Το Λεξικό του Χάκερ από το WIRED

Share μοιράστε

https://ee4349c9a1ef4556b260ae4f127081845dc677c0-www.googledrive.com/host/0ByAMXZl2-PZ0QUdWOWJOMTlsME0

Εισαγωγή

Το γνωστό περιοδικό τεχνολογίας (και όχι μόνο) WIRED έχει μια κατηγορία άρθρων με τίτλο Hacker Lexicon (Το Λεξικό του Χάκερ) και σε αυτήν την ιδιαίτερη θεματική κατηγορία υπάρχουν δημοσιεύσεις άρθρων που έχουν να κάνουν με το χακάρισμα (hacking) και άλλα σχετικά με αυτό θέματα.
Αν και τα θέματα των άρθρων είναι λίγο “ειδικά” και ίσως και όχι τόσο εύκολα κατανοητά από τους απλούς χρήστες του διαδικτύου, αφορούν άμεσα κάθε έναν χρήστη που συνδέεται με τον υπολογιστή του στο διαδίκτυο και γίνεται έτσι μέρος της παγκόσμιας κοινότητας του ίντερνετ.

Τα άρθρα είναι σε χρονολογική σειρά, από το πιο πρόσφατο μέχρι το πιο παλιό. Συνολικά επιλέξαμε Χ άρθρα, τα μεταφράσαμε και αναδημοσιεύουμε.

Τα άρθρα είναι τα εξής:

Καλή ανάγνωση.

 

https://bc56a4112fc01066216014460802b554312059dd-www.googledrive.com/host/0ByAMXZl2-PZ0ak5TVXFvczNZWGs

Το Λεξικό του Χάκερ: Τι είναι ο νόμος Digital Millennium Copyright Act;

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: What Is the Digital Millennium Copyright Act?”, Kim Zetter, at Security, 06.06.16, 7:00 am, Tags: Copyright, dmca, Fair Use, hacker lexicon, ownership)

WIRED

Το αίτημα για τη μεταρρύθμιση των πνευματικών δικαιωμάτων στην Αμερική έχει μεγαλώσει και έχει γίνει τόσο έντονο που τελικά το Κογκρέσο το άκουσε επιτέλους. Οι νομοθέτες έχουν παραγγείλει μια σειρά από μελέτες για να δουν πώς θα διορθώσουν αυτό που κατέληξε να είναι ένα χαλασμένο σύστημα και οι ακτιβιστές είναι συγκρατημένα αισιόδοξοι ότι αυτό θα μπορούσε να είναι το πρώτο βήμα προς την κατεύθυνση μιας μεταρρύθμισης. Η αιτία που προκάλεσε την ζημιά; Είναι ο νόμος Digital Millennium Copyright Act, DMCA (Πράξη Πνευματικών Δικαιωμάτων Ψηφιακής Χιλιετηρίδας).

Ο νόμος DMCA ψηφίστηκε το 1998 ως ένα καταστατικό αντι-πειρατείας που ουσιαστικά καθιστά παράνομη την όποια προσπάθεια καταστρατήγησης των προστατευτικών κατά της αντιγραφής (γνωστά και ως ψηφιακές κλειδαριές ή ψηφιακά κλειδώματα) που έχουν σχεδιαστεί για να αποτρέψουν τους “πειρατές” από την αναπαραγωγή και την αντιγραφή ψηφιακών έργων με πνευματικά δικαιώματα, αποτρέποντας έτσι την πώληση ή την ελεύθερη διανομή τους. Ο νόμος καθιστά επίσης παράνομη την παραγωγή ή τη διανομή εργαλείων ή τεχνικών για την παράκαμψη αυτών των ελέγχων κατά της αντιγραφής.

Αλλά στην πραγματικότητα οι επιπτώσεις αυτού του αμφιλεγόμενου νόμου υπήρξαν πολύ ευρύτερες, επιτρέποντας στους προγραμματιστές παιχνιδιών, στις εταιρίες μουσικής και κινηματογράφου και σε άλλους, να εφαρμόσουν έναν πολύ αυστηρό έλεγχο για το πώς οι καταναλωτές χρησιμοποιούν τα αντίγραφα των έργων τους που είναι με πνευματικά δικαιώματα, είτε εμποδίζοντάς σε ορισμένες περιπτώσεις τους καταναλωτές από την παραγωγή αντιγράφων των προϊόντων που έχουν αγοράζει νόμιμα για δική τους προσωπική χρήση, είτε από να εφαρμόζουν οι χρήστες jailbreaking στα smartphones τους (δες “Jailbreak, Root or Unlock Your Smartphone - FAQ”) και σε άλλες συσκευές, για να τις χρησιμοποιήσουν με τρόπους που δεν αρέσει στους κατασκευαστές.

Ο νόμος DMCA έχει δύο προβληματικά τμήματα (Sections): το Τμήμα 1201 (17 U.S. Code § 1201 - Circumvention of copyright protection systems / Καταστρατήγηση των συστημάτων προστασίας των πνευματικών δικαιωμάτων), το οποίο ασχολείται με την καταστρατήγηση στις προστασίες αντιγραφής και το Τμήμα 512 (17 U.S. Code § 512 - Limitations on liability relating to material online / Περιορισμοί στην υποχρέωση που σχετίζεται με το υλικό στο διαδίκτυο), το οποίο επιτρέπει σε έναν κάτοχο πνευματικών δικαιωμάτων να στείλει την λεγόμενη takedown notice (ειδοποίηση κατάργησης / κατεβάσματος) σε web sites και αλλού αν πιστεύει ότι δεν τηρούνται τα πνευματικά δικαιώματα. Και τα δύο αυτά Τμήματα έχουν κακοποιηθεί με την χρήση τους από τις εταιρείες για σκοπούς άσχετους με την προστασία των πνευματικών δικαιωμάτων και αυτή η κατάχρηση έχει οδηγήσει τις ομάδες υπεράσπισης πολιτικών ελευθεριών και άλλους να ζητούν τη μεταρρύθμιση του νόμου για να αποσαφηνιστεί το πεδίο εφαρμογής του. Για παράδειγμα, οι εταιρείες έχουν χρησιμοποιήσει τον νόμο για να εμποδίσουν τους ανταγωνιστές τους και για να καταπνίξουν την ελευθερία του λόγου και την έρευνα για την ασφάλεια.

Πώς Έχει Χρησιμοποιηθεί για να Βλάψει Εσένα

Η Lexmark, η κατασκευάστρια εκτυπωτών laser, χρησιμοποίησε τον νόμο DMCA το 2002 για να αποτρέψει τρίτες εταιρείες από την πώληση ξαναγεμισμένων κασετών γραφίτη (αναγόμωση toner) για τους εκτυπωτές της. Οι κασέτες της Lexmark χρησιμοποιούν έλεγχο ταυτότητας, ώστε όσες είναι μη επικυρωμένες να μην συνεργάζονται με τους εκτυπωτές της. Όμως, μια εταιρεία που ονομάζεται Static Control Components, βρήκε το πώς να κάνει την επαλήθευση να λειτουργήσει και παρήγαγε chips για να εφοδιάζει με αυτά τις ξαναγεμισμένες κασέτες που πωλούνται από εταιρείες τρίτων. Η Lexmark κατέθεσε εναντίον της μήνυση αλλά έχασε.

Η Apple χρησιμοποίησε τον νόμο DMCA το 2009 για να καταπνίξει την συζήτηση των μελών του online forum BluWiki. Όταν τα μέλη του φόρουμ ασχολήθηκαν με συζητήσεις για να βρουν τρόπους για το πώς μπορούν να ξεκλειδώσουν τα iPods τους για να συγχρονίσουν τις λίστες αναπαραγωγής μουσικής μεταξύ των iPods και των iPhones χωρίς να χρειάζεται να χρησιμοποιήσουν το iTunes, η Apple χρησιμοποίησε τον νόμο DMCA για να επιβάλλει στο φόρουμ BluWiki να κλείσει τα νήματα με την συγκεκριμένη συζήτηση. Ωστόσο, ο ιστότοπος αντιστάθηκε και η Apple τελικά υποχώρησε.

Μια μελέτη που κυκλοφόρησε φέτος από ερευνητές στο UC Berkeley και το Πανεπιστήμιο Κολούμπια, διαπίστωσε ότι περίπου το ένα τρίτο των ειδοποιήσεων κατάργησης DMCA βασίζονται σε ένα σαθρό νομικό υπόβαθρο, αυτό το βρήκαν οι ερευνητές μέσα από ένα δείγμα περίπου 108 εκατομμυρίων ειδοποιήσεων κατάργησης που εκδόθηκαν μέσα σε ένα χρονικό διάστημα (μόνο) έξι μηνών. Οι ψευδείς ειδοποιήσεις κατάργησης εμπίπτουν σε πολλές κατηγορίες, άλλο ένα παράδειγμα περιλαμβάνει έναν σταθμό ειδήσεων του Σαν Φρανσίσκο που χρησιμοποίησε μια φορά τον νόμο DMCA για να προσπαθήσει να διαγράψει μια δημοσιογραφική γκάφα. Όταν ένας από τους ραδιοτηλεοπτικούς παρουσιαστές του εξαπατήθηκε από έναν απατεώνα και ανακοίνωσε ψεύτικα ονόματα πιλότων που υποτίθεται ότι εμπλέκονταν σε μια σύγκρουση στον αέρα, ο σταθμός έστειλε ειδοποιήσεις κατάργησης DMCA στο YouTube για να αφαιρεθούν τα βίντεο που κατέγραψαν την γκάφα.

Αλλά οι ψεύτικες ειδοποιήσεις κατάργησης δεν είναι το μόνο πρόβλημα. Οι εταιρείες έχουν επίσης προσπαθήσει να χρησιμοποιήσει τον νόμο DMCA ως έναν αντι-πειρατικό νόμο για να μηνύσουν για μη εξουσιοδοτημένη πρόσβαση σε υπολογιστή. Το 2007, για παράδειγμα, η Ticketmaster μήνυσε την RMG Technologies στο πλαίσιο του νόμου DMCA για τη δημιουργία σεναρίων (scripts) που παρέκαμπταν τα CAPTCHAS και τα όρια μαζικής αγοράς εισιτηρίων για να αγοράσει γρήγορα και μαζικά εισιτήρια για εκδηλώσεις από το site της Ticketmaster για να τα μεταπουλήσει. Η Ticketmaster χρησιμοποίησε τον νόμο DMCA, αντί για τον νόμο Computer Fraud and Abuse Act, επειδή ο τελευταίος απαιτεί από την εταιρεία να αποδείξει ότι η πρόσβαση στον υπολογιστή οδήγησε σε $5.000 ή και περισσότερα, σε βλάβες στο σύστημα της Ticketmaster.

Οι εταιρείες χρησιμοποίησαν επίσης τον νόμο DMCA για να κρατήσουν δεσμευμένους τους ιδιοκτήτες οχημάτων στους εξουσιοδοτημένους εμπόρους για τα σέρβις και τις επισκευές. Η εταιρεία John Deere, για παράδειγμα, έχει αρνηθεί να ξεκλειδώσει το ιδιόκτητο λογισμικό της στα τρακτέρ της για να αφήσει τους ιδιοκτήτες φάρμας να επισκευάζουν τα δικά τους οχήματα, έχοντας έτσι τους ιδιοκτήτες τρακτέρ ομήρους με το φόβο για μηνύσεις βάσει του νόμου DMCA αν προσπαθήσουν να σπάσουν οι ίδιοι τις προστασίες του λογισμικού.

Οι περιορισμοί με βάση τον νόμο DMCA όπως αυτοί, όμως, δεν χρησιμοποιούνται μόνο για να κάνουν τους πελάτες “σκλάβους” σε εταιρείες, μπορούν επίσης να βοηθήσουν και για να αποκρύψουν αδικίες. Πέρυσι, πανεπιστημιακοί ερευνητές αποκάλυψαν ότι κάτι ύποπτο συμβαίνει με τις εκπομπές καυσαερίων της Volkswagen, αλλά δεν μπορούσαν να προσδιορίσουν τι ακριβώς ήταν αυτό που το προκαλούσε. Τελικά, οι ρυθμιστικές αρχές έμαθαν ότι η Volkswagen είχε ενσωματωμένο μυστικό κώδικα στο λογισμικό της για να βοηθά τα οχήματα της να εξαπατούν τις δοκιμές στις εκπομπών καυσαερίων. Οι επικριτές επεσήμαναν ότι αν αυτοί οι ερευνητές ή άλλοι, είχαν την ελευθερία να εξερευνήσουν το λογισμικό της Volkswagen, χωρίς την απειλή για παραβίαση του νόμου DMCA, αυτός ο “κλέφτης” κώδικας θα μπορούσε να είχε αποκαλυφθεί νωρίτερα.

Πώς Βλάπτει την Νόμιμη Έρευνα

Το θέμα με την Volkswagen καταδεικνύει ένα βασικό πρόβλημα με τον νόμο DMCA και τον στραγγαλισμό που προκαλεί στην νόμιμη έρευνα. Η κοινότητα σε θέματα ασφάλειας και η βιομηχανία λογισμικού έχει βρεθεί εδώ και καιρό κάτω από το καθεστώς όπου οι εταιρείες απειλούν με νομική δράση στο πλαίσιο του νόμου DMCA για να εμποδίζουν τους ερευνητές να αποκαλύψουν δημοσίως τα τρωτά σημεία και τις ευπάθειες στο λογισμικό που βρίσκουν/υπάρχουν στα προγράμματά τους, ιδιαίτερα όταν αυτές οι ευπάθειες είναι στους ίδιους τους μηχανισμούς προστασίας αντιγραφής που ενσωματώνουν οι εταιρείες.

