Διαδικτυακές «κερκόπορτες» υπεράνω υποψίας

Οι κακόβουλοι του ψηφιακού κόσμου μπορούν να ανοίγουν κάθε κλειδαριά που στέκεται εμπόδιο στην προσπάθειά τους να αποκτήσουν πρόσβαση στα δεδομένα μας.
Πριν από λίγες εβδομάδες έγινε γνωστό ότι οι μπαταρίες των κινητών τηλεφώνων μπορεί να χρησιμοποιηθούν ως μέσο εντοπισμού και παρακολούθησης των
συσκευών. Δεν είναι όμως η μόνη υπεράνω υποψίας... κερκόπορτα από την οποία μπορούν να εισβάλουν στα προσωπικά μας δεδομένα και γενικότερα στη ζωή μας κακόβουλοι γνώστες της σύγχρονης τεχνολογίας που αναζητούν κάθε πιθανή και απίθανη τρύπα από την οποία μπορούν να μας παρακολουθήσουν και να μας κλέψουν ή να μας παρενοχλήσουν. Και όπως αποδεικνύεται, ο ηλεκτρονικός κόσμος του 21ου αιώνα είναι γεμάτος από τέτοιες τρύπες τις περισσότερες από τις οποίες ούτε οι κατασκευαστές των διαφόρων συσκευών και συστημάτων καθημερινής χρήσης δεν έχουν αντιληφθεί ότι υπάρχουν.

Οι μπαταρίες

Eνα ελάχιστα γνωστό πρότυπο web που επιτρέπει στους ιδιοκτήτες ιστοσελίδων να γνωρίζουν πόση διάρκεια ζωής μιας μπαταρίας κινητού τηλεφώνου (smartphone) έχει απομείνει στη συσκευή μπορεί να χρησιμοποιηθεί για την παρακολούθηση και τον εντοπισμό της συσκευής. Η ανακάλυψη αυτή έγινε έναν χρόνο αφότου ερευνητές προστασίας των προσωπικών δεδομένων είχαν προειδοποιήσει ότι το πρότυπο μπορεί να κάνει ακριβώς αυτό. Η Διεπαφή Προγραμματισμού Εφαρμογών (API) που αφορά την κατάσταση της μπαταρίας εισήχθη πριν από περίπου έναν χρόνο στην HTML5, η οποία χρησιμοποιείται στην πλειονότητα των ιστοσελίδων και είχε ήδη ενσωματωθεί στον Firefox, στον Opera και στον Chrome ως τον Αύγουστο του 2015. Το συγκεκριμένο πρότυπο επιτρέπει στους ιδιοκτήτες ιστοσελίδων να παρακολουθούν το ποσοστό στην ενέργεια της μπαταρίας που έχει απομείνει σε μια συσκευή κινητής τηλεφωνίας καθώς και τον χρόνο που θα χρειαστεί για την επαναφόρτισή της αν αυτή συνδεθεί σε μια πηγή ενέργειας.
Σκοπός αυτού του προτύπου είναι να επιτρέπεται η εμφάνιση των sites ή των εφαρμογών όταν το κινητό βρίσκεται σε κατάσταση χαμηλής ισχύος. Αμέσως μόλις έγινε διαθέσιμο αυτό το πρότυπο, ερευνητές ασφαλείας είχαν προειδοποιήσει ότι θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση των χρηστών.
Δύο ερευνητές ασφαλείας του Πανεπιστημίου Πρίνστον απέδειξαν πρόσφατα ότι η ένδειξη της κατάστασης της μπαταρίας χρησιμοποιείται πλέον ευρέως για την παρακολούθηση και τον εντοπισμό χρηστών. Εκτελώντας ένα ειδικά τροποποιημένο πρόγραμμα περιήγησης, ο Στιβ Ενγκελχαρντ και ο Αρβίν Ναραγιάναν ανακάλυψαν δύο scripts εντοπισμού τα οποία χρησιμοποιούσαν το API προκειμένου να εντοπίσουν κάποια συγκεκριμένη συσκευή, παρέχοντάς τους τη δυνατότητα να την εντοπίζουν συνεχώς και σε πολλαπλά περιβάλλοντα.
Το γεγονός αυτό είχε επισημάνει ύστερα από έρευνα το 2015 ο ερευνητής Λούκας Ολετζνικ και είχε αποστείλει την έκθεσή του στο αρμόδιο όργανο που ασχολείται με τα πρότυπα του Διαδικτύου προειδοποιώντας για τις ενδεχόμενες συνέπειες. Ωστόσο το API συνεχίζει να υπάρχει, καθώς και η δυνατότητα κατάχρησής του.

