Τρίτη, 20 Μαρτίου 2018

Τι μέλλει γενέσθαι;*

Θυμάμαι μικρός διάβαζα το περιοδικό "Millennium". Σε ένα τεύχος υπήρχε μια είδηση που ανέφερε πως στην Αγγλία απαγορεύτηκαν τα κινητά στα σχολεία. Η είδηση ήταν στην ενότητα "παράξενες ειδήσεις" μια και τότε στην Ελλάδα τα κινητά ήταν ένα είδος πολυτελείας. Μερικά χρόνια όμως αργότερα, μια παρόμοια απαγόρευση χρειάστηκε να εφαρμοστεί και στην Ελλάδα. Από τότε κατάλαβα πως ότι σχετικό με τεχνολογία συμβαίνει στο εξωτερικό μετά από μερικά χρόνια θα "έρθει" και στην χώρα μας.

17 Μαρτίου 2018. Η εφημερίδα The Guardian αποκαλύπτει πως μια εταιρεία με την επωνυμία Cambridge Analytica είχε στην κατοχή της προσωπικά στοιχεία 50 εκ. Αμερικάνων πολιτών και τα οποία χρησιμοποίησε για την παραγωγή συντομευμένης διαφήμισης κατά την διάρκεια των αμερικάνικων εκλογών. Τα στοιχεία αυτά προέρχονταν από το facebook.

Πως παραβίασε η Cambridge Analytica την ασφάλεια του facebook;

Η απάντηση είναι ανησυχητικά απλή: δεν την παραβίασε. Η συλλογή των στοιχείων βασίστηκε σε μια εφαρμογή που αναπτύχθηκε από τον καθηγητή του πανεπιστημίου Cambridge, Aleksandr Kogan και η οποία ήταν ένα απλό ερωτηματολόγιο. Για να τρέξει κάποιος την εφαρμογή, μέσω του facebook, έπρεπε να της επιτρέψει να έχει πρόσβαση σε κάποια στοιχεία του προφίλ του, όπως γίνεται άλλωστε με την συντριπτική πλειοψηφία αυτών των εφαρμογών;

Φταίνε λοιπόν οι χρήστες;

Δεν είναι τόσο απλό. Όταν κάποιος χρήστης έτρεχε την εν λόγω εφαρμογή εκείνη μάζευε και στοιχεία για τους φίλους του χρήστη. Δηλαδή, για να συλλέξει τα στοιχεία σου η εφαρμογή αρκούσε κάποιος φίλος σου να την τρέξει! Είναι χαρακτηριστικό πως για την συλλογή των στοιχείων 50 εκ. χρηστών, χρειάστηκε να τρέξουν την εφαρμογή μόνο λίγες εκατοντάδες χιλιάδες χρήστες.

Πρέπει να σταματήσουμε να χρησιμοποιούμε το facebook;

Το ότι η συγκεκριμένη αποκάλυψη αφορούσε το facebook δεν σημαίνει πως μόνο έτσι κάποιος μπορεί να μάθει πράγματα για εμάς. Τα ψηφιακά μας αποτυπώματα είναι διάσπαρτα, σε κάθε σελίδα που επισκεπτόμαστε, σε κάθε ενέργεια που κάνουμε με το έξυπνο τηλέφωνο μας, σε κάθε αγορά που κάνουμε με πλαστικό χρήμα.

Τι μέλλει γενέσθαι;

Δεν θα αργήσει και στην Ελλάδα (αν δεν συμβαίνει ήδη) εταιρείες να συλλέγουν μαζικά δεδομένα χρηστών για να προωθήσουν στοχευμένα συγκεκριμένες πολιτικές απόψεις. Δυστυχώς το διαδίκτυο έχει μετατραπεί σε ένα παντοδύναμο εργαλείο προπαγάνδας.

Τι μπορούμε να κάνουμε για να προστατευτούμε;

Πιστεύω πως η καλύτερη άμυνα είναι αποδοχή της κατάστασης. Τα προσωπικά μας δεδομένα  βρίσκονται στα χέρια εταιρειών, ικανών να σχηματίσουν το προφίλ μας, να προβλέψουν τις επιθυμίες μας και να παράξουν ρεαλιστικές ειδήσεις που θα μας επηρεάσουν. Έχοντας υπόψιν αυτό θα πρέπει de facto κάθε διαφήμιση, προτεινόμενη ανάρτηση και blog post, αίτημα φιλίας από τρίτους, προωθημένες σελίδες, να θεωρείτε προϊόν μιας διαδικασίας αποπροσανατολισμου. Δεν θα πρέπει να αποδεχόμαστε καμία είδηση, άποψη , εικόνα, βίντεο πριν την διασταυρώσουμε από πολλές διαφορετικές πηγές. Θα πρέπει να έχουμε μεγαλύτερη εμπιστοσύνη σε πιο παραδοσιακά κανάλια ενημέρωσης, όπως οι εφημερίδες, το ραδιόφωνο και η τηλεόραση, τα οποία δεν είναι σε θέση να παράγουν εξατομικευμένες ψεύτικες ειδήσεις.