Μια από τις πρώτες αμφιλεγόμενες χρήσεις του νόμου DMCA συνέβη το 2001, όταν το FBI συνέλαβε τον Ρώσο προγραμματιστή Dmitry Sklyarov στο συνέδριο χάκερ Def Con στο Λας Βέγκας, μετά που έκανε μια παρουσίαση σχετικά με την παράκαμψη του κώδικα κρυπτογράφησης της Adobe που χρησιμοποιείται για τα ηλεκτρονικά βιβλία που παράγονται με το Adobe Acrobat. Η κρυπτογράφηση εμπόδιζε τους πελάτες να κάνουν αντίγραφα των βιβλίων τους για να τα διαβάσουν σε πολλαπλά συστήματα, έτσι ο Sklyarov παρήγαγε ένα εργαλείο που παρέκαμπτε τον περιορισμό αυτό και έδωσε μια δοκιμαστική έκδοση στο συνέδριο με τις πληροφορίες για το πώς μπορούσε κάποιος να αγοράσει το πλήρες εργαλείο. Η Adobe κάλεσε το FBI να δράσει, αλλά αναγκάστηκε να ανακαλέσει την καταγγελία της, μετά που η κοινότητα ασφάλειας ξεσηκώθηκε εναντίον της σε ένδειξη διαμαρτυρίας.

Την ίδια χρονιά το Secure Digital Music Initiative, SDMI (Πρωτοβουλία για την Ψηφιακή Ασφάλιση της Μουσικής), μια κοινοπραξία εταιρειών ηχογράφησης, επιχειρήσεων καταναλωτικών ηλεκτρονικών και άλλων, στράφηκε εναντίον μιας ομάδας ερευνητών που ανακάλυψαν ελαττώματα σε μια ψηφιακή τεχνολογία ειδικής σήμανσης (digital watermarking technology) που η κοινοπραξία είχε αναπτύξει ως μέτρο για να ματαιώσει την πειρατεία. Η SDMI είχε όντως προσκαλέσει τους χάκερ και τους ερευνητές να προσπαθήσουν να νικήσουν την τεχνολογία της και μια ομάδα ερευνητών με επικεφαλής τον computer science professor Ed Felten, του Princeton University κατάφερε να βρει ελαττώματα. Αλλά όταν προσπάθησαν να παρουσιάσουν τα ευρήματά τους σε ένα συνέδριο, η SDMIT τους απείλησε με νομική δράση στο πλαίσιο του νόμου DMCA. Οι ερευνητές τελικά παρουσίασαν μερικά από τα ευρήματά τους δημοσίως, αλλά όχι πριν καταθέσουν μήνυση για παραβίαση των δικαιωμάτων τους σύμφωνα με την Πρώτη Τροποποίηση.

Κάτι παρόμοιο με την περίπτωση του Sklyarov έγινε το 2010 όταν ο George Hotz, γνωστός και ως Geohot, επινόησε και αποκάλυψε ένα hack που του επέτρεπε να παίξει σπιτικά παιχνίδια στο Sony PlayStation 3. Το hack, δυστυχώς, επέτρεπε επίσης και στον οποιονδήποτε να παίξει πειρατικά παιχνίδια στο σύστημα, έτσι η Sony εξέδωσε μια αναγκαστική αναβάθμιση του firmware για να εξαλείψει το ελάττωμα που εκμεταλλεύονταν ο Hotz. Ο Hotz όμως απάντησε με την δημοσίευση ενός δικού του firmware για το σύστημα και αποκάλυψε τα βασικά κλειδιά του συστήματος (system root keys), επιτρέποντας σε άλλους να επεμβαίνουν στο PlayStation 3 σύστημα τους με τους τρόπους που είχε χακάρει κι αυτός το δικό του. Η Sony τον μήνυσε στο πλαίσιο του νόμου DMCA και του νόμου Computer Fraud and Abuse Act, αν και τελικά υποχώρησε όταν ο Hotz συμφώνησε να μην χακάρει ξανά οποιοδήποτε προϊόν της Sony στο μέλλον ή να μην συζητήσει ξανά δημόσια τους τρόπους που το έκανε.

Απειλές στα πλαίσια του νόμου DMCA έχουν γίνει επίσης και από ερευνητές που ανακάλυψαν τα πιο σοβαρά κενά ασφαλείας στο λογισμικό.

Το 2002, η Hewlett-Packard κυνήγησε τους ερευνητές του SnoSoft που βρήκαν 22 ευπάθειες στο Tru64, το λειτουργικό σύστημα Unix που χρησιμοποιεί. Η HP κατηγόρησε αρχικά τους ερευνητές για παραβίαση βάση του νόμου DMCA, όταν το τμήμα του κώδικα για μια από τις ευπάθειες που ανακάλυψαν, εμφανίστηκε online. Αλλά η εταιρεία έκανε πίσω μετά που υπάλληλοι της HP και άλλοι προειδοποίησαν την τότε CEO, Carly Fiorina ότι η επιθετική στάση της εταιρείας θα απέτρεπε την μελλοντική έρευνα για ευπάθειες που θα μπορούσε να βοηθήσει την HP να δημιουργήσει ένα πιο ασφαλές λογισμικό.

Εξαιρέσεις από το Νόμο

Είναι λόγω των περιπτώσεων όπως αυτής -και πολλών άλλων που έχουν ως στόχο ερευνητές-, που η κοινότητα ασφάλειας έχει από καιρό προσπαθήσει να βρει εξαιρέσεις από τον νόμο DMCA που θα τους επιτρέψουν να reverse-engineer (αντίστροφη μηχανική) το λογισμικό και να αποκαλύψουν τα τρωτά σημεία που υπάρχουν στα συστήματα, χωρίς να αντιμετωπίζουν νομικές απειλές. Αυτό είναι ένα ιδιαίτερα κρίσιμο ζήτημα σχετικά με συσκευές και συστήματα που έχουν να κάνουν με απειλές και κινδύνους για την ζωή μας και με επιπτώσεις στην δημόσια ασφάλεια, όπως το λογισμικό που χρησιμοποιείται στα αυτοκίνητα και στις ιατρικές συσκευές. Οι ιδιοκτήτες αυτοκινήτων και οι ασθενείς αγωνίζονται για το δικαίωμα τους να αποκτούν πρόσβαση στο ιδιόκτητο λογισμικό που είναι ενσωματωμένο στα οχήματα τους και τις συσκευές τους, καθώς και στα δεδομένα που αυτές οι συσκευές συλλέγουν γι' αυτούς, προκειμένου να εκτιμηθεί η ασφάλεια αυτών των συστημάτων, χωρίς να φοβούνται για μια απειλή βάση του νόμου DMCA κατά την διαδικασία.

Ο Librarian of Congress (Βιβλιοθηκονόμος του Κογκρέσου), μαζί με το Copyright Office (Γραφείο Πνευματικών Δικαιωμάτων), είναι υπεύθυνοι για την έγκριση των εξαιρέσεων και όλα αυτά τα χρόνια έχουν κάνει ακριβώς αυτό για διάφορους σκοπούς. Όμως, η διαδικασία υποβολής των εξαιρέσεων είναι μακρά και επίπονη και απαιτεί ότι οι εν λόγω υποβολή των αιτήσεων παρέχει εκτενή στοιχεία αναγκαιότητας της εξαίρεσης. Και ακόμα και όταν χορηγούνται εξαιρέσεις, είναι γενικά σε ένα πολύ στενό πεδίο εφαρμογής και διαρκούν μόνο για τρία χρόνια και μετά από αυτήν την χρονική περίοδο ισχύος, θα πρέπει να ανανεωθούν ή να λήξουν. Το 2006, για παράδειγμα, ο Βιβλιοθηκονόμος ενέκρινε την πολυπόθητη εξαίρεση απαλλαγής στο να επιτρέψει στους ιδιοκτήτες smartphone να jailbreak τις συσκευές τους, προκειμένου να μπορούν να αλλάξουν πάροχο υπηρεσιών. Η απαλλαγή αυτή επεκτάθηκε το 2009 για να συμπεριλάβει και το jailbreaking για οποιονδήποτε σκοπό. Αλλά το 2013, η απαλλαγή jailbreaking για τα smartphones έληξε και δεν ανανεώθηκε.

Πέρυσι, στον απόηχο των πολλών γνωστοποιήσεων σχετικά με τα προβλήματα ασφάλειας σε λογισμικό αυτοκινήτων, ο Βιβλιοθηκονόμος του Κογκρέσου ενέκρινε την εξαίρεση για το χακάρισμα του λογισμικού αυτοκινήτου για το σκοπό της διεξαγωγής έρευνας για την καλή τη πίστει ασφάλεια και μια άλλη εξαίρεση για τους εξουσιοδοτημένους ιδιοκτήτες των οχημάτων ώστε να παρακάμπτουν τις προστασίες στο λογισμικό του οχήματος για τους σκοπούς της διάγνωσης, της επισκευής ή της νόμιμης τροποποίησης. Ομοίως, μια νέα εξαίρεση για τα ιατροτεχνολογικά προϊόντα που εγκρίθηκε πέρυσι, επιτρέπει, επίσης, στους ασθενείς να έχουν πρόσβαση στα δεδομένα που παράγονται από μια εμφυτευμένη συσκευή που κατέχουν. Αλλά χωρίς τη μεταρρύθμιση του νόμου DMCA, αυτές και άλλες εξαιρέσεις θα παραμείνουν στενά εστιασμένες και θα πρέπει να περνούν ξανά και ξανά από τη διαδικασία ανανέωσης κάθε τρία χρόνια.

Ευτυχώς, οι ερευνητές έχουν τώρα τρία χρόνια καιρό για να αποκαλύψουν σοβαρά προβλήματα με αυτά τα συστήματα, προκειμένου να συγκεντρώσουν στοιχεία που θα αποδεικνύουν ότι οι εν λόγω εξαιρέσεις χρειάζεται και πρέπει να ανανεωθούν.

 

https://e0d881ff26d1e97e92d3726fd778f7a1f9e205b2-www.googledrive.com/host/0ByAMXZl2-PZ0amY1TXU2VVNaM0E

Το Λεξικό του Χάκερ: Τι είναι το fuzzing;

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: What Is Fuzzing?”, Andy Greenberg, at Security, 06.02.16, 7:00 am, Tags: fuzzing, hacker lexicon, Hacking, malware, pedram amini, software)

Getty Images

Οι hackers μερικές φορές περιγράφουν την εργασία τους ως μια ακριβή διαδικασία μάθησης κάθε λεπτομέρειας ενός συστήματος -καλύτερα ακόμα κι από ότι μπορεί να το γνωρίζει κι ο ίδιος ο σχεδιαστής του- και έτσι φθάνουν βαθιά μέσα σε αυτό για να βρουν και να εκμεταλλευτούν τα κρυμμένα ελαττώματα του. Αλλά εξίσου συχνά, γίνεται σχεδόν το αντίθετο, μια βασικά τυχαία διαδικασία γίνεται πάνω στην μηχανή και βλέπουν το τι θα συμβεί. Ανάγοντας αυτή την τυχαία διαδικασία δοκιμών σε μια προσεκτικά εφαρμόσιμη τέχνη τύπου δοκιμής-και-λάθους, γίνεται αυτό που οι χάκερ αποκαλούν “fuzzing” -ένα ισχυρό εργαλείο για την εκμετάλλευση των τρωτών σημείων τόσο των υπολογιστών όσο και της άμυνας.

TL;DR: fuzzing είναι συνήθως η αυτοματοποιημένη διαδικασία εισαγωγής τυχαίων δεδομένων σε ένα πρόγραμμα και η ανάλυση των αποτελεσμάτων που προκύπτουν για να βρεθούν δυνητικά αξιοποιήσιμα σφάλματα.

Στον κόσμο της ασφάλειας του κυβερνοχώρου, το fuzzing είναι συνήθως η αυτοματοποιημένη διαδικασία για την εξεύρεση δυνητικά εκμεταλλεύσιμων (hackable) σφαλμάτων λογισμικού, τροφοδοτώντας τυχαία με διαφορετικές παραλλαγές από δεδομένα σε ένα πρόγραμμα στόχο, έως ότου μία από αυτές τις παραλλαγές να αποκαλύψει μια ευπάθεια. Είναι μια παλιά, αλλά όλο και πιο κοινά χρησιμοποιούμενη διαδικασία, τόσο για τους χάκερ που αναζητούν τρωτά σημεία για την αξιοποίηση τους όσο και από τους υπερασπιστές που προσπαθούν να τα βρουν πρώτοι για να τα διορθώσουν. Και σε μια εποχή που ο καθένας μπορεί να χρησιμοποιήσει ισχυρούς υπολογιστικούς πόρους για να βομβαρδίσει μια εφαρμογή-θύμα με δεδομένα-σκουπίδια σε αναζήτηση ενός bug (σφάλματος), έχει γίνει ένα ουσιαστικό μέτωπο πολέμου στην κούρσα των εξοπλισμών για τις zero-day.

Σε σύγκριση με την παραδοσιακή χρήση της αντίστροφης μηχανικής (reverse engineering), “είναι ένα είδος χαζής επιστήμης”, λέει ο Pedram Amini, προϊστάμενος τεχνολογίας της εταιρείας ασφάλειας στον κυβερνοχώρο InQuest και συν-συγγραφέας του βιβλίου “Fuzzing: Brute Force Vulnerability Discovery”. “Ρίχνεις ένα σωρό δεδομένα σε ένα πρόγραμμα, τα μεταλλάσσεις γρήγορα και στηρίζεσαι στην παρακολούθηση του λογισμικού για να βρεις όταν κάτι κακό συμβεί, αντί να κάνεις σχολαστική χαρτογράφηση της ροής δεδομένων για να βρεις ένα σφάλμα... Είναι ένας τρόπος για να πετύχεις πολλά σφάλματα μαζί πολύ γρήγορα”.

Ένας χάκερ που κάνει fuzzing στον Internet Explorer, για παράδειγμα, θα μπορούσε να τρέξει το πρόγραμμα περιήγησης της Microsoft σε ένα εργαλείο εντοπισμού σφαλμάτων, έτσι ώστε να μπορεί να παρακολουθεί κάθε εντολή που εκτελείται από το πρόγραμμα στη μνήμη του υπολογιστή. Στη συνέχεια, θα κατευθύνει το πρόγραμμα περιήγησης στον δικό του web server, έναν που είναι σχεδιασμένος για να τρέξει το πρόγραμμα fuzzing. Αυτός ο fuzzer θα δημιουργήσει χιλιάδες ή ακόμα και εκατομμύρια διαφορετικές ιστοσελίδες και θα τις φορτώσει στο στόχο, που είναι το πρόγραμμα περιήγησης, προσπαθώντας με την εφαρμογή της μιας μεταβολής μετά την άλλη στον κώδικα HTML και στα JavaScript, για να δει πώς ανταποκρίνεται το πρόγραμμα περιήγησης. Μετά από μέρες ή ακόμα και εβδομάδες ή μήνες από αυτές τις αυτοματοποιημένες δοκιμές, ο χάκερ θα έχει καταγραφές από τις χιλιάδες φορές που το πρόγραμμα περιήγησης κατέρρευσε, καθώς προσπαθούσε να απαντήσει σε κάθε μια από αυτές τις εισαγωγές.

Αυτές οι καταρρεύσεις από μόνες τους δεν είναι τόσο χρήσιμες για επιθέσεις όσο ως απλές ενοχλήσεις, ο πραγματικός στόχος του fuzzing δεν είναι απλώς να καταρρεύσει ένα πρόγραμμα, αλλά για να το παραβιάσεις. Έτσι, ένας χάκερ θα ξεχωρίσει τις διάφορες εισαγωγές fuzz, που οδήγησαν σε καταρρεύσεις για να δει το τι είδους σφάλματα προκαλούνται. Για κάποιο μικρό σύνολο από περιπτώσεις, αυτές οι καταρρεύσεις μπορεί να συμβαίνουν για κάποιον ενδιαφέροντα λόγο -για παράδειγμα, επειδή η είσοδος προκάλεσε στο πρόγραμμα την εκτέλεση εντολών που αποθηκεύονται σε λάθος μέρος στη μνήμη. Και σε αυτές τις περιπτώσεις ο χάκερ θα μπορούσε κατά καιρούς να είναι σε θέση να γράψει τις δικές του εντολές σε αυτήν τη θέση μνήμης, ξεγελώντας το πρόγραμμα να κάνει αυτό που θέλει αυτός- κάτι που είναι το ιερό δισκοπότηρο της πειρατείας, γνωστό ως εκτέλεση κώδικα (code execution). “Τραντάζεις ένα δέντρο πραγματικά δυνατά και χρησιμοποιείς μια σειρά από φίλτρα που μαζεύουν ότι πέφτει”, λέει ο Amini. “Τελικά θα ξεχωρίσουν τα φρούτα, που θα πέσουν ανάμεσα στα άλλα”.

Η μέθοδος fuzzing είναι η χρήση τυχαίων πακέτων από δεδομένα για να ξεθάψεις τα σφάλματα που συμβαίνουν ως ατυχήματα. Το 1987, ο professor Barton Miller στο University of Wisconsin στο Madison προσπαθούσε να χρησιμοποιήσει την επιφάνεια εργασίας του υπολογιστή VAX που ήταν στο γραφείο του μέσω ενός τερματικού από το σπίτι του. Αλλά συνδέονταν με το μηχάνημα UNIX πάνω από μια τηλεφωνική γραμμή χρησιμοποιώντας ένα παλιομοδίτικο μόντεμ χωρίς διόρθωση σφαλμάτων και μια καταιγίδα έβαζε θόρυβο πάνω στις εντολές που πληκτρολογούσε. Τα προγράμματα πάνω στον VAX κατέρρεαν. “Χμμμμ, αυτό φαίνεται παράξενο και μάλλον θα πρέπει να το μελετήσουμε”, σκέφτηκε.

Με μια ομάδα φοιτητών, ο Miller δημιούργησε το πρώτο εργαλείο fuzzing κατασκευασμένο με εδικό σκοπό για να προσπαθήσει να εκμεταλλευτεί την μέθοδο του του να πέφτεις τυχαία πάνω σε κενά ασφαλείας και υπέβαλε μια εργασία σχετικά με αυτό σε συνέδρια. “Η κοινότητα λογισμικού έπεσε πάνω μου να με φάει. 'Πού είναι το τυπικό σου μοντέλο;” Μου είπαν. Ήθελα να τους πω ότι 'Απλά προσπαθώ να βρω σφάλματα'. Ήταν σαν να περπατούσα πάνω σε αναμμένα κάρβουνα”, θυμάται. “Σήμερα, αν είσαι ένας χάκερ που προσπαθεί να σπάσει ένα σύστημα, το πρώτο πράγμα που θα κάνεις είναι μια δοκιμή fuzz πάνω του”. (βλ. “Fuzz Testing of Application Reliability”, UW-MADISON, Computer Sciences)

Στην πραγματικότητα, το fuzzing έχει εξελιχθεί από μια τεχνική χαμηλού προϋπολογισμού που χρησιμοποιούνταν από μεμονωμένους χάκερ σε ένα είδος βασικού τμήματος ελέγχου ασφάλειας που εκτελείται από μεγάλες εταιρείες για τον δικό τους κώδικα. Οι μεμονωμένοι hackers μπορούν να χρησιμοποιήσουν υπηρεσίες όπως αυτή της Amazon, για να θέσουν στρατιές εκατοντάδων υπολογιστών που θα κάνουν fuzz δοκιμή σε ένα πρόγραμμα παράλληλα. Και τώρα εταιρείες όπως η Google αφιερώνουν επίσης τους δικούς τους σημαντικούς πόρους από τους server τους για να ρίχνουν τυχαίο κώδικα σε προγράμματα για να βρουν τις αδυναμίες τους και πιο πρόσφατα χρησιμοποιούν μαζί με το fuzzing και την μηχανική μάθηση (machine learning) για να βελτιώσουν τη διαδικασία. Εταιρείες όπως η Peach Fuzzer και η Codenomicon, έχουν χτίσει ακόμη και ολόκληρες επιχειρήσεις γύρω από αυτή τη διαδικασία.

Όλα αυτά, υποστηρίζει ο Amini, έκαναν το fuzzing πιο επίκαιρο παρά ποτέ. “Οι εταιρίες λογισμικού το κάνουν αυτό ως ένα τυπικό μέρος του κύκλου ανάπτυξής τους”, λέει. “Είναι μια μεγάλη επένδυση, και συμβάλλει στη βελτίωση της ασφάλειας του κόσμου στο λογισμικό που είναι για όλους”.

 

https://da9c53b0a2c99e40d1e88c458336c96149ade90e-www.googledrive.com/host/0ByAMXZl2-PZ0Wk9jMUpWbTBRVU0

Το Λεξικό του Χάκερ: SQL Injections, μια καθημερινή αγαπημένη επίθεση των Hacker

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: SQL Injections, an Everyday Hacker’s Favorite Attack”, Kim Zetter, at Security, 05.11.16, 7:00 am, Tags: explainer, hacker lexicon, Hacks and Cracks, SQL)

Getty Images

Η κοινότητα ασφάλειας είναι διχασμένη σχετικά με την πρόσφατη σύλληψη του ερευνητή ασφάλειας που χάκαρε τον δικτυακό τόπο της Εκλογικής Επιτροπής στην Πολιτεία της Φλόριντα. Το ερώτημα είναι αν άξιζε να συλληφθεί ως ένας ποινικός χάκερ ή μήπως παρείχε δημόσια υπηρεσία, εκθέτοντας ένα θέμα ευπάθειας που έδινε πρόσβαση στον οποιονδήποτε στα διαπιστευτήρια διαχειριστή για το site;

Δεν υπάρχει ωστόσο κάποιο ερώτημα σχετικά με την πολυπλοκότητα της επίθεσης του. Υπάρχει όμως ομοφωνία στο ότι χρησιμοποίησε την μέθοδο SQL injection για να εκθέσει τα διαπιστευτήρια -η κοινότητα ασφάλειας το προφέρει ως “ess-que-el” ή “sequel”- και είναι ένα από τα πιο βασικά και παλαιότερα τεχνάσματα που χρησιμοποιούν οι χάκερ για να αποκτήσουν πρόσβαση σε ιστοσελίδες και σε περιεχόμενο σε βάσεις δεδομένων που υπάρχουν στο υπόβαθρο (backend) και συνδέονται με αυτές οι ιστοσελίδες. Αυτές οι βάσεις δεδομένων μπορεί να περιέχουν Αριθμούς Κοινωνικής Ασφάλισης και αριθμούς πιστωτικών καρτών, στοιχεία ιατρικών φακέλων ή μια σειρά από άλλα ευαίσθητα δεδομένα, συμπεριλαμβανομένων και των διαπιστευτηρίων για το log-in των διαχειριστών και των διαπιστευμένων των χρηστών της ιστοσελίδας, καθώς ίσως και άλλα διαπιστευτήρια που δίνουν πρόσβαση σε έναν hacker για άλλα μέρη του δικτύου πέρα από αυτές καθ' αυτές τις βάσεις δεδομένων.

TL;DR: Οι SQL injection επιθέσεις είναι ο πιο συνηθισμένος τρόπος που οι χάκερ χρησιμοποιούν για να αποκτήσουν πρόσβαση σε ιστοσελίδες και για να κλέψουν ευαίσθητα δεδομένα, εκμεταλλευόμενοι τα τρωτά σημεία που υπάρχουν στις εφαρμογές Web που διασυνδέονται με βάσεις δεδομένων στο υπόβαθρο.

Οι επιθέσεις αυτές εκμεταλλεύονται μια ευπάθεια ή τα τρωτά σημεία που υπάρχουν σε εφαρμογές web, οι οποίες επικοινωνούν με διακομιστές backend όπου αποθηκεύονται βάσεις δεδομένων. Το SQL σημαίνει Structured Query Language (Δομημένη Γλώσσα Διατύπωσης Ερωτημάτων) και αναφέρεται σε μια γλώσσα προγραμματισμού που χρησιμοποιείται για να προστεθούν δεδομένα σε μια βάση δεδομένων SQL ή για να ανακτηθούν ή για τον χειρισμό αυτών των δεδομένων. Οι SQL injection ευπάθειες είναι από τα πιο κοινά τρωτά σημεία που υπάρχουν και εμφανίζονται σταθερά στην κορυφή των καταλόγων με τις ευπάθειες εδώ και χρόνια. Η εταιρεία ασφάλειας υπολογιστών Imperva τις αποκαλεί “η πιο ολέθρια ευπάθεια στην ιστορία των υπολογιστών” και λέει ότι μεταξύ του 2005 και του 2011, οι επιθέσεις SQL αντιπροσώπευαν το 83% όλων των (γνωστών) παραβιάσεων δεδομένων κατά τη διάρκεια αυτής της χρονικής περιόδου.

Εδώ είναι το πώς λειτουργεί αυτή η επίθεση. Όταν επισκέπτεσαι έναν δικτυακό τόπο, επικοινωνείς (έμμεσα) με μια βάση δεδομένων SQL όταν πληκτρολογείς τα διαπιστευτήριά σου στη φόρμα log-in (εκεί είναι αποθηκευμένα τα στοιχεία σου για να γίνει η αντιπαραβολή), όταν πραγματοποιείς μια αναζήτηση στο web site ή όταν υποβάλεις άλλα είδη δεδομένων στην ιστοσελίδα (για να αποθηκευτούν).

Μια SQL επίθεση συμβαίνει όταν οι χάκερς πληκτρολογούν SQL κώδικα ερωτήματος σε μια φόρμα στο διαδίκτυο και η web εφαρμογή που επεξεργάζεται αυτόν τον κώδικα δεν τον ελέγχει σωστά και τον επικυρώνει (δηλ. τον “εκτελεί”), επιτρέποντας με αυτόν τον τρόπο τον εισβολέα να δώσει εντολές στη βάση δεδομένων για να διαρρεύσει αυτή τα δεδομένα της. Διαφορετικές εντολές παίρνουν διαφορετικά αποτελέσματα και συχνά ένας εισβολέας θα προσπαθήσει πολλές παραλλαγές για να δει τι θα του δώσει ως απάντηση μια βάση δεδομένων σε αυτές. Ένας εισβολέας, για παράδειγμα, μπορεί να στείλει ένα είδος εντολών SQL για να εμφανίσει όλα τα περιεχόμενα μιας βάσης δεδομένων στον browser του ή μπορεί να χρησιμοποιήσει άλλες εντολές για να εμφανίσει μέρη της βάσης δεδομένων ή για να αποκτήσει την δυνατότητα να προσθέσει, να τροποποιήσει ή να διαγράψει τα περιεχόμενα της βάσης δεδομένων.

Πάρτε, για παράδειγμα, μια φόρμα αναζήτησης σε μια σελίδα καταστήματος ηλεκτρονικού εμπορίου. Ένας χρήστης μπορεί να ζητήσει από το site να του επιστρέψει μια λίστα με τις τηλεοράσεις μάρκας Samsung που πωλούνται σε ένα συγκεκριμένο εύρος τιμών. Αν το site έχει μια SQL ευπάθεια, ωστόσο, ένας εισβολέας μπορεί να εισάγει μια ειδικά δημιουργημένη σειρά με εντολές σε κώδικα στο πλαίσιο αναζήτησης, που θα μπορούσε να παράγει μια λίστα με όλα τα προϊόντα στη βάση δεδομένων ή, ανάλογα με τα περιεχόμενα της βάσης δεδομένων, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους αριθμούς πιστωτικών καρτών από όλους όσους αγόρασαν τηλεοράσεις Samsung.

Μια SQL injection επίθεση ήταν υπεύθυνη για το hack, το 2011, στην εταιρεία ασφαλείας HB Gary Federal, αυτή η επίθεση επέτρεψε στα μέλη των Anonymous να κλέψουν τους κωδικούς πρόσβασης για τους εταιρικούς λογαριασμούς e-mail της εταιρείας και να αντιγράψουν σαρωτικά πάνω από 60.000 μηνύματα ηλεκτρονικού ταχυδρομείου online.

Το SQL injection ήταν επίσης ο φορέας της επίθεσης στο πρόσφατο hack στην κινεζική εταιρεία παιχνιδιών VTE, από την οποία τα προσωπικά δεδομένα περίπου 4,8 εκατομμυρίων γονέων και 200.000 παιδιών κλάπηκαν από το site της εταιρείας.

Και αυτή ήταν η μέθοδος που ο hacker Albert Gonzalez και οι συν αυτώ χρησιμοποίησαν το 2007 για να χακάρουν τις εταιρίες 7-Eleven, Hannaford Brothers, Heartland Payment Systems και άλλες εταιρείες και να αποκτήσουν πρόσβαση σε εκατομμύρια αριθμούς πιστωτικών και χρεωστικών καρτών.

Πιθανολογείται επίσης ότι η Mossack Fonseca -το δικηγορικό γραφείο στον Παναμά που ήταν η πηγή της πρόσφατης μαζικής διαρροής με τα Panama Pappers (Τα Έγγραφα του Παναμά)- είχε ένα θέμα ευπάθειας στην ασφάλεια της απέναντι σε επίθεση με SQL injection στην ιστοσελίδα της, αν και δεν είναι γνωστό αν αυτός ήταν ο τρόπος με τον οποίο ο πληροφοριοδότης, που διέρρευσε τα έγγραφα στα μέσα μαζικής ενημέρωσης, απέκτησε τον τεράστιο όγκο των αρχείων.

Συνήθως, αν κάποιος αποκαλύψει ή εκθέσει στο κοινό, μια ευπάθεια SQL injection, αλλά δεν την χρησιμοποιήσει για να πάρει ή να αποκτήσει πρόσβαση σε δεδομένα, δεν θα πρέπει να κινδυνεύει με σύλληψη. Θα το αντιμετωπίσουν σαν οποιαδήποτε άλλη αποκάλυψη ασφάλειας από έναν white hat χακερ. Αλλά στην πρόσφατη υπόθεση που αφορούσε τον David Levin, ο οποίος αποκάλυψε την ευπάθεια στην ιστοσελίδα της Επιτροπής Εκλογών στο Lee County της Φλόριντα, ο Levin έκανε δοκιμή της διείσδυσης του για λίγο περισσότερο. Έκλεψε τα ονόματα χρήστη και τους κωδικούς πρόσβασης ως απόδειξη του ότι θα μπορούσε να μπει στην βάση δεδομένων του site και στη συνέχεια πήγε τις πληροφορίες, σχετικά με την ευπάθεια, στον υποψήφιο που κατέβαινε ως αντίπαλος του τρέχοντα υπεύθυνου της Επιτροπής Εκλογών του Lee County. Στη συνέχεια έκανε ένα βίντεο καμπάνιας με τον υποψήφιο, εκθέτοντας τα τρωτά σημεία στην ιστοσελίδα που επιβλέπει ο πολιτικός αντίπαλος του υποψήφιου.

Lee County Supervisor of Elections Server Security Issues

YouTube Βίντεο διάρκειας 00:04:34
Κανάλι Dan Sinclair
Δημοσιεύτηκε στις 25 Ιανουαρίου 2016

Ο Levin αντιμετωπίζει τώρα τρεις κακουργηματικές κατηγορίες για μη εξουσιοδοτημένη πρόσβαση σε υπολογιστή και φάνηκε ότι έχει παραδεχτεί το λάθος του στο Twitter την περασμένη εβδομάδα:

https://2685f97a5aeeaae19730006f54b9fb16f316d5c8-www.googledrive.com/host/0ByAMXZl2-PZ0Wm01REJqamRLek0

David Levin @realDavidLevin
.Ο @Troyhunt έχει δίκαιο, και άφησα την ύβρη να πάρει το καλύτερο από μένα. Από τώρα και στο εξής θα ρωτάω τον εαυτό μου, “Τι θα κάνει ο Troy;” #WWTD ...
05:26 π.μ. - 9 Μαΐου 2016

 

https://55398a1a7c2c5f2e121ced6d2009fce53eec3cf9-www.googledrive.com/host/0ByAMXZl2-PZ0eU5sY014cjhtY0k

Το Λεξικό του Χάκερ: Stingrays, το εργαλείο κατασκοπείας που η κυβέρνηση προσπάθησε, και απέτυχε, να αποκρύψει

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: Stingrays, the Spy Tool the Government Tried, and Failed, to Hide”, Kim Zetter, at Security, 05.06.16, 6:41 pm, Tags: government surveillance, hacker lexicon, privacy, stingrays)

Getty Images

Τα Stingrays (μτφ. Σαλάχια), ένα μυστικό εργαλείο παρακολούθησης της επιβολής του νόμου, είναι μια από τις πιο αμφιλεγόμενες τεχνολογίες στην κατασκοπευτική εργαλειοθήκη της κυβέρνησης. Αλλά οι διωκτικές αρχές και οι υπηρεσίες επιβολής του νόμου σε όλη τη χώρα έχουν καταβάλλει τόσο μεγάλη προσπάθεια για να εξαπατήσουν τα δικαστήρια και το κοινό, σχετικά με τα stingrays, ώστε το να μάθουμε το πώς και πότε χρησιμοποιείται αυτή η τεχνολογία, μας είναι πολύ δύσκολο.

Αυτή την εβδομάδα, η κυβέρνηση το πήγε τόσο μακρυά που επιχείρησε να παραπλανήσει τους πάντες σε μια κατάθεση σε ένα δικαστήριο (pdf αρχείο, 17 σελίδες στα αγγλικά), είπε ότι, τα άρθρα που δημοσιεύτηκαν από το WIRED και από άλλα μέσα ενημέρωσης, που εκθέτουν αυτή την απάτη, “είναι γεμάτα αναπόδεικτους ισχυρισμούς από τους δικηγόρους υπεράσπισης και τους υποστηρικτές [και] δεν είναι ικανά να αποδείξουν τίποτα” (σελίδα 7, γραμμές 7 & 8).

TL;DR: Τα stingrays μιμούνται τους κανονικούς πύργους κυψέλης στα δίκτυα κινητής τηλεφωνίας, προκειμένου να ξεγελάσουν τις κινητές συσκευές να συνδεθούν με αυτά και να αποκαλύψουν πληροφορίες σχετικά με την τοποθεσία των χρηστών τους.

Οπότε, τι γνωρίζουμε όντως; Η ονομασία “Stingray” είναι ο γενικός εμπορικός όρος για μια συσκευή αλλιώς γνωστή ως IMSI catcher (IMSI = International Mobile Subscriber Identity). Το stingray υποδύεται έναν κανονικό πύργο κυψέλης δικτύου κινητής τηλεφωνίας για να ξεγελάσει τα κοντινά σε αυτό κινητά τηλέφωνα και τις άλλες συσκευές ασύρματης επικοινωνίας, όπως τις air cards, ώστε να συνδεθεί μαζί τους και να του αποκαλύψουν τον διεθνή αριθμό ταυτότητας συνδρομητή (IMSI) (τα κινητά τηλέφωνα προσπαθούν πάντα να συνδεθούν με τον πιο κοντινό πύργο για να έχουν το καλύτερο δυνατό σήμα). Το πιο σημαντικό, όμως είναι ότι, η συσκευή συλλέγει επίσης πληροφορίες που μπορεί να υποδείξουν την τοποθεσία μιας κινητής συσκευής (γεω-εντοπισμός).

Με τη μετακίνηση του stingray τριγύρω σε μια γεωγραφική περιοχή και με την συγκέντρωση της ισχύς του σήματος από κάθε μια ασύρματη συσκευή που βρίσκονται σε διάφορες τοποθεσίες σε μια γειτονιά, οι αρχές μπορούν να εντοπίσουν το που ακριβώς βρίσκεται κάποια συσκευή με μεγαλύτερη ακρίβεια από ότι θα μπορούσε να γίνει αυτό με τα δεδομένα που λαμβάνονται από έναν σταθερής θέσης πύργο στο δίκτυο κάποιου παρόχου κινητής τηλεφωνίας. [σημείωση: είναι κάτι αντίστοιχο με αυτό που οι χάκερς ονομάζουν wardrive, όπου με ένα αυτοκίνητο και ένα λαπτοπ κάνουν χαρτογράφηση μιας περιοχής για να εντοπίσουν ασύρματες συσκευές δικτύου, όπως τα modem routers που έχουμε στα σπίτια μας για να συνδεόμαστε στο διαδίκτυο, με σκοπό να εντοπίσουν ποια από αυτά είναι προσιτά για να τα παραβιάσουν ή/και για να τα χρησιμοποιήσουν για να συνδεθούν “δωρεάν” στο διαδίκτυο].

Αν και η χρήση αυτής της τεχνολογίας κατασκοπείας πηγαίνει πίσω τουλάχιστον 20 χρόνια πριν (το FBI είχε χρησιμοποιήσει μια πρωτόγονη έκδοση ενός stingray για να παρακολουθήσει έναν πρώην χάκερ, τον Kevin Mitnick, το 1994), την τελευταία δεκαετία η χρήση τους έχει αυξηθεί, καθώς πλέον τα κινητά τηλέφωνα και οι κινητές συσκευές έχουν γίνει πανταχού παρόντα. Σήμερα, οι συσκευές stingrays, χρησιμοποιούνται από το στρατό και την CIA σε ζώνες συγκρούσεων -για να αποτρέψουν τους αντιπάλους από τη χρήση κινητού τηλεφώνου ως τηλεχειριστήριο για να δώσουν εντολή σε εκρηκτικά και βόμβες που έχουν τοποθετήσει πχ. στην άκρη του δρόμου ή σε ένα παγιδευμένο αυτοκίνητο- καθώς και εντός των ΗΠΑ από τις ομοσπονδιακές υπηρεσίες όπως το FBI, την DEA και την US Marshals Service, καθώς και από τις τοπικές υπηρεσίες επιβολής του νόμου.

Τα stingrays έχουν την ικανότητα να συλλαμβάνουν και τα δεδομένα των κλήσεων -όπως είναι οι αριθμοί που κάλεσε κάποιος από ένα τηλέφωνο- και μερικά από αυτά έχουν επίσης την ικανότητα να καταγράφουν και το περιεχόμενο των τηλεφωνικών κλήσεων, καθώς και να προκαλούν απώλεια σήματος στα τηλέφωνα και τις συσκευές που βρίσκονται μέσα στην ακτίνα δράσης τους αποτρέποντας έτσι την χρήση τους. Οι εγχώριες υπηρεσίες επιβολής του νόμου στις ΗΠΑ, ωστόσο, επιμένουν ότι τα μοντέλα των stingrays που χρησιμοποιούν δεν συλλέγουν το περιεχόμενο των επικοινωνιών (αφού κάτι τέτοιο απαγορεύεται χωρίς ένταλμα έρευνας από δικαστή).

Η χρήση των stingrays είναι ιδιαίτερα αμφιλεγόμενη, εν μέρει επειδή οι συσκευές δεν προσδιορίζουν την χρήση τους σε στοχευμένα τηλέφωνα -προσελκύουν οποιοδήποτε κινητό τηλέφωνο ή συσκευή βρίσκεται κοντά τους για να συνδεθούν μαζί τους, εφ' όσον αυτά τα τηλέφωνα χρησιμοποιούν το ίδιο δίκτυο κινητής τηλεφωνίας που χρησιμοποιεί και το τηλέφωνο-στόχος. Τα stingrays μπορεί επίσης να διαταράξουν την παροχή υπηρεσίας κινητής τηλεφωνίας σε κλήσεις φωνής και σε αποστολή κειμένου κάθε συσκευής που συνδέεται με αυτά, δεδομένου ότι οι συσκευές δεν συνδέονται με έναν κανονικό και νόμιμο πύργο δικτύου κινητής τηλεφωνίας (κυψέλη) που θα μεταδώσει την επικοινωνία τους.

