Security

Ευρωπαϊκή Ένωση: Δημιουργεί κεντρική βιομετρική βάση δεδομένων

Posted on

Καλά πάει το πράγμα και στην Ευρωπαϊκή Ένωση. Το Ευρωπαϊκό Κοινοβούλιο έδωσε την έγκριση του για τη δημιουργία μιας κεντρικής βάσης δεδομένων που θα περιλαμβάνει τα βιομετρικά στοιχεία περισσότερων από 350 εκατομμυρίων πολιτών και μη-πολιτών της ΕΕ.

Σε αυτά τα βιομετρικά στοιχεία συμπεριλαμβάνονται δακτυλικά αποτυπώματα και φωτογραφίες προσώπων που θα βρίσκονται στη διάθεση των υπηρεσιών μετανάστευσης, στη συνοριοφυλακή και γενικότερα στα σώματα ασφαλείας.

Η νέα κεντρική database (CIR) θα ενοποιήσει όλες τις βάσεις που υπάρχουν ήδη όπως το Schengen Information System, το Eurodac, το Visa Information System (VIS) και τρία νέα συστήματα (ECRIS-TCN, EES και ETIAS).

Η ψηφοφορία για την κεντρική βάση βιομετρικών δεδομένων πραγματοποιήθηκε στις 15 Απριλίου στο Ευρωπαϊκό Κοινοβούλιο σε δύο γύρους. Ο πρώτος αφορούσε τα σύνορα και την έκδοση βίζας και ο δεύτερος τη συνεργασία με δικαστικές και αστυνομικές αρχές. Σε αμφότερες τις περιπτώσεις υπερψηφίστηκαν με 511-123 (9 λευκά) και 510-130 (9 λευκά) αντίστοιχα.

Το Ευρωπαϊκό Κοινοβούλιο και η Ευρωπαϊκή Επιτροπή υποσχέθηκαν ότι θα αναπτυχθούν μηχανισμοί ασφαλείας που θα προστατεύσουν την ιδιωτικότητα των χρηστών και θα ψηφιστούν νέες νομοθετικές διατάξεις που θα αφορούν την πρόσβαση σε αυτά τα δεδομένα από σώματα ασφαλείας, δικαστικές αρχές και ελέγχους μετανάστευσης.

Όπως πάντα, μια τέτοια κίνηση έχει πολλούς θερμούς υποστηρικτές και πολλούς επίσης θερμούς αντιφρονούντες. Με το πρόσχημα της ασφάλειας δημιουργείται ένας ακόμη πιο προσωπικός φάκελος για τον κάθε πολίτη (ή μη) στην Ευρώπη, με ό,τι μπορεί να συνεπάγεται αυτό για τα προσωπικά δεδομένα και τους κινδύνους σε ενδεχόμενες πλάγιες χρήσεις ή κυβερνοεπιθέσεις που θα γίνουν σε αυτήν την κεντρική βάση δεδομένων.

Το θέμα σηκώνει μεγάλη συζήτηση βέβαια….

source

Security

Facebook Stories απενεργοποιήστε το αρχείο ιστοριών

Posted on

Facebook Stories Archive: Το Facebook διέθεσε το χαρακτηριστικό Stories (Iστορίες) αντιγράφοντας το Snapchat. Όμως οι Ιστορίες του Facebook δεν είναι και τόσο δημοφιλείς όσο είναι στο Snapchat.

Τα Facebook Stories υπάρχουν σε όλα τα smartphones και μπορείτε να ενώνετε φωτογραφίες και videos για να δημιουργείτε μικρές ιστορίες οι οποίες υποτίθεται ότι εξαφανίζονται μετά από 24 ώρες.

Εάν δημοσιεύετε συχνά στο Facebook Stories, υποτίθεται ότι η δημοσίευση σας δεν θα εμφανίζεται μετά από 24 ώρες. Όμως όπως ίσως γνωρίζετε ένα αντίγραφο αποθηκεύεται στο λογαριασμό σας. Δεν το βλέπει κανείς αλλά υπάρχει.

Δεν διαγράφεται αυτόματα μετά τις 24 ώρες που υπόσχεται το Facebook και αυτό συμβαίνει με το πρόσχημα ενός χαρακτηριστικού που ονομάζεται Αρχείο ιστοριών. Εάν δεν θέλετε να έχετε για πάντα τις ιστορίες σας στο Facebook, θα πρέπει να απενεργοποιήσετε το χαρακτηριστικό από το κοινωνικό δίκτυο.

Πως; Ανοίξτε την εφαρμογή του Facebook στο κινητό σας και θα δείτε τις Ιστορίες στην κορυφή. Μπορείτε να περιηγηθείτε στις διαθέσιμες ιστορίες, αλλά εάν κοιτάξετε στο επάνω δεξιό μέρος του slider, θα δείτε μια επιλογή που ονομάζεται ‘Το αρχείο σας’ ή “Your Archive”.

Κάντε ταπ σε αυτό και θα δείτε μια οθόνη που περιέχει ένα link για τις Ρυθμίσεις του αρχείου των ιστοριών. Αν δεν δείτε την παραπάνω οθόνη κάντε ταπ στο γρανάζι που υπάρχει πάνω δεξιά της εικόνας. Θα δείτε ότι υπάρχει μόνο μία ρύθμιση, με την επιλογή “Αποθήκευση σε αρχείο”.

Απενεργοποιήστε το και το Facebook δεν θα αποθηκεύσει πλέον αντίγραφα των ιστοριών σας στο λογαριασμό σας.

Μόλις απενεργοποιήσετε το χαρακτηριστικό Facebook Stories, η οθόνη θα σας δώσει την δυνατότητα να το ενεργοποιήσετε ξανά. Ναι το Facebook σας δίνει ξανά την ευκαιρία να συλλέγει περισσότερα δεδομένα.

Η συγκεκριμένη λειτουργία, φαίνεται να είναι περιττή για τους περισσότερους αλλά είναι ενεργοποιημένη από προεπιλογή.

Το αρχείο των ιστοριών σας είναι ορατό μόνο σε εσάς και φυσικά στο Facebook. Οι φίλοι σας δεν μπορούν να δουν. Το αρχείο δεν αποθηκεύεται στην συσκευή σας και έτσι δεν καταλαμβάνει χώρο. Όμως αποθηκεύεται στο διαδίκτυο (σε servers του Facebook). Έτσι εφόσον μόνο εσείς μπορείτε να το δείτε αν δεν σας ενδιαφέρει μπορείτε να απενεργοποιήσετε το χαρακτηριστικό. Γιατί να το βλέπει το Facebook;

 

Security

Το WellMess malware στοχεύει τόσο Linux όσο και Windows συσκευές

Posted on

Είναι πλέον αποδεδειγμένο, ότι τα Linux και Mac είναι πιο ασφαλείς επιλογές λειτουργικού συστήματος σε σχέση με τα Microsoft Windows. Αλλά αυτό δεν σημαίνει ότι οι χάκερ δεν βρίσκουν τρόπους να μολύνουν τα μηχανήματα που χρησιμοποιούν και αυτά τα λειτουργικά συστήματα – στο παρελθόν μάθαμε για το τεράστιο botnet Mirai, που έλεγχε συσκευές δικτύωσης που έτρεχαν Linux.

Οι δημιουργοί του Mirai χρησιμοποίησαν τη γλώσσα προγραμματισμού Golang (επίσης αποκαλούμενη ως Go) για να γράψουν τον κώδικα του κακόβουλου λογισμικού. Μόλις πρόσφατα, οι ερευνητές ασφάλειας της JPCERT (Via: TechRepublic) βρήκαν ένα άλλο κακόβουλο λογισμικό γραμμένο σε Go. Διαθέτει δυνατότητα cross platform και διατίθεται σε δύο εκδόσεις.

Με την ονομασία WellMess, αυτό το κακόβουλο λογισμικό επηρεάζει τόσο τα λειτουργικά συστήματα Linux όσο και τα Windows. Ενώ η βασική λειτουργικότητα και των δύο εκδόσεων του κακόβουλου λογισμικού παραμένει η ίδια, υπάρχουν ορισμένες μικρές διαφορές.

Όπως και άλλα κακόβουλα λογισμικά, το WellMess επικοινωνεί με το command & control (C&C) center του για περαιτέρω ενέργειες. Οι εντολές θα μπορούσαν να δοθούν από τον C & C server για μεταφόρτωση / λήψη αρχείων και εκτέλεση εντολών arbitrary shell. Η έκδοση των Windows έχει επιπλέον τη δυνατότητα να εκτελεί ενέργειες PowerShell.

Οι εντολές αποστέλλονται στις μολυσμένες συσκευές με τη μορφή κρυπτογραφημένου HTTP Post request. Τα cookie header data είναι κρυπτογραφημένα με RC6. Όμως δεν είναι μόνο αυτό. Το WellMess έχει επίσης μια έκδοση που αναπτύχθηκε στο .Net Framework. Τα cookie data στην έκδοση .Net είναι ίδια με την έκδοση Go.

Σύμφωνα με το JPCERT, οι επιθέσεις εντοπίστηκαν σε ιαπωνικούς οργανισμούς και μπορεί να συνεχιστούν και στο μέλλον.

 

Security

Ελάττωμα στο 4G επιτρέπει σε hackers να σας παρακολουθούν

Posted on

Το πρότυπο Long Term Evolution (LTE) για mobile communication, γνωστό και ως 4G, σχεδιάστηκε για να ξεπεράσει τα ελαττώματα ασφαλείας των προηγούμενων προτύπων και χρησιμοποιείται από εκατομμύρια ανθρώπους σε όλο τον κόσμο.

Ωστόσο, οι ερευνητές έχουν ανακαλύψει τώρα αδυναμίες στο LTE, που επιτρέπουν στους hackers να κάνουν hijacking κατά την περιήγηση, ανακατευθύνοντας τους χρήστες σε κακόβουλους ιστότοπους, αποκτώντας τη δυνατότητα να κατασκοπεύουν την ηλεκτρονική τους δραστηριότητα, για να διαπιστώσουν ποιους ιστότοπους επισκέπτονται μέσω των συσκευών LTE.

Οι ερευνητές, περιέγραψαν τρεις μεθόδους επίθεσης στην ιστοσελίδα τους. Οι πρώτες δύο είναι παθητικές επιθέσεις που εκτελούν identity mapping και website fingerprinting. Ωστόσο, η πιο επικίνδυνη είναι η τρίτη επίθεση που ονομάστηκε «aLTEr» από την ομάδα.

Τι είναι το aLTEr;

‘ALTEr’ είναι μια ενεργή επίθεση που καταχράται το στρώμα ζεύξης δεδομένων (data link layer) του LTE. Επιτρέπει στους hackers να παρακολουθήσουν την περιήγηση των χρηστών και να ανακατευθύνουν τα αιτήματα δικτύου μέσω υποκλοπής DNS.

Πόσο εφικτό είναι το aLTEr;

Αυτή η μέθοδος έχει ορισμένους περιορισμούς για να πραγματοποιηθεί, όπως το ότι απαιτεί έναν εξοπλισμό αξίας περίπου $ 4000 για να λειτουργήσει και ότι η συσκευή LTE πρέπει να βρίσκεται σε ακτίνα 1 μιλίου από τον εισβολέα.

Έτσι, τα καλά νέα είναι ότι η πραγματοποίηση μιας επίθεσης aLTEr σε σενάρια πραγματικού κόσμου είναι αρκετά δύσκολη. Ωστόσο, δεν εξαλείφει το γεγονός ότι το aLter είναι κάτι πολύ εφικτό για κάποιον που διαθέτει τους κατάλληλους πόρους.

Αυτό που κάνει τα πράγματα χειρότερα,  είναι το γεγονός ότι αυτό το ελάττωμα ασφαλείας δεν μπορεί να διορθωθεί, καθώς η αδυναμία αυτή ενσωματώνεται στο ίδιο το πρότυπο LTE.

Πώς να αποφύγετε το aLTEr;

Ο απλούστερος τρόπος αποφυγής του aLTer είναι μέσω της χρήσης του HTTPS. Θυμηθείτε πάντα να ελέγχετε αν υπάρχει η ένδειξη «Secure» δίπλα στη γραμμή διευθύνσεων και μην εμπιστεύεστε έναν ιστότοπο με την ένδειξη «Not Secure» στο πρόγραμμα περιήγησης.

 

Security

Gmail Apps τρίτων; Σας κλέβουν δεδομένα, αφαιρέστε άμεσα την πρόσβαση Gmail

Posted on

Θυμάστε μια δωρεάν εφαρμογή Gmail που εγκαταστήσατε πριν από χρόνια και μετά την ξεχάσατε; Πιθανώς εξακολουθεί να έχει πρόσβαση στο ηλεκτρονικό σας ταχυδρομείο και να συλλέγει τα δεδομένα σας.

Ο Douglas MacMillan, της Wall Street Journal, μας υπενθύμισε ένα πρόβλημα για το οποίο μιλάμε κάθε τρεις και λίγο: μερικές εφαρμογές κατά την εγκατάσταση ζητούν δικαιώματα και εμείς τους επιτρέπουμε να τα έχουν. Όμως αμέσως μετά το ξεχνάμε.

Το γεγονός φυσικά το εκμεταλλεύονται ορισμένες “δωρεάν” (και όχι μόνο)  εφαρμογές για να έχουν πλήρη πρόσβαση στο email σας.

Τι αναφέρει ο MacMillan:

Μία από αυτές τις εταιρείες αυτές είναι η Return Path Inc., η οποία συλλέγει δεδομένα για τους διαφημιστές με τη σάρωση των εισερχομένων περισσότερων από δύο εκατομμυρίων ανθρώπων που έχουν εγγραφεί για μία από τις δωρεάν εφαρμογές στο δίκτυο συνεργατών της. Η Return Path συλλέγει κάθε Gmail, Microsoft Corp ή Yahoo.  Οι υπολογιστές της εταιρείας πραγματοποιούν συνήθως τη σάρωση, αναλύοντας περίπου 100 εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου την ημέρα. Πριν από δύο χρόνια περίπου, οι υπάλληλοι της Return Path διάβαζαν περίπου 8.000 μηνύματα ηλεκτρονικού ταχυδρομείου για να βοηθήσουν στην ανάπτυξη του λογισμικού, αναφέρουν όσοι γνωρίζουν τα της εταιρείας.

Σας τρόμαξε η ιδέα; Και είναι μόνο ένα παράδειγμα που έδωσε ο MacMillan. Σκεφτείτε πόσα άλλα παραδείγματα υπάρχουν από εφαρμογές που έχετε δώσει πρόσβαση., οικειοθελώς ή χωρίς καν να το γνωρίζετε.

Σκεφτείτε προσεκτικά την επόμενη φορά που θα βρείτε μια “δωρεάν” εφαρμογή και σας ζητά πρόσβαση στον λογαριασμό σας στο Gmail ή σε οποιονδήποτε άλλο λογαριασμό ηλεκτρονικού ταχυδρομείου χρησιμοποιείτε.

Καλό θα είναι δε, να ανοίξετε άμεσα την λίστα των εφαρμογών που έχετε δώσει πρόσβαση και να αφαιρέσετε κάθε τι που δεν χρειάζεστε.