Σάββατο, 4 Ιουλίου, 21:08
Αρχική security Κακόβουλοι παράγοντες απειλούν τα δημόσια συστήματα ασφαλείας!

Κακόβουλοι παράγοντες απειλούν τα δημόσια συστήματα ασφαλείας!

Τα ανοιχτά συστήματα, τα ανοιχτά δεδομένα και τα λογισμικά ανοιχτού κώδικα συμβάλλουν στο να υπάρχει μεγαλύτερη διαφάνεια κι εμπιστοσύνη του κοινού καθώς και στη μεγαλύτερη κι ευκολότερη συμμετοχή των χρηστών. Ωστόσο, αυτά τα συστήματα μπορούν να τα εκμεταλλευτούν κακόβουλοι παράγοντες, γεγονός που εγκυμονεί πολλούς κινδύνους. Με άλλα λόγια, τα δημόσια συστήματα ασφαλείας που είναι ανοιχτά σε όλους, είναι επίσης ανοιχτά σε όσους επιθυμούν να τα χρησιμοποιήσουν για κακόβουλες δραστηριότητες.

Δεν είναι λίγες οι φορές που οικοσυστήματα ανοιχτού κώδικα όπως το GitHub και το npm έχουν χρησιμοποιηθεί για τη διάδοση κακόβουλου λογισμικού. Έχουμε επίσης δει πώς τα δημόσια WiFi hotspot μπορεί να προσελκύουν χάκερς. Ομοίως, τα δημόσια συστήματα ασφαλείας που έχουν σχεδιαστεί για να προστατεύουν τους πολίτες από τους κακόβουλους παράγοντες, έχουν χρησιμοποιηθεί από τους δεύτερους για την διενέργεια κακόβουλων δραστηριοτήτων.

κακόβουλοι παράγοντες-δημόσια συστήματα ασφαλείας

Κάμερες παρακολούθησης και “ανοιχτά δεδομένα”

Σε μια πρόσφατη έκθεση, είχε αναφερθεί  μία διαρροή δεδομένων που αφορούσε την αυτόματη αναγνώριση πινακίδων αριθμού κυκλοφορίας (ANPR) από έναν ηλεκτρονικό πίνακα ελέγχου που τροφοδοτεί κάμερες παρακολούθησης IoT. Αυτή η παραβίαση οφειλόταν στο γεγονός ότι μια βάση δεδομένων ήταν δημόσια εκτεθειμένη χωρίς κωδικό πρόσβασης. Στο Ηνωμένο Βασίλειο διαπιστώθηκε ότι οι κάμερες κυκλοφορίας και ορισμένες δημόσιες κάμερες ασφάλειας είναι ορατές σε οποιονδήποτε πολίτη. Αυτό οφείλεται κυρίως στις πρωτοβουλίες για ανοιχτά δεδομένα που απορρέουν από τη νομοθεσία περί απορρήτου και διαφάνειας. Το Ηνωμένο Βασίλειο παρέχει μεγαλύτερη προβολή στο δίκτυο καμερών κίνησης που βρίσκεται σε μεγάλες πόλεις όπως το Λονδίνο και σε εθνικές οδούς. Όσον αφορά τις ΗΠΑ, ανάλογα με την πολιτεία και την τοποθεσία, έχουν παρόμοιες κάμερες κυκλοφορίας που διαδίδουν ανοιχτά ζωντανές ροές σε οποιονδήποτε μέσω web. Για παράδειγμα, μπορεί κανείς να δει μια ζωντανή ροή της 42ης οδού της Νέας Υόρκης, της λεωφόρου του Madison και του ποταμού Hudson από κάμερες Skyline. Αυτές οι κάμερες καταγράφουν οδούς και διαφορετικές γωνίες της περιοχής.