Μερικοί από αυτούς τους ψεύτικους πύργους κινητής τηλεφωνίας μπορεί να επιχειρήσουν επίσης να υποκλέψουν την κρυπτογραφημένη κινητή επικοινωνία αναγκάζοντας ένα τηλέφωνο να υποβιβάσει μια σύνδεση δικτύου από 3G ή 4G σε 2G πρωτόκολλο επικοινωνίας δικτύου -ένα πολύ λιγότερο ασφαλές δίκτυο όπου δεν γίνεται έλεγχος ταυτότητας των πύργων κυψέλης στο τηλέφωνο και που περιέχει τρωτά σημεία που διευκολύνουν την αποκρυπτογράφηση της ασφαλούς επικοινωνίας. Οι IMSI cathchers βάζουν παράσιτα στα 3G και 4G σήματα και έτσι αναγκάζουν τα τηλέφωνα που συνδέονται μαζί τους, προκειμένου να μην χάσουν την επικοινωνίας τους με το δίκτυο κινητής τηλεφωνίας, να χρησιμοποιήσουν το λιγότερο ασφαλές δίκτυο 2G.

Και τα stingrays δεν είναι φθηνά. Μία συσκευή από την εταιρία Harris Corporation, η οποία πουλά συσκευές IMSI catcher που έχουν και ως εμπορικό σήμα/ονομασία την ίδια την λέξη “Stingray”, μπορεί να κοστίζει περισσότερο από $50.000. Αλλά αυτό δεν σημαίνει ότι τα stingrays είναι έξω από τους προϋπολογισμούς των υπηρεσιών που δεν έχουν τους πλούσιους πόρους των υπηρεσιών πληροφοριών και τον ομοσπονδιακών υπηρεσιών. Το 2010 στο συνέδριο χάκερ Def Con στο Λας Βέγκας, ένας ερευνητής ασφάλειας δημιούργησε ένα χαμηλού κόστους, σπιτικό stingray για μόλις $1.500 που είναι σε θέση να παρακολουθεί την κυκλοφορία και να απενεργοποιεί την κρυπτογράφηση, κάτι που δείχνει το πόσο εύκολο θα ήταν για τον οποιονδήποτε να χρησιμοποιήσει αυτή την τεχνολογία για να κατασκοπεύει κλήσεις.

Διάβασε επίσης:

Πέρα από τους αμφιλεγόμενους τρόπους με τους οποίους λειτουργεί η τεχνολογία των stingrays, η μυστικότητα και η εξαπάτηση που χρησιμοποιούνται από τις υπηρεσίες επιβολής του νόμου για να αποκρύψουν τη χρήση τέτοιων συσκευών είναι επίσης ανησυχητική.

Οι υπηρεσίες επιβολής του νόμου σε όλη τη χώρα έχουν χρησιμοποιήσει συστηματικά τις συσκευές χωρίς να έχουν λάβει πρώτα ένα ένταλμα έρευνας από δικαστή. Στις περιπτώσεις κατά τις οποίες όντως έλαβαν πρώτα ένα ένταλμα, συχνά εξαπατούσαν τους δικαστές σχετικά με τη φύση της τεχνολογίας που σχεδίαζαν να χρησιμοποιήσουν. Αντί να λένε στους δικαστές ότι σκόπευαν να χρησιμοποιήσουν ένα stingray ή έναν προσομοιωτή πύργου κυψέλης, συχνά χαρακτήριζαν παραπλανητικά την τεχνολογία, ονομάζοντας την ως μια συσκευή παρακολούθησης/υποκλοπής τηλεφώνου (κοριός, pen register device) αντ' αυτού. Οι κοριοί καταγράφουν τους αριθμούς που καλούνται από ένα συγκεκριμένο αριθμό τηλεφώνου και γιαυτό το λόγο δεν είναι/δεν θεωρούνται ότι είναι επεμβατικές. Επειδή τα stingrays, ωστόσο, χρησιμοποιούνται για την παρακολούθηση της θέσης και της κίνησης της συσκευής, οι ομάδες πολιτικών ελευθεριών θεωρούν ότι είναι πολύ πιο επεμβατικές. Μπορεί, για παράδειγμα, να χρησιμοποιηθεί για να γίνει παρακολούθηση μιας συσκευής μέσα σε μια ιδιωτική κατοικία (και άρα να παραβιάζει έτσι το άσυλο).

Σε ορισμένες περιπτώσεις, τα όργανα επιβολής του νόμου έχουν επίσης εξαπατήσει συνηγόρους υπεράσπισης σχετικά με τη χρήση των stingrays, λέγοντας ότι έλαβαν γνώση για την θέση του υπόπτου από μια “εμπιστευτική πηγή” και όχι ότι ανακάλυψαν τις πληροφορίες που συγκέντρωσαν επειδή χρησιμοποίησαν ένα stingray.

Οι υπηρεσίες επιβολής του νόμου έχουν πάει πολύ μακρυά στην προσπάθειά τους να αποτρέψουν την γνωστοποίηση στο ευρύ κοινό της χρήσης από την μεριά τους αυτής της τεχνολογίας. Στη Φλόριντα, για παράδειγμα, όταν από την American Civil Liberties Union, ACLU (Αμερικανική Ένωση Πολιτικών Ελευθεριών) προσπάθησαν να λάβουν αντίγραφα των εγγράφων από ένα τοπικό αστυνομικό τμήμα που αναφέρονταν στη χρήση της τεχνολογίας, πράκτορες από την US Marshals Service όρμησαν την τελευταία στιγμή και κατάσχεσαν τα έγγραφα για να αποτρέψουν την αστυνομία από το να τα απελευθερώσει. Οι υπηρεσίες επιβολής του νόμου ισχυρίζονται ότι η πληροφόρηση του κοινού σχετικά με την τεχνολογία θα δώσει στους εγκληματίες την ευκαιρία να επινοήσουν μεθόδους για να ανατρέψουν ή να παρακάμψουν τις δυνατότητες αυτού του εργαλείου παρακολούθησης.

Πράγματι, υπάρχουν ήδη εφαρμογές και εργαλεία που είναι διαθέσιμα για να βοηθήσουν στο να μπορεί κάποιος να εντοπίσει αν υπάρχουν γύρω του “ψεύτικοι” πύργοι κυψέλης κινητής τηλεφωνίας, όπως είναι τα stingrays. Η γερμανική εταιρεία ασφαλείας CryptoPhone GSMK για παράδειγμα, έχει ένα τείχος προστασίας (firewall) που μπορεί να ειδοποιεί τους χρήστες για την όποια ύποπτη δραστηριότητα συμβαίνει, αναφέροντας όταν ένα stingray έχει συνδεθεί με το τηλέφωνό τους ή όταν χρησιμοποιείται απενεργοποίηση στην κρυπτογράφηση του τηλεφώνου τους.

Πέρυσι, το Υπουργείο Δικαιοσύνης ανακοίνωσε μια νέα πολιτική για τη χρήση των stingrays που προσφέρει λίγη περισσότερη διαφάνεια, αλλά μόνο λίγη. Σύμφωνα με αυτήν την πολιτική, το FBI και οποιαδήποτε άλλη ομοσπονδιακή υπηρεσία που χρησιμοποιεί stingrays θα πρέπει να πάρει ένα ένταλμα έρευνας πριν από την ανάπτυξη τους. Αυτή η πολιτική επιβάλλει στους εισαγγελείς και στους ανακριτές, όχι μόνο να πρέπει να αποκτήσουν ένα ένταλμα, αλλά και να αποκαλύψουν στους δικαστές ότι η συγκεκριμένη τεχνολογία που σκοπεύουν να χρησιμοποιήσουν είναι ένα stingray -και αυτό θα τους εμποδίζει από το να εξαπατούν τους δικαστές και τους δικηγόρους υπεράσπισης, σχετικά με τη μέθοδο παρακολούθησης που σκοπεύουν να χρησιμοποιήσουν. Οι πράκτορες που θα χρησιμοποιούν τέτοιες συσκευές πρέπει επίσης και να διαγράφουν όλα τα δεδομένα που ένα stingray συλλέγει “αμέσως μόλις” η συσκευή που είναι το αντικείμενο της έρευνας εντοπιστεί.

Το μόνο πρόβλημα είναι ότι η νέα πολιτική δεν καλύπτει τις τοπικές και περιφερειακές αρχές επιβολής του νόμου, που επίσης χρησιμοποιούν τα stingrays για την παρακολούθηση υπόπτων.

Αυτό μπορεί να αλλάξει, ωστόσο: Ένα νομοσχέδιο που ξεκίνησε πέρυσι από τον Rep Jason Chaffetz (R-Utah) δίνει ελπίδες ότι θα διορθωθεί και αυτό το παραθυράκι. Το νομοσχέδιο Cell-Site Simulator Act του 2015, που είναι επίσης γνωστό ως Stingray Privacy Act, θα αναγκάσει τις πολιτειακές και τοπικές αρχές επιβολής του νόμου να πρέπει, επίσης, να αποκτούν πρώτα ένα ένταλμα πριν από την χρησιμοποίηση τέτοιων συσκευών.

 

https://0d5681090d0b15bf23f6ba74ffb024105a7eef18-www.googledrive.com/host/0ByAMXZl2-PZ0VEgwT09abDh1ekk

Το Λεξικό του Χάκερ: Τι είναι το HTTPS;

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: What Is HTTPS?”, Andy Greenberg, at Security, 04.27.16, 10:00 am, certificate authorities, encryption, hacker lexicon, https, let's encrypt, ssl, tls)

Then One/WIRED

Για όλη την προσοχή που έχουν τραβήξει πάνω τους, η κρυπτογραφημένη αποθήκευση του iPhone και η νέα κρυπτογράφηση απ'-άκρου-εις-άκρον (end-to-end) των μηνυμάτων του Whatsapp τους τελευταίους μήνες, κυρίως από το Υπουργείο Δικαιοσύνης των ΗΠΑ -θα πίστευες ίσως ότι μόλις πρόσφατα έγινε δημοφιλής η κρυπτογράφηση. Αλλά στην πραγματικότητα, εσύ και δισεκατομμύρια άλλοι άνθρωποι χρησιμοποιούν μια λιγότερο γνωστή μορφή ισχυρής κρυπτογράφησης εδώ και δεκαετίες: το HTTPS.

TL;DR: Το HTTPS είναι η πανταχού παρούσα κρυπτογράφηση στο διαδίκτυο που όχι μόνο προστατεύει την ιδιωτικότητα των επισκεπτών μιας ιστοσελίδας, αλλά επίσης εμποδίζει τη λογοκρισία και την παρέμβαση στα δεδομένα των sites.

Το HTTPS ή το Hypertext Transfer Protocol με το S στο τέλος να σημαίνει “Secure”, είναι η μορφή κρυπτογράφησης που κρατά τα δεδομένα των πιστωτικών σου καρτών και των κωδικών σου πρόσβασης σε ασφάλεια κάθε φορά που τα εισάγεις σε μια ιστοσελίδα, η οποία μπορεί η ίδια να έχει ελάχιστη ασφάλεια. Σε μια κοινή HTTP ιστοσελίδα, αντιθέτως, τα δεδομένα μπορεί να υποκλαπούν, να τα κατασκοπεύσουν και ακόμη και να αλλοιωθούν από οποιονδήποτε παρέμβει στην επικοινωνία ανάμεσα σε εσένα και στον server που φιλοξενεί τον ιστότοπο -πχ. κάποιος αδιάκριτος που θα βρίσκεται στην ίδια ασύρματη σύνδεση με εσένα στο Wi-Fi των Starbucks ή ο πάροχος υπηρεσιών διαδικτύου ή η NSA.

Όταν επισκέπτεσαι μια κανονική ιστοσελίδα HTTP, ο web server (ο εξυπηρετητής που φιλοξενεί την ιστοσελίδα) ανταποκρίνεται στα αιτήματα από τον browser σας και απλά παραδίδει τα μη κρυπτογραφημένα δεδομένα της ιστοσελίδας. Όταν επισκέπτεσαι όμως μια ιστοσελίδα HTTPS, ο browser σου και ο διακομιστής πρώτα εκτελούν μια διαδικασία ανταλλαγής κρυπτογραφικών κλειδιών. Τα εν λόγω κλειδιά επιτρέπουν στον server και στον browser να στέλνουν μεταξύ τους μηνύματα που μόνο το άλλο άκρο σε αυτό το ζεύγος επικοινωνίας μπορεί να αποκρυπτογραφήσει, κλειδώνοντας έτσι από έξω όλους τους πιθανούς ωτακουστές.

Όλοι γνωρίζουμε την παρομοίωση ότι το διαδίκτυο είναι σαν μια σειρά από σωλήνες”, λέει ο Peter Eckersley, ένας τεχνολόγος στο Electronic Frontier Foundation, χρησιμοποιώντας αυτό που είχε πει ο πρώην γερουσιαστής Ted Stevens που πολλοί χλεύασαν, αλλά στην πραγματικότητα, είναι μια αρκετά χρήσιμη αναλογία για το διαδίκτυο. “Εάν χρησιμοποιείς HTTP, αυτοί οι σωλήνες είναι εντελώς διαφανείς. Οποιοσδήποτε κατά μήκος της διαδρομής μπορεί να κοιτάξει μέσα και να δει τι ακριβώς κάνεις”, λέει. Η αλλαγή όμως σε HTTPS, από την άλλη πλευρά, “κάνει αυτούς τους σωλήνες να γίνουν αδιαφανείς. Μόνο όσοι είναι στα δυο άκρα επικοινωνίας μπορούν να δουν τι ταξιδεύει μέσα σε αυτούς”.

