Επαγγελματικές ιστοσελίδες και e-shops: ο παράδεισος των Hackers

Με τη ραγδαία ανάπτυξη του διαδικτύου, των social media και του online marketing  τα τελευταία χρόνια, ολοένα και περισσότεροι επαγγελματίες χτίζουν το εταιρικό τους προφίλ, των κύκλο πελατών τους και την επαγγελματική τους δραστηριότητα μέσω των επαγγελματικών ιστοσελίδων, των e-shops και των social media. Εκτός όμως απο τα μεγάλα οικονομικά οφέλη που μπορεί να έχει μια επιχείρηση, απλά και μόνο από την ύπαρξη της στο διαδίκτυο, ή την διαφήμιση της μέσω διαδικτύου, μπορεί να αντιμετωπίσει και τεράστια προβλήματα απο επιθέσεις hackers στον κυβερνοχώρο.

Μία νέα έρευνα της ESET UK αποκάλυψε ότι το 80% των επαγγελματιών των ηλεκτρονικών υπολογιστών (IT specialists),  πιστεύει ότι τα μέσα κοινωνικής δικτύωσης αποτελούν έναν εύκολο τρόπο για να αποκτήσουν οι hackers πρόσβαση σε εταιρικά δίκτυα, επειδή συχνά παραμελείται η ασφάλειά τους. Επιπλέον, ένα 36% παραδέχεται ότι η εταιρεία τους θα μπορούσε να παραβιαστεί από hacker , μέσα από την πρόσβαση που έχει ένας εργαζόμενος στα μέσα κοινωνικής δικτύωσης στο χώρο εργασίας του.

Τον Μάιο του 2015, έρευνα σε δείγμα 200 επαγγελματιών IT αποκάλυψε ότι  το 12% των οργανισμών έχει αντιμετωπίσει περιστατικό εισόδου ιού στο εταιρικό δίκτυο από τα μέσα κοινωνικής δικτύωσης. Αυτό συμβαίνει συχνά καθώς οι κυβερνοεγκληματίες χρησιμοποιούν τα social media ως έναν απλό και εύκολο τρόπο να διασπείρουν malware (κακόβουλο λογισμικό) και τα exploits (συνήθως υπό τη μορφή links που έχουν ως στόχο να εγκαταστήσουν κακόβουλο λογισμικό στον υπολογιστή του χρήστη), διαπερνώντας τα εταιρικά τείχη προστασίας.

Οι συνηθέστεροι τρόποι μόλυνσης με κακόβουλο λογισμικό είναι οι εξής:

α) Μέσω ηλεκτρονικής αλληλογραφίας (emails)

β) Μέσω αφαιρούμενων αποθηκευτικών μέσων (USB sticks, CD, DVD, zip κτλ

γ) ΜέσωWeb (εκτελέσιμος κώδικας ενσωματωμένος σε σελίδες html)

δ) μέσω  δικτύων (LAN, WAN)

ε) Μέσω άλλων υπηρεσιών διαδικτυακής επικοινωνίας (Instant messengers, Internet telephony, video conferencing κτλ)

---

• Τι πρέπει να προσέχουν όσοι κάνουν αγορές από το διαδίκτυο
• Γνώμη: Αυτοί που έχουν διαγραφεί από τις τάξεις των ανθρώπων

---

Σοβαρές επιθέσεις hackers σε διαδικτυακούς τόπους ή συστήματα ασφαλείας έχουν δεχτεί κατά καιρούς μεγάλες εταιρίες, όπως η Apple, η Paypal και η Sony, καθώς και εταιρίες οι οποίες ασχολούνται με συστήματα antivirus, όπως η Kaspersky Lab. Στις περιπτώσεις όπου μεγάλες εταιρίες τεχνολογίας πέφτουν θύματα hackers, μιλάμε για τη γνωστή περίπτωση της βιομηχανικής κατασκοπείας. Οι επίδοξοι εγκληματίες επιθυμούν να αποκτήσουν πρόσβαση στα αρχεία αυτών των εταιριών ώστε να υποκλέψουν πληροφορίες σχετικές με τη νεότερη τεχνολογία που πρόκειται να διατεθεί στην αγορά και κάθε πληροφορία που αφορά νέες καινοτόμες ιδέες και σχέδια που πρόκειται να μπουν σε πορεία υλοποίησης απο τις εταιρίες αυτές στο άμεσο μέλλον.

