Μη Συνδεδεμενος Παρακαλώ συνδεθείτε ή εγγραφείτε

Επισκόπηση προηγούμενης Θ.Ενότητας Επισκόπηση επόμενης Θ.Ενότητας Πήγαινε κάτω  Μήνυμα [Σελίδα 1 από 1]

#1
 Admin

avatar
Admin
[Πρέπει να είστε εγγεγραμμένοι και συνδεδεμένοι για να δείτε αυτόν το σύνδεσμο.]


Έχουμε τονίσει και στο παρελθόν ότι οι δικτυακές συσκευές αποθήκευσης (αγγλιστί NAS, δηλαδή Network Attached Storage devices) έχουν ακόμα περισσότερες ρωγμές και από τους routers. Σύμφωνα με τον Jacob Holcomb, ερευνητή και αναλυτή ασφαλείας στην Independent Security Evaluators ο οποίος έκανε μια μεγάλη μελέτη πάνω στις ευπάθειες των routers το 2013 και στην ομιλία του στο Black Hat είχε επικεντρωθεί στις δικτυακές συσκευές αποθήκευσης.

Δεν υπήρξε ούτε μία συσκευή που να μην μπορέσαμε να την παραβιάσουμε,

δήλωσε ο Holcomb.

Τουλάχιστον το 50% εξ’ αυτών μπορούν να παραβιασθούν χωρίς καν να ζητείται έλεγχος ταυτότητας. Μάλιστα, χρησιμοποιώντας τεχνικές όπως το ARP spoofing, ένας εισβολέας θα μπορούσε εν συνεχεία να χακάρει και την κίνηση (κυκλοφορία) άλλων συσκευών του ιδίου δικτύου.

Και το πιο ανατριχιαστικό; Ο Holcomb λέει ότι παρότι έχει αναφέρει όλα τα τρωτά σημεία στους κατασκευαστές των συσκευών NAS, η έκθεσή του δεν έχει ληφθεί κανένα μέτρο.



Όπως και να το κάνουμε, οι δικτυακοί δίσκοι είναι πολύ βολικοί αφού μπορούμε να διατηρούμε αντίγραφα ασφαλείας αλλά και να έχουμε πρόσβαση στα αρχεία μας από όπου και να βρισκόμαστε -χωρίς να στηριζόμαστε σε servers (διακομιστές) τρίτων, όπως το Dropbox ή το OneDrive.

Σε μια έρευνα όμως που διεξήχθη από το CSO βρέθηκε πως αν δεν έχουν ρυθμιστεί σωστά, μπορεί να... πάρετε περισσότερες «παροχές» από αυτές που ζητήσατε.

Η έκθεση αναφέρει ότι κάποιες προσωπικές συσκευές αποθήκευσης στο σύννεφο (cloud) αλλά και εξωτερικοί σκληροί δίσκοι που συνδέονται σε routers (δρομολογητές) με ενεργοποιημένο το FTP (το πρωτόκολλο μεταφοράς αρχείων) έχουν καταχωρισθεί στο ευρετήριο της Google, με αποτέλεσμα τα προσωπικά αρχεία να εμφανίζονται στα αποτελέσματα αναζήτησης. Τα προσωπικά αυτά αρχεία περιλαμβάνουν τα πάντα, από προσωπικά μέιλ/μηνύματα ηλεκτρονικού ταχυδρομείου, λογιστικά βιβλία, διαβατήρια, φορολογικά μητρώα, οικονομικές καταστάσεις, έγγραφα υποθηκών, μέχρι κωδικούς πρόσβασης και ιδιωτικές φωτογραφίες.



Για τους καταναλωτές (όπου καταναλωτές, χρήστες), το δέλεαρ είναι η υπόσχεση της άμεσης διαθεσιμότητας. Κοινώς,

-Το τυράκι:

Θέλετε να μοιραστείτε αρχεία με άλλους; Υπάρχουν συσκευές που παρέχουν αυτήν την λειτουργία.

Θέλετε να αποκτήσετε πρόσβαση σε αρχεία που τα έχετε στο σπίτι ενώ είστε κάπου εκτός ή χαλαρώνετε σε διακοπές;

Και απ' αυτό προσφέρουμε· αφθονία λύσεων που είτε βασίζονται σε λογισμικό (software) είτε σε hardware (υλικό).

-Η φάκα:

Όταν ανταλλάσσετε την ασφάλεια με την πρόσβαση, κάτι μπορεί να πάει στραβά -και δη σε χρόνο ντε τε..

Σκεφτείτε το. Αν αυτά που έχετε αποθηκεύσει σε έναν εξωτερικό σκληρό δίσκο, εμφανιστούν ξαφνικά στο Google, τι είδους πληροφορίες θα μπορούσαν οι άλλοι να μάθουν για το άτομό σας; Για τις επιχειρήσεις σας; Για τους φίλους σας και εν γένει για όποιον συνδέεται με εσάς (που τον παίρνετε στο λαιμό σας αφού το μόνο του λάθος ήταν ότι είχε επαφές μαζί σας);


Με μια απλή αναζήτηση στο Google, το XSS (ή Cross-site scripting, εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποιον ιστοχώρο) ανακάλυψε χιλιάδες προσωπικών αρχείων και εγγράφων, που έχουν βγει φόρα παρτίδα στο διαδίκτυο. Μιλάμε ακόμα και για άκρως προσωπικά στοιχεία. Επαγγελματικά έγγραφα, ευαίσθητα αρχεία που θα μπορούσαν να προκαλέσουν ρυθμιστικά προβλήματα και αρχεία που θα ήταν βούτυρο στο ψωμί του οιουδήποτε ανταγωνιστή σας.

Τα αρχεία βρέθηκαν εκτεθειμένα στο διαδίκτυο επειδή κάποιος χρησιμοποίησε μια λάθος ρυθμισμένη συσκευή που λειτουργεί ως προσωπικό σύννεφο ή μπορεί και το FTP (το πρωτόκολλο μεταφοράς αρχείων) να ήταν ενεργοποιημένο στο router του. Αν το FTP ήταν ενεργοποιημένο, πιθανόν πρόκειται για κάτι τυχαίο. Ωστόσο, υπήρξαν περιπτώσεις όπου η ρύθμιση ήταν ενεργοποιημένη εκ προθέσεως.

Δεν έχει σημασία το γιατί, το αποτέλεσμα είναι το ίδιο.

Οι εν λόγω συσκευές λειτουργούν ως διακομιστές FTP, χρησιμοποιώντας την διεύθυνση IP ή το όνομα του host ως διεύθυνση. Τα αντίγραφα ασφαλείας (ναι, για τα δικά σας αρχεία μιλάμε) είναι ένα πλήρες ευρετήριο στο οποίο μπορεί να αποκτήσει πρόσβαση ο καθείς, χωρίς να χρειάζεται άδεια. Εξαιτίας αυτού, οι μηχανές αναζήτησης αντιμετωπίζουν τους εξωτερικούς δίσκους (το είπαμε, μην τα ξαναλέμε· πάντα για τους δικούς σας δίσκους μιλάμε) ως δημόσια αρχεία.

Δυστυχώς για μερικούς ανθρώπους, υπάρχουν αρκετά στοιχεία στα αρχεία της Google και βλέπουν ολόκληρη την ζωή τους να περνάει ξανά μπροστά τους. Όλες τους οι νίκες, οι απώλειες και οι προσωπικοί αγώνες που έδιναν καθημερινά κατά την τελευταία δεκαετία αρχειοθετούνταν -εν αγνοία τους- και μπορεί να τα δει ο καθένας.



Το CSO χαρτογράφησε την προσωπική και οικονομική ιστορία μιας οικογένειας από το 2009 και μετά. Τίνα τρόπο; Αναζητώντας το όνομά τους -τόσο απλά. Τα δεδομένα τους ήταν αρχειοθετημένα σε έναν σκληρό δίσκο Western Digital, συνδεδεμένο σε ένα router Linksys WRT1900AC. Όταν ο ερευνητής προειδοποίησε την οικογένεια, ήταν πια πολύ αργά. Ένα μέλος της οικογένειας δήλωσε:

I simply could not figure out how someone got the [card] info minutes after I'd activate them. My system was clean and secured more than the average person. Now I know. [It's not] difficult when my backups were public and being indexed on Google.

δηλαδή:

Τόσον καιρό δεν μπορούσα να καταλάβω πώς κάποιος πήρε τα στοιχεία της πιστωτικής μου κάρτας, λίγα μόλις λεπτά μετά αφού την ενεργοποίησα.

Το σύστημά μου ήταν καθαρό και ασφαλισμένο· χρησιμοποιώ περισσότερες δικλείδες ασφαλείας από ό,τι ένας μέσος χρήστης.

Τώρα ξέρω. Δεν είναι δύσκολο από την στιγμή που τα αντίγραφα ασφαλείας μου ήταν δημόσια και βρισκόταν στις βάσεις δεδομένων της Google.



Κλείνοντας, θα παραθέσω δύο σχόλια αναγνωστών που, νομίζω, τα λένε όλα:

This just took a saying we had in school to a real level:

Real men don't make backups; they just put their files on a open FTP and later find their backups via Google.

ελληνιστί:

Όλη αυτή η ιστορία μου θυμίζει κάτι που λέγαμε στο σχολείο και ανταποκρίνεται στην πραγματικότητα:

Οι πραγματικοί άντρες δεν κάνουν αντίγραφα ασφαλείας· απλά βάζουν τα αρχεία τους σε ένα ανοιχτό FTP και, εν συνεχεία, τα βρίσκουν (τα αντίγραφα ασφαλείας) μέσω της Google .

Άλλος αναγνώστης, με χαρακτηριστικό τρόπο τονίζει πως η Google είναι ο «Μεγάλος Αδερφός» και το Facebook, το... έτερόν σου ήμισυ.

Google IS big brother. Facebook IS your best friend and comrade. It's time to wake up and smell the sh1t.

ούτως επείν:

Η Google ΕΙΝΑΙ ο μεγάλος αδελφός. Το Facebook είναι ο καλύτερος φίλος και σύντροφός σας. Ήρθε η ώρα να ξυπνήσουμε και να οσφρανθούμε τα σκ@τά.


via: osarena.net


__________________
Download: Για να δείτε το κρυφό περιεχόμενο θα πρέπει να σχολιάσετε.


To see hidden content you should comment.

http://www.greekport.gr

Επισκόπηση προηγούμενης Θ.Ενότητας Επισκόπηση επόμενης Θ.Ενότητας Επιστροφή στην κορυφή  Μήνυμα [Σελίδα 1 από 1]


Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης

Τρόποι Κοινοποίησης:
URL:
BBCode:
HTML: