Είναι τέλος της χρονιάς. Αυτό σημαίνει ότι ήρθε η ώρα να γιορτάσουμε τις καλύτερες ιστορίες κυβερνοασφάλειας δεν το κάναμε δημοσιεύω. Από το 2023, το TechCrunch έχει ανατρέξει στις καλύτερες ιστορίες σε ολόκληρο το έτος στον τομέα της κυβερνοασφάλειας.
Αν δεν είστε εξοικειωμένοι, η ιδέα είναι απλή. Υπάρχουν τώρα δεκάδες δημοσιογράφοι που καλύπτουν την κυβερνοασφάλεια στην αγγλική γλώσσα. Υπάρχουν πολλές ιστορίες σχετικά με την ασφάλεια στον κυβερνοχώρο, το απόρρητο και την επιτήρηση που δημοσιεύονται κάθε εβδομάδα. Και πολλά από αυτά είναι υπέροχα, και πρέπει να τα διαβάσετε. Είμαστε εδώ για να προτείνουμε αυτά που μας άρεσαν περισσότερο, οπότε έχετε κατά νου ότι είναι μια πολύ υποκειμενική και, στο τέλος της ημέρας, ελλιπής λίστα.
Τέλος πάντων, ας μπούμε σε αυτό. — Lorenzo Franceschi-Bicchierai.
Κάθε τόσο, υπάρχει μια ιστορία χάκερ που μόλις αρχίσετε να διαβάζετε, νομίζετε ότι μπορεί να είναι μια ταινία ή μια τηλεοπτική εκπομπή. Αυτό συμβαίνει με την πολύ προσωπική ιστορία του Shane Harris για την πολύμηνη αλληλογραφία του με έναν κορυφαίο Ιρανό χάκερ.
Το 2016, ο δημοσιογράφος του The Atlantic ήρθε σε επαφή με ένα άτομο που ισχυριζόταν ότι εργαζόταν ως χάκερ για τις υπηρεσίες πληροφοριών του Ιράν, όπου ισχυρίστηκε ότι είχε εργαστεί σε σημαντικές επιχειρήσεις, όπως η κατάρριψη ενός αμερικανικού drone και η διαβόητη πλέον αμυχή κατά του πετρελαϊκού γίγαντα Saudi Aramco, όπου Ιρανοί χάκερ σκούπισαν τους υπολογιστές της εταιρείας. Ο Χάρις δικαίως ήταν δύσπιστος, αλλά καθώς συνέχιζε να μιλάει με τον χάκερ, ο οποίος τελικά του αποκάλυψε το πραγματικό του όνομα, ο Χάρις άρχισε να τον πιστεύει. Όταν ο χάκερ πέθανε, ο Χάρις μπόρεσε να συνδυάσει την πραγματική ιστορία, η οποία κατά κάποιο τρόπο αποδείχθηκε πιο απίστευτη από ό,τι είχε κάνει να πιστέψει ο χάκερ.
Η συναρπαστική ιστορία είναι επίσης μια υπέροχη παρασκηνιακή ματιά στις προκλήσεις που αντιμετωπίζουν οι δημοσιογράφοι της κυβερνοασφάλειας όταν ασχολούνται με πηγές που ισχυρίζονται ότι έχουν υπέροχες ιστορίες να μοιραστούν.
Τον Ιανουάριο, η κυβέρνηση του Ηνωμένου Βασιλείου εξέδωσε κρυφά δικαστική απόφαση στην Apple με την οποία απαιτούσε από την εταιρεία να δημιουργήσει μια κερκόπορτα ώστε η αστυνομία να έχει πρόσβαση στα δεδομένα iCloud οποιουδήποτε πελάτη στον κόσμο. Λόγω μιας παγκόσμιας παραγγελίας φίμωσης, ήταν μόνο επειδή Η Washington Post ειδήσεις ότι μάθαμε ότι η παραγγελία υπήρχε από την αρχή. Η απαίτηση ήταν η πρώτη του είδους της και – εάν επιτύχει – θα ήταν μια μεγάλη ήττα για τους τεχνολογικούς γίγαντες που πέρασαν την τελευταία δεκαετία κλειδώνοντας τους εαυτούς τους έξω από τα δεδομένα των χρηστών τους, ώστε να μην μπορούν να υποχρεωθούν να τα παρέχουν στις κυβερνήσεις.
