Η Meta δεν είναι η μόνη εταιρία τεχνολογίας που δημιουργεί εργαλεία που βοηθούν στην εξάλειψη του τρομοκρατικού περιεχομένου από τον Παγκόσμιο Ιστό. Οι Financial Times έμαθαν ότι το Jigsaw της Google αναπτύσσει ένα δωρεάν εργαλείο για να βοηθήσει τους μικρότερους ιστότοπους να εντοπίσουν και να αφαιρέσουν εξτρεμιστικό υλικό. Το έργο, που δημιουργήθηκε με τη βοήθεια της υποστηριζόμενης από τον ΟΗΕ Tech Against Terrorism, διευκολύνει τις ομάδες συντονιστών να αντιμετωπίσουν δυνητικά παράνομο περιεχόμενο. Η προσπάθεια έχει τη βοήθεια του Παγκόσμιου Φόρουμ Διαδικτύου για την Καταπολέμηση της Τρομοκρατίας (που ιδρύθηκε από την Google, τη Meta, τη Microsoft και το Twitter), το οποίο προσφέρει μια βάση δεδομένων πολλαπλών υπηρεσιών για τρομοκρατικές υποθέσεις. Δύο ιστότοποι που δεν κατονομάζονται θα δοκιμάσουν τον κώδικα αργότερα φέτος.

Όπως και με το βοηθητικό πρόγραμμα ανοιχτού κώδικα της Meta, το εργαλείο της Google προορίζεται να βοηθήσει ιστότοπους που δεν έχουν την οικονομική δυνατότητα να αναπτύξουν αλγόριθμους ανίχνευσης τεχνητής νοημοσύνης ή να προσλάβουν αρκετό προσωπικό εποπτείας περιεχομένου. Αυτό μπορεί να είναι κρίσιμο όταν ο Νόμος για τις Ψηφιακές Υπηρεσίες της Ευρωπαϊκής Ένωσης και το επικείμενο νομοσχέδιο του Ηνωμένου Βασιλείου για την Ασφάλεια στο Διαδίκτυο θα απαιτήσουν και οι δύο από τους χειριστές του ιστότοπου να κατεβάζουν εξτρεμιστικό περιεχόμενο για να αποφύγουν τις κυρώσεις.

Τόσο η Google όσο και η Tech Against Terrorism θεωρούν το έργο τους απαραίτητο για να καλύψουν ένα χάσμα στην αντιμετώπιση της διαδικτυακής τρομοκρατικής δραστηριότητας. Οι εξτρεμιστές και οι ευαγγελιστές παραπληροφόρησης που διώχθηκαν από τις μεγάλες πλατφόρμες, συχνά στρέφονται σε μικρότερους δικτυακούς τόπους που δεν μπορούν πάντα να αστυνομεύουν επαρκώς τους χρήστες. Στην ιδανική περίπτωση, αυτό θα μειώσει τις πιθανότητες να βρουν οι τρομοκράτες αλλού ασφαλή καταφύγια.

Βέβαια υπάρχουν περιορισμοί. Ορισμένες πλατφόρμες κοινωνικής δικτύωσης ήταν απρόθυμες να μετριάσουν περιεχόμενο ακόμα και όταν οι διαχειριστές των καταστημάτων εφαρμογών λένε ότι αυτό υποκινεί τη βία. Δηλαδή, το εργαλείο της Google δεν θα είναι πολύ χρήσιμο σε ιστότοπους που δεν θέλουν να το χρησιμοποιήσουν. Επίσης, δεν θα εμποδίσει τους τρομοκράτες να μοιράζονται υλικό μέσω καλά κρυπτογραφημένων υπηρεσιών ανταλλαγής μηνυμάτων ή του Dark Web, όπου οι πάροχοι δεν μπορούν εύκολα να παρακολουθούν την ανταλλαγή δεδομένων. Μπορεί, ωστόσο, να δυσκολέψει τη μετάβαση σε άλλες εναλλακτικές λύσεις.

Την περασμένη εβδομάδα, λίγο πριν τα Χριστούγεννα, το LastPass δημοσίευσε μια ανακοίνωση βόμβα· ως αποτέλεσμα μιας παραβίασης τον Αύγουστο, που οδήγησε σε άλλη παραβίαση τον Νοέμβριο, οι χάκερ είχαν βάλει στα χέρια τους τα θησαυροφυλάκια κωδικών πρόσβασης των χρηστών. Ενώ η εταιρεία επιμένει ότι τα στοιχεία σύνδεσής σας εξακολουθούν να είναι ασφαλή, ορισμένοι ειδικοί στον τομέα της κυβερνοασφάλειας επικρίνουν έντονα τη δημοσίευσή της, λέγοντας ότι θα μπορούσε να κάνει τους ανθρώπους να αισθάνονται πιο ασφαλείς από ό,τι είναι στην πραγματικότητα και επισημαίνοντας ότι αυτό είναι μόνο το πιο πρόσφατο σε μια σειρά περιστατικών που κάνουν είναι δύσκολο να εμπιστευτείς τον διαχειριστή κωδικών πρόσβασης.

