation", δεν είναι σαφές από τα στοιχεία που έχουμε αν η τεχνητή νοημοσύνη παίζει ουσιαστικό ρόλο στη λειτουργία. Η ανίχνευση παραβιασμένων κωδικών βασίζεται ήδη σε βάσεις δεδομένων όπως το Have I Been Pwned, ενώ η δημιουργία ασφαλών κωδικών και η αποθήκευσή τους με κρυπτογράφηση είναι λειτουργίες που εδώ και χρόνια προσφέρουν οι διαχειριστές κωδικών.

Είναι πιθανό η Google να χρησιμοποιεί AI για να βελτιώσει τη δημιουργία πιο ασφαλών κωδικών ή να κάνει τη διαδικασία πιο έξυπνη και προσαρμοστική. Ωστόσο, μπορεί απλώς να πρόκειται για ένα παράδειγμα της τάσης να χαρακτηρίζονται οι ήδη υπάρχουσες λειτουργίες ως "AI-powered" για λόγους μάρκετινγκ.

Τι Σημαίνει Αυτό για τους Χρήστες;

Παρά τις απορίες για τον πραγματικό ρόλο της AI, η δυνατότητα αυτή είναι σαφώς ένα θετικό βήμα για την ενίσχυση της ασφάλειας των χρηστών. Η αυτοματοποίηση της αλλαγής κωδικών διευκολύνει τους χρήστες να διατηρούν τους λογαριασμούς τους ασφαλείς, μειώνοντας τον κίνδυνο από επαναχρησιμοποιούμενους ή παρωχημένους κωδικούς.

Αν η λειτουργία αυτή ενσωματωθεί στην τελική έκδοση του Chrome, θα προσφέρει στους χρήστες ένα ακόμα εργαλείο για την ενίσχυση της διαδικτυακής τους ασφάλειας με τον πιο απλό και αυτόματο τρόπο.

Τον Δεκέμβριο του 2023, η κυβέρνηση των ΗΠΑ διέκοψε τη λειτουργία ενός botnet που λειτουργούσε από κρατικούς χάκερ της Λαϊκής Δημοκρατίας της Κίνας (PRC). Το botnet αυτό είχε δημιουργηθεί μέσω της παραβίασης routers και καμερών ασφαλείας που χρησιμοποιούνταν σε σπίτια και μικρές επιχειρήσεις, αξιοποιώντας τις ως "zombie" συσκευές για να πραγματοποιεί επιθέσεις DDoS και να υπονομεύει κρίσιμες υποδομές.

Αυτές οι επιθέσεις ήταν δυνατές επειδή οι συσκευές είχαν φτάσει στο λεγόμενο "τέλος ζωής" τους (end of life), δηλαδή είχαν σταματήσει να λαμβάνουν ενημερώσεις λογισμικού για την αντιμετώπιση γνωστών ευπαθειών. Αυτές οι "zombie" συσκευές αποτελούν κίνδυνο όχι μόνο για τα ίδια τα δίκτυα των χρηστών, αλλά και για την εθνική ασφάλεια, καθώς μπορούν να μετατραπούν σε εργαλεία διασποράς κακόβουλου λογισμικού ή ακόμα και να ανοίξουν την πόρτα για επιθέσεις ransomware.

Πόσο Μεγάλο Είναι το Πρόβλημα;

Στο τέταρτο τρίμηνο του 2023, η εταιρεία Cloudflare σταμάτησε την μεγαλύτερη μέχρι σήμερα DDoS επίθεση, η οποία τροφοδοτήθηκε από συσκευές IoT όπως smart TVs και set-top boxes. Οι επιθέσεις αυτού του τύπου γίνονται ολοένα και πιο συχνές, καθώς πολλοί καταναλωτές αγνοούν ότι οι συνδεδεμένες συσκευές τους απαιτούν συνεχείς ενημερώσεις για να παραμείνουν ασφαλείς.

Έρευνα του Consumer Reports που πραγματοποιήθηκε τον Δεκέμβριο του 2024 αποκάλυψε ότι το 43% των Αμερικανών που αγόρασαν συνδεδεμένες συσκευές δεν γνώριζαν ότι αυτές οι συσκευές μπορεί κάποια στιγμή να σταματήσουν να λαμβάνουν ενημερώσεις λογισμικού. Επιπλέον, το 35% δήλωσε ότι ήξερε για αυτή τη δυνατότητα, ενώ το 22% δεν θυμόταν.

Τι Είναι οι Zombie Συσκευές και Πώς να τις Αναγνωρίσετε

Οι zombie συσκευές είναι συσκευές που έχουν σταματήσει να λαμβάνουν ενημερώσεις λογισμικού, αλλά παραμένουν συνδεδεμένες στο διαδίκτυο. Αυτό τις καθιστά ευάλωτες σε επιθέσεις και πιθανές πηγές κινδύνου για το δίκτυο σας. Τυπικά παραδείγματα περιλαμβάνουν:

• Routers που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας.
• Smart TVs που δεν υποστηρίζουν τις τελευταίες εκδόσεις εφαρμογών όπως το Netflix.
• Κάμερες ασφαλείας και βιντεοκουδούνια που παραμένουν ευάλωτα σε παραβιάσεις.
• Έξυπνα ηχεία που χάνουν τη δυνατότητα επικοινωνίας με ψηφιακούς βοηθούς όπως η Siri ή η Alexa.

Τα σημάδια ότι μια συσκευή έχει μετατραπεί σε zombie μπορεί να περιλαμβάνουν:

• Αργή απόδοση του δικτύου ή παράξενη συμπεριφορά της συσκευής (π.χ., ενεργοποίηση και απενεργοποίηση μόνη της).
• Μη συμβατότητα με νέες εκδόσεις εφαρμογών.
• Αδυναμία σύνδεσης ή λειτουργίας σε συνδυασμό με άλλες σύγχρονες συσκευές.

Τι Μπορούν να Κάνουν οι Καταναλωτές;

Η αφαίρεση των zombie συσκευών από το δίκτυο είναι το πρώτο βήμα. Ακόμη κι αν η συσκευή εξακολουθεί να λειτουργεί, αν δεν λαμβάνει ενημερώσεις ασφαλείας, θα πρέπει να αποσυνδεθεί από το διαδίκτυο.

Για συσκευές που παραμένουν χρήσιμες εκτός σύνδεσης, όπως έξυπνοι φούρνοι ή ψυγεία, η απενεργοποίηση της σύνδεσης στο διαδίκτυο είναι αρκετή για να αποφευχθεί η εκμετάλλευσή τους από χάκερ. Ωστόσο, για συσκευές όπως smart TVs ή έξυπνα ηχεία, η αποσύνδεση σημαίνει ότι θα χάσουν πολλές από τις βασικές τους λειτουργίες.

Ρυθμιστικές Πρωτοβουλίες και Προστασία Καταναλωτών

Η ομοσπονδιακή επιτροπή εμπορίου των ΗΠΑ (FTC) έχει αναγνωρίσει το πρόβλημα, υπογραμμίζοντας ότι η αποτυχία παροχής ενημερώσεων λογισμικού ή η έλλειψη διαφάνειας για το πόσο καιρό υποστηρίζονται οι συσκευές, συνιστούν παραβίαση της νομοθεσίας για την προστασία των καταναλωτών.

Το πρόγραμμα U.S. Cyber Trust Mark, που θα ξεκινήσει το 2025, θα απαιτεί από τους κατασκευαστές να αναφέρουν σαφώς την περίοδο υποστήριξης λογισμικού για τις συσκευές τους. Οι καταναλωτές θα μπορούν να σκανάρουν έναν QR κωδικό στη συσκευασία για να δουν πόσο καιρό ο κατασκευαστής δεσμεύεται να παρέχει ενημερώσεις.

Πώς να Προστατευθείτε

1. Ελέγξτε την υποστήριξη λογισμικού πριν αγοράσετε μια νέα συνδεδεμένη συσκευή.
2. Αποσυνδέστε από το διαδίκτυο συσκευές που έχουν φτάσει στο τέλος της υποστήριξής τους.
3. Ενημερωθείτε από τον κατασκευαστή για τις ενημερώσεις λογισμικού και την περίοδο υποστήριξης.
4. Χρησιμοποιήστε ανοικτού κώδικα λογισμικό όπου είναι δυνατόν για να επεκτείνετε τη διάρκεια ζωής παλαιότερων συσκευών.

Οι zombie συσκευές δεν είναι απλώς ένα πρόβλημα τεχνολογίας, αλλά ένας σοβαρός κίνδυνος για την ασφάλεια που μπορεί να επηρεάσει από το οικιακό σας δίκτυο έως την εθνική υποδομή. Η ενημέρωση και η πρόληψη είναι το κλειδί για την προστασία από αυτές τις αόρατες απειλές.

Οι Fabian Bräunlein και Luca Melette, ερευνητές ασφαλείας, ανακάλυψαν κατά λάθος ότι το σύστημα Radio Ripple Control, το οποίο χρησιμοποιείται για τον έλεγχο δικτυακών λειτουργιών όπως φωτισμός δρόμων και διαχείριση ενέργειας, βασίζεται σε μη κρυπτογραφημένα ραδιοσήματα. Αυτό σημαίνει ότι οποιοσδήποτε μπορεί να παρακολουθήσει, να καταγράψει και να αναπαράγει τα σήματα αυτά, δημιουργώντας κίνδυνο για την ευρωπαϊκή ενεργειακή υποδομή. Το σύστημα αυτό ελέγχει έως και 60 GW ισχύος, συμπεριλαμβανομένων μονάδων ανανεώσιμης ενέργειας και συστημάτων θέρμανσης.

Η έρευνα ξεκίνησε όταν οι Bräunlein και Melette προσπάθησαν να ανακατασκευάσουν το σύστημα ελέγχου των φώτων δρόμων στο Βερολίνο. Στη διαδικασία, ανακάλυψαν ότι το ίδιο σύστημα χρησιμοποιείται για τον έλεγχο μονάδων ανανεώσιμης ενέργειας σε ολόκληρη την Κεντρική Ευρώπη. Χρησιμοποιώντας έναν ελεγκτή ESP και μια κεραία από ασύρματο φορτιστή, κατάφεραν να μιμηθούν τα σήματα και να ελέγξουν πραγματικές ηλεκτρικές εγκαταστάσεις στο εργαστήριό τους. Αυτή η δυνατότητα ανοίγει την πόρτα για πιθανές επιθέσεις που θα μπορούσαν να διαταράξουν το δίκτυο, αν και οι ειδικοί αμφισβητούν την πρακτική εφαρμογή μιας τέτοιας επίθεσης.

Το Radio Ripple Control βασίζεται σε πρωτόκολλα όπως το Versacom και το Semagyr, τα οποία δεν προσφέρουν κρυπτογράφηση ή έλεγχο ταυτότητας. Οι ερευνητές υποστηρίζουν ότι ένας κακόβουλος χρήστης θα μπορούσε να δημιουργήσει ειδικά σχεδιασμένα ραδιοσήματα για να διαταράξει τη λειτουργία του δικτύου, αν και αυτό θα απαιτούσε σημαντική υποδομή και γνώση. Ωστόσο, η πραγματική ανησυχία είναι η χρήση ενός τόσο ευάλωτου συστήματος για τον έλεγχο κρίσιμης υποδομής.

Η αντικατάσταση του Radio Ripple Control με πιο ασφαλή τεχνολογίες, όπως το iMSys που βασίζεται στο LTE, φαίνεται να είναι η λύση. Ωστόσο, η υλοποίηση τέτοιων αλλαγών προχωρά αργά, παρά το γεγονός ότι η πόλη του Αμβούργου πρόσφατα εγκατέστησε το Radio Ripple Control. Η έλλειψη κρυπτογράφησης και ελέγχου ταυτότητας σε συστήματα που ελέγχουν τόσο μεγάλα ποσά ενέργειας αποτελεί σοβαρό κίνδυνο για την ευρωπαϊκή ενεργειακή ασφάλεια.

Ένα σοβαρό κενό ασφαλείας στο σύστημα της Subaru επέτρεπε την απομακρυσμένη παρακολούθηση, ξεκλείδωμα και εκκίνηση εκατομμυρίων αυτοκινήτων με το σύστημα Starlink. Ακόμα πιο ανησυχητικό ήταν ότι το ιστορικό τοποθεσίας των οχημάτων για έναν ολόκληρο χρόνο ήταν διαθέσιμο με ακρίβεια έως πέντε μέτρα.

Η ανακάλυψη του κενού

Ο ερευνητής ασφαλείας Sam Curry ξεκίνησε την έρευνά του, αφού συμφώνησε με τη μητέρα του να της αγοράσει ένα Subaru, με αντάλλαγμα την άδεια να το «χακάρει». Αν και η εφαρμογή MySubaru Mobile App αποδείχθηκε ασφαλής, η έρευνά του κατέληξε σε έναν sub-domain για εργαζόμενους της Subaru.

Με τη βοήθεια φίλου, εντόπισαν ένα ευάλωτο σύστημα επαναφοράς κωδικού πρόσβασης μέσω JavaScript. Ένα έγκυρο email υπαλλήλου, που βρέθηκε με μια γρήγορη αναζήτηση στο διαδίκτυο, ήταν αρκετό για να αποκτήσουν πρόσβαση. Παρόλο που το σύστημα διέθετε προστασία 2FA, αυτή παρακάμφθηκε εύκολα καθώς λειτουργούσε στην πλευρά του πελάτη και μπορούσε να αφαιρεθεί τοπικά.

Τι αποκαλύφθηκε

Μόλις αποκτήθηκε πρόσβαση, ο Curry μπόρεσε να δει τις τοποθεσίες που είχε επισκεφθεί η μητέρα του τον τελευταίο χρόνο. Δοκιμάζοντας την απομακρυσμένη λειτουργικότητα σε άλλο Subaru, κατάφεραν να προσθέσουν τον εαυτό τους ως εξουσιοδοτημένους χρήστες του οχήματος. Στη συνέχεια, έστειλαν εντολή «ξεκλειδώματος», η οποία εκτελέστηκε άμεσα, χωρίς καμία ειδοποίηση στον ιδιοκτήτη του αυτοκινήτου.

Αντίδραση της Subaru

Ο Curry ενημέρωσε άμεσα τη Subaru, η οποία διόρθωσε το πρόβλημα την επόμενη ημέρα και επιβεβαίωσε ότι δεν υπήρχαν στοιχεία κακόβουλης πρόσβασης από τρίτους. Ωστόσο, η ευκολία με την οποία εκμεταλλεύτηκαν το κενό αναδεικνύει την έλλειψη ανθεκτικότητας των συστημάτων ασφαλείας της αυτοκινητοβιομηχανίας.

Ευρύτερα ερωτήματα ασφαλείας

Ο Curry σημείωσε ότι η προσβασιμότητα και οι ανοιχτές δομές που χρησιμοποιούν οι αυτοκινητοβιομηχανίες είναι μέρος του προβλήματος. Οι υπάλληλοι συχνά έχουν υπερβολικά ευρεία πρόσβαση σε προσωπικά δεδομένα, ενώ το σύστημα βασίζεται κυρίως στην εμπιστοσύνη.

Το περιστατικό αυτό υπογραμμίζει την ανάγκη για ισχυρότερες δικλείδες ασφαλείας σε συνδεδεμένα οχήματα, καθώς και για περισσότερη διαφάνεια και προληπτικά μέτρα από τις αυτοκινητοβιομηχανίες.

Η MasterCard διόρθωσε πρόσφατα ένα σοβαρό λάθος στις ρυθμίσεις του Domain Name Server (DNS) της, το οποίο επέτρεπε την εκτροπή ή παρακολούθηση της διαδικτυακής της κυκλοφορίας μέσω ενός ανενεργού domain name. Το πρόβλημα διήρκεσε σχεδόν πέντε χρόνια, μέχρι που ο ερευνητής ασφαλείας Philippe Caturegli διέγνωσε το σφάλμα και ξόδεψε 300 δολάρια για να καταχωρίσει το domain “akam.ne”, αποτρέποντας την πιθανή εκμετάλλευσή του από κυβερνοεγκληματίες.

Η παραβίαση εντοπίστηκε στο subdomain az.mastercard.com, όπου ένα μικρό τυπογραφικό λάθος στις ρυθμίσεις DNS —αντί για “akam.net” καταχωρήθηκε το “akam.ne”— προκάλεσε τη διαρροή εκατοντάδων χιλιάδων αιτημάτων DNS καθημερινά. Εάν το domain είχε πέσει στα χέρια κακόβουλων χρηστών, αυτοί θα μπορούσαν να εκτρέψουν δεδομένα, να εκδώσουν πλαστά πιστοποιητικά SSL/TLS ή ακόμα και να αποκτήσουν πρόσβαση σε διαπιστευτήρια των χρηστών της εταιρείας.

Ο Caturegli ανέφερε το πρόβλημα απευθείας στη MasterCard αφού εξασφάλισε το domain, αποδεικνύοντας τη δέσμευσή του στην υπεύθυνη αποκάλυψη. Παρόλα αυτά, η αντίδραση της εταιρείας ήταν αμφιλεγόμενη, καθώς ισχυρίστηκε πως δεν υπήρχε ουσιαστικός κίνδυνος και ζήτησε την απόσυρση της σχετικής ανάρτησης του ερευνητή στο LinkedIn. Στην ίδια ανάρτηση, ο Caturegli δημοσίευσε δεδομένα DNS που καταδεικνύουν την κλίμακα του προβλήματος, καλώντας τις εταιρείες να μην υποτιμούν τέτοιους κινδύνους και να χειρίζονται τις αποκαλύψεις με μεγαλύτερη διαφάνεια.

Το περιστατικό αυτό υπογραμμίζει τη σημασία της σωστής διαχείρισης DNS, ειδικά σε μεγάλης κλίμακας οργανισμούς που βασίζονται σε σύνθετες υποδομές cloud. Παρόμοια περιστατικά στο παρελθόν, όπως τυπογραφικά λάθη σε AWS DNS, έχουν δείξει ότι μικρές παραλείψεις μπορούν να έχουν σοβαρές συνέπειες. Η περίπτωση της MasterCard λειτουργεί ως υπενθύμιση για τις εταιρείες να δίνουν προτεραιότητα στην ασφάλεια και την υπεύθυνη αντιμετώπιση ευρημάτων που εντοπίζουν οι ερευνητές.

Η Bambu Lab βρίσκεται στο επίκεντρο της προσοχής, καθώς η τελευταία της κίνηση να περιορίσει την πρόσβαση στα δίκτυα των X1-series 3D εκτυπωτών με νέο firmware οδήγησε σε αναπάντεχες εξελίξεις. Ο ερευνητής [hWuxH] κατάφερε να εξάγει το X.509 πιστοποιητικό και το ιδιωτικό κλειδί από την εφαρμογή Bambu Connect, αφήνοντας εκτεθειμένο το μοναδικό μέσο αυθεντικοποίησης που επιτρέπει σε λογισμικό τρίτων, όπως το OrcaSlicer, να επικοινωνήσει με τους εκτυπωτές της εταιρείας.

Η εφαρμογή Bambu Connect είναι μια βασική λύση βασισμένη στο Electron, με ελάχιστη προσπάθεια για αποτελεσματική κρυπτογράφηση και απόκρυψη κώδικα. Παρά τις απόπειρες προστασίας, το αρχείο main.js αποδομήθηκε, αποκαλύπτοντας το πιστοποιητικό και το ιδιωτικό κλειδί που κρυπτογραφούν την HTTP επικοινωνία με τον εκτυπωτή. Αυτή η αποκάλυψη αναδεικνύει το πρόβλημα της ασφάλειας μέσω απόκρυψης (security through obscurity), μια προσέγγιση που αποδεικνύεται ανεπαρκής σε τέτοιες περιπτώσεις.

Η αντίδραση της Bambu Lab είναι πλέον θέμα χρόνου, με την κοινότητα των χρηστών να περιμένει με ενδιαφέρον. Θα συνεχίσει η εταιρεία να εφαρμόζει περιοριστικά μέτρα που ουσιαστικά αποξενώνουν τους πελάτες της, ή θα επιλέξει μια πιο διαφανή και συνεργατική προσέγγιση; Μέχρι στιγμής, η στρατηγική περιορισμών έχει προκαλέσει αντιδράσεις, καθώς οι χρήστες επιθυμούν την ελευθερία να χρησιμοποιούν το υλικό που αγόρασαν με τον δικό τους τρόπο.

Η υπόθεση αυτή δεν αφορά μόνο την Bambu Lab, αλλά ανοίγει τη συζήτηση για το πώς οι εταιρείες τεχνολογίας ορίζουν τα όρια μεταξύ ασφάλειας και ελευθερίας χρήσης. Η κοινότητα αναμένει όχι μόνο μια άμεση απάντηση από την εταιρεία, αλλά και έναν επαναπροσδιορισμό της σχέσης της με τους χρήστες, προωθώντας τη διαφάνεια και τον σεβασμό στις επιλογές τους.

Ένα τεράστιο σκάνδαλο διαρροής δεδομένων έχει συγκλονίσει την αυτοκινητοβιομηχανία, καθώς η VW Group άφησε εκτεθειμένα ευαίσθητα δεδομένα 800.000 ηλεκτρικών οχημάτων (EV) σε έναν κακώς ασφαλισμένο server στο Amazon cloud. Σύμφωνα με γερμανική αναφορά, η παραβίαση περιλαμβάνει πλήρη πρόσβαση σε GPS συντεταγμένες, επίπεδα φόρτισης μπαταρίας και άλλες πληροφορίες σχετικά με την κατάσταση του οχήματος, εκθέτοντας σοβαρούς κινδύνους για την ιδιωτικότητα και την ασφάλεια των ιδιοκτητών.

Τα δεδομένα περιλαμβάνουν τόσο ιδιώτες όσο και δημόσιες προσωπικότητες, όπως πολιτικούς, αστυνομικούς και ενδεχομένως μέλη υπηρεσιών πληροφοριών, αποκαλύπτοντας καθημερινές συνήθειες και κινήσεις με ακρίβεια. Σε 466.000 περιπτώσεις, η τοποθεσία ήταν τόσο ακριβής που μπορούσε να δημιουργηθεί ένα πλήρες προφίλ για τον ιδιοκτήτη, αφήνοντας περιθώρια για εκβιασμούς ή άλλες κακόβουλες ενέργειες.

Αιτία: Λάθος λογισμικού
Το πρόβλημα εντοπίζεται σε λάθος της Cariad, θυγατρικής της VW που ασχολείται με το λογισμικό. Ένας whistleblower αποκάλυψε το σφάλμα, χρησιμοποιώντας εύκολα διαθέσιμο λογισμικό για την πρόσβαση στα δεδομένα και ενημέρωσε άμεσα τον Chaos Computer Club (CCC), τον μεγαλύτερο οργανισμό hacker στην Ευρώπη. Ο CCC, με τη σειρά του, ειδοποίησε τις αρχές και έδωσε στη VW 30 ημέρες για να επιλύσει το πρόβλημα πριν το δημοσιοποιήσει.

Παρόλο που η Cariad αντέδρασε γρήγορα και έλαβε μέτρα για να μπλοκάρει την ανεπίτρεπτη πρόσβαση, η ζημιά είχε ήδη γίνει. Σε δήλωση, η εταιρεία υποστήριξε ότι δεν εκτέθηκαν κωδικοί πρόσβασης ή στοιχεία πληρωμών, ωστόσο οι κίνδυνοι παραμένουν.

Πολιτικές και βιομηχανικές αντιδράσεις
Η είδηση προκάλεσε έντονες αντιδράσεις στη Γερμανία, με πολιτικούς να απαιτούν άμεση βελτίωση της κυβερνοασφάλειας από τις αυτοκινητοβιομηχανίες. Αυτό το περιστατικό αναδεικνύει τη δυσκολία της βιομηχανίας να προσαρμοστεί στις αυξανόμενες απαιτήσεις προστασίας δεδομένων, καθώς παρόμοια συμβάντα έχουν σημειωθεί στο παρελθόν, όπως η παραβίαση δεδομένων 2,15 εκατομμυρίων οχημάτων της Toyota στην Ιαπωνία.

Η ανάγκη για καλύτερη κυβερνοασφάλεια
Με την αυξανόμενη χρήση συνδεδεμένων υπηρεσιών στα οχήματα, η ανάγκη για ισχυρότερα μέτρα ασφαλείας είναι πιο κρίσιμη από ποτέ. Αν οι καταναλωτές δεν μπορούν να εμπιστευτούν τις εταιρείες για την προστασία των προσωπικών τους δεδομένων, ίσως αρχίσουν να απορρίπτουν τις νέες τεχνολογίες συνδεσιμότητας, επιβραδύνοντας την υιοθέτηση καινοτομιών. Οι αυτοκινητοβιομηχανίες πρέπει να δώσουν στην κυβερνοασφάλεια την ίδια προτεραιότητα με την ασφάλεια στις συγκρούσεις, προκειμένου να διατηρήσουν την εμπιστοσύνη των πελατών τους.