Μια μεγάλη επιχείρηση εξάρθρωσης μιας πολυμελούς εγκληματικής οργάνωσης του κυβερνοχώρου πραγματοποίησε πριν λίγες μέρες η Europol σε συνεργασία με τις αστυνομικές διευθύνσεις αρκετών Ευρωπαϊκών χωρών. Συγκεκριμένα, στις 9 Ιουνίου, η Europol, με την επιχείρηση με κωδικό όνομα Triangle, προχώρησε στην εξάρθρωση και στη σύλληψη μιας ομάδας 49 εγκληματιών του κυβερνοχώρου που δραστηριοποιούνταν σε διάφορες ευρωπαϊκές χώρες και είχαν ως τότε προβεί σε απάτες συνολικού ύψους 6.000.000 Ευρώ.

Ο τρόπος δράσης της εγκληματικής αυτής ομάδας ήταν το λεγόμενο “man-in-the-middle” το οποίο περιλάμβανε συνεχόμενες και επαναλαμβανόμενες εισβολές σε υπολογιστές και κεντρικά συστήματα μεσαίων και μεγάλων ευρωπαϊκών εταιριών , μέσω hacking (εγκαθιστώντας malware) και μέσω τεχνικών κοινωνικής μηχανικής (social engineering). Οι εγκληματίες αφού εξασφάλιζαν την πρόσβαση σε εταιρικούς λογαριασμούς email, στη συνέχεια αναζητούσαν τυχόν αναφορές για αιτήσεις πληρωμών. Ζητούσαν έπειτα απο τους δήθεν πελάτες τους, την καταβολή του δήθεν οφειλόμενου σε αυτούς ποσού, δηλώνοντας ψευδώς και με σκοπό την εξαπάτηση ότι επρόκειτο για τους αληθινούς δικαιούχους των ποσών αυτών, δίνοντας στη συνέχεια τους τραπεζικούς λογαριασμούς που ελέγχονταν απο την εγκληματική ομάδα. Μετά την καταβολή των ποσών απο τα θύματα, μετέφεραν τα παράνομα κέρδη εκτός Ευρωπαϊκής Ένωσης μέσα από ένα εξελιγμένο δίκτυο συναλλαγών ξεπλύματος χρήματος. Για να στεφθεί με επιτυχία η επιχείρηση σύλληψης της εγκληματικής ομάδας συνεργάστηκαν με την Europol, η Ιταλική, η Ισπανική και η Πολωνική Αστυνομία, ενώ υποστήριξη παρείχαν και οι αστυνομικές υπηρεσίες του Ηνωμένου Βασιλείου.

Οι τρεις βασικοί άξονες με βάση τους οποίους πρέπει να σχεδιάζεται η Πολιτική Ασφάλειας ενός ηλεκτρονικού συστήματος ή δικτύου συστημάτων είναι η πρόληψη (prevention), η ανίχνευση (detection) και η ανάνηψη (recovery) από παραβιάσεις ασφάλειας.

1. H χρήση ισχυρών κωδικών εισόδου (για τους servers και την admin area) είναι ίσως το πρώτο βήμα για την ισχυροποίηση της ασφάλειας ενός υπολογιστή ή δικτύου. Εάν η ιστοσελίδα επιτρέπει την είσοδο των χρηστών με κωδικούς, είναι απαραίτητο οι κωδικοί των χρηστών και τα username τους να αποθηκεύονται κωδικοποιημένοι. ο πιο διαδεδομένος κρυπτογραφικός αλγόριθμος είναι το SHA (Secure hash algorithm), ενώ για την περαιτέρω διασφάλιση μιας ιστοσελίδας μπορεί να χρησιμοποιηθεί μια μορφή hashing το επονομαζόμενο password salting.
2. Εγκαταστήστε στον Η/Υ σας τελευταίας τεχνολογίας antivirus και antimalware και κρατήστε ανανεωμένα διαρκώς τα τείχη προστασίας (firewalls και δικτυακά firewalls).
3. Επισκεφθείτε ειδικούς συμβούλους ασφάλειας και συμβουλευτείτε πιστοποιημένους penetration testers που πραγματοποιούν ελέγχους στην ιστοσελίδα σας προκειμένου να βρουν και να καλύψουν τα κενά ασφαλείας.
4. Αλλάξτε το http σε https (Hyper Text Transfer Protocol Secure). To https είναι ένα σετ απο κανόνες για το πως το πρόγραμμα περιήγησης (web browser) θα επικοινωνήσει με έναν απομακρυσμένο υπολογιστή (web server) για την εμφάνιση μιας ιστοσελίδας. Η μεταβολή απο http σε https αφορά την πρόσθεση ενός επιπέδου ασφάλειας μέσω της κρυπτογράφησης TLS (Transport Layer Security) ή SSL (Secure Sockets Layer) στην αρχική μορφή http. Το https είναι ιδιαίτερα διαδεδομένο στις διαδικτυακές συναλλαγές (online transactions).
5. Εγκαταστήστε ανιχνευτές ευπαθειών (vulnerability scanners). Σκοπός των scanners αυτών είναι να ανιχνεύσει εάν ένας υπολογιστής ή δίκτυο υπολογιστών είναι ευπαθές σε ένα εύρος επιθέσεων (exploits).
6. Σημαντικό ρόλο στην προστασία ενός συστήματος παίζουν και τα συστήματα ανίχνευσης εισβολών (intrusion detection systems). Στην πιο απλή του μορφή ένα τέτοιο σύστημα είναι το IDS, oπου αναλύει τα στοιχεία καταγραφής και ελέγχου και προσπαθεί να εντοπίσει ίχνη απο γνωστές επιθέσεις εισβολής.
7. Κάθε ιστοσελίδα ή e-shop πρέπει να μελετήσει τη διαδικασία δημιουργίας και ασφαλούς αποθήκευσης αντιγράφων ενός ή περισσότερων πληροφοριακών πόρων του συστήματος (π.χ. δεδομένα, προγράμματα, βάσεις δεδομένων), καθώς και της ασφαλούς επαναφοράς τους σε περίπτωση επίθεσης ή λάθους. (backup data)
8. Στις συναλλαγές ηλεκτρονικού εμπορίου (e-commerce) ο πιο διαδεδομένος τρόπος ανταλλαγής πληροφοριών με διαφάνεια είναι το πρωτόκολλο SSL, το οποίο βασίζεται σε κρυπτογραφικές τεχνικές ∆ημόσιου Κλειδιού. Στόχος είναι η προστασία πρωτοκόλλων υψηλότερου επιπέδου. Παρόμοια πρωτόκολλα προστασίας δικτύων είναι τα IP SECurity και ESP.
9. Aποφύγετε τις διαρκές αλλαγές (πχ ακόμα και απλές αλλαγές avatar) και δημοσιοποιήσεις στην ιστοσελίδα σας (βίντεο, τραγούδια κτλ), ειδικά απο μη αξιόπιστες πηγές. Περιορίστε -όπου είναι δυνατόν- τις δημοσιεύσεις στην ιστοσελίδα σας απο χρήστες. Και αυτό γιατί, όσο αθώα και αξιόπιστα και αν φαίνονται τα αρχεία που πρόκειται να “ανεβάσετε” στην ιστοσελίδα σας, αυτά μπορεί να περιέχουν έναν κρυφό κώδικα ο οποίος να εκτελείται αυτόματα αφήνοντας έτσι εντελώς εκτεθειμένη και απροστάτευτη την ιστοσελίδα σας σε πιθανές εισβολές.
10. 10. Κλειδώστε τον διαχειριστικό φάκελο (admin directories) της ιστοσελίδας σας που περιέχει όλα τα σημαντικά στοιχεία και τους κωδικούς εισόδου που χρειάζονται οι hackers ώστε να πάρουν τον έλεγχο της ιστοσελίδας σας και των δεδομένων που περιέχει στα χέρια τους. Aλλάξτε το όνομα του φακέλου (rename folder) σε οποιοδήποτε όνομα της επιλογής σας, ώστε να μην είναι προφανές ότι πρόκειται για τον διαχειριστικό φάκελο. Πρόκειται για ένα πολύ απλό και βασικό κόλπο που ωστόσο μπορεί σε συνδυασμό με όλα τα παραπάνω στοιχεία να σας γλιτώσει απο σοβαρούς μπελάδες.

Χρυσή Χρυσοχού
Δικηγόρος (LL.M in Information Technology and Telecommunications Law)
Αναδημοσίευση από http://www.ethemis.gr/