Η δήλωση της 22ας Δεκεμβρίου του LastPass ήταν «γεμάτη παραλείψεις, μισές αλήθειες και ξεκάθαρα ψέματα», αναφέρει μια ανάρτηση ιστολογίου από τον Wladimir Palant, έναν ερευνητή ασφαλείας γνωστό ότι βοήθησε στην αρχική ανάπτυξη του AdBlock Pro, μεταξύ άλλων. Μερικές από τις επικρίσεις του αφορούν τον τρόπο με τον οποίο η εταιρεία έχει πλαισιώσει το περιστατικό και πόσο διαφανές είναι· κατηγορεί την εταιρεία ότι προσπάθησε να παρουσιάσει το περιστατικό του Αυγούστου όπου το LastPass λέει ότι «κλάπηκαν μέρος του πηγαίου κώδικα και τεχνικές πληροφορίες» ως ξεχωριστή παραβίαση, όταν στην πραγματικότητα λέει ότι η εταιρεία «απέτυχε να περιορίσει» την παραβίαση.

Υπογραμμίζει επίσης την παραδοχή του LastPass ότι τα δεδομένα που διέρρευσαν περιλάμβαναν "τις διευθύνσεις IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass", λέγοντας ότι θα μπορούσε να επιτρέψει στους δυνητικά επιτιθέμενους "να δημιουργήσουν ένα πλήρες προφίλ κίνησης" πελατών εάν το LastPass καταγράφει κάθε διεύθυνση IP που χρησιμοποιούσατε με την υπηρεσία του.

Ένας άλλος ερευνητής ασφάλειας, ο Jeremi Gosney, έγραψε μια μεγάλη ανάρτηση στο Mastodon εξηγώντας τη σύστασή του να μετακινηθεί σε άλλο διαχειριστή κωδικών πρόσβασης. «Ο ισχυρισμός του LastPass περί «μηδενικής γνώσης» είναι ένα μεγάλο ψέμα», λέει, υποστηρίζοντας ότι η εταιρεία έχει «όσες γνώσεις μπορεί να έχει ένας διαχειριστής κωδικών πρόσβασης».

Το LastPass ισχυρίζεται ότι η αρχιτεκτονική «μηδενικής γνώσης» κρατά τους χρήστες ασφαλείς, επειδή η εταιρεία δεν έχει ποτέ πρόσβαση στον κύριο κωδικό πρόσβασής σας, κάτι που θα χρειαζόταν οι χάκερ για να ξεκλειδώσουν τα κλεμμένα θησαυροφυλάκια. Αν και ο Gosney δεν αμφισβητεί αυτό το συγκεκριμένο σημείο, λέει ότι η φράση είναι παραπλανητική. "Νομίζω ότι οι περισσότεροι άνθρωποι οραματίζονται το θησαυροφυλάκιό τους ως ένα είδος κρυπτογραφημένης βάσης δεδομένων όπου προστατεύεται ολόκληρο το αρχείο, αλλά όχι — με το LastPass, το θησαυροφυλάκιό σας είναι ένα αρχείο απλού κειμένου και μόνο μερικά επιλεγμένα πεδία είναι κρυπτογραφημένα."

Ο Palant σημειώνει επίσης ότι η κρυπτογράφηση αξίζει μόνο εάν οι χάκερ δεν μπορούν να σπάσουν τον κύριο κωδικό πρόσβασής σας, που αποτελεί την κύρια άμυνα του LastPass στην ανάρτησή του: εάν χρησιμοποιείτε τις οδηγίες τις υπηρεσίας για το μήκος και την ενίσχυση του κωδικού πρόσβασης και δεν τον έχετε ξαναχρησιμοποιήσει αλλού, "Θα χρειαστούν εκατομμύρια χρόνια για να βρεθεί ο κύριος κωδικός πρόσβασης χρησιμοποιώντας τη διαθέσιμη τεχνολογία εύρεσης κωδικών πρόσβασης", έγραψε ο Karim Toubba, Διευθύνων Σύμβουλος της εταιρείας.

«Αυτό προετοιμάζει το έδαφος για να κατηγορηθούν οι πελάτες», γράφει ο Palant, λέγοντας ότι «η LastPass θα πρέπει να γνωρίζει ότι οι κωδικοί πρόσβασης θα αποκρυπτογραφηθούν για τουλάχιστον ορισμένους από τους πελάτες της. Και έχουν ήδη μια βολική εξήγηση: αυτοί οι πελάτες σαφώς δεν ακολούθησαν τις βέλτιστες πρακτικές τους». Ωστόσο, επισημαίνει επίσης ότι το LastPass δεν έχει επιβάλει απαραίτητα αυτά τα πρότυπα. Παρά το γεγονός ότι έκανε τους κωδικούς πρόσβασης 12 χαρακτήρων ως προεπιλογή το 2018, ο Palant λέει: «Μπορώ να συνδεθώ με τον κωδικό πρόσβασής μου οκτώ χαρακτήρων χωρίς προειδοποιήσεις ή προτροπές να τον αλλάξω».

Το φθινόπωρο του 2020, δημοσιεύθηκαν μια σειρά φωτογραφιών σε διαδικτυακά φόρουμ. Οι φωτογραφίες ήταν συνηθισμένες, αν και μερικές φορές ήταν φωτογραφίες μέσα από σπίτια που τραβήχτηκαν από χαμηλές γωνίες - συμπεριλαμβανομένης μιας ιδιαίτερα αποκαλυπτικής φωτογραφίας μιας νεαρής γυναίκας που κάθεται στην τουαλέτα, με το σορτς της κατεβασμένο μέχρι τη μέση του μηρού.