*Ο τίλος είναι δανικός από το ομώνυμο βιβλίο του Μ. Δερτούζου. 

Τρίτη, 29 Μαρτίου 2016

Κρύψτε καλά τα ασύρματα κλειδιά του αυτοκινήτου σας!

Σύμφωνα με άρθρο του περιοδικού WIRED1, ερευνητές, μέλη της γερμανικής λέσχης αυτοκινήτων ADAC, κατάφεραν να ξεκλειδώσουν 24 μοντέλα αυτοκινήτων εκμεταλλευόμενοι τα ασύρματα κλειδιά τους. Η μέθοδος τους, η οποία κόστισε μόλις $225, είναι πολύ απλή. Ο εξοπλισμός που χρειάστηκε φαίνεται στην παρακάτω εικόνα.


Αριστερά φαίνεται το κλειδί του χρήστη και δεξιά το αυτοκίνητο του. Μια ειδική συσκευή τοποθετείτε κοντά στο αυτοκίνητο και μια δεύτερη κοντά στο κλειδί του χρήστη. Οι δυο συσκευές μπορεί να απέχουν ως και 100 μέτρα η μία από την άλλη. Η πρώτη συσκευή, στέλνει ένα σήμα στην κλειδαριά του αυτοκινήτου, η οποία νομίζει πως της το έχει στείλει το κλειδί. Η κλειδαριά απαντάει με ένα μήνυμα, το οποίο η πρώτη συσκευή το αναμεταδίδει στην δεύτερη, και η δεύτερη με την σειρά της το στέλνει στο κλειδί. Το κλειδί απαντάει σαν να ήταν δίπλα στο αυτοκίνητο και με την ίδια αλληλουχία η απάντηση μεταφέρεται στο αυτοκίνητο το οποίο ξεκλειδώνει και σε ορισμένες περιπτώσεις ξεκινάει και την μηχανή!

Στο παρακάτω βίντεο φαίνεται μια πραγματική ληστεία που χρησιμοποιεί αυτή τη μεθοδολογία. Μέχρι λοιπόν να βρεθεί λύση στο πρόβλημα, οι κάτοχοι τέτοιων κλειδιών καλό είναι να τα φυλάνε σε ειδικές θήκες που δεν επιτρέπουν να περάσει ακτινοβολία. 


Παραπομπές

  1. A. Greenberg, "Radio Attack Lets Hackers Steal 24 Different Car Models," WIRED, [online], τελευταία πρόσβαση 29 Μαρ. 2016

Κυριακή, 15 Νοεμβρίου 2015

Μπλεξίματα από μιa selfie

Ο Veerender Jubbal είναι δημοσιογράφος που ζει στον Καναδά. Αποφάσισε μια μέρα να ανεβάσει το twitter την παρακάτω selfie.
Κάποιος αποφάσισε πως είναι καλή ιδέα να μοντάρει την εικόνα αυτή και να αντικαταστήσει το iPad με ένα κοράνι και να βάλει ένα ψεύτικο γιλέκο.

Αμέσως η φωτογραφία άρχισε να κατακλύζει τα μέσα κοινωνικής δικτύωσης ως φωτογραφία ενός από τους τρομοκράτες του Παρισιού.

Συμπέρασμα:

  • Αποφεύγουμε να ανεβάζουμε προσωπικές φωτογραφίες σε δημόσια προφίλ στα μέσα κοινωνική δικτύωσης
  • Αποφεύγουμε να μοιράζουμε και να διαδίδουμε φωτογραφίες (και νέα) από μη αξιόπιστες πηγές (και οι φίλοι μας δεν είναι αξιόπιστη πηγή!)


