Η Apple φέρεται να είναι σε θέση να αναγνωρίσει έναν χρήστη από τα αναλυτικά στοιχεία που συλλέγει, σύμφωνα με ερευνητές ασφαλείας, μέσω ενός μοναδικού αναγνωριστικού που μπορεί να συσχετιστεί με τον λογαριασμό iCloud ενός χρήστη.
Η Apple θέλει να καθιερωθεί στη συνείδηση του κόσμου, ως εταιρεία που εστιάζει στο απόρρητο. Έτσι, η εισαγωγή της Διαφάνειας Παρακολούθησης Εφαρμογών, καθώς και η διαβεβαίωση ότι δεν θα συλλέγει αναγνωρίσιμα δεδομένα σχετικά με τις συνήθειες χρήσης ενός χρήστη, υποτίθεται ότι διασφαλίζει τους χρήστες ότι δεν θα παρακολουθούνται απαραίτητα και ότι τα δεδομένα τους δεν θα επεξεργαστούν με κάποιο τρόπο. Σε λεπτομέρειες που ανακάλυψαν δύο ερευνητές, φαίνεται ότι η Apple μπορεί να το κάνει.

Σε μια σειρά από tweet τη Δευτέρα, η ομάδα προγραμματισμού του iOS, με το twitter handle @Mysk_co, ερευνώντας στα συστήματα της Apple, ανακάλυψαν ένα αναγνωριστικό στα αναλυτικά δεδομένα της που αναφέρεται ως "dsid". Αργότερα διαπιστώθηκε ότι αυτό αναφέρεται σε ένα "Αναγνωριστικό υπηρεσιών καταλόγου" (Directory Services Identifier), το οποίο είναι συνδεδεμένο με έναν λογαριασμό iCloud.

Κάθε DSID μπορεί, θεωρητικά, να συνδεθεί με έναν υπάρχοντα λογαριασμό iCloud. Εάν η έρευνα είναι ακριβής και η Apple επέλεξε να το κάνει αυτό, έχει το όνομα, το email του συσχετισμένου χρήστη και άλλες λεπτομέρειες σχετικά με τον λογαριασμό.

Το αναγνωριστικό περιλαμβάνεται σε όλα τα δεδομένα αναλυτικών στοιχείων που στέλνει το App Store στην Apple, ενώ και άλλες εφαρμογές κάνουν το ίδιο πράγμα. Η ομάδα Mysk εκτιμά ότι αυτό σημαίνει ότι "η λεπτομερής συμπεριφορά σας κατά την περιήγηση σε εφαρμογές στο App Store αποστέλλεται στην Apple και περιέχει το αναγνωριστικό που απαιτείται για τη σύνδεση των δεδομένων με εσάς."

Επίσης, επισημαίνουν, ότι στη δήλωση Device Analytics & Privacy της ίδιας της Apple αναφέρει "Καμία από τις συλλεγμένες πληροφορίες δεν σας προσδιορίζει προσωπικά", η οποία χαρακτηρίζεται ως "ανακριβής".

Η Apple έχει δηλώσει στο παρελθόν και δημόσια ότι δεν ασχολείται με την πώληση δεδομένων χρηστών και εξήγησε επίσης πώς χρησιμοποιεί δεδομένα στις διαφημιστικές της πλατφόρμες. Αυτό περιλαμβάνει τους ισχυρισμούς ότι η διαφημιστική πλατφόρμα της δεν συνδέει δεδομένα χρήστη ή συσκευής με δεδομένα που συλλέγονται από τρίτα μέρη για στοχευμένη διαφήμιση και ότι δεν μοιράζεται την ταυτοποίηση συσκευής χρήστη ή συσκευής με εταιρείες συλλογής δεδομένων.

Παρά τους ισχυρισμούς ότι δεν πουλά δεδομένα και ότι εργάζεται για την ανωνυμοποίηση δεδομένων που χρησιμοποιούνται από πελάτες της διαφημιστικής της πλατφόρμας, το ζήτημα εδώ είναι ότι η Apple θα μπορούσε να χρησιμοποιήσει δυνητικά τα αναγνωρίσιμα δεδομένα για δικούς της σκοπούς και ότι υπάρχουν ενδείξεις ότι έχει τη δυνατότητα συλλογής αναγνωρίσιμων δεδομένων.

Η Αυστραλία θα εξετάσει το ενδεχόμενο απαγόρευσης των πληρωμών ransomware σε μια προσπάθεια να υπονομεύσει το "επιχειρηματικό μοντέλο" του κυβερνοεγκλήματος, δήλωσε την Κυριακή η Clare O'Neil, υπουργός Εσωτερικών Υποθέσεων και Κυβερνοασφάλειας της Αυστραλίας. Η υπουργός επιβεβαίωσε στον δημόσιο ραδιοτηλεοπτικό σταθμό της Αυστραλίας ABC ότι η κυβέρνηση εξετάζει την ποινικοποίηση των πληρωμών ransomware ως μέρος της κυβερνητικής στρατηγικής στον κυβερνοχώρο. Η ανακοίνωση ακολουθεί πολλά μεγάλα περιστατικά ασφαλείας που επηρεάζουν τη χώρα, συμπεριλαμβανομένου του πιο σημαντικού της παραβίασης δεδομένων της Medibank, ενός από τους μεγαλύτερους παρόχους ασφάλισης υγείας της χώρας.