Στη συνέχεια, η Apple σταμάτησε να προσφέρει κρυπτογραφημένη αποθήκευση cloud στους πελάτες της στο Ηνωμένο Βασίλειο, ανταποκρινόμενη στη ζήτηση. Αλλά με την είδηση, η μυστική εντολή κυκλοφόρησε στη δημοσιότητα και επέτρεψε τόσο στην Apple όσο και στους επικριτές να εξετάσουν εξονυχιστικά τις δυνάμεις επιτήρησης του Ηνωμένου Βασιλείου με τρόπο που δεν έχει δοκιμαστεί στο παρελθόν δημόσια. Η ιστορία πυροδότησε μια πολύμηνη διπλωματική διαμάχη μεταξύ του Ηνωμένου Βασιλείου και των Ηνωμένων Πολιτειών, με αποτέλεσμα η Ντάουνινγκ Στριτ να απορρίψει το αίτημα – μόνο για να προσπαθήσει ξανά αρκετούς μήνες αργότερα.
Αυτή η ιστορία ήταν το είδος της άμεσης πρόσβασης που θα ονειρευόντουσαν ορισμένοι ρεπόρτερ, αλλά ο αρχισυντάκτης του The Atlantic έπαιξε σε πραγματικό χρόνο αφού προστέθηκε άθελά του σε μια ομάδα Signal ανώτερων κυβερνητικών αξιωματούχων των ΗΠΑ. με ένας ανώτερος κυβερνητικός αξιωματούχος των ΗΠΑ που συζητούσε πολεμικά σχέδια από τα κινητά τους τηλέφωνα.
Η ανάγνωση της συζήτησης σχετικά με το πού θα έπρεπε οι αμερικανικές στρατιωτικές δυνάμεις να ρίχνουν βόμβες – και μετά βλέποντας ειδήσεις για πυραύλους να χτυπούν στο έδαφος στην άλλη άκρη του κόσμου – ήταν επιβεβαίωση ότι ο Τζέφρι Γκόλντμπεργκ έπρεπε να ξέρει ότι ήταν, όπως υποψιαζόταν, σε μια πραγματική συνομιλία με πραγματικούς αξιωματούχους της κυβέρνησης Τραμπ, και όλα αυτά ήταν καταγεγραμμένα και ανακοινώσιμα.
Και έτσι έκανε, ανοίγοντας το δρόμο για μια πολύμηνη έρευνα (και κριτική) των πρακτικών επιχειρησιακής ασφάλειας της κυβέρνησης, σε αυτό που ονομάστηκε η μεγαλύτερη λάθος της κυβέρνησης στην ιστορία. Η αποκάλυψη της κατάστασης αποκάλυψε τελικά τα κενά ασφαλείας που συνεπάγονται τη χρήση του ένας κλώνος σήματος απενεργοποίησης που έθεσε περαιτέρω σε κίνδυνο τις φαινομενικά ασφαλείς επικοινωνίες της κυβέρνησης.
Ο Brian Krebs είναι ένας από τους πιο βετεράνους ρεπόρτερ για την ασφάλεια στον κυβερνοχώρο και εδώ και χρόνια ειδικεύεται στο να παρακολουθεί διαδικτυακά ψίχουλα που τον οδηγούν στο να αποκαλύπτει την ταυτότητα των διαβόητων εγκληματιών στον κυβερνοχώρο. Σε αυτήν την περίπτωση, ο Krebs μπόρεσε να βρει την πραγματική ταυτότητα πίσω από τη διαδικτυακή λαβή ενός χάκερ, ο Rey, ο οποίος ανήκει στη διαβόητη ομάδα προηγμένων επίμονων εφήβων για εγκλήματα στον κυβερνοχώρο που αυτοαποκαλείται Scattered LAPSUS$ Hunters.
Η αναζήτηση του Krebs ήταν τόσο επιτυχημένη που μπόρεσε να μιλήσει με ένα άτομο πολύ κοντά στον χάκερ – δεν θα χαλάσουμε ολόκληρο το άρθρο εδώ – και μετά τον ίδιο τον χάκερ, ο οποίος ομολόγησε τα εγκλήματά του και ισχυρίστηκε ότι προσπαθούσε να ξεφύγει από την εγκληματική ζωή στον κυβερνοχώρο.
Το ανεξάρτητο μέσο ενημέρωσης 404 Media έχει επιτύχει περισσότερο δημοσιογραφικό αντίκτυπο φέτος από τα περισσότερα mainstream μέσα με πολύ περισσότερους πόρους. Μία από τις μεγαλύτερες νίκες της ήταν η αποκάλυψη και η αποτελεσματική διακοπή της λειτουργίας ενός τεράστιου συστήματος επιτήρησης αεροπορικών ταξιδιών που χρησιμοποιήθηκε από ομοσπονδιακές υπηρεσίες και λειτουργούσε σε κοινή θέα.
404 Media ανέφεραν ότι ένας ελάχιστα γνωστός μεσίτης δεδομένων που ιδρύθηκε από τον κλάδο των αεροπορικών εταιρειών με την ονομασία Airlines Reporting Corporation πουλούσε πρόσβαση σε πέντε δισεκατομμύρια αεροπορικά εισιτήρια και ταξιδιωτικά δρομολόγια, συμπεριλαμβανομένων ονομάτων και οικονομικών στοιχείων απλών Αμερικανών, επιτρέποντας σε κυβερνητικές υπηρεσίες όπως το ICE, το State Department και το IRS να παρακολουθούν άτομα χωρίς ένταλμα.
Η ARC, που ανήκει στις United, American, Delta, Southwest, JetBlue και άλλες αεροπορικές εταιρείες, δήλωσε ότι θα κλείσει το πρόγραμμα δεδομένων χωρίς ένταλμα μετά 404 Μηνιαίο ρεπορτάζ των ΜΜΕ και έντονες πιέσεις από τους νομοθέτες.
Η δολοφονία του CEO της UnitedHealthcare, Brian Thompson, τον Δεκέμβριο του 2024 ήταν μια από τις μεγαλύτερες ιστορίες της χρονιάς. Ο Λουίτζι Μαντζιόνε, ο κύριος ύποπτος για τη δολοφονία, συνελήφθη αμέσως μετά και κατηγορήθηκε για χρήση «όπλου φάντασμα», ένα τρισδιάστατο όπλο που δεν είχε σειριακούς αριθμούς και κατασκευάστηκε ιδιωτικά χωρίς έλεγχο ιστορικού – ουσιαστικά ένα όπλο που η κυβέρνηση δεν έχει ιδέα ότι υπάρχει.
Ενσύρματο, χρησιμοποιώντας το προηγούμενη εμπειρία αναφοράς σχετικά με τρισδιάστατα εκτυπωμένα όπλαπροσπάθησε να δοκιμάσει πόσο εύκολο θα ήταν να κατασκευαστεί ένα όπλο με τρισδιάστατη εκτύπωση, ενώ περιηγείτο στο συνονθύλευμα νομικό (και ηθικό) τοπίο. Η διαδικασία της αναφοράς ειπώθηκε εξαιρετικά και το βίντεο που συνοδεύει την ιστορία είναι εξαιρετικό και ανατριχιαστικό.
Το DOGE, ή το Department of Government Efficiency, ήταν μια από τις μεγαλύτερες ιστορίες της χρονιάς, καθώς η συμμορία των λακέι του Elon Musk έσπασε την ομοσπονδιακή κυβέρνηση, καταρρίπτοντας πρωτόκολλα ασφαλείας και γραφειοκρατία, ως μέρος της μαζικής αρπαγής των δεδομένων των πολιτών. Το NPR είχε μερικά από τα καλύτερα ερευνητικά ρεπορτάζ που αποκάλυπταν το κίνημα αντίστασης ομοσπονδιακών εργαζομένων που προσπαθούσαν να αποτρέψουν την κλοπή των πιο ευαίσθητων δεδομένων της κυβέρνησης.
Σε μια ιστορία που περιγράφει λεπτομερώς την επίσημη αποκάλυψη ενός πληροφοριοδότη όπως κοινοποιήθηκε στα μέλη του Κογκρέσου, ένας ανώτερος υπάλληλος πληροφορικής στο Εθνικό Συμβούλιο Εργασιακών Σχέσεων είπε στους νομοθέτες ότι καθώς αναζητούσε βοήθεια για τη διερεύνηση της δραστηριότητας του DOGE, «βρήκε μια τυπωμένη επιστολή σε έναν φάκελο κολλημένο στην πόρτα του, ο οποίος περιελάμβανε απειλητική γλώσσα και ευαίσθητες προσωπικές πληροφορίες για τον σκύλο του. η επίσημη αποκάλυψή του».
Οποιαδήποτε ιστορία ξεκινά με λέει ένας δημοσιογράφος βρήκαν κάτι που τους έκανε «να αισθάνονται σαν να σκάσω το παντελόνι μου», ξέρετε ότι θα είναι μια διασκεδαστική ανάγνωση. Ο Gabriel Geiger βρήκε ένα σύνολο δεδομένων από μια μυστηριώδη εταιρεία παρακολούθησης που ονομάζεται First Wap, το οποίο περιείχε αρχεία για χιλιάδες ανθρώπους από όλο τον κόσμο των οποίων οι τοποθεσίες των τηλεφώνων είχαν εντοπιστεί.
Το σύνολο δεδομένων, που εκτείνεται από το 2007 έως το 2015, επέτρεψε στον Geiger να εντοπίσει δεκάδες άτομα υψηλού προφίλ των οποίων τα τηλέφωνα παρακολουθήθηκαν, συμπεριλαμβανομένης μιας πρώην πρώτης κυρίας της Συρίας, του επικεφαλής ενός ιδιωτικού στρατιωτικού εργολάβου, ενός ηθοποιού του Χόλιγουντ και ενός εχθρού του Βατικανού. Αυτή η ιστορία εξερεύνησε τον σκιερό κόσμο της τηλεφωνικής επιτήρησης εκμεταλλευόμενος το Σύστημα Σηματοδότησης Νο. 7, ή SS7, ένα πρωτόκολλο με ασαφή ονομασία, γνωστό από καιρό ότι επιτρέπει κακόβουλη παρακολούθηση.
Το Swatting είναι ένα πρόβλημα εδώ και χρόνια. Αυτό που ξεκίνησε ως κακόγουστο αστείο έχει γίνει μια πραγματική απειλή, η οποία είχε ως αποτέλεσμα τουλάχιστον ένας θάνατος. Το Swatting είναι ένα είδος φάρσας όπου κάποιος —συχνά ένας χάκερ— καλεί τις υπηρεσίες έκτακτης ανάγκης και ξεγελά τις αρχές για να στείλουν μια ένοπλη ομάδα SWAT στο σπίτι του στόχου του hoaxer, συχνά προσποιούμενος ότι είναι ο ίδιος ο στόχος και προσποιούμενος ότι πρόκειται να διαπράξει ένα βίαιο έγκλημα.
Σε αυτό το χαρακτηριστικό, ο Andy Greenberg του Wired έβαλε πρόσωπο στους πολλούς χαρακτήρες που αποτελούν μέρος αυτών των ιστοριών, όπως οι χειριστές κλήσεων που πρέπει να αντιμετωπίσουν αυτό το πρόβλημα. Και περιέγραψε επίσης έναν παραγωγικό καταδρομέα, γνωστό ως Torswats, ο οποίος για μήνες βασάνιζε τους χειριστές και τα σχολεία σε όλη τη χώρα με ψεύτικες —αλλά εξαιρετικά πιστευτές— απειλές βίας, καθώς και έναν χάκερ που ανέλαβε να εντοπίσει τους Torswats.
Via: techcrunch.com