Ανανεωμένο Ενδιαφέρον

Το HTTPS, το οποίο προστατεύει την κυκλοφορία στον ιστό χρησιμοποιώντας ένα πρωτόκολλο κρυπτογράφησης που ονομάζεται SSL (Secure Sockets Layer) ή TLS (Transport Layer Security), υπάρχει εδώ και περισσότερο από δύο δεκαετίες, για πρώτη φορά ενσωματώθηκε στο πρόγραμμα περιήγησης Netscape Navigator το 1994. Αλλά μόλις τα τελευταία χρόνια βρίσκεται σε ένα είδος επιταχυνόμενης αναγέννησης: Ενώ το HTTPS κάποτε χρησιμοποιήθηκε σχεδόν αποκλειστικά για την προστασία σελίδων ηλεκτρονικού εμπορίου και για σελίδες με σύνδεση (log-in), οι διαχειριστές ιστοσελίδων το χρησιμοποιούν πλέον για την κρυπτογράφηση και σε άλλα είδη σελίδων, από τα social media έως τους κυβερνητικούς δικτυακούς τόπους και τα site ειδήσεων (όπως και το WIRED).

Σήμερα, περισσότερο από το 42 τοις εκατό των επισκέψεων στο web είναι σε σελίδες που χρησιμοποιούν το HTTPS, από το 38 τοις εκατό που ήταν μόλις το περασμένο καλοκαίρι, στην καταμέτρηση του Mozilla. Και η εν λόγω αύξηση οφείλεται στην αυξανόμενη αναγνώριση του γεγονότος ότι το HTTPS προσφέρει κάτι περισσότερο στην ασφάλεια για τις πιο ευαίσθητες προσωπικές πληροφορίες σας, λέει ο Eckersley του EFF. Επίσης, προστατεύει αυτό που ο Eckersley περιγράφει ως “το δικαίωμα να διαβάζεις ιδιωτικά”. Ένας επισκέπτης στη Wikipedia θα μπορούσε να ψάχνει για να μάθει για μια ιατρική κατάσταση που μπορεί ο ίδιος να υποφέρει από αυτήν. Κάποιος μπορεί να αναζητά στο Craigslist γιατί το γραφείο του θα μπορούσε να ψάχνει για μια νέα θέση εργασίας. Ένας φοιτητής μπορεί να διαβάζει την εφημερίδα Washington Post ακολουθώντας θέματα πολιτικής για τους τρανσέξουαλ. Όλες αυτές οι δραστηριότητες, ο Eckersley υποστηρίζει, αξίζει να προστατεύονται από έναν πάροχο διαδικτύου, από τον εργοδότη ή από τον διαχειριστή ενός σχολείου, όπως ακριβώς προστατεύεται και ο αριθμός της πιστωτικής κάρτας ενός ατόμου. (Και ευτυχώς, όπως επισημαίνει ο ίδιος, το Craigslist, η Wikipedia και η Washington Post, τώρα όλοι τους χρησιμοποιούν το HTTPS σε όλες τις ιστοσελίδες τους).

Απόδειξη της Ταυτότητας

Στην πραγματικότητα, το HTTPS προστατεύει περισσότερο από ότι το απόρρητο. Προσφέρει επίσης και τον έλεγχο ταυτότητας και αυτό που κάποιοι διαχειριστές ιστότοπων ονομάζουν “ακεραιότητα”. Για έναν ιστότοπο για να εγγραφεί ως HTTPS κρυπτογραφημένος στο πρόγραμμα περιήγησης -αυτό σημειώνεται με ένα λουκέτο στο πρόγραμμα περιήγησης πάνω στην μπάρα της διεύθυνσης- θα πρέπει πιστοποιεί τον εαυτό του: να αποδεικνύει ότι είναι ο ιστότοπος που λέει ότι είναι, αντί για κάποιον απατεώνα. Για να γίνει αυτό, ο διαχειριστής ενός ιστότοπου ζητά από μια εταιρία “αρχή έκδοσης πιστοποιητικών” όπως το Comodo ή η Symantec να εκδώσει για τον ιστότοπο ένα “πιστοποιητικό”, ένα κρυπτογραφικό κλειδί που θεωρητικά δεν μπορεί κάποιος να το παραχαράξει. Αν και κάποιες από τις αρχές έκδοσης πιστοποιητικών κατά καιρούς έχουν χακαριστεί, όπως στην περίπτωση της ολλανδικής επιχείρησης DigiNotar το 2011, δημιουργώντας έτσι ρήγμα στο εν λόγω σύστημα εμπιστοσύνης που στηρίζει το HTTPS. Αλλά σε γενικές γραμμές, ένα πιστοποιητικό σημαίνει ότι όταν το πρόγραμμα περιήγησης σου λέει ότι είσαι πχ. στον ιστότοπο https://google.com, πραγματικά μοιράζεσαι τα δεδομένα σου με ένα διακομιστή της Google και με κανέναν άλλον.

Όσο για την “ακεραιότητα”, το HTTPS αποτρέπει επίσης κάθε παρείσακτο στο τοπικό σου δίκτυο από το να αλλοιώσει ή εν μέρει να μπλοκάρει το περιεχόμενο ενός site στο δρόμο του από έναν διακομιστή στον browser σου. Χωρίς το HTTPS, μια κυβέρνηση μπορεί να επιβάλλει λογοκρισία επιλέγοντας να μπλοκάρει ορισμένες ιστοσελίδες ενός ιστότοπου ή ακόμη και απλά κάποια τμήματα μιας ιστοσελίδας. Μια πιο δραστική αλλοίωση θα μπορούσε να επιτρέψει σε έναν φορέα παροχής υπηρεσιών διαδικτύου να τοποθετήσει διαφημίσεις ή κάποιοι χακερς να κάνουν μια ένεση με κώδικα που είναι σχεδιασμένος να θέσει σε κίνδυνο τον υπολογιστή σου. Πέρυσι, η κινεζική κυβέρνηση χρησιμοποίησε ένα παρόμοιο τέχνασμα για να προσθέσει μια δέσμη ενεργειών στην αρχική σελίδα της κινεζικής μηχανής αναζήτησης Baidu που ενεργοποιούσαν τα προγράμματα περιήγησης των επισκεπτών του Baidu και τα έβαζε να ζητήσουν πληροφορίες από την κινεζική έκδοση των New York Times και το αποθετήριο κώδικα Github, καταφέρνοντας έτσι να ρίξει τα δύο αυτά sites και να βγουν offline (ένα είδος DdoS attack που προκάλεσε τεράστια κίνηση στα δυο sites με συνέπεια να μην μπορούν αυτά να αντεπεξέλθουν).

Μαθαίνοντας Από τα Χακαρίσματα

Οι επιθέσεις, όπως αυτές έχουν αυξήσει την επίγνωση ότι το HTTPS, είναι πιο σημαντικές από ότι η ιδιωτικότητα, λέει ο Josh Aas, ένας μηχανικός του Mozilla και ο ιδρυτής του εστιασμένου στο HTTPS non-profit Let's Encrypt, το οποίο έχει βοηθήσει κάπου 4 εκατομμύρια ιστοσελίδες να ενεργοποιήσουν το HTTPS μέσα στους τελευταίους έξι μήνες. Αλλά ο ίδιος επισημαίνει, επίσης, και πιο συγκεκριμένες προειδοποιήσεις για τον κίνδυνο των μη κρυπτογραφημένων ιστότοπων HTTP. Το 2010, ένας προγραμματιστής με το όνομα Eric Butler κυκλοφόρησε ένα απλό plugin για τον Firefox που ονομάζονταν Firesheep και που επέτρεπε στον καθένα να κατασκοπεύει τις μη κρυπτογραφημένες συνδέσεις των ανθρώπων που έκαναν περιήγηση στο ίδιο δίκτυο με αυτόν, καταλήγοντας να προκαλέσει μεγάλη αναταραχή σχετικά με την ιδιωτικότητα, κάτι που άσκησε πίεση πάνω στα δίκτυα κοινωνικής δικτύωσης, όπως το Twitter και το Facebook, στο να επεκτείνουν την κρυπτογράφηση τους για ολόκληρα τα site τους. Οι διαρροές για την NSA από τον Edward Snowden έκαναν επίσης σαφές το πόσα από τα μη κρυπτογραφημένα δεδομένα είχε υποκλέψει και αποθηκεύσει η NSA μαζικά από το διαδίκτυο, ανανεώνοντας έτσι το ενδιαφέρον των ανθρώπων για την προστασία των συνδέσεών τους. “Το πρόβλημα έγινε περισσότερο σαφές μόλις τα τελευταία πέντε χρόνια, περίπου”, λέει ο Aas.

Αλλά ακόμη και με μια αυξανόμενη συνειδητοποίηση της σημασίας του HTTPS, υπάρχει ακόμα πολλή δουλειά για να γίνει. Μια έκθεση από την Google, μόλις τον περασμένο μήνα, έδειξε ότι οι 79 από τις 100 ιστοσελίδες με την μεγαλύτερη κυκλοφορία στο διαδίκτυο εξακολουθούν να μην χρησιμοποιούν την κρυπτογράφηση HTTPS. Και σύμφωνα με το Mozilla, μόνο 438.000 από τις κορυφαίες 1 εκατομμύριο ιστοσελίδες στο Alexa, προσφέρουν HTTPS.

Οι περισσότεροι χρήστες εξακολουθούν να μην γνωρίζουν για το HTTPS, όμως ακόμα και αν γνωρίζουν, δεν έχουν κανένα έλεγχο πάνω του. Θα πρέπει είτε να μεταδίδουν τα δεδομένα τους καθαρά ή πάνε κάπου αλλού”, λέει ο Aas. “Αν είναι να προστατεύσουμε αυτούς τους ανθρώπους, θα πρέπει να κάνουμε τις ιστοσελίδες να υιοθετήσουν το HTTPS... Είναι πραγματικά ένας από τους κεντρικούς άξονες σήμερα για την ασφάλεια στο διαδίκτυο”.

 

https://11447a6393e87fff4a60f0b94e33e633ad9326f2-www.googledrive.com/host/0ByAMXZl2-PZ0dFRsNG9lcVN2Q3M

Το Λεξικό του Χάκερ: Τι είναι οι DoS και DDoS επιθέσεις;

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: What Are DoS and DDoS Attacks?”, Kim Zetter, at Security, 01.16.16, 7:00 am, ddos, hacker lexicon, Hacks and Cracks)

Then One/WIRED

Μπορεί να τις δεις να αναφέρονται στις ειδήσεις όλη την ώρα. Οι DoS και DDoS επιθέσεις βρίσκονται σε άνοδο και γίνονται όλο και πιο εξελιγμένες και πιο έντονες κάθε χρόνο. Η κυβέρνηση των ΗΠΑ κατηγόρησε το Ιράν ότι διεξάγει μια παρατεταμένη σειρά από DDoS επιθέσεις εναντίον των δικτυακών τόπων της Bank of America και άλλων χρηματοπιστωτικών ιδρυμάτων, προφανώς ως αντίποινα για τις οικονομικές κυρώσεις που επιβάλλονται από τις ΗΠΑ σε βάρος του Ιράν για το πυρηνικό του πρόγραμμα. Πρόσφατα οι DDoS επιθέσεις από εκβιαστές έχουν βάλει στο στόχαστρο τις τράπεζες στην Ελλάδα και τη Σουηδία. Οπότε τι είναι αυτές οι DoS και DDoS επιθέσεις;

DoS σημαίνει “denial of service” (άρνηση παροχής υπηρεσίας) και αναφέρεται σε μια επίθεση που κατακλύζει ένα σύστημα με δεδομένα -πολύ συχνά με μια πλημμύρα από ταυτόχρονα αιτήματα που αποστέλλονται σε έναν ιστότοπο για να εμφανίσει τις ιστοσελίδες του, προκαλώντας στον web server που τις φιλοξενεί την κατάρρευση ή απλά την αδυναμία εξυπηρέτησης, καθώς αυτός αγωνίζεται να ανταποκριθεί στις πάρα πολλές αιτήσεις για να παραδώσει περιεχόμενο, πολύ περισσότερες από αυτές που μπορεί να χειριστεί. Ως αποτέλεσμα, οι κανονικοί χρήστες, αυτοί που όντως προσπαθούν να αποκτήσουν πρόσβαση στην ιστοσελίδα για να την δουν, να μην εξυπηρετούνται και να λαμβάνουν τις ιστοσελίδες με μεγάλη καθυστέρηση ή να λαμβάνουν μηνύματα ότι αυτές δεν είναι διαθέσιμες. Υπάρχουν και άλλοι τύποι DoS επιθέσεων που χρησιμοποιούν διαφορετικές τακτικές, αλλά όλες έχουν το ίδιο αποτέλεσμα: να αποτρέψουν την πρόσβαση των κανονικών χρηστών σε ένα σύστημα ή σε μια ιστοσελίδα.

TL;DR: Μια DoS επίθεση (μια επίθεση άρνησης παροχής υπηρεσιών), πλημμυρίζει ένα σύστημα, συχνά έναν web server, με δεδομένα, προκειμένου να τον αναγκάσει να καταρρεύσει και να αποτρέψει έτσι τους χρήστες από το να αποκτήσουν πρόσβαση σε μια ιστοσελίδα. Το DDoS αναφέρεται σε μια επίθεση distributed denial-of-service (κατανεμημένη επίθεση άρνησης παροχής υπηρεσίας) που προέρχεται από πολλαπλά συστήματα κατανεμημένα σε διάφορες τοποθεσίες στο διαδίκτυο.

Οι απλές επιθέσεις DoS, εκτελούνται από ένα μόνο μηχάνημα και είναι σπάνιες αυτές τις μέρες. Αντ' αυτού, έχουν αντικατασταθεί από τις DDoS επιθέσεις, κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσίας που προέρχονται από πολλούς υπολογιστές που κατανέμονται μέσα στο διαδίκτυο, μερικές φορές από εκατοντάδες ή και χιλιάδες συστήματα ταυτόχρονα. Οι μηχανές που επιτίθενται γενικά δεν ξεκινούν τις επιθέσεις με δική τους πρωτοβουλία, αλλά συνήθως είναι μηχανές που τις έχουν παραβιάσει (χωρίς ο κάτοχός τους να το γνωρίζει) και τις έχουν μετατρέψει σε μέρη ενός botnet (ένα δίκτυο από “υπάκουα” μηχανήματα) που ελέγχεται από χάκερς, οι οποίοι χρησιμοποιούν αυτές τις μηχανές ως έναν στρατό για στοχεύσουν και να επιτεθούν σε μια ιστοσελίδα ή σε ένα σύστημα. Επειδή αυτές οι επιθέσεις προέρχονται από χιλιάδες μηχανήματα ταυτόχρονα, μπορεί να είναι δύσκολο να καταπολεμηθούν απλά μπλοκάροντας την κυκλοφορία από τις μηχανές, ειδικά όταν οι επιτιθέμενοι μασκαρεύουν τις διευθύνσεις IP των υπολογιστών που κάνουν την επίθεση, γεγονός που καθιστά δύσκολο για τους υπερασπιστές στο βάλουν φίλτρα για να σταματήσουν την κυκλοφορία από/με αυτές τις διευθύνσεις IP.

Οι δράστες ξεκινούν τις DDoS επιθέσεις για διάφορους λόγους. Οι hacktivists τις έχουν χρησιμοποιήσει για να εκφράσουν τη δυσαρέσκειά τους απέναντι σε συγκεκριμένους στόχους -όπως για παράδειγμα, όταν τα μέλη του Anonymous ξεκίνησαν επιθέσεις εναντίον των ιστότοπων του PayPal, της Visa, της MasterCard το 2011, μετά που οι αυτοί οι πάροχοι υπηρεσιών συναλλαγών αρνήθηκαν να διεκπεραιώσουν τις οικονομικές δωρεές που προορίζονταν για το WikiLeaks.

Το 2013, spammers ξεκίνησαν μια επίθεση (προφανώς ως) τιμωρία κατά της της ιστοσελίδας Spamhaus που καταπολεμούσε το spam, όταν ο ιστότοπος πρόσθεσε μια ολλανδική εταιρεία φιλοξενίας που ονομάζεται Cyberbunker στην μαύρη λίστα με τους spammers. Το Spamhaus παρέχει μαύρες λίστες στους παρόχους email για να τους βοηθήσει να φιλτράρουν τα ανεπιθύμητα μηνύματα που αποστέλλονται από γνωστούς spammers. Το Cyberbunker μπήκε στον κατάλογο, επειδή κατηγορήθηκε για παροχή υπηρεσιών φιλοξενίας στους spammers. Στο αποκορύφωμα αυτής της επίθεσης, καταγράφηκαν 75 gigabits κυκλοφορίας ανά δευτερόλεπτο με πληροφορίες, που πλημμύρισαν τους servers της Spamhaus.

Η βιομηχανία τυχερών παιχνιδιών στο διαδίκτυο επίσης μαστίζεται από DDoS επιθέσεις για πολλά χρόνια, με το φταίξιμο να πέφτει στους δυσαρεστημένους παίκτες ή ακόμα και σε ανταγωνιστές. Ένας αριθμός από υπηρεσίες παροχής DDoS επιθέσεων με μίσθωση, για παράδειγμα, μπορούν να ρίξουν κάτω την ιστοσελίδα ενός ανταγωνιστή για όποιον θέλει να τις μισθώσει.

Ορισμένες επιθέσεις DDoS ξεκίνησαν για πολιτικούς σκοπούς. Η πιο διάσημη από αυτές ήταν οι επιθέσεις DDoS που στόχευαν την Εσθονία και τη Γεωργία. Το 2007, ένα μπαράζ από αυξημένη κυκλοφορία χτύπησε τα sites της κυβέρνησης και των μέσων ενημέρωσης στην Εσθονία, βγάζοντας τα offline. Αργότερα η επίθεση αποδόθηκε σε Ρώσους εθνικιστές, οι οποίοι ήταν οργισμένοι για την απόφαση της Εσθονίας να μεταφέρει ένα σοβιετικό μνημείο για τον Β' Παγκόσμιο Πόλεμο που υπήρχε στο Ταλίν, την πρωτεύουσα της Εσθονίας, από το κέντρο της πόλης σε ένα στρατιωτικό νεκροταφείο.

Το 2008, ιστοσελίδες στη Γεωργία χτυπήθηκαν με DDoS επιθέσεις, εβδομάδες πριν τα ρωσικά στρατεύματα εισβάλουν στη Νότια Οσετία, προτρέποντας έτσι τη Γεωργία και άλλους να κατηγορήσουν τη Ρωσία για αυτές τις ψηφιακές επιθέσεις.

Πιο πρόσφατα, DDoS επιθέσεις έχουν χρησιμοποιηθεί ως τεχνική ποινικού εκβιασμού. Αρκετοί πάροχοι υπηρεσιών κρυπτογραφημένου ηλεκτρονικού ταχυδρομείου, όπως το ProtonMail και το HushMail, καθώς και τράπεζες στην Σουηδία και την Ελλάδα, έχουν πληγεί με DDoS επιθέσεις μετά που αρνήθηκαν να πληρώσουν “λύτρα” που οι επιτιθέμενοι είχαν ζητήσει για να μην επιτεθούν στις ιστοσελίδες τους.

Οι DDoS επιθέσεις μπορεί επίσης να χρησιμοποιηθούν ως προπέτασμα καπνού για να συγκαλυφθεί ή για να προσελκύσουν την προσοχή μακριά από άλλες φαύλες δραστηριότητες που θα μπορούσε να κάνει ένας εισβολέας, όπως είναι η κλοπή δεδομένων από το δίκτυο του θύματος. Οι hackers που στόχευαν την εταιρία τηλεπικοινωνιών στο Ηνωμένο Βασίλειο, την TalkTalk πέρυσι, χρησιμοποίησαν μια επίθεση DDoS ως προπέτασμα καπνού, ενώ έκλεβαν τα δεδομένα από 4 εκατομμύρια πελάτες της εταιρείας.

Οι DDoS επιθέσεις όμως, δεν περιορίζονται μόνο σε υπολογιστές και σε διακομιστές web. Μια παραλλαγή τέτοιας επίθεσης μπορεί επίσης να στοχεύσει τηλέφωνα και τηλεφωνικά συστήματα. Τον Δεκέμβριο, οι hackers προκάλεσαν διακοπή ρεύματος σε δύο εργοστάσια στην Ουκρανία, είχαν ξεκινήσει επίσης επίθεση denial-of-service εναντίον των τηλεφωνικών κέντρων εξυπηρέτησης πελατών, για να αποτρέψουν τους κατοίκους της περιοχής από το να αναφέρουν την βλάβη προς την εταιρία ηλεκτρισμού.

Οι DDoS επιθέσεις έχουν γίνει πιο ισχυρές με την πάροδο του χρόνου, με τους χάκερ να παραλλάσσουν ποικιλοτρόπως τις τεχνικές τους για να ενισχύσουν τα αποτελέσματα που έχουν και για να καταστήσουν πιο δύσκολο τον περιορισμό ή την ματαίωση των επιθέσεων τους. Κάθε χρόνο, όπως φαίνεται, μια νέα μεγα-DDoS επίθεση εμφανίζεται που επισκιάζει εκείνες που προηγήθηκαν.

Πέρυσι, η εταιρεία ασφαλείας Cloudflare που εδρεύει στο Σαν Φρανσίσκο, η οποία βοηθά τα sites να βελτιώσουν τις επιδόσεις τους και την ασφάλεια τους, εν μέρει και από τον μετριασμό των DDoS επιθέσεων, είπε ότι είχε αντιμετωπίσει μια μαζική επίθεση DDoS εναντίον ενός πελάτη της στην Ευρώπη. Η επίθεση, στο αποκορύφωμά της, έφτασε να στέλνει σχεδόν 400 gigabits δεδομένων ανά δευτερόλεπτο στο στόχο της. Η μέση DDoS επίθεση φτάνει περίπου μέχρι τα 50 Gbps.

Αν και η δύναμη των επιθέσεων DDoS ολοένα αυξάνεται, τα μέσα ενημέρωσης συχνά τις χαρακτηρίζουν λανθασμένα υπερβάλλοντας για τη σημασία τους. Πολλά νέα ειδησεογραφικά sites, για παράδειγμα, έχουν αναφερθεί εσφαλμένα στις επιθέσεις εναντίον των δικτυακών τόπων της Εσθονίας το 2007 χαρακτηρίζοντας τες ως ένα κυβερνοπόλεμο (ανάμεσά τους και ένα άρθρο στο περιοδικό WIRED). Και σε ένα άρθρο το 2012 στο Bloomberg, περιγράφονται οι DDoS επιθέσεις κατά αμερικανικών τραπεζών, ως επιθέσεις που είχαν παραβιάσει μερικές από τις πιο προηγμένες άμυνες υπολογιστών του έθνους” και ότι τέτοιες επιθέσεις είναι της τάξεως “ανάμεσα στα σενάρια με τις χειρότερες περιπτώσεις που έχουν σχεδιαστεί από την Υπηρεσία Εθνικής Ασφάλειας”.

Στην πραγματικότητα, οι DDoS επιθέσεις από μόνες τους είναι μια ενόχληση στους χρήστες του διαδικτύου και μπορεί να κοστίσουν σε μια εταιρεία σε χαμένες πωλήσεις κατά τη διάρκεια του χρόνου που γίνεται η επίθεση και αρνούνται την πρόσβαση σε πελάτες, αλλά είναι αρκετά εύκολο κάποιος να τις αντιμετωπίσει. Όταν χρησιμοποιούνται σε συνδυασμό με την παραβίαση δεδομένων ή με κάποια άλλη φαύλα δραστηριότητα, σίγουρα μπορούν να βοηθήσουν στην επιτυχία αυτής της παραβίασης, αλλά δύσκολα χαρακτηρίζονται ως καταστροφικές ή ως ένα από τα χειρότερα δυνατά σενάρια που μπορεί να συμβούν, σύμφωνα με τον ορισμό αυτού του όρου.

 

https://3505afac6b003d085fe80f51fc0a5e1d0331a43c-www.googledrive.com/host/0ByAMXZl2-PZ0Q3I1VTFwWjZ6WUU

Το Λεξικό του Χάκερ: Τα botnets, οι στρατοί υπολογιστών ζόμπι που αποφέρουν στους Hackers εκατομμύρια

(Αναδημοσίευση με μετάφραση από: WIRED, “Hacker Lexicon: Botnets, the Zombie Computer Armies That Earn Hackers Millions”, Kim Zetter, at Security, 12.15.15, 12:45 pm, botnets, hacker lexicon, Hacks and Cracks)

Getty Images

Οι στρατοί από ζόμπι δεν εισβάλλουν μόνο μέσα στις ταινίες αυτές τις μέρες. Καταλαμβάνουν, επίσης, και το διαδίκτυο με τη μορφή μαζικών botnets.

Ένα botnet είναι μια στρατιά από υπολογιστές (bots), όλοι τους μολυσμένοι με το ίδιο κακόβουλο λογισμικό, που δίνει στον “βοσκό των bot” την δυνατότητα να χειρίζεται από μακρυά αυτούς τους υπολογιστές (χωρίς οι ιδιοκτήτες τους να το γνωρίζουν) με σκοπό να τους επιτάξει κρυφά για τους σκοπούς του. Ο βοσκός των bot μπορεί και στέλνει εντολές σε αυτό το υποδίκτυο υπολογιστών από έναν διακομιστή διοίκησης και ελέγχου για να τραβήξει στοιχεία όπως αριθμούς πιστωτικών καρτών, διαπιστευτήρια για τραπεζικούς λογαριασμούς από αυτά ή για να τα χρησιμοποιήσει για να ξεκινήσει DDoS επιθέσεις εναντίον web sites, για να αποστείλει πακτωλό από spam, καθώς και για να αποστείλει και άλλα κακόβουλα προγράμματα σε θύματα ή για να τα χρησιμοποιήσει για να κάνει απάτη με κλικς πάνω σε διαφημίσεις.

Το θέμα με τα botnets ήρθε αυτό το μήνα σε μια Senate Judiciary ακρόαση με τον Διευθυντή του FBI, James Comey. Ο Γερουσιαστής Sheldon Whitehouse, ο οποίος έχει ήδη παρομοιάσει τα botnets ως ζιζάνια που κάνουν “κακά πράγματα”, ρώτησε τον Comey να τους εκθέσει την αξιολόγηση του για μια από τις μεγαλύτερες μάστιγες του διαδικτύου και ο Comey απάντησε ότι δεν υπάρχει τέτοιο πράγμα όπως ένα “καλό botnet”.

Είτε έρχεται καταπάνω σου είτε στέκεται χωρίς να κάνει τίποτα, είναι κακό”, απάντησε ο Comey. “Δεν ξέρω κανένα καλό σκοπό που να μπορεί να υπηρετήσει μια στρατιά από ζόμπι”.

Τα botnets υφίστανται ήδη για περισσότερο από μια δεκαετία και έχουν γίνει μια από τις πιο δημοφιλείς μεθόδους που χρησιμοποιούν οι επιτιθέμενοι για να παραβιάσουν μηχανές και για να βγάλουν γρήγορα λεφτά. Η βιομηχανία της ασφάλειας εκτιμά ότι τα botnets, μέσα στον χρόνο, έχουν οδηγήσει σε απώλειες με ένα κόστος περισσότερο από $110 δις για τα θύματα τους σε παγκόσμιο επίπεδο. Εκτιμάται ότι 500 εκατομμύρια υπολογιστές πέφτουν θύματα σε επιθέσεις από botnets σε ετήσια βάση, κάτι που σημαίνει ότι κάθε δευτερόλεπτο μολύνονται περίπου 18 θύματα.

Το σκουλήκι Morris, εξαπολύθηκε το 1988, μερικές φορές το αναφέρουν και ως το πρώτο botnet. Αλλά παρόλο που το σκουλήκι μόλυνε χιλιάδες υπολογιστές στο ARPAnet, τον πρόδρομο του Internet, δεν ήταν πραγματικά ένα botnet με τον τρόπο που ορίζονται τα εν λόγω δίκτυα σήμερα. Ο Robert Morris, Jr., ο οποίος ξεκίνησε το σκουλήκι, δεν είχε τον έλεγχο πάνω στα μολυσμένα μηχανήματα και ποτέ δεν κέρδισε ούτε μια δεκάρα από τη λειτουργία του, απλά το σκουλήκι του εξαπλώθηκε ανεξέλεγκτα.

Τα σημερινά botnets είναι καλά λαδωμένες εγκληματικές επιχειρήσεις και συχνά αποτελούνται από εκατομμύρια μολυσμένα μηχανήματα που μπορούν να αποφέρουν στον βοσκό των bots ή στους πελάτες του, εκατομμύρια δολάρια.

Το Coreflood, για παράδειγμα, ήταν ένα δημοφιλές botnet που παράμενε ισχυρό για σχεδόν μια δεκαετία πριν οι αρχές επιβολής του νόμου το καταστρέψουν το 2011. Ένας διακομιστής ελέγχου του Coreflood που κατασχέθηκε από τις αρχές είχε κάτω από τον έλεγχο του πάνω από 2 εκατομμύρια μολυσμένα μηχανήματα και μέσα σε ένα χρόνο είχε συγκεντρώσει περισσότερα από 190 gigabytes δεδομένων από τους υπολογιστές των θυμάτων του. Το botnet επέτρεψε στους εγκληματίες να λεηλατήσουν εκατομμύρια θύματα, συμπεριλαμβανομένων και $115.000 από τον λογαριασμό μιας εταιρείας ακινήτων στο Μίτσιγκαν και $78.000 από μια νομική εταιρεία της Νότιας Καρολίνας.

Αρκετά συχνά, οι εισβολείς οι οποίοι ελέγχουν ένα botnet θα το χρησιμοποιήσουν όχι μόνο για τα δικά τους εγκλήματα, αλλά θα το νοικιάσουν και σε άλλους εισβολείς για να εκτελέσουν DDoS επιθέσεις ή επιχειρήσεις κλοπής δεδομένων.

Το botnet Bredolab, το οποίο είχε σε ομηρία πάνω από 30 εκατομμύρια μηχανές, είναι ένα τέτοιο παράδειγμα. Ο Georgy Avanesov, ένας 27χρονος Ρώσος πολίτης αρμενικής καταγωγής, ανέπτυξε το Bredolab το 2009 για να υποκλέψει κωδικούς τραπεζικών λογαριασμών και άλλες εμπιστευτικές πληροφορίες από μολυσμένους υπολογιστές. Αλλά οι αρχές λένε ότι ο Avenesov κέρδιζε επίσης περίπου $125.000 το μήνα από την εκμίσθωση των υπολογιστών που είχε στο botnet του και σε άλλους εγκληματίες, οι οποίοι χρησιμοποίησαν το botnet για να διαδώσουν malware, να διανέμουν spam και για να διεξάγουν επιθέσεις DDoS.

Τα botnets SpyEye και Zeus ήταν επίσης εξαιρετικά διαδεδομένα και επικερδή για τους διοικητές τους. Και τα δυο είχαν κλέψει διαπιστευτήρια σε τραπεζικούς λογαριασμούς από τα θύματα και είχαν αυτοματοποιήσει τη διαδικασία της μετάγγισης χρημάτων από τους λογαριασμούς στις τσέπες των master τους. Ο δημιουργός ή οι δημιουργοί πίσω από το botnet Zeus το πουλούσαν σε διάφορες εγκληματικές συμμορίες οι οποίες μόλυναν με αυτό πάνω από 13 εκατομμύρια συσκευές από το 2008 και το χρησιμοποίησαν για να κλέψουν περισσότερα από $100 εκατομμύρια.

Το 2007, το FBI άρχισε να κυνηγά τα botnets μέσω μιας επιχείρησης με την κωδική ονομασία Bot Roast. Ένας άνδρας που ονομάζεται John Schiefer κατηγορήθηκε και καταδικάστηκε στην εκδίκαση μιας από τις πρώτες ποινικές υποθέσεις για botnet που αποκαλύφθηκαν από την επιχείρηση. Αν και κυρίως, η δίωξη ήταν για κατηγορίες σε σχέση με την νομοθεσία για την υποκλοπή τηλεφωνικών συνδιαλέξεων πάρα με βάση το νόμο για τις ηλεκτρονικές απάτες και καταχρήσεις, δηλαδή την νομοθεσία που συνήθως χρησιμοποιείται για τη δίωξη των χάκερ. Το malware του botnet του είχε προσβάλει περίπου 250.000 μηχανές και χρησιμοποιήθηκε για να υποκλαπούν τα ονόματα χρήστη και οι κωδικοί πρόσβασης από τους λογαριασμούς στο PayPal των ιδιοκτητών των υπολογιστών που μόλυνε.

Οι μέθοδοι της υπηρεσίας για την πάταξη των botnets δεν ήταν χωρίς κάποιες αμφιλεγόμενες ενέργειες. Το 2011, για παράδειγμα, το FBI χρησιμοποίησε μια νέα μέθοδο για την εξάλειψη του botnet Coreflood. Μετά που η υπηρεσία έλαβε δικαστική εντολή για να πάρει τον έλεγχο των servers που χρησιμοποιούνταν για τον χειρισμό του botnet, το FBI έστειλε κώδικα στα μολυσμένα μηχανήματα για να απενεργοποιήσει το κακόβουλο λογισμικό. Μια ιδιωτική εταιρεία ασφαλείας, υπό την εποπτεία των αρχών της επιβολής του νόμου, το έκανε αυτό με το να να παραβιάσει πρώτα την επικοινωνία μεταξύ των μολυσμένων υπολογιστών και των servers ελέγχου, έτσι ώστε οι μολυσμένοι υπολογιστές να επικοινωνήσουν με τους διακομιστές που έλεγχε η εταιρία αντί με τους αρχικούς διακομιστές ελέγχου του botnet. Μετά τη συλλογή των διευθύνσεων IP από κάθε ένα μολυσμένο μηχάνημα που επικοινώνησε με τους server της εταιρίας, έστειλαν μια απομακρυσμένη εντολή “stop” για να απενεργοποιήσουν το malware του Coreflood σε αυτά τα μηχανήματα. Το EFF (Electronic Frontier Foundation) χαρακτήρισε αυτήν την τεχνική ως μια “εξαιρετικά ατελής” κίνηση, δεδομένου ότι ήταν αδύνατο να προβλεφθεί για το αν ο κωδικός τερματισμού θα μπορούσε να έχει αρνητικές επιπτώσεις στα μηχανήματα του botnet. Δεν έχουν αναφερθεί δυσμενείς επιπτώσεις, ωστόσο, και σύμφωνα με τα στοιχεία που απελευθέρωσαν οι ομοσπονδιακοί, αυτή η δράση βοήθησε να απενεργοποιήσουν το κακόβουλο λογισμικό του botnet που υπήρχε σε περίπου 700.000 μηχανήματα μέσα σε μία εβδομάδα.

Μια διαφορετική επιχείρηση για την διάλυση των botnets δεν λειτούργησε όμως και τόσο καλά για τη Microsoft. Το 2014, ο γίγαντας του λογισμικού έλαβε μια δικαστική απόφαση για να πάρει υπό τον έλεγχο του σχεδόν δύο δωδεκάδες domains που χρησιμοποιούνται από δύο διαφορετικές οικογένειες malware botnet, γνωστές ως Bladabindi (aka NJrat) και Jenxcus (aka NJw0rm). Η Microsoft δεν έστειλε στα μολυσμένα μηχανήματα κάποια εντολή, αλλά απλά παρόπλισε τα κακόβουλα domains για να απενεργοποιήσει έτσι την δομή διοίκησης των botnets, η Microsoft κατάσχεσαι επίσης και πολλές νόμιμες περιοχές που ελέγχονταν από τον πάροχο DNS No-IP.com, θέτοντας έτσι τις διευθύνσεις των ιστοσελίδων των εκατομμυρίων πελατών του εκτός σύνδεσης. Η κατασκευάστρια λογισμικού αναγνώρισε τελικά το λάθος της και επανέφερε τα domains για να να αποκαταστήσει την νόμιμη υπηρεσία στους πελάτες, αλλά αυτή της η επιχείρηση υπογράμμισε το γεγονός ότι τα αδέξια μέτρα καταστολής ενάντια στα botnets μπορεί να έχει απρόβλεπτες συνέπειες.

Από όλα τα botnets που έπληξαν το διαδίκτυο κατά την τελευταία δεκαετία, ένα από τα πιο διάσημα παραμένει και ένα διαρκές μυστήριο. Το worm του botnet Conficker μόλυνε κατ' εκτίμηση 12 εκατομμύρια μηχανήματα αρχής γενομένης από το 2008 και μέχρι σήμερα ακόμα μολύνει μηχανήματα. Το worm χρησιμοποιεί μια εξελιγμένη μέθοδο που είναι κάπως μυθιστορηματική -dynamic DNS- για προφυλάξει την δομή ελέγχου του από το να διαλυθεί. Ομάδες ερευνητών ασφάλειας εργάστηκαν για μήνες για να καταφέρουν να βρεθούν μπροστά από την μόλυνση. Αλλά τελικά, παρ' όλη την δουλειά που οι επιτιθέμενοι έβαλαν για την διεξαγωγή της επίθεσης, το Conficker αποδείχθηκε να είναι αρκετά άστοχο και κανείς δεν βρέθηκε ποτέ σε θέση να προσδιορίσει τον αρχικό σκοπό του. Ο κώδικας στο malware έδειξε ότι το botnet θα μπορούσε να ενεργοποιηθεί στις 1 Απριλίου του 2009, αν και κανείς δεν ήξερε τι σήμαινε αυτό. Στις ημέρες πριν από την ημερομηνία αυτή, πολλοί άνθρωποι έκαναν ολέθριες προβλέψεις λέγοντας ότι οι επιτιθέμενοι του Conficker θα μπορούσαν να χρησιμοποιήσουν αυτόν τον τεράστιο στρατό από υπολογιστές για να ρίξουν την υποδομή του διαδικτύου. Αλλά η προθεσμία της 1ης Απριλίου πέρασε χωρίς επεισόδια. Το 2011, οι αρχές στην Ουκρανία, σε συνεργασία με τις αμερικανικές αρχές, εξάρθρωσαν ένα $72 εκατομμυρίων δίκτυο εγκλήματος στον κυβερνοχώρο, το οποίο χρησιμοποιούσε τον ιό Conficker, αν και είναι ασαφές το αν ήταν και πίσω από την αρχική εξάπλωση του Conficker ή αν απλά είχαν καταλάβει τα μολυσμένα από τον Conficker μηχανήματα για να εγκαταστήσουν και να εξαπλώσουν άλλα κακόβουλα προγράμματα που τους επέτρεπαν να κλέψουν διαπιστευτήρια τραπεζικών λογαριασμών από τους μολυσμένους υπολογιστές.

Παρά τις ελάχιστες φορές που υπήρξαν επιτυχημένες ενέργειες για την διάλυση botnets όλα αυτά τα χρόνια, δεν υπάρχει κανένα σημάδι που να δείχνει ότι μια πιθανή αποκάλυψη των ζόμπι είναι σε εξασθένηση. Σύμφωνα με τα εκτιμώμενα ποσοστά μόλυνσης του κλάδου, στα λίγα λεπτά που χρειάστηκαν για να διαβάσεις αυτό το άρθρο, περισσότερες από 3.000 νέες μηχανές προσχώρησαν σε κάποιον στρατό botnet.

Short URL

Επιμέλεια και κατασκευή ''Η γη των πιγκουίνων''

http://creativecommons.org/images/deed/by.png

Copyleft
Το περιεχόμενο αυτής της ιστοσελίδας διατίθεται με άδεια Creative Commons