"Πονοκέφαλος" για τις εταιρείες ασφαλείας οι νέου τύπου ηλεκτρονικές επιθέσεις
Την ακριβή μας γεωγραφική θέση μπορούν να εντοπίσουν οι χάκερ, χρησιμοποιώντας ένα νέο «εργαλείο» ηλεκτρονικών επιθέσεων. Σε μια «επίδειξη» ηλεκτρονικής εισβολής που έκανε ένας αληθινός χάκερ, κατά τη διάρκεια συνεδρίου στις Ηνωμένες Πολιτείες, απέδειξε ότι μπορεί να εντοπίσει το σημείο στο οποίο βρίσκεται ένας χρήστης, μαθαίνοντας ακόμη και τη διεύθυνσή του.
Μια επίσκεψη σε μια ιστοσελίδα η οποία έχει «παγιδευτεί» -εν αγνοία του χρήστη- μπορεί να οδηγήσει άμεσα τους ηλεκτρονικούς εισβολείς στο σπίτι ενός ατόμου.
Ο χάκερ Σάμι Κάμκαρ απέδειξε ότι οι νέου τύπου επιθέσεις εκμεταλλεύονται τις ελλείψεις προστασίας που παρουσιάζουν πολλά routers (δρομολογητές), με αποτέλεσμα οι εισβολείς να εντοπίζουν τον αριθμό ταυτοποίησης του χρήστη. Στη συνέχεια, χρησιμοποιούν αυτό τον αριθμό και εντοπίζουν την ακριβή τοποθεσία του.
Κάνοντας μια «επίδειξη» της ηλεκτρονικής εισβολής, ο κ. Κάμκαρ εντόπισε τη θέση ενός τυχαίου router με ακρίβεια εννέα μέτρων.
Πώς γίνεται η επίθεση
Οι περισσότεροι χρήστες μπαίνουν στο Διαδίκτυο μέσω ενός router. Θεωρητικά, μόνο ο υπολογιστής που είναι άμεσα συνδεδεμένος με το router μπορεί να εντοπίσει τις πληροφορίες ταυτότητας.
Ωστόσο, ο κ. Κάμκαρ απέδειξε ότι αυτό δεν ισχύει, ανακαλύπτοντας ένα τρόπο να παγιδέψει μια ιστοσελίδα μέσω ενός browser. Με τη μέθοδο αυτή, το αίτημα για τη συλλογή των πληροφοριών ταυτότητας του χρήστη φαίνεται ότι προέρχεται από τον υπολογιστή από τον οποίο έγινε η πρόσβαση στη συγκεκριμένη ιστοσελίδα.
Στη συνέχεια, ο κ. Κάμκαρ συνδύασε τις πληροφορίες ταυτότητας, γνωστές ως διεύθυνση MAC, χρησιμοποιώντας ένα πρόγραμμα γεωγραφικού εντοπισμού στον browser Firefox. Το πρόγραμμα αποκτά πρόσβαση στη βάση δεδομένων της Google που έχει δημιουργηθεί από τα στοιχεία που έχουν συλλέξει τα αυτοκίνητα της υπηρεσίας Street View.
Αυτή η βάση δεδομένων συνδέει τις διευθύνσεις MAC των routers με ένα πρόγραμμα GPS, με αποτέλεσμα να εντοπίζεται η ακριβής τοποθεσία του χρήστη.
«Η ιδιωτικότητα πέθανε. Λυπάμαι...»
Κατά τη διάρκεια της επίδειξης, ο κ. Κάμκαρ έδειξε πόσο εύκολο είναι για ένα χάκερ να εντοπίσει τη θέση κάποιου με ακρίβεια ελάχιστων μέτρων. «Η ιδιωτικότητα πέθανε. Λυπάμαι», δήλωσε ο χάκερ μετά το τέλος της επίδειξης.
Ο Μίκο Χαϊπόνεν, ερευνητής της εταιρείας ασφάλειας F Secure, παρακολούθησε την παρουσίαση, την οποία χαρακτήρισε «εξόχως ενδιαφέρουσα». «Η σκέψη ότι κάποιος, κάπου στο Διαδίκτυο, μπορεί να βρει πού είμαστε είναι αρκετά τρομακτική», δήλωσε, επιβεβαιώνοντας ότι «σενάρια τέτοιων επιθέσεων μπορεί να υλοποιηθούν εναντίον απλών χρηστών».
«Το γεγονός ότι βάσεις δεδομένων, όπως το StreetView ή το Skyhook, μπορεί να χρησιμοποιηθούν για να γίνουν τέτοιες επιθέσεις, υπογραμμίζει την υπευθυνότητα που πρέπει να δείξουν οι εταιρείες που συλλέγουν τέτοια δεδομένα», τόνισε ο κ. Χαϊπόνεν.
Του απαγόρευσαν δικαστικά το Ίντερνετ!
Η επίδειξη της επίθεσης από τον Σάμι Κάμκαρ έγινε στο Λας Βέγκας των Η.Π.Α., κατά τη διάρκεια του συνεδρίου για την ασφάλεια στο Διαδίκτυο Black Hat, σε μια θεματική ενότητα με τον χαρακτηριστικό τίτλο «Πώς γνώρισα την κοπέλα σου».