Πέμπτη, 15 Οκτωβρίου 2015

Πως ένα ψυγείο μπορεί να βάλει σε κίνδυνο τον Gmail λογαριασμό σας


Είναι πλέον φανερό πως έρχεται η εποχή των "έξυπνων" συσκευών οι οποίες μπορούν να διασυνδεθούν στο διαδίκτυο. Η νέα αυτή τάση έχει επικρατήσει να λέγεται το "διαδίκτυο των πραγμάτων" (Internet of Things). Οι προοπτικές του διαδικτύου των πραγμάτων είναι απεριόριστες και όλο και πιο πολλές εταιρείες αγκαλιάζουν αυτή την τάση με ενθουσιασμό. Από την άλλη όμως, όλο και πιο πολύ μεγαλώνει ο αριθμός των ερευνητών που εκφράζουν ανησυχίες για τις επιπτώσεις που θα έχει το διαδίκτυο των πραγμάτων στην ιδιωτικότητα μας αλλά και γενικότερα στην "ηλεκτρονική" μας ασφάλεια. Ένα ακόμη περιστατικό έρχεται να εντείνει αυτή την ανησυχία.

Πρόκειται για το περιστατικό που καταγράφηκε στο συνέδριο ασφαλείας DEFCON.  Στα πλαίσια του συνεδρίου η Samsung προσκάλεσε μέσω twitter τους συμμετέχοντες να σπάσουν την ασφάλεια του νέου της έξυπνου ψυγείου. Το ψυγείο αυτό περιλαμβάνει μια οθόνη LED όπου επιτρέπει στους χρήστες να "σερφάρουν" στο διαδίκτυο αλλά και να αλληλεπιδρούν με διάφορες υπηρεσίες της Google όπως το Google Calendar.

Η πρόσβαση σε σελίδες όπως το GMail αλλά και σε υπηρεσίες όπως το Google Calendar γίνεται αποκλειστικά και μόνο με την χρήση του πρωτοκόλλου Transport Layer Security (TLS), δηλαδή το γνωστό λουκετάκι που βλέπουμε στον browser μας όταν επισκεπτόμαστε μια διεύθυνση που ξεκινάει από https:// . Μια ομάδα από την εταιρεία PenTestPartners ανακάλυψε πως ο ενσωματωμένος browser δεν υλοποιεί σωστά το πρωτόκολλο αυτό. Πιο συγκεκριμένα, το TLS ξεκινάει μία "χειραψία" κατά την οποία o server στέλνει ένα "πιστοποιητικό" το οποίο επιβεβαιώνει την ταυτότητα του. Ο browser πρέπει να ελέγξει εαν αυτό το πιστοποιητικό έχει εκδοθεί από κάποια αξιόπιστη "αρχή πιστοποίησης". Φαίνεται λοιπόν πως ο browser του εν λόγω ψυγείου δεν κάνει σωστά τον έλεγχο και οποιοσδήποτε μπορεί να φτιάξει ένα ψεύτικο πιστοποιητικό και να προσποιηθεί έναν server. Αυτό που έκανε λοιπόν η ομάδα της PenTestPartners ήταν να στίσει έναν server ο οποίος προσποιούνταν ότι είναι το Gmail, καταφέρνοντας έτσι να κλέψουν τα στοιχεία του λογαριασμού των χρηστών που χρησιμοποιούσαν αυτή την υπηρεσία.


Παρασκευή, 8 Μαΐου 2015

Πόσα γνωρίζουν τα κοινωνικά δίκτυα για εμάς;

Με αφορμή την ομιλία του Mikko Hypponen στο Stanford (δείτε το βίντεο στο τέλος του άρθρου) έκανα μια μικρή έρευνα για το τι γνωρίζουν τα κοινωνικά δίκτυα για εμάς. Για την ακρίβεια δοκίμασα να κάνω μια διαφήμιση και είδα πως μπορώ να την παραμετροποιήσω.

Facebook

Η διαφημιστική πλατφόρμα του facebook επιτρέπει τον προσδιορισμό της τοποθεσίας (μέχρι και σε επίπεδο διεύθυνσης), ηλικία, φύλο και γλώσσα του χρήστη.

Ακόμη επιτρέπει την "στόχευση" χρηστών στα οποία συμβαίνει κάποιο γεγονός, για παράδειγμα έχουν σύντομα γενέθλια ή βρίσκονται μακριά από την οικογένεια τους ή έχουν σχέση από απόσταση.


Η διαφήμιση μπορεί να παραμετροποιηθεί και ως προς τα ενδιαφέροντα των χρηστών, για παράδειγμα μπορεί να απευθύνεται σε άτομα που τους αρέσουν οι ταινίες δράσης, αλλά ακόμη και βάσει την συμπεριφορά των χρηστών, για παράδειγμα χρήστες που τις τελευταίες 14 μέρες έχουν παίξει ένα παιχνίδι.