Ο Mark Sangster, αντιπρόεδρος της eSentire, όταν ρωτήθηκε σχετικά με το τί μπορούν να πετύχουν οι κακόβουλοι παράγοντες με αυτά τα ανοιχτά δημόσια συστήματα ασφαλείας, δήλωσε πως οι εγκληματίες ή οι ηθοποιοί που χρηματοδοτούνται από το κράτος, θα μπορούσαν να χρησιμοποιήσουν μοτίβα κυκλοφορίας για να καθορίσουν υψηλά σημεία κίνησης και να προκαλέσουν τη μέγιστη δυνατή ζημιά. Θα μπορούσαν επίσης να μεγιστοποιήσουν τον αντίκτυπο μιας επίθεσης. Για παράδειγμα, σύμφωνα με μία έρευνα, οι δημόσια προσβάσιμες κάμερες που βρίσκονται γύρω από το Vauxhall Cross του Λονδίνου, παρέχουν ζωντανή προβολή σε περιοχές γύρω από το κτίριο της MI5. Κάμερες παρακολούθησης υπάρχουν επίσης γύρω από αξιοσημείωτα ορόσημα, φανάρια, γέφυρες και μνημεία.

Ο πρώην εκτελεστικός διευθυντής της CIA, Marcus Fowler, ο οποίος είναι σήμερα διευθυντής στρατηγικής απειλής στην εταιρεία ασφάλειας “Darktrace”, ανέφερε στο BleepingComputer λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσης των δημοσίων συστημάτων ασφάλειας κλειστού κώδικα. Ενδεικτικά, ανέφερε πως μια στρατηγική επίθεση στα φανάρια θα μπορούσε να προκαλέσει αναστάτωση σε μια ολόκληρη πόλη. Για παράδειγμα, τα φανάρια θα μπορούσαν να αποτελέσουν στόχο την ημέρα των εκλογών για να προκαλέσουν κυκλοφοριακή συμφόρηση και να καθυστερήσουν τους ανθρώπους που πηγαίνουν να ψηφίσουν. Μια ομάδα ερευνητών από το Πανεπιστήμιο του Μίσιγκαν μπόρεσε να ελέγξει περισσότερα από 100 φανάρια στο Μίσιγκαν με ένα φορητό υπολογιστή και έναν πομπό ραδιοφώνου.

Καθώς πρόσφατες κυβερνοεπιθέσεις είχαν ως στόχο τη βιομηχανία υγειονομικής περίθαλψης, ο Fowler εξέφρασε ανησυχίες για το πώς κακόβουλοι παράγοντες θα μπορούσαν να διαταράξουν και τα συστήματα αντιμετώπισης έκτακτης ανάγκης. Ειδικότερα, επεσήμανε πως σημειώθηκε μία ανησυχητική αύξηση των επιθέσεων κατά της βιομηχανίας υγειονομικής περίθαλψης κατά τη διάρκεια της πανδημίας του COVID-19, γεγονός που σημαίνει ότι οι κακόβουλοι παράγοντες θα μπορούσαν να επεκτείνουν τις επιθέσεις σε συστήματα αντιμετώπισης έκτακτης ανάγκης. Εάν οι επιτιθέμενοι καταφέρουν να αποκτήσουν πρόσβαση και να ελέγξουν αυτά τα συστήματα, θα μπορούσαν να προκαλέσουν χάος σε μία ολόκληρη χώρα και να θέσουν σε κίνδυνο τις ζωές των ασθενών.

Ο Fowler πρόσθεσε ακόμη πως οι επιτιθέμενοι στοχεύουν όλο και περισσότερο λιμενικές εγκαταστάσεις, εκμεταλλευόμενοι την αυξανόμενη εξάρτηση του κοινού από τις παραδόσεις αγαθών και την πίεση που δέχονται οι αλυσίδες εφοδιασμού από την πανδημία. Εάν οι υπολογιστές σε μία λιμενική εγκατάσταση σταματήσουν να λειτουργούν λόγω επίθεσης, προμήθειες όπως τρόφιμα και ιατρικός εξοπλισμός ενδέχεται να μην φτάνουν στους προορισμούς τους.

δημόσια συστήματα ασφαλείας

IoT συσκευές, drones και “έξυπνα” οχήματα

Με τις τεχνολογίες επιτήρησης να εντείνονται ολοένα και περισσότερο με τη μορφή αυτόνομων συστημάτων όπως drones, αυτοκινούμενα οχήματα και ρομπότ, υπάρχουν ορισμένοι κίνδυνοι ασφαλείας.