Νωρίτερα αυτό το μήνα η Medibank δήλωσε ότι δεν θα πραγματοποιούσε πληρωμή λύτρων αφού χάκερ απέκτησαν πρόσβαση στα δεδομένα 9,7 εκατομμυρίων σημερινών και πρώην πελατών, συμπεριλαμβανομένων 1,8 εκατομμυρίων διεθνών πελατών που ζουν στο εξωτερικό. Όλα τα δεδομένα στα οποία είχαν πρόσβαση οι εγκληματίες «θα μπορούσαν να τα είχαν πάρει», είπε η εταιρεία. Αυτό περιλαμβάνει ευαίσθητα δεδομένα υγειονομικής περίθαλψης για περίπου 480.000 άτομα, συμπεριλαμβανομένων πληροφοριών σχετικά με θεραπείες εθισμού στα ναρκωτικά και αμβλώσεις. Η συνέντευξη της O'Neil ακολούθησε την ανακοίνωση της επίτροπου του AFP Reece Kershaw ότι είχαν εντοπίσει τους μεμονωμένους δράστες της επίθεσης στη Medibank και ότι ένοχος ήταν μια ομάδα με έδρα τη Ρωσία.

Παρόμοιες προτάσεις για την απαγόρευση πληρωμών ransomware έχουν διατυπωθεί διεθνώς για την αντιμετώπιση της αυξανόμενης απειλής του εκβιασμού στον κυβερνοχώρο, αλλά υπάρχουν ανησυχίες ότι κάτι τέτοιο δε θα φέρει τα αναμενόμενα αποτελέσματα.

Η ποινικοποίηση των πληρωμών ransomware θα μπορούσε να σταματήσει την ενημέρωση της κοινής γνώμης για τέτοιου είδους επιθέσεις, αναγκάζοντας τις εταιρείες να σιωπούν για περιστατικά για να αποφύγουν τον ρυθμιστικό έλεγχο. Θα μπορούσε επίσης να παράσχει στις συμμορίες ransomware έναν άλλο μοχλό για να εκβιάσουν τα θύματά τους - εάν μια εταιρεία πληρώσει μια απαίτηση για να σώσει τα δεδομένα της, οι χάκερ θα μπορούσαν ενδεχομένως να απαιτήσουν εκβιαστικά μια δεύτερη πληρωμή για να μην μιλήσουν για την πρώτη πληρωμή.

Στις περισσότερες τρέχουσες περιπτώσεις, η πραγματοποίηση πληρωμών ransomware δεν αποτελεί ποινικό αδίκημα. Ωστόσο, σε ορισμένες ομάδες κυβερνοεγκλήματος έχουν επιβληθεί κυρώσεις από το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ, πράγμα που σημαίνει ότι οι πληρωμές σε αυτές θα μπορούσαν να θεωρηθούν εγκληματικές πράξεις.

Ο ερευνητής κυβερνοασφάλειας David Schütz βρήκε κατά λάθος έναν τρόπο να παρακάμψει την οθόνη κλειδώματος στα πλήρως ενημερωμένα smartphone του, Google Pixel 6 και Pixel 5, δείχνοντας ότι ο καθένας που μπορεί να αποκτήσει φυσική πρόσβαση στη συσκευή να μπορεί να την ξεκλειδώσει.

Η εκμετάλλευση της ευπάθειας για την παράκαμψη της οθόνης κλειδώματος στα τηλέφωνα Android είναι μια απλή διαδικασία πέντε βημάτων που δεν διαρκεί περισσότερα από λίγα λεπτά. Η Google διόρθωσε το ζήτημα ασφαλείας στην τελευταία ενημέρωση Android που κυκλοφόρησε την περασμένη εβδομάδα, αλλά παρέμεινε "ελεύθερη" για εκμετάλλευση για τουλάχιστον έξι μήνες.

Ο Schütz λέει ότι ανακάλυψε το τρόπο ξεκλειδώματος τυχαία αφού το Pixel 6 του τελείωσε η μπαταρία, εισήγαγε λάθος το PIN του τρεις φορές και ανέκτησε την κλειδωμένη κάρτα SIM χρησιμοποιώντας τον κωδικό PUK (Personal Unblocking Key). Προς έκπληξή του, μετά το ξεκλείδωμα της SIM και την επιλογή ενός νέου PIN, η συσκευή δεν ζήτησε τον κωδικό πρόσβασης της οθόνης κλειδώματος, αλλά ζήτησε μόνο σάρωση δακτυλικών αποτυπωμάτων. Οι συσκευές Android ζητούν πάντα κωδικό πρόσβασης ή μοτίβο οθόνης κλειδώματος κατά την επανεκκίνηση για λόγους ασφαλείας, επομένως η απευθείας μετάβαση στο ξεκλείδωμα με δακτυλικό αποτύπωμα δεν ήταν φυσιολογική.

Ο ερευνητής συνέχισε να πειραματίζεται και όταν προσπάθησε να αναπαράγει το ελάττωμα χωρίς να επανεκκινήσει τη συσκευή, σκέφτηκε ότι ήταν δυνατό να μεταβεί κατευθείαν στην αρχική οθόνη (παράκαμψη δακτυλικού αποτυπώματος επίσης), εφόσον η συσκευή είχε ξεκλειδωθεί από τον ιδιοκτήτη τουλάχιστον μία φορά από τότε που επανεκκινήθηκε.

Ο αντίκτυπος αυτής της ευπάθειας ασφαλείας είναι αρκετά ευρύς, επηρεάζοντας όλες τις συσκευές που εκτελούν εκδόσεις Android 10, 11, 12 και 13 που δεν έχουν ενημερωθεί με τις ενημερώσεις του Νοεμβρίου 2022.

Η φυσική πρόσβαση σε μια συσκευή είναι ισχυρή προϋπόθεση. Ωστόσο, το ελάττωμα εξακολουθεί να έχει σοβαρές συνέπειες για άτομα με κακοποιητικούς συζύγους, άτομα που βρίσκονται υπό έρευνες επιβολής του νόμου, ιδιοκτήτες κλεμμένων συσκευών κ.λπ.

Ο εισβολέας μπορεί απλώς να χρησιμοποιήσει τη δική του κάρτα SIM στη συσκευή-στόχο, να πληκτρολογήσει λάθος PIN τρεις φορές, να δώσει τον αριθμό PUK και να αποκτήσει πρόσβαση στη συσκευή του θύματος χωρίς περιορισμούς.

Σύμβουλοι ασφαλείας χωρών της δύσης, προειδοποιούν τους αντιπροσώπους στη διάσκεψη κορυφής για το κλίμα COP27 να μην κατεβάσουν την επίσημη εφαρμογή smartphone της Αιγυπτιακής κυβέρνησης, λόγω φόβου ότι θα μπορούσε να χρησιμοποιηθεί για να χακάρει τα προσωπικά τους μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα κειμένου και ακόμη και φωνητικές συνομιλίες.

Πολιτικοί από τη Γερμανία, τη Γαλλία και τον Καναδά ήταν μεταξύ εκείνων που είχαν κατεβάσει την εφαρμογή έως τις 8 Νοεμβρίου, σύμφωνα με δύο δυτικούς αξιωματούχους ασφαλείας που ενημερώθηκαν για τις συζητήσεις στο πλαίσιο αυτών των αντιπροσωπειών στη σύνοδο κορυφής του ΟΗΕ για το κλίμα. Άλλες δυτικές κυβερνήσεις έχουν συμβουλεύσει τους αξιωματούχους τους να μην κάνουν λήψη της εφαρμογής. 

Η πιθανή ευπάθεια από την εφαρμογή Android, επιβεβαιώθηκε από τέσσερις ειδικούς στον τομέα της κυβερνοασφάλειας που εξέτασαν την ψηφιακή εφαρμογή για το POLITICO. Η εφαρμογή αυτή έχει ληφθεί χιλιάδες φορές και παρέχει ένα portal για τους συμμετέχοντες στο COP27. Επίσης, προωθείται ως εργαλείο που βοηθά τους συμμετέχοντες να πλοηγηθούν στην εκδήλωση. Όμως κινδυνεύει να δώσει στην αιγυπτιακή κυβέρνηση άδεια να διαβάζει τα email και τα μηνύματα των χρηστών. Ακόμη και τα μηνύματα που κοινοποιούνται μέσω κρυπτογραφημένων υπηρεσιών όπως το WhatsApp είναι ευάλωτα.

Η εφαρμογή παρέχει επίσης στο Υπουργείο Επικοινωνιών και Τεχνολογίας Πληροφοριών της Αιγύπτου, το οποίο τη δημιούργησε, άλλα λεγόμενα προνόμια backdoor ή τη δυνατότητα σάρωσης των συσκευών που την έχουν εγκατεστημένη.

Μια ερευνητική ομάδα με έδρα το Πανεπιστήμιο του Waterloo ανέπτυξε μια συσκευή που λειτουργεί με drone που μπορεί να χρησιμοποιεί δίκτυα Wi-Fi για να "βλέπει μέσα από τοίχους".

Η συσκευή, με το παρατσούκλι Wi-Peep, μπορεί να πετάξει κοντά σε ένα κτίριο και στη συνέχεια να χρησιμοποιήσει το δίκτυο Wi-Fi των κατοίκων για να αναγνωρίσει και να εντοπίσει όλες τις Wi-Fi συσκευές μέσα σε λίγα δευτερόλεπτα. Το Wi-Peep εκμεταλλεύεται ένα κενό που οι ερευνητές αποκαλούν "ευγενικό Wi-Fi" (polite Wi-Fi). Ακόμα κι αν ένα δίκτυο προστατεύεται με κωδικό πρόσβασης, οι έξυπνες συσκευές θα ανταποκρίνονται αυτόματα σε προσπάθειες επαφής από οποιαδήποτε συσκευή εντός εμβέλειας. Το Wi-Peep στέλνει πολλά μηνύματα σε μια συσκευή καθώς πετάει και στη συνέχεια μετρά τον χρόνο απόκρισης σε καθεμία, επιτρέποντάς της να αναγνωρίσει τη θέση της συσκευής με απόκλιση ενός μέτρου.

Ο Δρ Ali Abedi, επίκουρος καθηγητής της επιστήμης των υπολογιστών στο Waterloo, εξηγεί τη σημασία αυτής της ανακάλυψης.

«Οι συσκευές Wi-Peep είναι σαν φώτα στο ορατό φάσμα και οι τοίχοι είναι σαν γυαλί», είπε ο Abedi. «Χρησιμοποιώντας παρόμοια τεχνολογία, θα μπορούσε κανείς να παρακολουθεί τις κινήσεις των φυλάκων μέσα σε μια τράπεζα, παρακολουθώντας τη θέση των τηλεφώνων ή των smartwatches τους. Ομοίως, ένας κλέφτης θα μπορούσε να αναγνωρίσει τη θέση και τον τύπο των έξυπνων συσκευών σε ένα σπίτι, συμπεριλαμβανομένων των καμερών ασφαλείας, των φορητών υπολογιστών και έξυπνες τηλεοράσεις, για να βρεί έναν καλό υποψήφιο για διάρρηξη. Επιπλέον, η λειτουργία της συσκευής μέσω drone σημαίνει ότι μπορεί να χρησιμοποιηθεί γρήγορα και απομακρυσμένα χωρίς πολλές πιθανότητες να εντοπιστεί ο χρήστης».

Ενώ οι επιστήμονες έχουν εξερευνήσει την ευπάθεια ασφαλείας του Wi-Fi στο παρελθόν χρησιμοποιώντας ογκώδεις, ακριβές συσκευές, το Wi-Peep είναι αξιοσημείωτο λόγω της προσβασιμότητας και της ευκολίας μεταφοράς του. Η ομάδα του Abedi το κατασκεύασε χρησιμοποιώντας ένα drone που αγοράστηκε από κατάστημα και επιπλέον 20 δολάρια εύκολα αγοραζόμενου υλικού.

Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC), σαρώνει όλες τις συσκευές που συνδέονται στο Διαδίκτυο από το Ηνωμένο Βασίλειο για ευπάθειες.

Ο στόχος είναι να αξιολογηθεί συνολικά η αντοχή του Ηνωμένου Βασιλείου σε επιθέσεις στον κυβερνοχώρο και να βοηθηθούν οι κάτοχοι συστημάτων συνδεδεμένων στο Διαδίκτυο να κατανοήσουν την ασφαλεία τους. «Αυτές οι δραστηριότητες καλύπτουν οποιοδήποτε σύστημα προσβάσιμο στο Διαδίκτυο που φιλοξενείται στο Ηνωμένο Βασίλειο και ευπάθειες που είναι κοινές ή ιδιαίτερα σημαντικές λόγω του υψηλού αντίκτυπού τους. Το NCSC χρησιμοποιεί τα δεδομένα που έχουμε συλλέξει για να δημιουργήσει μια έκθεση για το Ηνωμένο Βασίλειο για τρωτά σημεία μετά την αποκάλυψή τους και να παρακολουθήσει την αποκατάστασή τους με την πάροδο του χρόνου».

Οι σαρώσεις του NCSC εκτελούνται χρησιμοποιώντας εργαλεία που φιλοξενούνται στο cloud από το scanner.scanning.service.ncsc.gov.uk και δύο διευθύνσεις IP (18.171.7.246 και 35.177.10.231). Ο οργανισμός λέει ότι όλοι οι ανιχνευτές ελέγχονται πρώτα στο δικό τους περιβάλλον για τον εντοπισμό τυχόν προβλημάτων πριν από τη σάρωση του Διαδικτύου του Ηνωμένου Βασιλείου. «Δεν προσπαθούμε να βρούμε τρωτά σημεία στο Ηνωμένο Βασίλειο για κάποιον άλλο, κακόβουλο σκοπό», εξήγησε ο τεχνικός διευθυντής του NCSC, Ian Levy.

"Ξεκινάμε με απλές σαρώσεις και σιγά σιγά θα αυξήσουμε την πολυπλοκότητα των σαρώσεων, εξηγώντας τι κάνουμε (και γιατί το κάνουμε)."

Η Apple σχεδιάζει να αντικαταστήσει σύντομα τους κωδικούς πρόσβασης στο Safari και το Ios με νέα τεχνολογία, καθιστώντας ακόμη και τους καλύτερους διαχειριστές κωδικών πρόσβασης σχεδόν περιττούς. Πρόκειται για την τεχνολογία passkey της Apple η οποία χρησιμοποιεί αναγνωρισμένα πρότυπα του κλάδου από τη Συμμαχία FIDO. Η Apple ήταν μέλος αυτής της συμμαχίας κατά τη διάρκεια της ανάπτυξής των συγκεκριμένων προτύπων και συνεργάστηκε με άλλες εταιρείες τεχνολογίας και παρόχους υπηρεσιών από όλο τον κόσμο για τη μείωση της γενικής εξάρτησης από τους κωδικούς πρόσβασης.

Τα πρότυπα σύνδεσης χωρίς κωδικό πρόσβασης της FIDO Alliance υποστηρίζονται ήδη από δισεκατομμύρια συσκευές και όλα τα σύγχρονα προγράμματα περιήγησης στο διαδίκτυο. Αυτό το νέο πρότυπο χωρίς κωδικούς πρόσβασης παρουσιάζει μια τεράστια σειρά πλεονεκτημάτων που οι κωδικοί πρόσβασης απλά δεν μπορούν να προσφέρουν. Επιτρέπει μια πιο απρόσκοπτη είσοδο, δίνοντας τη δυνατότητα στους χρήστες να έχουν αυτόματη πρόσβαση στα διαπιστευτήριά τους σε πολλές συσκευές, καταργώντας την ανάγκη να επαναλαμβάνουν τη διαδικασία εισόδου σε κάθε λογαριασμό.

Αυτό διασφαλίζει ότι οι χρήστες θα έχουν μια ενιαία εμπειρία ανεξάρτητα από το πρόγραμμα περιήγησης ή το λειτουργικό σύστημα που χρησιμοποιούν για να συνδεθούν. Η εμπειρία του χρήστη δε θα μπορούσε επίσης να είναι απλούστερη, καθώς επιτρέπει την είσοδο μέσω βιομετρικών στοιχείων (ανοίγει σε νέα καρτέλα) ή PIN στη συσκευή ακριβώς όπως οι χρήστες έχουν πρόσβαση στις συσκευές τους.

Ο Τζέικ Μουρ, Σύμβουλος Παγκόσμιας Κυβερνοασφάλειας της ESET αναφέρει σχετικά: «Η ανακοίνωση της Apple για τη σταδιακή κατάργηση των κωδικών πρόσβασης ακολουθεί τη γραμμή παρόμοιων δηλώσεων άλλων τεχνολογικών κολοσσών όπως η Google ή υπηρεσιών όπως η PayPal. Τα στατιστικά δείχνουν, ότι περίπου το 80% όλων των επιτυχημένων παραβιάσεων εταιρειών βασίζονται σε κλεμμένους, επαναχρησιμοποιημένους και πολύ αδύναμους κωδικούς πρόσβασης.

Οι πιο επιτυχημένες καμπάνιες spam παγκοσμίως είναι τα ψεύτικα emails στο iCloud, όπου οι χρήστες θα έκαναν κλικ σε συνδέσμους για να "επιβεβαιώσουν τα δεδομένα τους" ή "να ελέγξουν για πιθανούς κινδύνους ασφαλείας" και θα έβαζαν τα στοιχεία σύνδεσής τους σε ψεύτικους ιστότοπους.

Σχεδόν 60 χρόνια μετά την εισαγωγή τους στον κόσμο της πληροφορικής, είναι καιρός να θέσουμε σε εφαρμογή σύγχρονες μεθόδους ελέγχου ταυτότητας. Το μεγαλύτερο πλεονέκτημα τόσο για τους χρήστες όσο και για τους διαχειριστές είναι, ότι η τεχνολογία αυτή είναι ήδη διαθέσιμη στο smartphone του χρήστη. Ωστόσο, δε θα πρέπει να ενθουσιαζόμαστε υπερβολικά με την ιδέα ότι από αύριο θα έχουμε έναν κόσμο χωρίς κωδικούς πρόσβασης. Μπορεί να χρειαστεί άλλη μια δεκαετία μέχρι να προσαρμοστεί η συντριπτική πλειονότητα των υπηρεσιών και των χρηστών και σε ορισμένες περιπτώσεις, όπως σε περιβάλλοντα παραγωγής ή σε παλαιά συστήματα, μπορεί να μην είναι καν δυνατή η αντικατάσταση των συνδέσεων που βασίζονται σε κωδικούς πρόσβασης».

Ο καθηγητής πληροφορικής Moshe Y. Vardi είναι ο Senior Editor of Communications του ACM Και ανησυχεί για την κατάσταση της κυβερνοασφάλειας σήμερα. Σε άρθρο του το 2017 έγραψε τα παρακάτω:
"Λοιπόν, εδώ είμαστε, 70 χρόνια στην εποχή των υπολογιστών και μετά από τρία βραβεία ACM Turing στον τομέα της κρυπτογραφίας (αλλά κανένα στην ασφάλεια στον κυβερνοχώρο) και δεν φαίνεται ακόμα να γνωρίζουμε πώς να δημιουργήσουμε ασφαλή συστήματα πληροφοριών ." Τι θα έγραφα σήμερα; Σαφώς, θα έγραφα: «75 χρόνια», αλλά δεν θα άλλαζα λέξη στην υπόλοιπη πρόταση....

Η αργή πρόοδος στην ασφάλεια στον κυβερνοχώρο οδηγεί πολλούς στο συμπέρασμα ότι το πρόβλημα δεν οφείλεται απλώς στην έλλειψη τεχνικής λύσης, αλλά αντανακλά μια αποτυχία της αγοράς, η οποία αποθαρρύνει όσους μπορούν να διορθώσουν σοβαρά τρωτά σημεία ασφαλείας να το κάνουν. Όπως υποστήριξα το 2020, τα πεδία υπολογιστών τείνουν να επικεντρώνονται στην αποτελεσματικότητα σε βάρος της ανθεκτικότητας. Η ασφάλεια συνήθως έχει κόστος όσον αφορά την απόδοση, ένα κόστος που οι παίκτες της αγοράς φαίνεται απρόθυμοι να πληρώσουν. Για να συζητήσει το ζήτημα της αποτυχίας της αγοράς και τον τρόπο αντιμετώπισής του, η Κοινοπραξία Υπολογιστικής Κοινότητας (Computing Community Consortium) διοργάνωσε τον Αύγουστο του τρέχοντος έτους ένα εργαστήριο οραματισμού σχετικά με το Σχεδιασμό Μηχανισμών για τη Βελτίωση της Ασφάλειας Υλικού. Η εναρκτήρια ομιλία έγινε από τον Paul Rosenzweig, δικηγόρο που ειδικεύεται στο δίκαιο εθνικής ασφάλειας. Υποστήριξε ότι η τεχνολογική ανάπτυξη βασίζεται, τελικά, στην ανθρώπινη συμπεριφορά.

Έτσι, το κλειδί για την καλή ασφάλεια στον κυβερνοχώρο είναι να δοθούν κίνητρα στους ανθρώπους. Έτσι, η απάντηση βρίσκεται στα οικονομικά της κυβερνοασφάλειας, η οποία είναι, ως επί το πλείστον, ένας ιδιωτικός τομέας με πολλές εξωτερικές επιδράσεις, όπου οι τιμές δεν καλύπτουν όλο το κόστος... Όπως τόνισε η φιλόσοφος Helen Nissenbaum σε ένα άρθρο του 1996, ότι οι πωλητές υπολογιστών είναι υπεύθυνοι για την αξιοπιστία και την ασφάλεια του προϊόντος τους, η έλλειψη ευθύνης οδηγεί σε έλλειψη λογοδοσίας τους. Μας προειδοποίησε πριν από περισσότερα από 25 χρόνια για τη διάβρωση της λογοδοσίας στις ηλεκτρονικές κοινωνίες. Η ανάπτυξη της κουλτούρας «κίνηση-γρήγορα-και-σπάσε τα πράγματα» ("move-fast-and-break-things) σε αυτόν τον αιώνα δείχνει ότι η προειδοποίησή της ήταν επίκαιρη…

Εάν θέλουμε να αντιμετωπίσουμε το ζήτημα της ανασφάλειας στον κυβερνοχώρο, θα πρέπει να ξεκινήσουμε χαιρετίζοντας την ευθύνη στον τομέα των υπολογιστών.

Η κυβέρνηση Μπάιντεν θα ξεκινήσει ένα πρόγραμμα επισήμανσης κυβερνοασφάλειας για καταναλωτικές συσκευές Internet of Things από το 2023, σε μια προσπάθεια να προστατεύσει τους Αμερικανούς από «σημαντικούς κινδύνους για την εθνική ασφάλεια».
Εμπνευσμένο από το Energy Star, ένα πρόγραμμα επισήμανσης που λειτουργεί από την Υπηρεσία Προστασίας του Περιβάλλοντος και το Υπουργείο Ενέργειας των Η.Π.Α. για την προώθηση της ενεργειακής απόδοσης, ο Λευκός Οίκος σχεδιάζει να εφαρμόσει ένα παρόμοιο πρόγραμμα σήμανσης IoT στις συσκευές «υψηλού κινδύνου» από το επόμενο έτος, δήλωσε αξιωματούχος της κυβέρνησης Μπάιντεν ύστερα από συνάντηση του Συμβουλίου Εθνικής Ασφάλειας με ενώσεις καταναλωτικών προϊόντων και κατασκευαστές συσκευών. Στη συνάντηση συμμετείχαν η αξιωματούχοι του Λευκού Οίκου, η πρόεδρος της FCC, ο National Cyber Director και ο γερουσιαστής Angus King, μαζί με ανώτερα στελέχη από την Google, την Amazon, τη Samsung, τη Sony και άλλους.

Η πρωτοβουλία, που περιγράφεται από αξιωματούχους του Λευκού Οίκου ως «Energy Star για τον κυβερνοχώρο» (Energy Star for cyber), θα βοηθήσει τους Αμερικανούς να αναγνωρίσουν εάν οι συσκευές πληρούν ένα σύνολο βασικών προτύπων κυβερνοασφάλειας που τέθηκαν από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) και την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC). Αν και οι λεπτομέρειες του προγράμματος δεν έχουν ακόμη επιβεβαιωθεί, η διοίκηση είπε ότι «θα κρατήσει τα πράγματα απλά». Οι ετικέτες, οι οποίες θα «αναγνωρίζονται παγκοσμίως» και θα κάνουν το ντεμπούτο τους σε συσκευές όπως routers και οικιακές κάμερες, θα έχουν τη μορφή «barcode» που οι χρήστες μπορούν να σαρώσουν χρησιμοποιώντας το smartphone τους και όχι μια στατική χάρτινη ετικέτα. Ο σαρωμένος γραμμωτός κώδικας θα συνδέεται με πληροφορίες που βασίζονται σε πρότυπα, όπως πολιτικές ενημέρωσης λογισμικού, κρυπτογράφηση δεδομένων και αποκατάσταση ευπαθειών.

Όλοι όσοι ταξιδεύουν στο Κατάρ κατά τη διάρκεια του Παγκοσμίου Κυπέλλου ποδοσφαίρου θα κληθούν να κατεβάσουν δύο εφαρμογές που ονομάζονται Ehteraz και Hayya.

Εν συντομία, το Ehteraz είναι μια εφαρμογή παρακολούθησης του Covid-19, ενώ η Hayya είναι μια επίσημη εφαρμογή Παγκόσμιου Κυπέλλου που χρησιμοποιείται για την παρακολούθηση των εισιτηρίων των αγώνων και για την πρόσβαση στο δωρεάν Μετρό στο Κατάρ.

Συγκεκριμένα, η εφαρμογή Covid-19 Ehteraz ζητά πρόσβαση σε πολλά δικαιώματα στο κινητό σας., όπως πρόσβαση για ανάγνωση, διαγραφή ή αλλαγή όλου του περιεχομένου του τηλεφώνου, καθώς και πρόσβαση για σύνδεση σε WiFi και Bluetooth, παράκαμψη άλλων εφαρμογών και αποτροπή κλεισίματος του τηλεφώνου όταν αυτό βρίσκεται σε κατάσταση αναστολής λειτουργίας.

Η εφαρμογή Ehteraz, την οποία πρέπει να κατεβάσουν όλοι οι άνω των 18 ετών που έρχονται στο Κατάρ, λαμβάνει επίσης μια σειρά από άλλα δικαιώματα, όπως επισκόπηση της ακριβούς τοποθεσίας σας, τη δυνατότητα πραγματοποίησης απευθείας κλήσεων μέσω του τηλεφώνου σας και τη δυνατότητα απενεργοποίησης του κλειδώματος της οθόνης σας.

Η εφαρμογή Hayya δεν ζητά τόσα πολλά, αλλά ζητάει επίσης μια σειρά από κρίσιμα δικαιώματα. Μεταξύ άλλων, η εφαρμογή ζητά πρόσβαση για να μοιραστείτε τα προσωπικά σας στοιχεία χωρίς σχεδόν κανέναν περιορισμό. Επιπλέον, η εφαρμογή Hayya παρέχει πρόσβαση για τον προσδιορισμό της ακριβούς τοποθεσίας του τηλεφώνου, την αποτροπή της μετάβασης της συσκευής σε κατάσταση αναστολής λειτουργίας και την προβολή των συνδέσεων δικτύου του τηλεφώνου.

Όπως αναφέρει το Yahoo News, χρήστες της Amazon που διαθέτουν λογαριασμό στην πλατφόρμα προειδοποιούνται για μια νέα απάτη με γραπτά μηνύματα.

Οι πελάτες της Amazon ενημέρωσαν ότι λαμβάνουν γραπτά μηνύματα υποτίθεται από την Amazon, τα οποία τους ζητούν να μπουν σε ένα σύνδεσμο για να προστατέψουν τους λογαριασμούς τους μετά από μια υποτιθέμενη απόπειρα σύνδεσης.

Ωστόσο, μόλις συνδεθούν, οι απατεώνες είναι σε θέση να κλέψουν τα προσωπικά στοιχεία των χρηστών. Οι ειδικοί του οργανισμού για τα δικαιώματα των καταναλωτών “Which?”  καλούν τους πολίτες να είναι προσεκτικοί.

Ο Jake Moore, Σύμβουλος Παγκόσμιας Κυβερνοασφάλειας της ESET αναφέρει σχετικά: «Καθώς η Amazon είναι μια από τις μεγαλύτερες ιστοσελίδες αγορών στον κόσμο, οι εγκληματίες βάζουν στο στόχαστρο πελάτες και μη, στέλνοντας μεγάλο αριθμών μηνυμάτων σε ό,τι τηλεφωνικούς αριθμούς έχουν στα χέρια τους.

Οι απάτες με γραπτά μηνύματα (smishing) εξακολουθούν να αυξάνονται λόγω των περιορισμένων ελέγχων για επαλήθευση των επικοινωνιών, αλλά και γιατί φαίνεται ότι είναι πολύ εύκολο μέσα από το smishing να πείσει κανείς τους ανθρώπους να εκτελέσουν οδηγίες. Ακολουθώντας συνδέσμους από γραπτά μηνύματα μπορεί να μεταφερθείτε σε μια ιστοσελίδα που μοιάζει αυθεντική.

Ωστόσο, είναι προτιμότερο να είστε πάντα επιφυλακτικοί και να αγνοήσετε ένα τέτοιο γραπτό μήνυμα και αντ΄αυτού να προτιμήσετε την εφαρμογή που είναι εγκατεστημένη στο τηλέφωνό σας ή να επισκεφθείτε την επίσημη ιστοσελίδα για να ελέγξετε το λογαριασμό σας.

Η αποκάλυψη τραπεζικών στοιχείων ή κωδικών πρόσβασης λογαριασμού μπορεί να οδηγήσει στην κλοπή χρημάτων τα οποία οι πελάτες δε θα έχουν δικαίωμα να πάρουν πίσω».

Η Ευρώπη στοχεύει να εκτοξεύσει έναν δοκιμαστικό δορυφόρο για ασφαλείς, κβαντικά κρυπτογραφημένες επικοινωνίες το 2024», αναφέρει το Space.com. Ο δορυφόρος, Eagle-1, θα είναι το πρώτο διαστημικό σύστημα διανομής κβαντικών κλειδιών (QKD) για την Ευρωπαϊκή Ένωση και θα μπορούσε να οδηγήσει σε ένα Ευρωπαϊκό υπερασφαλές δίκτυο επικοινωνιών, σύμφωνα με δήλωση του Ευρωπαϊκού Οργανισμού Διαστήματος (ESA).

Το Eagle-1 θα περάσει τρία χρόνια σε τροχιά δοκιμάζοντας τις τεχνολογίες που απαιτούνται για μια νέα γενιά ασφαλών επικοινωνιών. Ο δορυφόρος θα επιδείξει τη σκοπιμότητα της τεχνολογίας διανομής κβαντικών κλειδιών — η οποία χρησιμοποιεί τις αρχές της κβαντικής μηχανικής για τη διανομή κλειδιών κρυπτογράφησης με τέτοιο τρόπο ώστε κάθε προσπάθεια υποκλοπής να εντοπίζεται αμέσως — εντός της ΕΕ χρησιμοποιώντας ένα σύστημα δορυφόρων.

«Η ευρωπαϊκή ασφάλεια και κυριαρχία σε έναν μελλοντικό κόσμο κβαντικών υπολογιστών είναι κρίσιμης σημασίας για την επιτυχία της Ευρώπης και των κρατών μελών της», δήλωσε στη δήλωση ο Steve Collar, Διευθύνων Σύμβουλος της SES. Πρόσθεσε ότι ο στόχος είναι «η προώθηση των κβαντικών επικοινωνιών και η ανάπτυξη του συστήματος Eagle-1 για την υποστήριξη ασφαλών και κυρίαρχων ευρωπαϊκών δικτύων του μέλλοντος».

Η SES θα ηγηθεί μιας κοινοπραξίας περισσότερων από 20 ευρωπαϊκών χωρών, σύμφωνα με τη δήλωση της ESA:
Το Eagle-1 θα αποδείξει τη σκοπιμότητα της τεχνολογίας διανομής κβαντικών κλειδιών — η οποία χρησιμοποιεί τις αρχές της κβαντικής μηχανικής για τη διανομή κλειδιών κρυπτογράφησης με τέτοιο τρόπο ώστε κάθε προσπάθεια υποκλοπής να εντοπίζεται αμέσως — εντός της ΕΕ χρησιμοποιώντας ένα σύστημα δορυφόρων. Για να γίνει αυτό, το σύστημα θα βασιστεί σε βασικές τεχνολογίες που αναπτύχθηκαν στο πλαίσιο του προγράμματος Scylight της ESA, με στόχο την επικύρωση ζωτικών εξαρτημάτων που παρέχονται εντός της ΕΕ.

Θα επιτρέψει στην ΕΕ να προετοιμαστεί για ένα κυρίαρχο, αυτόνομο διασυνοριακό κβαντικό ασφαλές δίκτυο επικοινωνιών.

Το σύστημα θα χρησιμοποιεί αρχικά ένα αναβαθμισμένο οπτικό επίγειο τερματικό από το Γερμανικό Αεροδιαστημικό Κέντρο (DLR) μαζί με ένα νέο οπτικό τερματικό εδάφους που θα αναπτυχθεί από μια ομάδα από την Ολλανδία. Ο δορυφόρος πλατφόρμας Eagle-1 της ιταλικής εταιρείας Sitael θα μεταφέρει ένα ωφέλιμο φορτίο κβαντικού κλειδιού που κατασκευάστηκε από την Tesat Spacecom της Γερμανίας και θα λειτουργεί από την SES με έδρα το Λουξεμβούργο.