Ερευνητές της ESET ενημερώνουν για το malware που μολύνει το router και κλέβει μη κρυπτογραφημένα δεδομένα κίνησης δικτύου

Το Linux/Moose είναι μία οικογένεια malware που αρχικά στόχευε router για καταναλωτές που στηρίζονται σε Linux, αλλά θεωρείται επίσης υπεύθυνο και για τη μόλυνση άλλων ενσωματωμένων συστημάτων που βασίζονται σε Linux.

Μόλις μολυνθούν, οι παραβιασμένες συσκευές είναι έτοιμες να κλέψουν μη κρυπτογραφημένα δεδομένα κίνησης δικτύου και να προσφέρουν υπηρεσίες διαμεσολάβησης στο χειριστή του botnet.

Πρακτικά, χρησιμοποιούνται για την κλοπή cookies HTTP ώστε να πραγματοποιηθούν ενέργειες εξαπάτησης σε Facebook, Twitter, Instagram, YouTube και άλλα web-sites, που περιλαμβάνουν την παραγωγή follows, views και likes.

Σύμφωνα με τους ερευνητές της ESET, αυτού του είδους το malware έχει δυνατότητες να επαναδρομολογήσει το DNS traffic, γεγονός που επιτρέπει επιθέσεις «man-in-the-middle» στο Internet.

Επίσης, η απειλή φαίνεται να έχει δυνατότητες για διείσδυση στο δίκτυο, πέρα από τις συνηθισμένες συγκριτικά με άλλα malware που επιτίθενται σε router.

newsit.gr

Στο PC Magazine έχουμε αναφερθεί πολλές φορές σε περιστατικά hacking, αλλά και στα διάφορα malware και ιούς που προσπαθούν να πάρουν τον έλεγχο ενός υπολογιστή.

Παρακάτω θα διαβάσετε 10 τρόπους ώστε να προστατευτείτε από διαδικτυακούς κινδύνους.

1. Χρησιμοποιήστε διαφορετικά passwords
Μία συνηθισμένη μέθοδος των hackers είναι να παίρνουν ένα "ζευγάρι"username-password από ένα site και μέσα από εκεί να προσπαθούν να "χακάρουν" και τους υπόλοιπους λογαριασμούς του χρήστη.

Το καλύτερο είναι να χρησιμοποίετε διαφορετικούς κωδικούς σε κάθε site/υπηρεσία/κοινωνικό δίκτυο είστε μέλος και μάλιστα, χωρις κάποιους κοινούς χαρακτήρες. Καταλαβαίνουμε ότι οι περισσότεροι δεν θέλουν να θυμούνται δεκάδες διαφορετικούς κωδικούς, αλλά γι'αυτόν ακριβώς τον λόγο υπάρχουν οι password managers.

Πρόκειται για εφαρμογές σε υπολογιστές και mobile συσκευές [είτε ως add-on στον browser, είτε ως αυτόνομες εφαρμογές] που κάτω από ένα username και password αποθηκεύουν όλους τους συνδυασμούς username και password που διαθέτετε. Επίσης, μερικά από αυτά [π.χ. το LastPass] προτείνουν έναν δύσκολο κωδικό για όποιο site επιθυμείτε.

2. Συνδεθείτε σε ασύρματα δίκτυα μέσω VPN
Αν συνδέεστε σε ασύρματα δίκτυα των οποίων δε γνωρίζετε την ασφάλεια που προσφέρουν, τότε πρέπει να συνδευθείτε μέσω μίας σύνδεσης VPN .

Το VPN [Virtual Private Network] είναι ένα εικονικό, ιδιωτικό δίκτυο, με τα χαρακτηριστικά του LAN, στο οποίο μπορούν να συνδεθούν, με κρυπτογραφημένη σύνδεση υψηλής ασφάλειας, υπολογιστές από ολόκληρο τον κόσμο.

Από όπου κι αν συνδέεται ο υπολογιστής, η σύνδεσή του αποκτά τα χαρακτηριστικά της βάσης του VPN, όπως είναι η εξωτερική IP.

Αν "στηθεί" ένα VPN στο σπίτι σας, μπορείτε από οπουδήποτε να έχετε πρόσβαση σε υπηρεσίες όπως το Remote Desktop, τα τοπικά shares, ή ακόμα και να παίξετε παιχνίδια μέσω Internet σαν να ήσασταν στο ίδιο τοπικό δίκτυο LAN.

3. Ενεργοποιήστε το 2-step-verification
Εφόσον το site που επισκέπτεστε το υποστηρίζει, ενεργοποιήστε το 2-step-verification, μέσω του οποίου για να συνδεθείτε, θα σας έρχεται στο κινητό σας τηλέφωνο μέσω SMS ένας επιπλέον κωδικός.

Με αυτόν τον τρόπο εξασφαλίζετε ότι δεν θα μπορεί να συνδεθεί άλλος σε αυτά τα sites εφόσον δεν έχει στην κατοχή του και το κινητό σας τηλέφωνο.