Οι εικόνες δεν τραβήχτηκαν από άτομο, αλλά από το λογισμικό του ρομπότ της σειράς Roomba J7 της iRobot, της εταιρείας που η Amazon απέκτησε πρόσφατα για 1,7 δισεκατομμύρια δολάρια σε μια συμφωνία που ακόμα δεν έχει επικυρωθεί. Στη συνέχεια στάλθηκαν στην Scale AI, μια startup που αναθέτει συμβάσεις σε εργαζομένους σε όλο τον κόσμο για την επισήμανση δεδομένων που χρησιμοποιούνται για την εκπαίδευση της τεχνητής νοημοσύνης.

Νωρίτερα φέτος, το MIT Technology Review απέκτησε 13 στιγμιότυπα οθόνης αυτών των ιδιωτικών φωτογραφιών, οι οποίες είχαν αναρτηθεί σε κλειστές ομάδες μέσων κοινωνικής δικτύωσης. Οι εικόνες δείχνουν τη διαδεδομένη και αυξανόμενη πρακτική της κοινής χρήσης δυνητικά ευαίσθητων δεδομένων για την εκπαίδευση αλγορίθμων. Αποκαλύπτουν επίσης μια ολόκληρη αλυσίδα εφοδιασμού δεδομένων - και νέα σημεία όπου θα μπορούσαν να διαρρεύσουν προσωπικές πληροφορίες - που λίγοι καταναλωτές γνωρίζουν καν.

Το LastPass λέει ότι άγνωστοι εισβολείς παραβίασαν τον χώρο αποθήκευσης cloud χρησιμοποιώντας πληροφορίες που είχαν κλαπεί κατά τη διάρκεια ενός προηγούμενου περιστατικού ασφαλείας από τον Αύγουστο του 2022. Η εταιρεία πρόσθεσε ότι, μόλις εισήλθαν, οι παράγοντες της απειλής κατάφεραν επίσης να αποκτήσουν πρόσβαση σε δεδομένα πελατών που ήταν αποθηκευμένα στην παραβιασμένη υπηρεσία αποθήκευσης.

«Πρόσφατα εντοπίσαμε ασυνήθιστη δραστηριότητα σε μια υπηρεσία αποθήκευσης cloud τρίτων, την οποία μοιράζονται επί του παρόντος τόσο το LastPass όσο και η θυγατρική του, η GoTo», δήλωσε η εταιρεία. «Διαπιστώσαμε ότι ένα μη εξουσιοδοτημένο μέρος,  χρησιμοποιώντας πληροφορίες που ελήφθησαν στο περιστατικό του Αυγούστου του 2022, μπόρεσε να αποκτήσει πρόσβαση σε ορισμένα στοιχεία των πληροφοριών των πελατών μας».

Η Lastpass είπε ότι προσέλαβε την εταιρεία ασφαλείας Mandiant για να ερευνήσει το περιστατικό και ειδοποίησε τις αρχές επιβολής του νόμου για την επίθεση. Σημείωσε επίσης ότι οι κωδικοί πρόσβασης των πελατών δεν έχουν παραβιαστεί και «παραμένουν κρυπτογραφημένοι με ασφάλεια λόγω της αρχιτεκτονικής Zero Knowledge του LastPass».

«Εργαζόμαστε επιμελώς για να κατανοήσουμε το εύρος του περιστατικού και να εντοπίσουμε ποιες συγκεκριμένες πληροφορίες έχουν πρόσβαση», πρόσθεσε η εταιρία.

Αυτό είναι το δεύτερο περιστατικό ασφαλείας που αποκαλύπτεται από το Lastpass φέτος, αφού επιβεβαίωσε τον Αύγουστο ότι υπήρξε παραβίαση μέσω ενός παραβιασμένου λογαριασμού ενός developer της εταιρίας. Η ενημέρωση αυτή δεν έγινε άμεσα γνωστή στο ευρύ κοινό.  Σε email που στάλθηκαν σε πελάτες εκείνη την εποχή, η Lastpass επιβεβαίωσε ότι οι εισβολείς είχαν κλέψει τον πηγαίο κώδικα και τις ιδιόκτητες τεχνικές πληροφορίες από τα συστήματά της. Σε μια μεταγενέστερη ενημέρωση, η εταιρεία αποκάλυψε ότι οι εισβολείς πίσω από την παραβίαση του Αυγούστου διατήρησαν εσωτερική πρόσβαση στα συστήματά τους για τέσσερις ημέρες έως ότου εκδιώχθηκαν.

Το LastPass βρίσκεται πίσω από ένα από τα πιο δημοφιλή λογισμικά διαχείρισης κωδικών πρόσβασης, υποστηρίζοντας ότι χρησιμοποιείται από περισσότερα από 33 εκατομμύρια άτομα και 100.000 επιχειρήσεις

Η Microsoft προειδοποιεί ότι κακόβουλοι χρήστες εκμεταλλεύονται παροπλισμένους server που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας και χρησιμοποιείται σε κοινές συσκευές Internet of Things (IoT) για να στοχεύσουν οργανισμούς στον ενεργειακό τομέα.

Σε μια ανάλυση που δημοσιεύθηκε την Τρίτη, ερευνητές της Microsoft δήλωσαν ότι ανακάλυψαν ένα ευάλωτο στοιχείο ανοιχτού κώδικα στον διακομιστή ιστού Boa, το οποίο εξακολουθεί να χρησιμοποιείται ευρέως σε μια σειρά δρομολογητών και καμερών ασφαλείας, καθώς και σε δημοφιλή κιτ ανάπτυξης λογισμικού (SDK), παρά την απόσυρση του λογισμικού το 2005. Η Microsoft to αναγνώρισε κατά τη διερεύνηση μιας ύποπτης εισβολής στο ηλεκτρικό δίκτυο στην Ινδία που αναφέρθηκε για πρώτη φορά από το Recorded Future τον Απρίλιο, όπου οι Κινέζοι επιτιθέμενοι χρησιμοποίησαν συσκευές IoT για να αποκτήσουν πρόσβαση σε δίκτυα λειτουργικής τεχνολογίας (OT), που χρησιμοποιούνται για την παρακολούθηση και τον έλεγχο βιομηχανικών συστημάτων.

Η Microsoft είπε ότι εντόπισε ένα εκατομμύριο server Boa που είναι εκτεθειμένα στο Διαδίκτυο παγκοσμίως σε διάστημα μιας εβδομάδας, προειδοποιώντας ότι το ευάλωτο στοιχείο ενέχει «κίνδυνο στην εφοδιαστική αλυσίδα που μπορεί να επηρεάσει εκατομμύρια οργανισμούς και συσκευές».

Η εταιρεία πρόσθεσε ότι συνεχίζει να βλέπει εισβολείς να προσπαθούν να εκμεταλλευτούν ελαττώματα της Boa, τα οποία περιλαμβάνουν ένα σφάλμα αποκάλυψης πληροφοριών υψηλής σοβαρότητας (CVE-2021-33558) και ένα άλλο αυθαίρετο ελάττωμα πρόσβασης σε αρχεία (CVE-2017-9833).

«Οι γνωστές ευπάθειες που επηρεάζουν τέτοια στοιχεία μπορούν να επιτρέψουν σε έναν εισβολέα να συλλέγει πληροφορίες σχετικά με στοιχεία δικτύου πριν από την έναρξη επιθέσεων και να αποκτήσει πρόσβαση σε ένα δίκτυο που δεν ανιχνεύεται με την απόκτηση έγκυρων διαπιστευτηρίων», είπε η Microsoft, προσθέτοντας ότι αυτό μπορεί να επιτρέψει στους εισβολείς να κάνουν πολύ μεγάλη ζημιά μόλις ξεκινήσει η επίθεση.

Η Microsoft είπε ότι η πιο πρόσφατη επίθεση που παρατήρησε ήταν στην Tata Power τον Οκτώβριο. Αυτή η παραβίαση είχε ως αποτέλεσμα η ομάδα ransomware Hive να δημοσιεύει δεδομένα που κλάπηκαν από τον ινδικό ενεργειακό γίγαντα, τα οποία περιελάμβαναν ευαίσθητες πληροφορίες εργαζομένων, μηχανολογικά σχέδια, οικονομικά και τραπεζικά αρχεία, αρχεία πελατών και ορισμένα ιδιωτικά κλειδιά κρυπτογράφησης.

«Η Microsoft συνεχίζει να βλέπει εισβολείς να προσπαθούν να εκμεταλλευτούν τα τρωτά σημεία της Boa πέρα από το χρονικό πλαίσιο της δημοσιευμένης αναφοράς, υποδεικνύοντας ότι εξακολουθεί να στοχεύεται ως φορέας επίθεσης», δήλωσε η Microsoft.

Η εταιρεία έχει προειδοποιήσει ότι ο αντιμετώπιση των ελαττωμάτων της Boa είναι δύσκολος τόσο λόγω της συνεχιζόμενης δημοτικότητας του πλέον ανενεργού διακομιστή web όσο και της περίπλοκης φύσης του τρόπου με τον οποίο είναι ενσωματωμένος στην αλυσίδα εφοδιασμού συσκευών IoT. Η Microsoft συνιστά στους οργανισμούς και τους χειριστές δικτύων να "patchάρουν" τις ευάλωτες συσκευές όπου είναι δυνατόν, να αναγνωρίζουν συσκευές με ευάλωτα στοιχεία και να διαμορφώνουν κανόνες ανίχνευσης για τον εντοπισμό κακόβουλης δραστηριότητας.

Η προειδοποίηση της Microsoft υπογραμμίζει και πάλι τον κίνδυνο της εφοδιαστικής αλυσίδας από ελαττώματα σε ευρέως χρησιμοποιούμενες συσκευές δικτύου. Το Log4Shell, μια ευπάθεια zero-day που εντοπίστηκε πέρυσι στο Log4j, τη βιβλιοθήκη καταγραφής Apache ανοιχτού κώδικα, εκτιμάται ότι έχει επηρεάσει δυνητικά πάνω από τρία δισεκατομμύρια συσκευές.

Το The Register αναφέρει ότι οι απόπειρες phishing με στόχο θύματα στη Μέση Ανατολή αυξήθηκαν κατά 100% τον περασμένο μήνα ενόψει του Παγκοσμίου Κυπέλλου στο Κατάρ, σύμφωνα με την Trellix. Την περίοδο Σεπτέμβριος- Οκτώβριος οι επιθέσεις αυτού του τύπου διπλασιάστηκαν. Οι κακοποιοί προέβαλαν τη FIFA και άλλα δέλεαρ που σχετίζονται με το ποδόσφαιρο ως φορέα και οι ερευνητές ασφαλείας περιέγραψαν λεπτομερώς διάφορα δείγματα email που βρήκαν ελεύθερα.

Σε ένα από αυτά, το μήνυμα ηλεκτρονικού ταχυδρομείου δήθεν προερχόταν από το γραφείο υποστήριξης του FIFA Transfer Matching System, δηλαδή της διαδικτυακής πλατφόρμας για τις Ενώσεις Μελών της FIFA για την καταγραφή των μεταγραφών παικτών μεταξύ συλλόγων. Μάλιστα περιλάμβανε μια ψεύτικη ειδοποίηση ότι δήθεν ο έλεγχος ταυτότητας δύο παραγόντων είχε απενεργοποιηθεί. Στη συνέχεια παρέπεμπε το χρήστη σε έναν ιστότοπο που στην πραγματικότητα είναι υπό τον έλεγχο του δράστη, ο οποίος επιτρέπει στους απατεώνες να κλέψουν στη συνέχεια τα διαπιστευτήρια των χρηστών.

Ο Τζέικ Μουρ, Σύμβουλος Παγκόσμιας Κυβερνοασφάλειας της ESET, αναφέρει σχετικά: «Συνήθως οι μεγάλες διοργανώσεις προσελκύουν απατεώνες που προσπαθούν σε μεγάλη κλίμακα να δελεάσουν τους ανθρώπους ώστε να παραδώσουν τα διαπιστευτήρια σύνδεσης. Τα μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται στην κατάλληλη στιγμή πετυχαίνουν να φαίνονται πιο αυθεντικά στα μάτια των αποδεκτών και έτσι έχουν περισσότερες πιθανότητες να λειτουργήσουν. Για αυτό είναι σημαντικό, να είμαστε πάντα σε επιφυλακή όταν μας ζητούν να παραδώσουμε διαπιστευτήρια ή κωδικούς ελέγχου ταυτότητας δύο παραγόντων και να τα διατηρούμε ιδιωτικά».

Η Apple φέρεται να είναι σε θέση να αναγνωρίσει έναν χρήστη από τα αναλυτικά στοιχεία που συλλέγει, σύμφωνα με ερευνητές ασφαλείας, μέσω ενός μοναδικού αναγνωριστικού που μπορεί να συσχετιστεί με τον λογαριασμό iCloud ενός χρήστη.
Η Apple θέλει να καθιερωθεί στη συνείδηση του κόσμου, ως εταιρεία που εστιάζει στο απόρρητο. Έτσι, η εισαγωγή της Διαφάνειας Παρακολούθησης Εφαρμογών, καθώς και η διαβεβαίωση ότι δεν θα συλλέγει αναγνωρίσιμα δεδομένα σχετικά με τις συνήθειες χρήσης ενός χρήστη, υποτίθεται ότι διασφαλίζει τους χρήστες ότι δεν θα παρακολουθούνται απαραίτητα και ότι τα δεδομένα τους δεν θα επεξεργαστούν με κάποιο τρόπο. Σε λεπτομέρειες που ανακάλυψαν δύο ερευνητές, φαίνεται ότι η Apple μπορεί να το κάνει.

Σε μια σειρά από tweet τη Δευτέρα, η ομάδα προγραμματισμού του iOS, με το twitter handle @Mysk_co, ερευνώντας στα συστήματα της Apple, ανακάλυψαν ένα αναγνωριστικό στα αναλυτικά δεδομένα της που αναφέρεται ως "dsid". Αργότερα διαπιστώθηκε ότι αυτό αναφέρεται σε ένα "Αναγνωριστικό υπηρεσιών καταλόγου" (Directory Services Identifier), το οποίο είναι συνδεδεμένο με έναν λογαριασμό iCloud.

Κάθε DSID μπορεί, θεωρητικά, να συνδεθεί με έναν υπάρχοντα λογαριασμό iCloud. Εάν η έρευνα είναι ακριβής και η Apple επέλεξε να το κάνει αυτό, έχει το όνομα, το email του συσχετισμένου χρήστη και άλλες λεπτομέρειες σχετικά με τον λογαριασμό.

Το αναγνωριστικό περιλαμβάνεται σε όλα τα δεδομένα αναλυτικών στοιχείων που στέλνει το App Store στην Apple, ενώ και άλλες εφαρμογές κάνουν το ίδιο πράγμα. Η ομάδα Mysk εκτιμά ότι αυτό σημαίνει ότι "η λεπτομερής συμπεριφορά σας κατά την περιήγηση σε εφαρμογές στο App Store αποστέλλεται στην Apple και περιέχει το αναγνωριστικό που απαιτείται για τη σύνδεση των δεδομένων με εσάς."

Επίσης, επισημαίνουν, ότι στη δήλωση Device Analytics & Privacy της ίδιας της Apple αναφέρει "Καμία από τις συλλεγμένες πληροφορίες δεν σας προσδιορίζει προσωπικά", η οποία χαρακτηρίζεται ως "ανακριβής".

Η Apple έχει δηλώσει στο παρελθόν και δημόσια ότι δεν ασχολείται με την πώληση δεδομένων χρηστών και εξήγησε επίσης πώς χρησιμοποιεί δεδομένα στις διαφημιστικές της πλατφόρμες. Αυτό περιλαμβάνει τους ισχυρισμούς ότι η διαφημιστική πλατφόρμα της δεν συνδέει δεδομένα χρήστη ή συσκευής με δεδομένα που συλλέγονται από τρίτα μέρη για στοχευμένη διαφήμιση και ότι δεν μοιράζεται την ταυτοποίηση συσκευής χρήστη ή συσκευής με εταιρείες συλλογής δεδομένων.

Παρά τους ισχυρισμούς ότι δεν πουλά δεδομένα και ότι εργάζεται για την ανωνυμοποίηση δεδομένων που χρησιμοποιούνται από πελάτες της διαφημιστικής της πλατφόρμας, το ζήτημα εδώ είναι ότι η Apple θα μπορούσε να χρησιμοποιήσει δυνητικά τα αναγνωρίσιμα δεδομένα για δικούς της σκοπούς και ότι υπάρχουν ενδείξεις ότι έχει τη δυνατότητα συλλογής αναγνωρίσιμων δεδομένων.

Η Αυστραλία θα εξετάσει το ενδεχόμενο απαγόρευσης των πληρωμών ransomware σε μια προσπάθεια να υπονομεύσει το "επιχειρηματικό μοντέλο" του κυβερνοεγκλήματος, δήλωσε την Κυριακή η Clare O'Neil, υπουργός Εσωτερικών Υποθέσεων και Κυβερνοασφάλειας της Αυστραλίας. Η υπουργός επιβεβαίωσε στον δημόσιο ραδιοτηλεοπτικό σταθμό της Αυστραλίας ABC ότι η κυβέρνηση εξετάζει την ποινικοποίηση των πληρωμών ransomware ως μέρος της κυβερνητικής στρατηγικής στον κυβερνοχώρο. Η ανακοίνωση ακολουθεί πολλά μεγάλα περιστατικά ασφαλείας που επηρεάζουν τη χώρα, συμπεριλαμβανομένου του πιο σημαντικού της παραβίασης δεδομένων της Medibank, ενός από τους μεγαλύτερους παρόχους ασφάλισης υγείας της χώρας.

Νωρίτερα αυτό το μήνα η Medibank δήλωσε ότι δεν θα πραγματοποιούσε πληρωμή λύτρων αφού χάκερ απέκτησαν πρόσβαση στα δεδομένα 9,7 εκατομμυρίων σημερινών και πρώην πελατών, συμπεριλαμβανομένων 1,8 εκατομμυρίων διεθνών πελατών που ζουν στο εξωτερικό. Όλα τα δεδομένα στα οποία είχαν πρόσβαση οι εγκληματίες «θα μπορούσαν να τα είχαν πάρει», είπε η εταιρεία. Αυτό περιλαμβάνει ευαίσθητα δεδομένα υγειονομικής περίθαλψης για περίπου 480.000 άτομα, συμπεριλαμβανομένων πληροφοριών σχετικά με θεραπείες εθισμού στα ναρκωτικά και αμβλώσεις. Η συνέντευξη της O'Neil ακολούθησε την ανακοίνωση της επίτροπου του AFP Reece Kershaw ότι είχαν εντοπίσει τους μεμονωμένους δράστες της επίθεσης στη Medibank και ότι ένοχος ήταν μια ομάδα με έδρα τη Ρωσία.

Παρόμοιες προτάσεις για την απαγόρευση πληρωμών ransomware έχουν διατυπωθεί διεθνώς για την αντιμετώπιση της αυξανόμενης απειλής του εκβιασμού στον κυβερνοχώρο, αλλά υπάρχουν ανησυχίες ότι κάτι τέτοιο δε θα φέρει τα αναμενόμενα αποτελέσματα.

Η ποινικοποίηση των πληρωμών ransomware θα μπορούσε να σταματήσει την ενημέρωση της κοινής γνώμης για τέτοιου είδους επιθέσεις, αναγκάζοντας τις εταιρείες να σιωπούν για περιστατικά για να αποφύγουν τον ρυθμιστικό έλεγχο. Θα μπορούσε επίσης να παράσχει στις συμμορίες ransomware έναν άλλο μοχλό για να εκβιάσουν τα θύματά τους - εάν μια εταιρεία πληρώσει μια απαίτηση για να σώσει τα δεδομένα της, οι χάκερ θα μπορούσαν ενδεχομένως να απαιτήσουν εκβιαστικά μια δεύτερη πληρωμή για να μην μιλήσουν για την πρώτη πληρωμή.

Στις περισσότερες τρέχουσες περιπτώσεις, η πραγματοποίηση πληρωμών ransomware δεν αποτελεί ποινικό αδίκημα. Ωστόσο, σε ορισμένες ομάδες κυβερνοεγκλήματος έχουν επιβληθεί κυρώσεις από το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ, πράγμα που σημαίνει ότι οι πληρωμές σε αυτές θα μπορούσαν να θεωρηθούν εγκληματικές πράξεις.

Ο ερευνητής κυβερνοασφάλειας David Schütz βρήκε κατά λάθος έναν τρόπο να παρακάμψει την οθόνη κλειδώματος στα πλήρως ενημερωμένα smartphone του, Google Pixel 6 και Pixel 5, δείχνοντας ότι ο καθένας που μπορεί να αποκτήσει φυσική πρόσβαση στη συσκευή να μπορεί να την ξεκλειδώσει.

