2014-08-13 10:53:56
Πρόσφατη έκθεση υποστηρίζει ότι μία εγκληματική ομάδα Ρώσων υπέκλεψε 1.2 δισεκατομμύρια user names και passwords από 420.000 ιστοσελίδες. Σύμφωνα με πληροφορίες τα breaches έχουν μολύνει διαφορετικά είδη επιχειρήσεων που κυμαίνονται από οργανισμούς που εντάσσονται στη λίστα Fortune 500 μέχρι πολύ μικρές ιστοσελίδες.
Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.Η ομάδα των Ρώσων φέρεται να κατάφερε να αποκτήσει αυτά τα στοιχεία με την χρήση botnets για να διερευνήσει εάν οι ιστοσελίδες έχουν ευπάθειες. Η έκθεση αναφέρει ότι, όταν ένας από τους μολυσμένους υπολογιστές του botnet επισκεφθεί μια ιστοσελίδα, οι επιτιθέμενοι αναγκάζουν τον υπολογιστή να πραγματοποιήσει ένα SQL injection στην ιστοσελίδα για να δουν αν περιέχει ευπάθειες. Εφόσον η ιστοσελίδα περιέχει ευπάθειες, τότε οι επιτιθέμενοι το καταγράφουν και επιστρέφουν σε αυτή αργότερα για να υποκλέψουν πληροφορίες από την βάση δεδομένων της ιστοσελίδας.
Σύμφωνα με πληροφορίες οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, έχουν χρησιμοποιήσει τα δεδομένα αυτά για να στείλουν μηνύματα spam στα κοινωνικά δίκτυα. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες επαναχρησιμοποιήσουν τα passwords τους σε άλλες online υπηρεσίες, τότε οι επιτιθέμενοι θα μπορούν να χρησιμοποιήσουν τις πληροφορίες με σκοπό να θέσουν σε κίνδυνο άλλους λογαριασμούς και να αποκτήσουν επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.
Το πρόβλημα με τα passwords
Αυτό το περιστατικό που καταγράφηκε αποδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι πολύ εύκολη η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν. Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, θα μπορούσε ενδεχομένως να χρησιμοποιήσει τις πληροφορίες για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πολλούς άλλα online accounts.
Ακόμα και η ενημέρωση για σημαντικές ευπάθειες που γίνεται στους χρήστες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από τον Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο σφάλμα.
Αντί να κατηγορείται ο χρήστης, ίσως θα ήταν καλύτερο να εξεταστούν νέα μέτρα βελτίωσης του τρόπου που γίνεται το authentication όταν χρησιμοποιούνται online υπηρεσίες. Λαμβάνοντας υπόψη την ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια, τόσο στον καταναλωτικό όσο και στον επιχειρηματικό τομέα, τώρα ίσως είναι η κατάλληλη στιγμή για δράση.
Mobile authentication
Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication. Όταν οι χρήστες κάνουν log in με τα passwords τους, ελέγχουν τα email, τα SMS ή τις φορητές εφαρμογές για τον δεύτερο προσωρινό authentication code. Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στο δεύτερο authentication για να παραβιάσει το λογαριασμό που έχει ως στόχο.
Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι το βιομετρικό authentication. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, η Apple το έκανε ευρέως γνωστό, με την προσθήκη ενός fingerprint αισθητήρα στο iPhone 5S την περασμένη χρονιά. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο πλήκτρο ‘home’. Ακολούθησαν και άλλοι κατασκευαστές smartphone οι οποίοι εφάρμοσαν αυτό το χαρακτηριστικό στις συσκευές τους, ενώ τον Ιούνιο η Apple εγκατέστησε αυτό το χαρακτηριστικό σε όλες τις εφαρμογές της, βοηθώντας την τεχνολογία να εξαπλωθεί ακόμα περισσότερο.
Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Ένα στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει την δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.
Freegr network blog- News about pc, technology.
freegr
Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.Η ομάδα των Ρώσων φέρεται να κατάφερε να αποκτήσει αυτά τα στοιχεία με την χρήση botnets για να διερευνήσει εάν οι ιστοσελίδες έχουν ευπάθειες. Η έκθεση αναφέρει ότι, όταν ένας από τους μολυσμένους υπολογιστές του botnet επισκεφθεί μια ιστοσελίδα, οι επιτιθέμενοι αναγκάζουν τον υπολογιστή να πραγματοποιήσει ένα SQL injection στην ιστοσελίδα για να δουν αν περιέχει ευπάθειες. Εφόσον η ιστοσελίδα περιέχει ευπάθειες, τότε οι επιτιθέμενοι το καταγράφουν και επιστρέφουν σε αυτή αργότερα για να υποκλέψουν πληροφορίες από την βάση δεδομένων της ιστοσελίδας.
Σύμφωνα με πληροφορίες οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, έχουν χρησιμοποιήσει τα δεδομένα αυτά για να στείλουν μηνύματα spam στα κοινωνικά δίκτυα. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες επαναχρησιμοποιήσουν τα passwords τους σε άλλες online υπηρεσίες, τότε οι επιτιθέμενοι θα μπορούν να χρησιμοποιήσουν τις πληροφορίες με σκοπό να θέσουν σε κίνδυνο άλλους λογαριασμούς και να αποκτήσουν επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.
Το πρόβλημα με τα passwords
Αυτό το περιστατικό που καταγράφηκε αποδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι πολύ εύκολη η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν. Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, θα μπορούσε ενδεχομένως να χρησιμοποιήσει τις πληροφορίες για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πολλούς άλλα online accounts.
Ακόμα και η ενημέρωση για σημαντικές ευπάθειες που γίνεται στους χρήστες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από τον Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο σφάλμα.
Αντί να κατηγορείται ο χρήστης, ίσως θα ήταν καλύτερο να εξεταστούν νέα μέτρα βελτίωσης του τρόπου που γίνεται το authentication όταν χρησιμοποιούνται online υπηρεσίες. Λαμβάνοντας υπόψη την ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια, τόσο στον καταναλωτικό όσο και στον επιχειρηματικό τομέα, τώρα ίσως είναι η κατάλληλη στιγμή για δράση.
Mobile authentication
Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication. Όταν οι χρήστες κάνουν log in με τα passwords τους, ελέγχουν τα email, τα SMS ή τις φορητές εφαρμογές για τον δεύτερο προσωρινό authentication code. Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στο δεύτερο authentication για να παραβιάσει το λογαριασμό που έχει ως στόχο.
Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι το βιομετρικό authentication. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, η Apple το έκανε ευρέως γνωστό, με την προσθήκη ενός fingerprint αισθητήρα στο iPhone 5S την περασμένη χρονιά. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο πλήκτρο ‘home’. Ακολούθησαν και άλλοι κατασκευαστές smartphone οι οποίοι εφάρμοσαν αυτό το χαρακτηριστικό στις συσκευές τους, ενώ τον Ιούνιο η Apple εγκατέστησε αυτό το χαρακτηριστικό σε όλες τις εφαρμογές της, βοηθώντας την τεχνολογία να εξαπλωθεί ακόμα περισσότερο.
Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Ένα στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει την δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.
Freegr network blog- News about pc, technology.
freegr
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΠΡΟΗΓΟΥΜΕΝΟ ΑΡΘΡΟ
Και άλλος χωρισμός «βόμβα» στην Ελληνική showbiz... [photo]
ΣΧΟΛΙΑΣΤΕ