Twitter

Η διαφημιστική πλατφόρμα του twitter επίσης επιτρέπει την επιλογή τοποθεσίας, φύλου και γλώσσας. Οι διαθέσιμες επιλογές όμως είναι πιο περιορισμένες, αφού δεν περιλαμβάνουν όλες τις χώρες (φαίνεται πως η Ελλάδα δεν είναι στις διαθέσιμες επιλογές).
Επίσης η πλατφόρμα επιτρέπει την επιλογή χρηστών με συγκεκριμένα ενδιαφέροντα, όπως για παράδειγμα να διαβάζουν comics.
Τέλος η πλατφόρμα επιτρέπει την επιλογή χρηστών με συγκεκριμένη συμπεριφορά. Αυτή η κατηγορία απευθύνεται μόνο για χρήστες στην Αμερική. Το twitter συνεργάζεται για αυτό και με άλλες εταιρείες που συλλέγουν προσωπικά δεδομένα και η λεπτομέρεια στις διαθέσιμες επιλογές είναι ανησυχητική. Μπορεί για παράδειγμα ένας διαφημιζόμενος να επιλέξει χρήστες που αγοράζουν asics παπούτσια.

Google

Όπως και οι άλλες πλατφόρμες, έτσι και η Google επιτρέπει την επιλογή τοποθεσίας (μέχρι και σε επίπεδο οδού) γλώσσας, φύλλο και ηλικία. 
Οι υπόλοιπες επιλογές φαίνεται πως αφορούν τα αποτελέσματα αναζήτησης ή τις σελίδες στις οποίες θα φαίνονται οι διαφημίσεις. 
 

Τετάρτη, 8 Απριλίου 2015

Η NSA μας ακτινοβολεί

Τον Δεκέμβριο του 2013, η εφημερίδα Spiegel αποκάλυψε1 έναν κατάλογο με gadgets που μπορούν να χρησιμοποιήσουν οι πράκτορες της NSA. Ένα από τα "περίεργα" αντικείμενα αυτής της λίστα είναι και το CTX4000

Το CTX4000
Όπως φαίνεται από την περιγραφή που διέρρευσε από την NSA, αυτή η συσκευή είναι ένα radar, το οποίο μπορεί να εκπέμψει ακτινοβολία προς ένα στόχο, στο φάσμα των 1-2 GHz, περίπου δηλαδή στη συχνότητα στην οποία λειτουργούν τα κινητά τηλέφωνα,  με ένταση έως και 1kW, δηλαδή πάνω από 1000 φορές μεγαλύτερη από την ένταση της ακτινοβολίας των κινητών τηλεφώνων. Γιατί να θέλει να κάνει όμως κάποιος κάτι τέτοιο (πέραν του για να "ψήσει" τον στόχο!); Η απάντηση βρίσκεται στην λίστα με τα gadget της NSA όπου μπορεί να βρει κανείς το RAGEMASTER.
Το RAGEMASTER
Το RAGEMASTER είναι μια μικροσυσκευή η οποία συνδέεται στο καλώδιο που ενώνει την οθόνη του υπολογιστή και την κάρτα γραφικών. Η συσκευή αυτή λαμβάνει το σήμα του radar, το κωδικοποιεί ανάλογα με το τι περνάει από το καλώδιο και το στέλνει πίσω. Χρησιμοποιώντας έναν ειδικό δέκτη, ο χειριστής του CTX4000 μπορεί να αποκωδικοποιήσει το σήμα που έστειλε το RAGEMASTER και να δει τι δείχνει η οθόνη του στόχου! Το CTX4000 συνεργάζεται και με άλλες μικροσυσκευές που επιτρέπουν στον χειριστεί να ακούει από το μικρόφωνο του στόχου, αλλά και να βλέπει τι πληκτρολογεί.

Ένα ενδιαφέρον στοιχείο που αποκαλύπτει το ίδιο άρθρο, είναι πως η NSA πείραζε εξοπλισμό που αποστέλλονταν με το ταχυδρομείο για να εγκαταστήσει αυτές τις μικρο συσκευές.

Παρακολουθείστε τον Jacob Appelbaum να παρουσιάζει τις αποκαλύψεις του Spiegel.


Παραπομπές:
  1. Jacob Appelbaum, Judith Horchert and Christian Stöcker, "Shopping for Spy Gear: Catalog Advertises NSA Toolbox", Spiegel, [Online], τελευταία πρόσβαση 7 Απρ. 2014

Πέμπτη, 19 Φεβρουαρίου 2015

Equation και Starfish, μια άσχημη εβδομάδα για την ασφάλεια

Στις 16 Φεβρουαρίου, το εργαστήριο Global Research and Analysis Team (GReAT) της εταιρείας ασφαλείας Kaspersky ανακοίνωσε την ανακάλυψη αυτού που ονόμασε ως " the God of cyberespionage", μια μυστικής ομάδας, με την κωδική ονομασία Equation, η οποία είναι υπεύθυνη για μερικά από τα πιο εξελιγμένα κακόβουλα λογισμικά που έχουμε συναντήσει. Το στοιχείο που ξεχωρίζει στην αναφορά του GReAT1 είναι πως η ομάδα Equation είχε αναπτύξει λογισμικό το οποίο άλλαζε το firmware των σκληρών δίσκων, με σκοπό να δημιουργήσει στους δίσκους κρυφές περιοχές στις οποίες γινόταν εγκατάσταση κακόβουλο λογισμικό. Αυτές οι περιοχές μένουν ανέπαφες ακόμη και μετά από διαμόρφωση του δίσκου και εγκατάσταση νέου λειτουργικού συστήματος. Θύματα της Equation έχουν εντοπισθεί σε παραπάνω από 30 χώρες, ενώ η πλειονότητα των θυμάτων βρίσκεται στο Ιράν, στην Ρωσία και στο Πακιστάν. Η Kaspersky πιστεύει πως η ομάδα Equation συνδέεται με τους δημιουργούς του Stuxnet.  

Άσχημη εβδομάδα όμως και για τους ιδιοκτήτες laptop από την Lenovo. Όπως αποκαλύφθηκε σήμερα2 πολλά μοντέλα της εταιρείας πωλούνται με προ-εγκατεστημένο το κακόβουλο λογισμικό Superfish. Το Superfish, είναι ένα κακόβουλο λογισμικό τύπου adware, το οποίο εγκαθιστά ένα πιστοποιητικό ασφαλείας στους υπολογιστές που μολύνει. Το πιστοποιητικό αυτό θεωρείται από το λειτουργικό σύστημα αξιόπιστο, και χρησιμοποιείται από την εταιρεία πίσω από το Superfish για να υπογράψει ψεύτικα πιστοποιητικά τρίτων (περισσότερες πληροφορίες για το πως λειτουργούν αυτά τα πιστοποιητικά μπορείτε να δείτε σε αυτό το παλαιότερο άρθρο).  Με τον τρόπο αυτό, η εταιρεία κάνει επιθέσεις τύπου "man-in-the-middle", προβάλει διαφημίσεις στους χρήστες ενώ μπορεί κάλλιστα να κλέψει και τους κωδικούς του. Το λογισμικό αυτό φαίνεται πως επηρεάζει όλους τους browsers ενώ προς το παρόν δεν υπάρχει τρόπος διαγραφής του. Για να γίνουν τα πράγματα ακόμη χειρότερα, ο ερευνητής ασφαλείας Robert Graham ανακοίνωσε3 πως οποιοσδήποτε τρίτος μπορεί εύκολα να εκμεταλλευτεί αυτό το πιστοποιητικό και να πραγματοποιήσει παρόμοιες επιθέσεις.

Αν είστε ιδιοκτήτης ενός laptop Lenovo τότε
  • Επισκεφθείτε την σελίδα https://filippo.io/Badfish/
  • Εάν μπορείτε να δείτε την εικόνα τότε ο υπολογιστής σας είναι μολυσμένος. Σε αυτή την περίπτωση θεωρείστε πως όλοι οι κωδικοί σας έχουν κλαπεί
  • Εάν ο υπολογιστής σας είναι μολυσμένος, προς το παρόν, η καλύτερη λύση είναι να εγκαταστήσετε ξανά το λειτουργικό σας σύστημα. Προσοχή! Μην χρησιμοποιήσετε τα  Windows που έρχονται μαζί με το laptop σας γιατί θα ξανα μολυνθεί 


Παραπομπές:

  1. Kaspersky Labs' Global Research & Analysis Team, "Equation group: questions and answers," [Online], τελευταία πρόσβαση 19 Φεβ. 2015
  2. Dan Goodin, "Lenovo PCs ship with man-in-the-middle adware that breaks HTTPS connections," arstechica, [Online], τελευταία πρόσβαση 19 Φεβ. 2015
  3. Robert Graham, "Extracting the SuperFish certificate", [Online], τελευταία πρόσβαση 19 Φεβ. 2015