Τα ποντίκια

Η αμερικανική εταιρεία ασφαλείας ηλεκτρονικών συστημάτων Bastille ανακοίνωσε ότι εντόπισε ένα κενό ασφαλείας στα ασύρματα ποντίκια το οποίο επιτρέπει σε κάποιον κακόβουλο να αποκτήσει τον έλεγχο του πληκτρολογίου στο οποίο είναι συνδεδεμένο το ποντίκι.
Τα ασύρματα ποντίκια χρησιμοποιούν κωδικοποιημένα σήματα για να επικοινωνήσουν με τους υπολογιστές. Οπως ανακάλυψαν οι τεχνικοί της εταιρείας, υπάρχει τρόπος να καταφέρει κάποιος να στείλει ένα τέτοιο σήμα σε έναν υπολογιστή και να αποκτήσει τον έλεγχό του. Στην ουσία το σήμα που θα στείλει ο χάκερ «παραπλανά» τον υπολογιστή επιτρέποντας του την πρόσβαση επειδή νομίζει ότι το σήμα προέρχεται από το ασύρματο ποντίκι με το οποίο είναι συνδεδεμένος. Το κακό σύμφωνα με τους ειδικούς της εταιρείας είναι ότι δεν χρειάζεται κάποιος προηγμένος και υψηλού κόστους εξοπλισμός για να πετύχει αυτό το κόλπο.
Ο χάκερ χρειάζεται μόνο μια κεραία και ένα τσιπάκι ασύρματης δικτύωσης, εξοπλισμός που κοστίζει περί τα 20-30 ευρώ. Το δεύτερο αρνητικό στην όλη υπόθεση είναι ότι εκείνος που θέλει να αποκτήσει τον έλεγχο ενός υπολογιστή που λειτουργεί με ασύρματο ποντίκι δεν χρειάζεται να βρίσκεται πολύ κοντά σε αυτόν και να κινδυνεύει ενδεχομένως να γίνει αντιληπτός. Οπως αναφέρει η Bastille, η απόκτηση του ελέγχου ενός τέτοιου υπολογιστή μπορεί να γίνει από απόσταση 180 μέτρων! Η ανακάλυψη αναμένεται να οδηγήσει στην αλλαγή της τεχνολογίας των ασύρματων ποντικιών ώστε η σχέση τους με τους υπολογιστές να είναι όσο το δυνατόν πιο ασφαλής.

Οι λάμπες

Ερευνητές ασφαλείας ανακάλυψαν πρόσφατα εννέα ευπάθειες σε μια σειρά λαμπτήρων της εταιρείας Osram, οι οποίοι έχουν τη δυνατότητα σύνδεσης με το Διαδίκτυο. Οι ευπάθειες στα προϊόντα της σειράς Lightify θα μπορούσαν να δώσουν σε χάκερς τη δυνατότητα πρόσβασης στο Wi-Fi ενός οικιακού δικτύου με το ενδεχόμενο να λειτουργούν τα φώτα ενός σπιτιού χωρίς φυσικά την άδεια του ιδιοκτήτη.
«Τα τρωτά αυτά σημεία θα μπορούσαν να παράσχουν σε κάποιον πρόσβαση ώστε να έχει τη δυνατότητα να ελέγχει το ίδιο το δίκτυο, και αυτό αποτελεί ένα πολύ σοβαρό ζήτημα» δήλωσε στο ειδησεογραφικό δίκτυο BBC η καθηγήτρια Αντζελα Σάσε του University College του Λονδίνου, η οποία ειδικεύεται σε θέματα ασφαλείας.
Από την πλευρά της η Osram αναφέρει σε ανακοίνωσή της ότι η «πλειονότητα» των προβλημάτων θα μπορούσε να διορθωθεί μέσω μιας αναβάθμισης στο λογισμικό, η οποία θα είναι διαθέσιμη τον Αύγουστο, ωστόσο δεν έχει αναπτυχθεί το διορθωτικό για τέσσερις από τις ευπάθειες.
Η σειρά Lightify της Osram αποτελείται από λαμπτήρες οι οποίοι συνδέονται στο Internet και ο χρήστης μπορεί να έχει τον έλεγχό τους μέσω μιας εφαρμογής στο smartphone του. Ενας ειδικός σε θέματα ασφαλείας δήλωσε στο BBC ότι η Osram έχει κάνει ένα «στοιχειώδες» λάθος.
Ο ερευνητής Ντέραλ Χέιλαντ της εταιρείας ασφαλείας Rapid7 ανακάλυψε τις εννέα ευπάθειες στη σειρά λαμπτήρων Home και Pro και στη συνέχεια ειδοποίησε την κατασκευάστρια εταιρεία για αυτές. Ενα από τα προβλήματα που ανακάλυψε είναι ότι η εφαρμογή της Osram για τα smartphones αποθηκεύει ένα χωρίς κρυπτογράφηση αντίγραφο του κωδικού πρόσβασης του Wi-Fi του χρήστη. Κάτι τέτοιο θα μπορούσε να δώσει πρόσβαση σε έναν χάκερ στο οικιακό δίκτυο Wi-Fi του χρήστη καθώς και στις συσκευές που συνδέονται με αυτό, αν ο κωδικός πρόσβασης έχει αποθηκευθεί στο κινητό τηλέφωνο που χρησιμοποιεί την εφαρμογή.
«Από τη στιγμή που ενημερωθήκαμε για τις ευπάθειες τις οποίες εντόπισε η Rapid7, η Osram έχει προβεί στις απαραίτητες κινήσεις προκειμένου να αναλύσει, να επικυρώσει και να εφαρμόσει μια στρατηγική αποκατάστασης του κινδύνου» αναφέρεται σε ανακοίνωση που εξέδωσε η εταιρεία.

Οι εκτυπωτές

Οι τρισδιάστατοι εκτυπωτές που γίνονται ολοένα πιο δημοφιλείς είναι ευάλωτοι στους χάκερ και στους κατασκόπους, οι οποίοι είναι σε θέση να υποκλέψουν τα σχέδια του προϊόντος που εκτυπώνεται απλώς «κρυφακούγοντας» τους ήχους που βγάζει το μηχάνημα.
Την ανακάλυψη έκαναν ερευνητές, με επικεφαλής τον Μουχάμαντ Αλ Φαρούκ του Πανεπιστημίου της Καλιφόρνια - Ιρβάιν. Οι τρισδιάστατοι εκτυπωτές, σε διάφορα μεγέθη, χρησιμοποιούνται πλέον ευρέως σε διάφορους τομείς, όπως στον βιομηχανικό, στον κατασκευαστικό, στον ιατρικό κ.ά., παράγοντας από μηχανές ως βιολογικά όργανα.
Ωστόσο, καθώς λειτουργεί ο εκτυπωτής, εκπέμπει ακουστικά σήματα, τα οποία μπορούν να ανιχνευθούν και να καταγραφούν, πιθανώς ακόμη και από ένα «έξυπνο» κινητό, πράγμα που επιτρέπει στη συνέχεια να αναπαραχθεί το σχέδιο του αντικειμένου που εκτυπώνεται. Αυτό συνεπάγεται κλοπή προϊόντων που προστατεύονται από δικαιώματα διανοητικής ιδιοκτησίας και για τα οποία μπορεί να έχουν γίνει μεγάλες χρηματικές επενδύσεις.
«Οι βιομηχανίες δαπανούν εκατομμύρια δολάρια για να δημιουργήσουν διανοητική ιδιοκτησία και κάποιος μπορεί να την κλέψει απλώς ακούγοντας το μηχάνημα» δήλωσε ο Φαρούκ.
Τα πειράματα των ερευνητών, που έγιναν με έναν 3D εκτυπωτή Printrbot, έδειξαν ότι η ακουστική υποκλοπή μπορεί να γίνει με ακρίβεια ως 92% από απόσταση 30 εκατοστών. Αποτελεί ερώτημα, το οποίο θα απαντήσουν μελλοντικές έρευνες, με ποιον βαθμό αξιοπιστίας είναι δυνατόν να γίνει υποκλοπή από μεγαλύτερες αποστάσεις, πίσω από τοίχους, σε θορυβώδη περιβάλλοντα κ.α.
Από την άλλη, σύμφωνα με τους ερευνητές, υπάρχουν δυνατότητες να αμυνθούν με αντίμετρα οι ιδιοκτήτες των επαγγελματικών τρισδιάστατων εκτυπωτών. Για τους απλούς ιδιώτες όμως, που έχουν έναν τρισδιάστατο εκτυπωτή, δεν θα είναι το ίδιο εύκολο...
Θοδωρής Λαϊνάς
ΒΗΜΑ
.