4. Χρησιμοποιήστε κωδικούς ακόμα κι αν είναι προαιρετικοί
Προαιρετικούς κωδικούς συναντάμε κυρίως στις συσκευές mobile, και συνίσταται να χρησιμοποιείται αυτή η μέθοδος ασφαλείας για το ξεκλείδωμα της οθόνης. Αν υποστηρίζεται από το λειτουργικό κωδικός πολλών ψηφίων και χαρακτήρων να το προτιμήσετε από το γνωστό τετραψήφιο PIN, ενώ αν μία εφαρμογή έχει τη δυνατότητα προσθήκης κωδικού, να το ενεργοποιήσετε.

Προαιρετικούς κωδικούς συναντάμε κυρίως στις συσκευές mobile
5. Χρησιμοποιήστε αριθμούς πιστωτικής μίας χρήσης
Αρκετές τράπεζες του εξωτερικού δίνουν την δυνατότητα να δίνουν αριθμούς πιστωτικής μίας χρήσης. Με αυτόν τον τρόπο δεν θα αποθηκεύετε την πιστωτική σας σε ένα site και σε κάθε αγορά σας θα πρέπει να δίνετεδιαφορετικό αριθμό και κωδικό CVV2.

Ωστόσο πρόκειται για μία επί πληρωμή επιλογή που δεν παρέχεται από τις ελληνικές τράπεζες μέχρι στιγμής.

6. Χρησιμοποιήστε διαφορετικά email
Μία πρακτική πολλών είναι η χρησιμοποιήση διαφορετικών διευθύνσεων email για διαφορετικά sites. Με αυτόν τον τρόπο εξασφαλίζετε ότι αν υποκλέψουν τα στοιχεία ενός λογαριασμού σας, θα έχουν πρόσβαση σε λιγότερες υπηρεσίες που έχετε εγγραφεί.

7. Μην αποθηκεύετε κωδικούς στο browser
Κατά τη σύνδεση σε μία υπηρεσία, ο browser σας ρωτά να αποθηκεύσει τον κωδικό ώστε την επόμενη φορά να μην χρειαστεί να τον θυμάστε.

Αυτό μπορεί να είναι εξυπηρετικό, ωστόσο είναι και αρκετά επικίνδυνο, καθώς ο οποιοσδήποτε με πρόσβαση στον υπολογιστή σας έχει αυτομάτως και πρόσβαση στους λογαριασμούς σας.

8. Καθαρίστε την cache του browser
Είναι καλό να καθαρίζετε το ιστορικό και την cache του browser σας ανά τακτά διαστήματα.

9. Ανακαλύψτε τις σουίτες ασφαλείας του υπολογιστή σας
Θεωρούμε δεδομένο ότι έχετε εγκατεστημένα στον υπολογιστή σας κάποια προγράμματα ασφαλείας [antivirus, antimalware κ.λπ.]. Δεν αρκεί όμως μόνο αυτό. Πρέπει να ανακαλύψετε τις δυνατότητες των προγραμμάτων αυτών ώστε να μπορέσετε να τις αξιοποιήσετε σωστά.

10. Προσέξτε που κάνετε κλικ

Θέλει μεγάλη προσοχή στα "κλικ" που κάνετε κατά την περιήγησή σας στο Internet, αλλά και στα smartphones κατά τη χρήση μιας δωρεάν συνήθως εφαρμογής. Μηνύματα για ασφάλεια της συσκευής, διαφημίσεις κ.λπ., που προκαλούν για να πατήσετε, είναι συνήθως επικίνδυνα. Τέλος, δεν πρέπει να ξεχνάμε ότι δεν ανοίγουμε email απόάγνωστους αποστολείς και φυσικά δεν αποθηκεύουμε "περίεργα" επισυναπτόμενα αρχεία.

Άρθρο 10

Απόρρητο και ασφάλεια της επεξεργασίας

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του.

2. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.

3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Με την επιφύλαξη άλλων διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύμφωνα με το άρθρο 19 παρ. 1 ι' για τη ρύθμιση θεμάτων σχετικά με τον βαθμό ασφαλείας των δεδομένων και των υπολογιστικών και επικοινωνιακών υποδομών, τα μέτρα ασφάλειας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία και επεξεργασία δεδομένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας.*

4. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ’ εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.

* Το τρίτο εδάφιο της παρ. 3 αντικαταστάθηκε ως άνω σύμφωνα με το άρθρο 25 του Ν. 3471/2006 (ΦΕΚ Α 133).

Το παραπάνω απόσπασμα αποτελεί τμήμα του Νόμου 2472/1997 με συμπληρώσεις/ενημερώσεις/αντικαταστάσεις μέσω άλλων σχετικών νόμων και αφορά την ασφάλεια δεδομένων προσωπικού χαρακτήρα από οποιονδήποτε τα διαχειρίζεται και τα επεξεργάζεται ...

Καταδεικνύει σαφώς την ανάγκη ύπαρξης μέσων ασφαλείας των δεδομένων προσωπικού χαρακτήρα, κάνοντας σαφή την υποχρέωση όποιων διαχειρίζονται ανάλογα δεδομένα να τα διασφαλίζουν με ανάλογες δομές/διατάξεις ασφαλείας.

Οι ενδιαφερόμενοι μπορούν να διαβάσουν ολόκληρο το νόμο ΕΔΩ (μέσω της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα).