TM_230

12 17|2|2023 #230 Οι διεπαφές προγραμματισμού εφαρμο- γών (Application Programming Interfaces - APIs ) αποτελούν αναπόσπαστο κομμά- τι της λειτουργικότητας του διαδικτύου σήμερα. Επιτρέποντας την επικοινωνία μεταξύ των προγραμμάτων, καθιστούν πολλές διαδικασίες πιο αποτελεσματικές και βολικές, από εσωτερικές επιχειρημα- τικές δραστηριότητες έως τη σύνδεση χρηστών στους λογαριασμούς τους ή την υποβολή πληρωμών στο διαδίκτυο. Επει- δή, όμως, διαχειρίζονται πολλά δεδομένα από διάφορες πηγές, μπορούν να απο- τελέσουν σημαντικό κίνδυνο όταν πα- ραβιάζονται. Ένας συνηθισμένος τύπος επίθεσης στα APIs είναι ο έλεγχος ταυ- τότητας με σπασμένα στοιχεία (broken authentication). Ο όρος broken authentication (in APIs) περιλαμβάνει πολλές διαφορετικές αδυ- ναμίες στη διαδικασία ελέγχου ταυτότη- τας χρήστη ενός API. Αυτό ισχύει για APIs που στερούνται εξ ολοκλήρου ελέγχου ταυτότητας, καθώς και για APIs των οποί- ων τα μέτρα ελέγχου ταυτότητας είναι αδύναμα ή ελαττωματικά στον σχεδια- σμό ή την υλοποίησή τους. Εν ολίγοις, ο «κατεστραμμένος έλεγχος ταυτότητας» είναι μια κατηγορία ελαττωμάτων που επιτρέπουν σε κακόβουλους λογαρια- σμούς να μιμούνται τους χρήστες για να αποκτήσουν πρόσβαση σε εφαρμογές χωρίς εξουσιοδότηση. Μπορούν να χρη- σιμοποιήσουν αυτήν την πρόσβαση για να κλέψουν δεδομένα, να αναλάβουν λογαριασμούς και να ολοκληρώσουν συ- ναλλαγές χωρίς να το γνωρίζει ο ιδιοκτή- της του λογαριασμού. Πολλές καταστρο- φικές επιθέσεις σε οργανισμούς υψηλού προφίλ έχουν χρησιμοποιήσει broken user authentication για τη λήψη πληρο- φοριών ή την πρόσβαση στις βάσεις δε- δομένων των επιχειρήσεων. Οι προγραμματιστές και οι ομάδες ασφαλείας προκειμένου να αποτρέψουν αυτές τις επιθέσεις πρέπει να κατανοούν την ασφάλεια API και να λαμβάνουν τα απαραίτητα μέτρα. Η εφαρμογή ελέγ- χων πρόσβασης για όλα τα ευαίσθητα δεδομένα και περιοχές είναι ζωτικής σημασίας, καθώς ο σκοπός του ελέγχου ταυτότητας είναι να παραχωρήσει σε έναν χρήστη πρόσβαση σε έναν πόρο που περιορίζεται από όσους δεν μπο- ρούν να ελέγξουν την ταυτότητά τους. Όπως θα επιβεβαιώσουν οι έμπειροι χάκερς, τα διακριτικά πρόσβασης απο- τελούν σημαντικό μέρος της ασφάλειας ενός API. Τα διακριτικά πρέπει να είναι αρκετά μεγάλα και απρόβλεπτα. Εάν προέρχονται από πληροφορίες χρήστη, θα πρέπει να είναι πλήρως κρυπτογρα- φημένες με μυστικά κλειδιά για να απο- τρέπονται οι εισβολείς από το να μαντέ- ψουν το διακριτικό και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Τα έσοδα του Dark Web Market σημείωσαν διψήφια πτώση το 2022, χάρη στο κλείσιμο του δημοφιλούς Hydra Market τον Απρίλιο, σύμφωνα με το Chainalysis. Η εταιρεία ανάλυ- σης δήλωσε ότι τα έσοδα από το Dark Web μειώθηκαν από 3,1 δισ. δολάρια το 2021 σε μό- λις 1,5 δισ. δολάρια πέρυσι, ενώ τα μέσα ημερήσια έσοδα για όλες τις αγορές μειώθηκαν από 4,2 εκατ. δολάρια λίγο πριν από το κλείσιμο της Hydra σε μόλις 447.000 δολάρια αμέσως μετά. Αν και τα συλλογικά έσοδα των αγορών ναρκωτικών δεν ανέκαμψαν πλήρως, σιγά σιγά ανέβηκαν για να φτάσουν στα προηγούμενα επίπεδα χάρη στην επιτυχία των Mega Darknet Market, Blacksprut Market και OMG!OMG! Market στον απόηχο της κατάρριψης της Hydra. Οι εγκληματίες μετανά- στευσαν σε αυτές τις αγορές ναρκωτικών σε όλο και μεγαλύτερο αριθμό, αφού άρχισαν επίσης να προσφέρουν υπηρεσίες ξεπλύ- ματος χρήματος, όπως έκανε η Hydra, σημείωσε η Chainalysis. Με- ρικοί, όπως η OMG, προσφέρουν επίσης βοηθητικά προγράμματα πειρατείας και κλεμμένες τραπεζικές πληροφορίες. Στην πραγματικότητα, η Chainalysis εντοπίζει ότι η OMG έχει αρκετές επικαλύ- ψεις με την Hydra που μπορεί να υποδηλώνουν ότι οι διαχει- ριστές της συμμετέχουν στο έργο. Αυτές περιλαμβάνουν τις ίδιες επιλογές ανταλλαγής «dead drop» για πωλητές και αγοραστές και κοινές διευ- θύνσεις κατάθεσης κρυπτονο- μισμάτων. «Η επικάλυψη στη χρήση διευθύνσεων κατάθε- σης υποδηλώνει ότι αυτές οι διευθύνσεις κατάθεσης μπορεί να ελέγχονται από τα ίδια άτο- μα, κάτι που θα υποδηλώνει περαιτέρω επικάλυψη προμη- θευτή ή πιθανώς ακόμη και επικάλυψη διαχειριστή», σημεί- ωσαν οι αναλυτές. Τα καταστήματα μεμονωμένων πωλητών έχουν επίσης εμ- φανιστεί ως εναλλακτική λύση για τις μεγάλες αγορές, επι- τρέποντας στους πωλητές να εξοικονομούν χρήματα από τις χρεώσεις που διαφορετικά θα πήγαιναν στους διαχειριστές αγορών, όπως η Hydra. Ωστόσο, τα καταστήματα απάτης πα- ρουσίασαν επίσης συνεχή πτώση κατά τη διάρκεια του 2022. Της Αφροδίτης Μπαλίδου Της Αφροδίτης Μπαλίδου 50%μείωση στα έσοδα του dark web market το 2022 Αυξάνονται οι επιθέσεις στις APIs