Σύμφωνα με τον Stephen Cobb, έναν ερευνητή ασφαλείας με έδρα το Ηνωμένο Βασίλειο, η αυξανόμενη χρήση τηλεχειριζόμενων και αυτόνομων οχημάτων, ανοίγει το δρόμο σε κακόβουλους παράγοντες για εγκληματικές δράσεις. O Cobb επινόησε πριν λίγα χρόνια τον όρο “jackware” για να περιγράψει επιθέσεις που βασίζονται σε κακόβουλο λογισμικό και περιλαμβάνουν hijacking αυτοκινούμενων οχημάτων, τονίζοντας πως κάτι τέτοιο θα μπορούσε να εφαρμοστεί και σε αυτόνομα οχήματα ή οχήματα που ελέγχονται απομακρυσμένα, είτε στον αέρα είτε στην ξηρά. Επεσήμανε επίσης πως η χρήση αυτόνομων ή τηλεχειριζόμενων οχημάτων για τη δημόσια ασφάλεια μπορεί εύκολα να αποτελέσει αντικείμενο εκμετάλλευσης από έναν κακόβουλο παράγοντα.

Σχολιάζοντας την κατάσταση που επικρατεί τις τελευταίες δύο δεκαετίες, ο Cobb σημείωσε πως συνήθως δεν εφαρμόζονται τα κατάλληλα μέτρα και επίπεδα προστασίας, παρά μόνο όταν εντοπιστεί μία κακόβουλη δραστηριότητα σε μεγάλη κλίμακα.

Έγγραφα δημόσιας πολιτικής και social engineering

Συχνά οι κυβερνητικοί ιστότοποι δημοσιοποιούν κατά λάθος εγχειρίδια επιβολής του νόμου. Εάν ένας κακόβουλος ηθοποιός μπορέσει να αποκτήσει έναν ειδικά εξουσιοδοτημένο αριθμό βοήθειας “μόνο για χρήση γραφείου” από αυτά τα εγχειρίδια και να “πλαστογραφήσει” έναν από τους υπαλλήλους του, όπως έναν αστυνομικό ντετέκτιβ, είναι πολύ πιθανό να αποσπάσει ευαίσθητες κι εμπιστευτικές πληροφορίες σχετικά με άτομα και αρχεία υποθέσεων.

Για παράδειγμα, κακόβουλοι παράγοντες θα μπορούσαν να κατασκοπεύσουν τα οικονομικά στοιχεία ενός πλούσιου ατόμου εάν γνωρίζουν τον αριθμό κοινωνικής ασφάλισής (SSN) του. Αυτό θα μπορούσαν να το πετύχουν “πλαστογραφώντας” το υποψήφιο θύμα και καλώντας την υπηρεσία εσωτερικών εσόδων (IRS) για να ζητήσουν πληροφορίες για την φορολογική δήλωση του στόχου.

Επιπλέον, λόγω της πρόσφατης εισβολής στο BlueLeaks, κατά την οποία διέρρευσαν ευαίσθητες πληροφορίες, υπάρχει ανησυχία ότι οι χάκερς που χρηματοδοτούνται από το κράτος μπορούν να καταχραστούν τα δεδομένα με πολλούς τρόπους. Σε αυτήν την περίπτωση, η ομάδα που προέβη στην παραβίαση, ισχυρίστηκε ότι είχε ως στόχο την καταπολέμηση της αστυνομικής βίας. Ωστόσο, ταυτόχρονα δημοσίευσε χιλιάδες αριθμούς τραπεζικών λογαριασμών, διευθύνσεις, ονόματα θυμάτων εγκλημάτων και ύποπτους εγκληματίες που δεν κατηγορήθηκαν ποτέ, δήλωσε ο Alexander M. Kehoe, συνιδρυτής και διευθυντής επιχειρήσεων της Caveni.

Πρόσθεσε ακόμη πως η συλλογή αυτών των πληροφοριών θα μπορούσε να αποδειχθεί εξαιρετικά χρήσιμη για κακόβουλους ξένους ηθοποιούς ή συνδικάτα οργανωμένου εγκλήματος. Και οι δύο αυτές ομάδες θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες για κακόβουλους σκοπούς, χάρη στις ανταλλαγές πληροφοριών που προορίζονται για την αστυνομία.

Συμπερασματικά, η τεχνολογία παρέχει καινοτόμα μέσα στις κυβερνήσεις για τη διασφάλιση της ασφάλειας των πολιτών αλλά και της εθνικής ασφάλειας. Ωστόσο, πρέπει να εφαρμοστούν πολιτικές, ώστε αυτές οι πρωτοβουλίες που αφορούν, μεταξύ άλλων, τα δημόσια συστήματα ασφαλείας να μην αποτελέσουν αντικείμενο εκμετάλλευσης από κακόβουλους παράγοντες.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

COVID-19: Νέα έρευνα αναζητά αντισώματα στους αιμοδότες

H American Red Cross εξετάζει το αίμα που έχει προέλθει από δωρεές, και ψάχνει για αντισώματα του COVID-19 που θα της δώσουν...

Ψηφιακός μετασχηματισμός και επιχειρήσεις: Τι σημαίνει η αποτυχία του;

Ο ψηφιακός μετασχηματισμός αποτελεί συνήθως για τις επιχειρήσεις ένα μέσο για να ξεπεράσουν τους ανταγωνιστές τους και να απαλλαγούν από μεθόδους που...

Covaxin: Η Ινδία κυκλοφορεί εμβόλιο για τον COVID-19 τον Αύγουστο

Ολόκληρος ο πλανήτης αναμένει την κυκλοφορία του εμβολίου για τον κορωνοϊό, ενώ οι κλινικές δοκιμές έχουν ξεκινήσει σε πολλές χώρες του κόσμου....

iOS 13.5.1: Χρήστες iPhone αναφέρουν προβλήματα με τη μπαταρία

Έχετε παρατηρήσει τον τελευταίο καιρό κάποια αλλαγή στο iPhone σας; Μήπως, για παράδειγμα τελειώνει γρήγορα η μπαταρία...

Avaddon ransomware: Επιτίθεται μέσα από τις μακροεντολές του Excel 4.0

Η Microsoft ανακοίνωσε χθες ότι το Avaddon ransomware εξαπλώθηκε αυτήν την εβδομάδα μέσω μιας παλιάς τεχνικής που ξανά ήρθε στο προσκήνιο. Οι...

Apple: Απαγορεύει την ενημέρωση Κινέζικων Apps χωρίς άδεια

Η Apple απαγορεύει στους προγραμματιστές να ενημερώσουν τις υπάρχουσες εφαρμογές του App Store της Κίνας αν δεν έχουν την έγκριση της κυβέρνησης.

Αυστραλία: Χιλιάδες λογαριασμοί του MyGov πωλούνται στο Dark Web

Οι προσβάσεις περισσότερων από 3600 λογαριασμών MyGov πωλούνται στο dark web, εκθέτοντας δυνητικά χιλιάδες Αυστραλούς σε απάτες και κλοπές ταυτοτήτων.
00:03:03

Party Time: Δείτε TV με τους φίλους σας στο διαδίκτυο

Party Time: Δείτε TV με τους φίλους σας στο διαδίκτυο Ώρα για ένα διαφορετικό party από όσα έχετε συνηθίσει, βλέποντας τις αγαπημένες...

CISA και FBI προειδοποιούν τις επιχειρήσεις για τους κινδύνους του Tor

Το Cybersecurity and Infrastructure Security Agency  (CISA) και το Federal Bureau of Investigation (FBI) εξέδωσαν μία προειδοποίηση προς τις επιχειρήσεις σχετικά με...

openSUSE: Κυκλοφόρησε η νέα στεθερή έκδοση Leap 15.2

Πρόσφατα, κυκλοφόρησε η επόμενη σταθερή έκδοση του λειτουργικού συστήματος openSUSE. Σύμφωνα με την ομάδα ανάπτυξης του λειτουργικού,...