Ευπάθειες τύπου XSS σε site ελληνικών τραπεζών

Πρόσφατα δημοσιεύθηκε λίστα με ευπάθειες τύπου XSS που διαπιστώθηκαν σε site μεγάλων ελληνικών τραπεζών. Η λίστα η οποία δημοσιεύθηκε επώνυμα εδώ περιλαμβάνει αναλυτικές πληροφορίες σχετικά με τις ευπάθειες που βρέθηκαν και μάλιστα ανακοινώθηκε πριν ενημερωθούν οι εν λόγω τράεπεζες και προφανώς πριν τους δοθεί η ευκαιρία ή ο χρόνος να διορθώσουν τα συγκεκριμένα προβλήματα.

Πέρα από το δεδομένο προβληματισμό για την ασφάλεια των site των Ελληνικών τραπεζών, η συγκεκριμένη είδηση επανέφερε το θέμα της δημόσιας αποκάλυψης των προβλημάτων και περιστατικών ασφάλειας. Έχουμε ήδη αναφερθεί στο πρόβλημα αυτό, με αφορμή την Exposec 2009. Βέβαια πέρα από την ευθύνη των τραπεζών ή γενικότερα των θυμάτων παρόμοιων επιθέσεων, υπάρχει και η ευθύνη και η δεοντολογία των ερευνητών η οποία καλώς ή κακώς επιβάλλει την πρότερη ενημέρωση των υπευθύνων ή των αρμόδιων αρχών πριν τη δημοσιοποίηση τέτοιων προβλημάτων, ειδικά όταν πρόκειται για τόσο κρίσιμες εφαρμογές. Το DART είναι ένας τέτοιος φορέας που δέχεται παρόμοιες πληροφορίες ή καταγγελίες και ο οποίος έχει τη θεσμική και πρακτική δυνατότητα να τις αξιολογήσει κατάλληλα, να συμβάλλει στην άμεση και ουσιαστική επίλυσή τους αλλά και στην υπεύθυνη δημοσιοποίησή τους και την ενημέρωση το κοινού.

Σύλληψη για παιδική πορνογραφία στη Νάουσα

Συνελήφθη 50χρονος αγρότης από τη Νάουσα για κατοχή υλικού παιδικής πορνογραφίας. Το Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος εντόπισε ψηφιακά του ίχνη σε ιστοσελίδες με τέτοιο περιερχόμενο. Κατά την επιτόπια έρευνα βρέθηκε και κατασχέθηκε υπολογιστής με εικόνες και αρχεία που σχετίζονται με παιδική πορνογραφία.

[πηγή: newsblog]

Αρχή Προστασίας Προσωπικών Δεδομένων και Street View

Σύμφωνα με δελτίο τύπου που δόθηκε στη δημοσιότητα την περασμένη Δευτέρα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έλαβε ορισμένες αποφάσεις σχετικά με “υπηρεσίες τρισδιάστατης περιήγησης σε δρόμους ελληνικών πόλεων” σύμφωνα με τις οποίες:

• Ζητά ορισμένες συμπληρωματικές πληροφορίες από την Google και δεν επιτρέπει την έναρξη των εργασιών μέχρι να δοθούν αυτές.
• Καλεί την ΚΑΠΟΥ ΑΕ να διακόψει τη λειτουργία της μέχρι να υποβάλλει τη σχετική γνωστοποίηση και να λάβει τα απαραίτητα μέτρα

Έκτοτε έχουν κυριολεκτικά πάρει φωτιά τα πληκτρολόγια αφού ο σχολιασμός από διάφορα site, εγχώρια ή μη, τεχνολογικά ή νομικά δίνει και πάιρνει. Οι περισσότεροι σπεύδουν να κατηγορήσουν την Αρχή αλλά και γενικότερα την Ελληνική κοινωνία για σκοταδισμό, τεχνοφοβία, οπισδρόμηση ενώ φυσικά υπεραμύνονται των μέτρων που έχει λάβει η Google για την προστασία των προσωπικών μας δεδομένων. Ναι, ναι η Google, η γνωστή Google φαίνεται ότι ενδιαφέρεται για την ιδιωτικότητα και τα δικαιώματα τον χρηστών και κοιτάει πώς να μας προστατεύσε!

Φυσικά υπάρχουν και οι ξένοι εταίροι μας, δηλαδή οι Βρετανοί, που έχουν ήδη αποφανθεί ότι όλα είναι μια χαρά όσον αφορά τα προσωπικά δεδομένα στο Street View. Οπότε θα πρέπει να ακολουθήσουμε και μεις, και μάλιστα χωρίς πολλή σκέψη, αφού η δουλειά έχει ήδη γίνει. Ναι, έχει ήδη γίνει από τους ‘Αγγλους, τους ίδιους που έχουν εγκαταστήσει εκατομμύρια κάμερες παρακολούθησης στη χώρα τους.

Η χώρα λοιπόν που επί σειρά ετών εμφανίζεται στην κορυφή της λίστας της Privacy International όσον αφορά την προστασία της ιδιωτικότητας αντί να είναι πρωτοπόρος, θα πρέπει να ακολουθήσει στα τυφλά τις αποφάσεις χωρών που είναι κυριολεκτικά τελευταίες στον τομέα αυτό. Δεν χρειάζεται καν να κοιτάξουμε τι λένε άλλες χώρες επ’ αυτού, όπως π.χ. η Ιαπωνία. Δε πα να λέει ο διευθυντής του World Privacy Forum: “If Greece gets better privacy than the rest of the world then we can demand it for ourselves.” Πού να ξέρει και αυτός… Σίγουρα όσοι έχουν βαλθεί να κατακρίνουν ίσως το μόνο θεσμό που προσπαθεί να λειτουργήσει σωστά σ’ αυτή τη χώρα, τις Ανεξάρτητες Αρχές, ξέρουν καλύτερα.

Ας αφήσουμε όμως τα σχόλια και ας δούμε τα δεδομένα: πρακτικά η Αρχή δεν απαγόρευσε τη λειτουργία του Street View. Επιφυλάχθηκε μόνο, ζητώντας παραπάνω λεπτομέρειες για τα μέτρα προστασίας που λαμβάνονται. Επίσης, στην περίπτωση του kapou.gr απαίτησε ουσιαστικά τα απολύτως αυτονόητα, πράγματα που έπρεπε να γνωρίζουν και να έχουν κάνει οι δημιουργοί του και όσοι γενικά τηρούν αρχεία προσωπικών δεδομένων στη χώρα μας: τις υποχρεώσεις τους απέναντι στο νόμο. Όντως στον τομέα αυτό οι διάφοροι σχολιαστές του συγκεκριμένου θέματος έχουν δίκιο: οι Ελληνικές επιχειρήσεις αλλά και ο κόσμος γενικότερα “ζουν στον μεσαίωνα”, “δεν έχουν καταλάβει” τι σημαίνει προστασία προσωπικών δεδομένων, ποιες είναι οι νομικές τους υποχρεώσεις και ποιες οι συνέπειες από τη μη τήρησή τους.