Δεν είναι όλα καταστροφή και κατήφεια: Όταν η κυβερνοασφάλεια μας έδωσε ελπίδα το 2023

By

Marizas Dimitris

On

Δεκ 30, 2023

Ένα αστείο –

αλλά είναι αλήθεια — το αστείο στο TechCrunch είναι ότι το γραφείο ασφαλείας θα μπορούσε κάλλιστα να ονομάζεται Department of Bad News, αφού, καλά, έχετε δει τι έχουμε καλύψει τελευταία; Υπάρχει

μι

α ατελείωτη προσφορά καταστροφικών παραβιάσεων, διάχυτης επιτήρησης και άβολων startups που μαστιγώνουν τους εντελώς επικίνδυνους.

Μερικές φορές όμως —αν και σπάνια— υπάρχουν ακτίνες ελπίδας που θέλουμε να μοιραστούμε. Και κυρίως επειδή το να κάνεις το σωστό, ακόμη και (και ειδικά) ενόψει αντιξοοτήτων, βοηθά να γίνει ο

κυβερνοχώρος

λίγο πιο ασφαλής.

Το Μπαγκλαντές ευχαρίστησε έναν ερευνητή ασφάλειας για την ανακάλυψη διαρροής δεδομένων πολιτών

Όταν ένας ερευνητής ασφαλείας διαπίστωσε ότι ένας ιστότοπος της κυβέρνησης του Μπαγκλαντές διέρρεε τα προσωπικά στοιχεία των πολιτών του, προφανώς κάτι δεν πήγαινε καλά. Ο Βίκτορ Μαρκόπουλος βρήκε τα εκτεθειμένα δεδομένα χάρη σε ένα αποτέλεσμα αναζήτησης Google που είχε αποθηκευτεί ακούσια στην κρυφή μνήμη, το οποίο αποκάλυψε ονόματα πολιτών, διευθύνσεις, αριθμούς τηλεφώνου και αριθμούς εθνικών ταυτοτήτων από τον επηρεαζόμενο ιστότοπο. Το TechCrunch επαλήθευσε ότι ο ιστότοπος της κυβέρνησης του Μπαγκλαντές διέρρεε δεδομένα, αλλά οι προσπάθειες να ειδοποιηθεί το κυβερνητικό τμήμα αρχικά σιωπήθηκαν. Τα δεδομένα ήταν τόσο ευαίσθητα, που το TechCrunch δεν μπορούσε να πει ποια κυβερνητική υπηρεσία διέρρευε τα δεδομένα, καθώς αυτό θα μπορούσε να εκθέσει περαιτέρω τα δεδομένα.

Τότε ήταν που η ομάδα αντιμετώπισης περιστατικών έκτακτης ανάγκης υπολογιστών της χώρας, γνωστή και ως CIRT, ήρθε σε επαφή και επιβεβαίωσε ότι η βάση δεδομένων που διέρρευσε είχε επιδιορθωθεί. Τα δεδομένα προέρχονταν από το ληξιαρχείο γεννήσεων, θανάτων και γάμων της χώρας.

Το CIRT επιβεβαίωσε σε δημόσια ανακοίνωση ότι είχε επιλύσει τη διαρροή δεδομένων

και ότι δεν άφησε «λιθαράκι» για να καταλάβει πώς έγινε η διαρροή. Οι κυβερνήσεις σπάνια χειρίζονται καλά τα σκάνδαλά τους, αλλά ένα email από την κυβέρνηση προς τον ερευνητή που τις ευχαριστεί για την ανακάλυψη και την αναφορά του σφάλματος δείχνει την προθυμία της κυβέρνησης να ασχοληθεί με την ασφάλεια στον κυβερνοχώρο όπου πολλές άλλες χώρες δεν το κάνουν.

Η Apple ρίχνει τον νεροχύτη της κουζίνας στο πρόβλημα του spyware

Έχει περάσει περισσότερο από μια δεκαετία από τότε

Η Apple απέσυρε τον διαβόητο πλέον ισχυρισμό της

ότι τα Mac δεν κολλάνε ιούς PC (κάτι που αν και τεχνικά αληθεύει, αυτά τα λόγια μαστίζουν την εταιρεία εδώ και χρόνια). Αυτές τις μέρες η πιο πιεστική απειλή για τις συσκευές Apple είναι το εμπορικό spyware, που αναπτύχθηκε από ιδιωτικές εταιρείες και πωλείται σε κυβερνήσεις, το οποίο μπορεί να ανοίξει μια τρύπα στην άμυνα ασφαλείας των τηλεφώνων μας και να κλέψει τα δεδομένα μας. Χρειάζεται θάρρος για να παραδεχτεί κανείς ένα πρόβλημα, αλλά η Apple έκανε ακριβώς αυτό με την κυκλοφορία επιδιορθώσεων Rapid

Security

Response για να διορθώσει σφάλματα ασφαλείας που εκμεταλλεύονται ενεργά οι κατασκευαστές spyware.

Η Apple παρουσίασε την πρώτη επείγουσα «επείγουσα επιδιόρθωση» νωρίτερα φέτος σε iPhone, iPad και Mac. Η ιδέα ήταν να κυκλοφορήσουν κρίσιμες ενημερώσεις κώδικα που θα μπορούσαν να εγκατασταθούν χωρίς πάντα να χρειάζεται να επανεκκινήσετε τη συσκευή (αναμφισβήτητα το σημείο πόνου για τους σκεπτόμενους την ασφάλεια). Η Apple διαθέτει επίσης μια ρύθμιση που ονομάζεται Λειτουργία κλειδώματος, η οποία περιορίζει ορισμένες λειτουργίες συσκευής σε μια συσκευή Apple που συνήθως στοχεύονται από λογισμικό υποκλοπής. Η Apple λέει ότι δεν γνωρίζει ότι κάποιος χρησιμοποιεί τη λειτουργία Lockdown που στη συνέχεια παραβιάστηκε. Στην πραγματικότητα, οι ερευνητές ασφαλείας λένε ότι το Lockdown Mode έχει μπλοκάρει ενεργά τις συνεχιζόμενες στοχευμένες εισβολές.

Η κυβέρνηση της Ταϊβάν δεν το έκανε

αναβοσβήνω

πριν από την παρέμβαση μετά από διαρροή εταιρικών δεδομένων

Όταν ένας ερευνητής ασφαλείας είπε στο TechCrunch ότι μια υπηρεσία κοινής χρήσης ποδηλάτων με την ονομασία iRent – που διευθύνεται από τον ταϊβανέζικο γίγαντα της

αυτοκινητοβιομηχανία

ς Hotai Motors – διοχέτευε σε πραγματικό χρόνο τα δεδομένα των πελατών στο Διαδίκτυο, φαινόταν σαν μια απλή λύση. Ωστόσο, μετά από μια εβδομάδα αποστολής email στην εταιρεία για την επίλυση της συνεχιζόμενης διαρροής δεδομένων – η οποία περιελάμβανε ονόματα πελατών, αριθμούς κινητών τηλεφώνων και διευθύνσεις email και σαρώσεις αδειών πελατών – το TechCrunch δεν ενημερώθηκε ποτέ. Μόλις επικοινωνήσαμε με την κυβέρνηση της Ταϊβάν για βοήθεια στην αποκάλυψη του περιστατικού, λάβαμε απάντηση

αμέσως

.

Μέσα σε μια ώρα από την επικοινωνία με την κυβέρνηση, η υπουργός ψηφιακών υποθέσεων της Ταϊβάν Audrey Tang είπε στο TechCrunch μέσω email ότι η εκτεθειμένη βάση δεδομένων είχε επισημανθεί με την ομάδα αντιμετώπισης περιστατικών έκτακτης ανάγκης υπολογιστή της Ταϊβάν, TWCERT, και αποσύρθηκε εκτός σύνδεσης. Η ταχύτητα με την οποία απάντησε η κυβέρνηση της Ταϊβάν ήταν εκπληκτικά γρήγορη, αλλά δεν ήταν το τέλος. Στη συνέχεια, η Ταϊβάν επέβαλε πρόστιμο στη Hotai Motors επειδή δεν προστατεύει τα δεδομένα περισσότερων από 400.000 πελατών και έλαβε εντολή να βελτιώσει την κυβερνοασφάλειά της. Στη συνέχεια, ο αντιπρόεδρος της Ταϊβάν Cheng Wen-tsan είπε ότι το πρόστιμο των περίπου 6.600 δολαρίων ήταν «πολύ ελαφρύ» και πρότεινε μια αλλαγή στο νόμο που θα αυξήσει τα πρόστιμα για παραβίαση δεδομένων κατά δεκαπλάσια.

Τα διαρροή δικαστικών συστημάτων των ΗΠΑ προκάλεσαν το σωστό είδος συναγερμού

Στην καρδιά οποιουδήποτε δικαστικού συστήματος βρίσκεται το σύστημα δικαστικών αρχείων του, η τεχνική στοίβα που χρησιμοποιείται για την υποβολή και την αποθήκευση ευαίσθητων νομικών εγγράφων για δικαστικές υποθέσεις. Αυτά τα συστήματα είναι συχνά διαδικτυακά και με δυνατότητα αναζήτησης, ενώ περιορίζουν την πρόσβαση σε αρχεία που διαφορετικά θα μπορούσαν να θέσουν σε κίνδυνο μια συνεχιζόμενη διαδικασία. Αλλά όταν ο ερευνητής ασφάλειας Jason Parker βρήκε πολλά συστήματα δικαστικών αρχείων με απίστευτα απλά σφάλματα που ήταν εκμεταλλεύσιμα χρησιμοποιώντας μόνο ένα πρόγραμμα περιήγησης ιστού, ο Parker ήξερε ότι έπρεπε να δουν ότι αυτά τα σφάλματα είχαν διορθωθεί.

Ο Parker βρήκε και αποκάλυψε οκτώ ευπάθειες ασφαλείας σε συστήματα δικαστικών αρχείων που χρησιμοποιούνται σε πέντε πολιτείες των ΗΠΑ — και αυτό ήταν απλώς

στην πρώτη τους παρτίδα αποκάλυψη

. Ορισμένα από τα ελαττώματα διορθώθηκαν και ορισμένα παραμένουν εκκρεμή, και οι απαντήσεις από τα κράτη ήταν μικτές. Η κομητεία Lee της Φλόριντα πήρε τη βαριά (και ιδιοκτήτρια) θέση να απειλήσει τον ερευνητή ασφαλείας με τους νόμους της Φλόριντα κατά του hacking. Αλλά οι αποκαλύψεις έστειλαν επίσης το σωστό είδος συναγερμού. Αρκετοί κρατικοί CISO και αξιωματούχοι που είναι υπεύθυνοι για συστήματα δικαστικών αρχείων σε όλες τις ΗΠΑ θεώρησαν την αποκάλυψη ως ευκαιρία να επιθεωρήσουν τα δικά τους συστήματα δικαστικών αρχείων για τρωτά σημεία. Η Govtech είναι κατεστραμμένη (και είναι απελπιστικά υποεξυπηρετούμενη), αλλά έχει ερευνητές όπως ο Πάρκερ

εύρεση και αποκάλυψη ελαττωμάτων που πρέπει να επιδιορθωθούν

κάνει το διαδίκτυο ασφαλέστερο —και το δικαστικό σύστημα πιο δίκαιο— για όλους.

Η Google σκότωσε τα εντάλματα geofence, ακόμα κι αν ήταν κάλλιο αργά παρά ποτέ

Ήταν η απληστία της Google που καθοδηγείται από τις διαφημίσεις και τη διαρκή ανάπτυξη που έθεσε το έδαφος για τα εντάλματα γεωγραφικής προστασίας. Αυτά τα αποκαλούμενα «αντίστροφα» εντάλματα αναζήτησης επιτρέπουν στην αστυνομία και τις κυβερνητικές υπηρεσίες να βουτήξουν με σκουπίδια στα τεράστια καταστήματα της Google με δεδομένα τοποθεσίας χρηστών για να δουν εάν κάποιος βρισκόταν στη γύρω περιοχή τη στιγμή που διαπράχθηκε το έγκλημα. Αλλά το

Η συνταγματικότητα (και η ακρίβεια) αυτών των αντίστροφων εντολών έχουν τεθεί υπό αμφισβήτηση

και οι επικριτές ζήτησαν από την Google να βάλει τέλος στην πρακτική παρακολούθησης που δημιούργησε σε μεγάλο βαθμό στην αρχή. Και μετά, λίγο πριν από την εορταστική περίοδο, το δώρο της ιδιωτικότητας: η Google είπε ότι θα αρχίσει να αποθηκεύει δεδομένα τοποθεσίας στις συσκευές των χρηστών και όχι κεντρικά, τερματίζοντας ουσιαστικά τη δυνατότητα της αστυνομίας να αποκτά τοποθεσία σε πραγματικό χρόνο από τους διακομιστές της.

Η κίνηση της Google δεν αποτελεί πανάκεια και δεν αναιρεί τα χρόνια της ζημιάς (ή δεν εμποδίζει την αστυνομία να κάνει επιδρομές σε ιστορικά δεδομένα που έχει αποθηκεύσει η Google). Αλλά μπορεί να ωθήσει άλλες εταιρείες που υπόκεινται επίσης σε τέτοιου είδους εντάλματα αντίστροφης αναζήτησης – γεια σας Microsoft, Snap, Uber και Yahoo (μητρική εταιρεία του TechCrunch) – να ακολουθήσουν το παράδειγμά τους και να σταματήσουν να αποθηκεύουν ευαίσθητα δεδομένα των χρηστών με τρόπο που να τα κάνει προσβάσιμα στην κυβέρνηση αιτήματα.

VIA:

techcrunch.com