Η εκμετάλλευση της ευπάθειας για την παράκαμψη της οθόνης κλειδώματος στα τηλέφωνα Android είναι μια απλή διαδικασία πέντε βημάτων που δεν διαρκεί περισσότερα από λίγα λεπτά. Η Google διόρθωσε το ζήτημα ασφαλείας στην τελευταία ενημέρωση Android που κυκλοφόρησε την περασμένη εβδομάδα, αλλά παρέμεινε "ελεύθερη" για εκμετάλλευση για τουλάχιστον έξι μήνες.

Ο Schütz λέει ότι ανακάλυψε το τρόπο ξεκλειδώματος τυχαία αφού το Pixel 6 του τελείωσε η μπαταρία, εισήγαγε λάθος το PIN του τρεις φορές και ανέκτησε την κλειδωμένη κάρτα SIM χρησιμοποιώντας τον κωδικό PUK (Personal Unblocking Key). Προς έκπληξή του, μετά το ξεκλείδωμα της SIM και την επιλογή ενός νέου PIN, η συσκευή δεν ζήτησε τον κωδικό πρόσβασης της οθόνης κλειδώματος, αλλά ζήτησε μόνο σάρωση δακτυλικών αποτυπωμάτων. Οι συσκευές Android ζητούν πάντα κωδικό πρόσβασης ή μοτίβο οθόνης κλειδώματος κατά την επανεκκίνηση για λόγους ασφαλείας, επομένως η απευθείας μετάβαση στο ξεκλείδωμα με δακτυλικό αποτύπωμα δεν ήταν φυσιολογική.

Ο ερευνητής συνέχισε να πειραματίζεται και όταν προσπάθησε να αναπαράγει το ελάττωμα χωρίς να επανεκκινήσει τη συσκευή, σκέφτηκε ότι ήταν δυνατό να μεταβεί κατευθείαν στην αρχική οθόνη (παράκαμψη δακτυλικού αποτυπώματος επίσης), εφόσον η συσκευή είχε ξεκλειδωθεί από τον ιδιοκτήτη τουλάχιστον μία φορά από τότε που επανεκκινήθηκε.

Ο αντίκτυπος αυτής της ευπάθειας ασφαλείας είναι αρκετά ευρύς, επηρεάζοντας όλες τις συσκευές που εκτελούν εκδόσεις Android 10, 11, 12 και 13 που δεν έχουν ενημερωθεί με τις ενημερώσεις του Νοεμβρίου 2022.

Η φυσική πρόσβαση σε μια συσκευή είναι ισχυρή προϋπόθεση. Ωστόσο, το ελάττωμα εξακολουθεί να έχει σοβαρές συνέπειες για άτομα με κακοποιητικούς συζύγους, άτομα που βρίσκονται υπό έρευνες επιβολής του νόμου, ιδιοκτήτες κλεμμένων συσκευών κ.λπ.

Ο εισβολέας μπορεί απλώς να χρησιμοποιήσει τη δική του κάρτα SIM στη συσκευή-στόχο, να πληκτρολογήσει λάθος PIN τρεις φορές, να δώσει τον αριθμό PUK και να αποκτήσει πρόσβαση στη συσκευή του θύματος χωρίς περιορισμούς.

Σύμβουλοι ασφαλείας χωρών της δύσης, προειδοποιούν τους αντιπροσώπους στη διάσκεψη κορυφής για το κλίμα COP27 να μην κατεβάσουν την επίσημη εφαρμογή smartphone της Αιγυπτιακής κυβέρνησης, λόγω φόβου ότι θα μπορούσε να χρησιμοποιηθεί για να χακάρει τα προσωπικά τους μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα κειμένου και ακόμη και φωνητικές συνομιλίες.

Πολιτικοί από τη Γερμανία, τη Γαλλία και τον Καναδά ήταν μεταξύ εκείνων που είχαν κατεβάσει την εφαρμογή έως τις 8 Νοεμβρίου, σύμφωνα με δύο δυτικούς αξιωματούχους ασφαλείας που ενημερώθηκαν για τις συζητήσεις στο πλαίσιο αυτών των αντιπροσωπειών στη σύνοδο κορυφής του ΟΗΕ για το κλίμα. Άλλες δυτικές κυβερνήσεις έχουν συμβουλεύσει τους αξιωματούχους τους να μην κάνουν λήψη της εφαρμογής. 

Η πιθανή ευπάθεια από την εφαρμογή Android, επιβεβαιώθηκε από τέσσερις ειδικούς στον τομέα της κυβερνοασφάλειας που εξέτασαν την ψηφιακή εφαρμογή για το POLITICO. Η εφαρμογή αυτή έχει ληφθεί χιλιάδες φορές και παρέχει ένα portal για τους συμμετέχοντες στο COP27. Επίσης, προωθείται ως εργαλείο που βοηθά τους συμμετέχοντες να πλοηγηθούν στην εκδήλωση. Όμως κινδυνεύει να δώσει στην αιγυπτιακή κυβέρνηση άδεια να διαβάζει τα email και τα μηνύματα των χρηστών. Ακόμη και τα μηνύματα που κοινοποιούνται μέσω κρυπτογραφημένων υπηρεσιών όπως το WhatsApp είναι ευάλωτα.

Η εφαρμογή παρέχει επίσης στο Υπουργείο Επικοινωνιών και Τεχνολογίας Πληροφοριών της Αιγύπτου, το οποίο τη δημιούργησε, άλλα λεγόμενα προνόμια backdoor ή τη δυνατότητα σάρωσης των συσκευών που την έχουν εγκατεστημένη.

Μια ερευνητική ομάδα με έδρα το Πανεπιστήμιο του Waterloo ανέπτυξε μια συσκευή που λειτουργεί με drone που μπορεί να χρησιμοποιεί δίκτυα Wi-Fi για να "βλέπει μέσα από τοίχους".

Η συσκευή, με το παρατσούκλι Wi-Peep, μπορεί να πετάξει κοντά σε ένα κτίριο και στη συνέχεια να χρησιμοποιήσει το δίκτυο Wi-Fi των κατοίκων για να αναγνωρίσει και να εντοπίσει όλες τις Wi-Fi συσκευές μέσα σε λίγα δευτερόλεπτα. Το Wi-Peep εκμεταλλεύεται ένα κενό που οι ερευνητές αποκαλούν "ευγενικό Wi-Fi" (polite Wi-Fi). Ακόμα κι αν ένα δίκτυο προστατεύεται με κωδικό πρόσβασης, οι έξυπνες συσκευές θα ανταποκρίνονται αυτόματα σε προσπάθειες επαφής από οποιαδήποτε συσκευή εντός εμβέλειας. Το Wi-Peep στέλνει πολλά μηνύματα σε μια συσκευή καθώς πετάει και στη συνέχεια μετρά τον χρόνο απόκρισης σε καθεμία, επιτρέποντάς της να αναγνωρίσει τη θέση της συσκευής με απόκλιση ενός μέτρου.

Ο Δρ Ali Abedi, επίκουρος καθηγητής της επιστήμης των υπολογιστών στο Waterloo, εξηγεί τη σημασία αυτής της ανακάλυψης.

«Οι συσκευές Wi-Peep είναι σαν φώτα στο ορατό φάσμα και οι τοίχοι είναι σαν γυαλί», είπε ο Abedi. «Χρησιμοποιώντας παρόμοια τεχνολογία, θα μπορούσε κανείς να παρακολουθεί τις κινήσεις των φυλάκων μέσα σε μια τράπεζα, παρακολουθώντας τη θέση των τηλεφώνων ή των smartwatches τους. Ομοίως, ένας κλέφτης θα μπορούσε να αναγνωρίσει τη θέση και τον τύπο των έξυπνων συσκευών σε ένα σπίτι, συμπεριλαμβανομένων των καμερών ασφαλείας, των φορητών υπολογιστών και έξυπνες τηλεοράσεις, για να βρεί έναν καλό υποψήφιο για διάρρηξη. Επιπλέον, η λειτουργία της συσκευής μέσω drone σημαίνει ότι μπορεί να χρησιμοποιηθεί γρήγορα και απομακρυσμένα χωρίς πολλές πιθανότητες να εντοπιστεί ο χρήστης».

Ενώ οι επιστήμονες έχουν εξερευνήσει την ευπάθεια ασφαλείας του Wi-Fi στο παρελθόν χρησιμοποιώντας ογκώδεις, ακριβές συσκευές, το Wi-Peep είναι αξιοσημείωτο λόγω της προσβασιμότητας και της ευκολίας μεταφοράς του. Η ομάδα του Abedi το κατασκεύασε χρησιμοποιώντας ένα drone που αγοράστηκε από κατάστημα και επιπλέον 20 δολάρια εύκολα αγοραζόμενου υλικού.

Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC), σαρώνει όλες τις συσκευές που συνδέονται στο Διαδίκτυο από το Ηνωμένο Βασίλειο για ευπάθειες.

Ο στόχος είναι να αξιολογηθεί συνολικά η αντοχή του Ηνωμένου Βασιλείου σε επιθέσεις στον κυβερνοχώρο και να βοηθηθούν οι κάτοχοι συστημάτων συνδεδεμένων στο Διαδίκτυο να κατανοήσουν την ασφαλεία τους. «Αυτές οι δραστηριότητες καλύπτουν οποιοδήποτε σύστημα προσβάσιμο στο Διαδίκτυο που φιλοξενείται στο Ηνωμένο Βασίλειο και ευπάθειες που είναι κοινές ή ιδιαίτερα σημαντικές λόγω του υψηλού αντίκτυπού τους. Το NCSC χρησιμοποιεί τα δεδομένα που έχουμε συλλέξει για να δημιουργήσει μια έκθεση για το Ηνωμένο Βασίλειο για τρωτά σημεία μετά την αποκάλυψή τους και να παρακολουθήσει την αποκατάστασή τους με την πάροδο του χρόνου».

Οι σαρώσεις του NCSC εκτελούνται χρησιμοποιώντας εργαλεία που φιλοξενούνται στο cloud από το scanner.scanning.service.ncsc.gov.uk και δύο διευθύνσεις IP (18.171.7.246 και 35.177.10.231). Ο οργανισμός λέει ότι όλοι οι ανιχνευτές ελέγχονται πρώτα στο δικό τους περιβάλλον για τον εντοπισμό τυχόν προβλημάτων πριν από τη σάρωση του Διαδικτύου του Ηνωμένου Βασιλείου. «Δεν προσπαθούμε να βρούμε τρωτά σημεία στο Ηνωμένο Βασίλειο για κάποιον άλλο, κακόβουλο σκοπό», εξήγησε ο τεχνικός διευθυντής του NCSC, Ian Levy.

"Ξεκινάμε με απλές σαρώσεις και σιγά σιγά θα αυξήσουμε την πολυπλοκότητα των σαρώσεων, εξηγώντας τι κάνουμε (και γιατί το κάνουμε)."