yannidakis@gmail.com

Εμφάνιση αναρτήσεων με ετικέτα internet. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα internet. Εμφάνιση όλων των αναρτήσεων

Σάββατο, 22 Απριλίου 2017

ΕΠΙΣΤΗΜΗ ΤΗΣ ΤΕΧΝΟΛΟΓΙΑΣ ΑΠΡΙΛΙΟΥ ~ νέες τεχνικές χάκινγκ και τι πρέπει να κάνουμε

παρουσίαση νέων τεχνολογιών & η χρηστικότητα & συμβολή τους στην καθημερινότητα

Έχουν γραφεί πολλά άρθρα για τις απόπειρες χάκινγκ που γίνονται καθημερινά, όπως και για το τι πρέπει να κάνουμε για να προστατευτούμε από όλους αυτούς που θέλουν να αποκτήσουν πρόσβαση στους λογαριασμούς μας και τα στοιχεία μας.


Μάλιστα, η νούμερο ένα συμβουλή που δίνουν όλοι είναι να προσέχουμε τις ιστοσελίδες που επισκεπτόμαστε και να επιβεβαιώνουμε ότι όλες είναι προστατευμένες από το πρότυπο HTTPS και ότι εμφανίζουν το πράσινο σύμβολο με το λουκέτο (ή το κλειδί). Αυτό ουσιαστικά, εξασφαλίζει ότι όλες οι συναλλαγές μας στις συγκεκριμένες ιστοσελίδες είναι κρυπτογραφημένες, άρα και ασφαλείς.




Πόσο αληθές είναι αυτό όμως;

Ας πούμε, για παράδειγμα, ότι είστε κάτοχος ενός προϊόντος Apple και λαμβάνετε ένα email που σας παραπέμπει στην ιστοσελίδα της εταιρίας. Κάνετε κλικ και οδηγείστε στην παρακάτω ιστοσελίδα.



Όλα φαντάζουν κανονικά. Η διεύθυνση είναι https://www.аррӏе.com, το λουκέτο είναι πράσινο και κλειδωμένο και ο Internet Browser σας λέει ότι η σύνδεση σας είναι ασφαλής. Η πραγματικότητα όμως είναι άλλη!

Αν παρατηρήσει κανείς την διεύθυνση θα προσέξει μια μικρή, αλλά ουσιαστική, λεπτομέρεια. Ο χαρακτήρας του Λατινικού γράμματος L είναι ελαφρώς διαφορετικός. Αυτό συμβαίνει γιατί, στην συγκεκριμένη περίπτωση, οι επιτήδειοι χρησιμοποίησαν το Κυριλλικό αλφάβητο για να παρουσιάσουν την διεύθυνση και όχι το Λατινικό. Η διαφορά είναι ανεπαίσθητη, αλλά, για τους browsers είναι κεφαλαιώδης και αυτό γιατί οι Η/Υ «διαβάζουν» διαφορετικά τα αλφάβητα.

Μάλιστα, αν κάποιος επιλέξει με δεξί κλικ τον σύνδεσμο και επιλέξει την λειτουργία «αντιγραφή συνδέσμου» και εν συνεχεία κάνει επικόλληση τον σύνδεσμο στο σημειωματάριο του Η/Υ του, θα διαπιστώσει ότι η πραγματική διεύθυνση στην οποία παραπέμπεται είναι η: https://www.xn--80ak6aa92e.com/

Μέχρι το 1998, τα πράγματα ήταν απλά. Το μόνο αλφάβητο που αναγνωριζόταν ήταν το Λατινικό. Όποιος ήθελε να καταχωρήσει μια ιστοσελίδα, έπρεπε να αναπαραστήσει το όνομα με το Λατινικό αλφάβητο. Για παράδειγμα, yannidakis.net.

Από το 1998 και έπειτα όμως, η επιτροπή καταχώρησης ονομάτων επέτρεψε την χρήση άλλων αλφαβήτων σε μια προσπάθεια να ενθαρρύνει την καταχώρηση ονομάτων σε τοπικές γλώσσες. Η μεγαλύτερη αγορά στην οποία στόχευσαν με αυτή τους την κίνηση, ήταν η Κινεζική (και άλλες όπως η Αραβική, Γερμανική, Γαλλική, Κορεατική, κλπ.). Η τεχνολογία που χρησιμοποιείται για την κωδικοποίηση των γραμμάτων και συμβόλων, σε αυτή την περίπτωση, είναι η Unicode.

Το πρόβλημα με την τεχνολογία Unicode είναι ότι κάποιοι χαρακτήρες μοιάζουν πάρα πολύ με κάποιους άλλους και αυτό καθιστά αδύνατο για τον τελικό χρήστη να καταλάβει την διαφορά. Αυτή η μορφή επίθεσης καλείται «Ομογραφική» Επίθεση (Homograph attack).

Άλλο ένα παράδειγμα, χρησιμοποιώντας πάλι την Apple, είναι το: https://www.аpple.com.
Αυτή τη φορά, το γράμμα A αναπαριστάται με τον κωδικό Unicode, U+0430 που, στην ουσία, είναι το Κυριλλικό γράμμα Α (σε αντίθεση με το Λατινικό που αναπαρίσταται με τον κωδικό ASCII U+0061).

Όπως αντιλαμβάνεται κανείς, πρόκειται για μια πολύ έξυπνη και πανεύκολη στην υλοποίησή της μορφή εξαπάτησης. Οι περισσότεροι browsers δεν μπορούν να αντιληφθούν την διαφορά και ο λόγος είναι ότι είναι, πλέον, προγραμματισμένοι να αναγνωρίζουν μη-Λατινικούς χαρακτήρες. Είναι πολύ δύσκολο να κάνουν την «λογική σύνδεση» και να καταλάβουν ότι η μια ονομασία με την άλλη διαφέρουν και ότι το όλο θέμα είναι ύποπτο.


Ποιά είναι η ασφαλής ιστοσελίδα;


Από την άλλη μεριά, το πιστοποιητικό κρυπτογράφησης είναι επίσης αυθεντικό και αδύνατο να γίνει αντιληπτό από τον browser. Η σύνδεση με την ψεύτικη ιστοσελίδα είναι όντως προστατευμένη και κρυπτογραφημένη, αλλά, όχι από την Apple!

Οι μηχανικοί που ανακάλυψαν το συγκεκριμένο «κενό ασφαλείας» το ανέφεραν στην Google, Mozilla, Microsoft, κλπ. αλλά και οι τρεις εταιρίες απάντησαν ότι δεν είναι δικό τους πρόβλημα και ότι η εκάστοτε εταιρία (στην περίπτωση του πειράματος, η Apple) θα πρέπει να αναλάβει δράση και να ζητήσει να κλείσουν οι ψεύτικες ιστοσελίδες.

Και το ερώτημα που δημιουργείται, φυσικά, είναι τι μπορούμε να κάνουμε για να προστατευτούμε από αυτές τις επιθέσεις;

Πρώτον και κύριο, δίνουμε εξαιρετική προσοχή στις διευθύνσεις που επισκεπτόμαστε. Χρησιμοποιούμε κοινή λογική και δεν κάνουμε κλικ σε συνδέσμους που προέρχονται από ύποπτες πηγές. Αν δεν είμαστε σίγουροι, καλύτερα να αντιγράψουμε τον σύνδεσμο και να τον επικολλήσουμε για να βεβαιωθούμε ότι δεν έχει παραποιηθεί και δεν μας παραπέμπει σε λάθος ιστοσελίδες.

Ελέγχουμε εξονυχιστικά τα πιστοποιητικά ασφαλείας όταν επισκεπτόμαστε ιστοσελίδες. Δεν μένουμε μόνο στο κλειδωμένο λουκέτο, αλλά, επιλέγουμε να δούμε περισσότερες λεπτομέρειες και ψάχνουμε για ύποπτες πληροφορίες (ελλιπή στοιχεία της εταιρίας που έχει κάνει την καταχώρηση του πιστοποιητικού SSL, κλπ.).

Οποιαδήποτε πλοήγηση σε ιστοσελίδες με ευαίσθητο περιεχόμενο (τράπεζες, κλπ.) φροντίζουμε να γίνεται μέσα από μηχανές αναζήτησης ή φροντίζουμε να πληκτρολογούμε την διεύθυνση από το να εμπιστευόμαστε συνδέσμους που βρίσκουμε αριστερά και δεξιά.

Χρησιμοποιούμε κάποιο λογισμικό διαχείρισης κωδικών. Αυτό είναι μια έμμεση λύση και ο λόγος που το προτείνουμε είναι διότι ένα τέτοιο λογισμικό μας οδηγεί στο να χρησιμοποιούμε διαφορετικούς κωδικούς για κάθε σελίδα. Έτσι, αν μας χακάρουν σε μια σελίδα, ο κωδικός μας δεν θα χρησιμοποιείται αλλού και η ζημιά θα περιοριστεί.
Όπως γίνεται αντιληπτό, οι χάκερς χρησιμοποιούν όλο και πιο έξυπνα κόλπα για να μας ξεγελάσουν. Η πλοήγηση στο Διαδίκτυο δεν είναι παιχνίδι και απαιτείται εξαιρετική προσοχή και επιφυλακή προκειμένου να μην πέσουμε θύμα τους.



ΕΝΗΜΕΡΩΣΗ: Μετά από πιέσεις της κοινότητας των μηχανικών ασφαλείας και των ηθικών χάκερ, η Google επιδιόρθωσε το πρόβλημα. Η Microsoft δουλεύει πάνω στο «κλείσιμο» της «τρύπας», αλλά, η Mozilla επιμένει ότι δεν είναι δικό της πρόβλημα. +Vassilis Anastasiadis

σχόλια; αντιρρήσεις; ερωτήσεις;
ΠΡΟΣΘΕΣΤΕ ΤΟΝ ΠΡΟΒΛΗΜΑΤΙΣΜΟ ΣΑΣ
ΠΑΝΩ ΣΤΟ ΣΗΜΕΡΙΝΟ ΘΕΜΑ
 Διαβάστε περισσότερα.. »

Σάββατο, 9 Ιουλίου 2016

ΕΠΙΣΤΗΜΗ ΤΗΣ ΤΕΧΝΟΛΟΓΙΑΣ ΙΟΥΛΙΟΥ ~ internet: αναφαίρετο δικαίωμα; η κίνα διαφωνεί!

παρουσίαση νέων τεχνολογιών & η χρηστικότητα & συμβολή τους στην καθημερινότητα

Το 2011, ο Ο.Η.Ε., για πρώτη φορά, έφερε στο προσκήνιο την συζήτηση για την πρόσβαση στο Διαδίκτυο. Τότε, είχε συζητηθεί η κρισιμότητα και αναγκαιότητα του να μπορούν όλοι οι άνθρωποι να έχουν έστω και μια υποτυπώδη πρόσβαση στον Κυβερνοχώρο. Αν και υπήρξε σαφής υποστήριξη από αρκετά κράτη-μέλη, εντούτοις το πλάνο δεν προχώρησε. Έπρεπε να περιμένουμε μέχρι το 2016 και την Ημέρα Ανεξαρτησίας των Η.Π.Α (4η Ιουλίου) για να συμβεί πραγματικότητα! 
Το Ανώτατο Συμβούλιο Ανθρωπίνων Δικαιωμάτων του Ο.Η.Ε. επέλεξε την Δευτέρα να συμπεριλάβει την πρόσβαση στο Ίντερνετ στα κεφαλαιώδη και αναφαίρετα ανθρώπινα δικαιώματα. Και αυτό είναι μια υπερβολικά σημαντική εξέλιξη που δεν θα μπορούσε να φτάσει σε καλύτερο χρονικό σημείο! Ας δούμε όμως λίγο πιο αναλυτικά κάποια σημαντικά κομμάτια της είδησης αυτής.


Ο Ο.Η.Ε. έχει συντάξει το άρθρο 19, που είναι κομμάτι μιας από τις πιο σημαντικές και ουσιαστικές διακηρύξεις του, αυτής των Παγκοσμίων ΑνθρωπίνωνΔικαιωμάτων. Στο άρθρο 19 είχε προσθέσει πριν λίγα χρόνια μια παράγραφο που έλεγε ότι «τα ίδια δικαιώματα που έχει ο άνθρωπος εκτός Διαδικτύου, οφείλει να έχει και εντός». Η προσοχή τότε είχε στραφεί στην ελευθερία της έκφρασης αλλά και της ιδιωτικής ζωής.

Αυτό το οποίο πρόσθεσε αυτή την εβδομάδα είναι ένας ακόμα θεμελιώδης λίθος σε αυτή την διακήρυξη και ουσιαστικά αναφέρει ότι «καταδικάζουμε ομόφωνα τις όποιες προσπάθειες, από κυβερνητικές και μη, οργανώσεις της φίμωσης της Διαδικτυακής ελευθερίας και της πρόσβασης στο Διαδίκτυο». Αυτό το οποίο καταφέρνει να περάσει η παράγραφος αυτή είναι το μήνυμα ότι όλοι οι άνθρωποι δικαιούνται ελευθερία πρόσβασης στον Κυβερνοχώρο και μάλιστα τα κράτη οφείλουν να φροντίσουν για την πρόσβαση αυτή.

Μάλιστα, το 2015, ο πρόεδρος των Η.Π.Α. Μπαράκ Ομπάμα είχε δηλώσει ότι η πρόσβαση στο Ίντερνετ δεν είναι πολυτέλεια αλλά βασικό και κυρίαρχο δικαίωμα για όλους. Και είχε υποσχεθεί μάλιστα ότι οι Η.Π.Α θα προσπαθήσουν να επεκτείνουν την υποδομή τους ώστε να μπορέσουν να προσφέρουν έστω και μια βασική πρόσβαση σε αυτό.

Και, όπως τονίσαμε πιο πάνω, δεν θα μπορούσε αυτό να γίνει σε καλύτερη χρονική στιγμή. Τον τελευταίο καιρό είναι πολλά τα παραδείγματα κρατών που περιορίζουν με τον ένα ή τον άλλο τρόπο την πρόσβαση των πολιτών τους στο Διαδίκτυο και σε συγκεκριμένες υπηρεσίες του. Χαρακτηριστικό είναι το παράδειγμα της Τουρκίας η οποία, αμέσως μετά την τρομοκρατική επίθεση στο αεροδρόμιο της Κων/πολης, μπλόκαρε την πρόσβαση σε όλες τις σελίδες και εφαρμογές μέσων κοινωνικής δικτύωσης.



Στο Μπαχρέιν και την Ινδία, η πρόσβαση στο δίκτυο κινητής τηλεφωνίας κόπηκε όταν ξέσπασαν ταραχές και διαδηλώσεις κατά των τοπικών κυβερνήσεων.

Στην Αλγερία, έκοψαν την πρόσβαση στο Διαδίκτυο για όλη την εξεταστική περίοδο των σχολείων ώστε να αποτρέψουν στους μαθητές να «κλέψουν».

Και για να μην μακρηγορούμε, να τελειώσουμε με το εξής στατιστικό: το 2015 καταγράφηκαν 15 περιστατικά όπου η πρόσβαση στο Διαδίκτυο κόπηκε εντελώς, ενώ από την αρχή του 2016 έχουν ήδη καταγραφεί 20.



Η διακήρυξη του Ο.Η.Ε. κάνει αναφορά σε πολλά θέματα σχετικά με την «ψηφιακή ζωή» και την πρόσβαση στο Διαδίκτυο και δεν σταματάει μόνο στην πρόταση που αναφέραμε παραπάνω. Αναφέρει ότι πρέπει να γίνουν προσπάθειες ενσωμάτωσης ακόμα μεγαλύτερου ποσοστού του πληθυσμού σε αυτούς που έχουν πρόσβαση στο Ίντερνετ, αναγνωρίζει τις δυνατότητες για παροχή εκπαίδευσης σε απομακρυσμένες περιοχές του πλανήτη, αναγνωρίζει την συμβολή της τεχνολογίας και της καινοτομίας στην πρόοδο του ανθρωπίνου γένους, δίνει βαρύτητα στην ασφάλεια και την τήρηση της ιδιωτικής ζωής, κλπ.

Ο λόγος που αναφέραμε μόνο το συγκεκριμένο κομμάτι της διακήρυξης («καταδικάζουμε ομόφωνα τις όποιες προσπάθειες, από κυβερνητικές και μη, οργανώσεις της φίμωσης της Διαδικτυακής ελευθερίας και της πρόσβασης στο Διαδίκτυο») είναι γιατί αυτό ήταν και το μόνο σημείο τριβής μεταξύ των κρατών (και ομολογώ ότι το περίμενα, προσωπικά). Ενώ 70 κράτη συμφώνησαν στην πλήρη έκταση του κειμένου, εντούτοις, ορισμένα πρόβαλαν σθεναρή αντίσταση στην συγκεκριμένη παράγραφο και ζήτησαν την διαγραφή της προκειμένου να βάλουν την υπογραφή τους. Τα κράτη αυτά ήταν (και πείτε μου αν σας προκαλεί εντύπωση κάποιο από αυτά): Ρωσία, Κίνα, Σαουδική Αραβία, Ινδία, Ν. Αφρική.

Δυστυχώς, οι διακηρύξεις του Ο.Η.Ε. δεν είναι δεσμευτικές και δεν μπορεί κανείς να επιβάλλει την τήρησή τους. Είναι μονάχα κατευθυντήριες γραμμές και συμβουλευτικά, και αυτό σημαίνει ότι για το άμεσο μέλλον τουλάχιστον, μπορούμε να μην επισκεφθούμε τα παραπάνω κράτη!

Σε κάθε περίπτωση, ακόμα και με αυτές τις αντιρρήσεις, το κείμενο είναι πολύ σημαντικό και καθιστά το Ίντερνετ αναγκαίο, πολύτιμο και βασικό ανθρώπινο αγαθό. Καθόλου άσχημα για μια τεχνολογία που είναι μόλις 25 ετών!
 +Vassilis Anastasiadis

σχόλια; αντιρρήσεις; ερωτήσεις;
ΠΡΟΣΘΕΣΤΕ ΤΟΝ ΠΡΟΒΛΗΜΑΤΙΣΜΟ ΣΑΣ
ΠΑΝΩ ΣΤΟ ΣΗΜΕΡΙΝΟ ΘΕΜΑ
 Διαβάστε περισσότερα.. »