Το 2005, ο κ. Κάμκαρ δημιούργησε ένα «σκουλήκι» που εκμεταλλεύεται αδυναμίες ασφαλείας στα προγράμματα πλοήγησης, για να συγκεντρώσει μέσα σε μια ημέρα περισσότερους από ένα εκατομμύριο φίλους στο MySpace.
Οι αρχές άσκησαν εναντίον του ποινική δίωξη και του επέβαλαν χρηματικό πρόστιμο και 3μηνη κοινωνική εργασία. Επίσης, του απαγορεύτηκε η χρήση του Ίντερνετ για προσωπικούς σκοπούς για ακαθόριστο χρονικό διάστημα.
Κάνοντας μια «επίδειξη» της ηλεκτρονικής εισβολής, ο κ. Κάμκαρ εντόπισε τη θέση ενός τυχαίου router με ακρίβεια εννέα μέτρων.
Πώς γίνεται η επίθεση
Οι περισσότεροι χρήστες μπαίνουν στο Διαδίκτυο μέσω ενός router. Θεωρητικά, μόνο ο υπολογιστής που είναι άμεσα συνδεδεμένος με το router μπορεί να εντοπίσει τις πληροφορίες ταυτότητας.
Ωστόσο, ο κ. Κάμκαρ απέδειξε ότι αυτό δεν ισχύει, ανακαλύπτοντας ένα τρόπο να παγιδέψει μια ιστοσελίδα μέσω ενός browser. Με τη μέθοδο αυτή, το αίτημα για τη συλλογή των πληροφοριών ταυτότητας του χρήστη φαίνεται ότι προέρχεται από τον υπολογιστή από τον οποίο έγινε η πρόσβαση στη συγκεκριμένη ιστοσελίδα.
Στη συνέχεια, ο κ. Κάμκαρ συνδύασε τις πληροφορίες ταυτότητας, γνωστές ως διεύθυνση MAC, χρησιμοποιώντας ένα πρόγραμμα γεωγραφικού εντοπισμού στον browser Firefox. Το πρόγραμμα αποκτά πρόσβαση στη βάση δεδομένων της Google που έχει δημιουργηθεί από τα στοιχεία που έχουν συλλέξει τα αυτοκίνητα της υπηρεσίας Street View.
Αυτή η βάση δεδομένων συνδέει τις διευθύνσεις MAC των routers με ένα πρόγραμμα GPS, με αποτέλεσμα να εντοπίζεται η ακριβής τοποθεσία του χρήστη.
«Η ιδιωτικότητα πέθανε. Λυπάμαι...»
Κατά τη διάρκεια της επίδειξης, ο κ. Κάμκαρ έδειξε πόσο εύκολο είναι για ένα χάκερ να εντοπίσει τη θέση κάποιου με ακρίβεια ελάχιστων μέτρων. «Η ιδιωτικότητα πέθανε. Λυπάμαι», δήλωσε ο χάκερ μετά το τέλος της επίδειξης.
Ο Μίκο Χαϊπόνεν, ερευνητής της εταιρείας ασφάλειας F Secure, παρακολούθησε την παρουσίαση, την οποία χαρακτήρισε «εξόχως ενδιαφέρουσα». «Η σκέψη ότι κάποιος, κάπου στο Διαδίκτυο, μπορεί να βρει πού είμαστε είναι αρκετά τρομακτική», δήλωσε, επιβεβαιώνοντας ότι «σενάρια τέτοιων επιθέσεων μπορεί να υλοποιηθούν εναντίον απλών χρηστών».
«Το γεγονός ότι βάσεις δεδομένων, όπως το StreetView ή το Skyhook, μπορεί να χρησιμοποιηθούν για να γίνουν τέτοιες επιθέσεις, υπογραμμίζει την υπευθυνότητα που πρέπει να δείξουν οι εταιρείες που συλλέγουν τέτοια δεδομένα», τόνισε ο κ. Χαϊπόνεν.
Του απαγόρευσαν δικαστικά το Ίντερνετ!
Η επίδειξη της επίθεσης από τον Σάμι Κάμκαρ έγινε στο Λας Βέγκας των Η.Π.Α., κατά τη διάρκεια του συνεδρίου για την ασφάλεια στο Διαδίκτυο Black Hat, σε μια θεματική ενότητα με τον χαρακτηριστικό τίτλο «Πώς γνώρισα την κοπέλα σου».
Το 2005, ο κ. Κάμκαρ δημιούργησε ένα «σκουλήκι» που εκμεταλλεύεται αδυναμίες ασφαλείας στα προγράμματα πλοήγησης, για να συγκεντρώσει μέσα σε μια ημέρα περισσότερους από ένα εκατομμύριο φίλους στο MySpace.
Οι αρχές άσκησαν εναντίον του ποινική δίωξη και του επέβαλαν χρηματικό πρόστιμο και 3μηνη κοινωνική εργασία. Επίσης, του απαγορεύτηκε η χρήση του Ίντερνετ για προσωπικούς σκοπούς για ακαθόριστο χρονικό διάστημα.
ΠΗΓΗ:Eφημερίδα, ΤΑ ΝΕΑ
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου