Kwa Nini Tuliunda Notify-Cyber

Muhtasari

Notify-Cyber (NC) ni tovuti inayokusanya habari za usalama wa mtandao kutoka vyanzo mbalimbali, kuzipatia muhtasari makala hizo, na kuziorodhesha zote katika mtiririko rahisi wa habari. Inatoa uzoefu wa kusoma haraka ili kubaki wa kisasa katika mazingira ya usalama wa mtandao. NC ilitengenezwa kwa pamoja na Mehmet Yilmaz (mimi) na Dylan Eck. Mimi nilishughulikia maendeleo ya upande wa nyuma na Dylan alichukua jukumu la utekelezaji wa upande wa mbele. Angalia HAPA!

Makala hii, iliyochapishwa awali kwenye Medium tarehe 29 Mei, 2023, inatoa ufahamu juu ya Notify-Cyber na motisha nyuma ya uundaji wake. Makala ya awali, yenye kichwa Kutoka Kutokuwa na Ufahamu hadi Kuwa Tayari: Kuongoza kupitia Mandhari ya Usalama wa Mtandao kwa Notify-Cyber, iliandikwa na mimi, Mehmet Yilmaz, na ilichapishwa chini ya @notify-cyber. Sikuwa napenda kichwa cha asili kwa sababu kilikuwa kirefu sana. Kwa hivyo nilifupisha kichwa kwa upakiaji huu tena wa blogu kuwa: Kwa Nini Tuliunda Notify-Cyber

Muhtasari

• Vitisho muhimu vya usalama wa mtandao mara nyingi havitambuliwi na umma kwa ujumla hadi vinapofikia kiwango cha kustaajabisha, ikionyesha pengo la ufahamu.
• Kadiri zana za AI zinazotengeneza yaliyomo kama ChatGPT zinavyotokea, kubaki na taarifa kuhusu habari za usalama wa mtandao na udhaifu wake kunakuwa muhimu zaidi.
• Notify-Cyber ni huduma inayolenga kuweka umma kwa ujumla zaidi wa ufahamu kuhusu vitisho vya usalama wa mtandao kwa kukusanya habari za hivi karibuni za usalama wa mtandao kutoka vyanzo mbalimbali katika mtiririko mmoja wa habari. Notify-Cyber inaweza kupatikana hapa: https://notifycyber.com/
• Notify-Cyber inapanga kuzindua huduma ya arifa za barua pepe zinazobinafsishwa ambayo itatoa taarifa kwa wakati kuhusu udhaifu wa usalama wa mtandao unaohusiana. Unaweza kujiunga na orodha ya kusubiri kwa: www.notifycyber.com/join au HAPA.

Makala

Katika ulimwengu wa kidijitali wa leo, usalama wa mtandao ni muhimu kuliko wakati wowote. Tunategemea vifaa vyetu kwa kila kitu kutoka kazi hadi burudani, na kutufanya tuwe wanyeti kila wakati kwa vitisho vya mtandaoni. Kwa bahati mbaya, watu wengi huchukua tahadhari kuhusu masuala ya usalama wa mtandao tu wanapofikia matukio makubwa, kama uvujaji mkubwa wa data au mashambulio ya ransomware yenye umaarufu. Ukosefu huu wa ufahamu unawafanya watu wawe nyeti kwa vitisho vilivyo hafifu lakini vya hatari sawa.

Moja ya vitisho hivyo vilivyokuwa havitungwi kwa wengi ilikuwa udhaifu wa “IndexedDB API information leak” katika kivinjari Safari cha Apple. Udhaifu huo uligunduliwa na kuripotiwa na kampuni ya programu za ulinzi dhidi ya udanganyifu FingerprintJS mnamo Novemba 2021 na uliathiri kivinjari cha Safari pekee. Katika udhaifu huu, wakati mtumiaji anapotembelea tovuti inayotumia udhaifu huo, tovuti hiyo inapata uwezo wa kufikia historia ya uvinjari ya mtumiaji katika tabo mbalimbali na/au madirisha. Hii kwa mwisho ilikuwa inaweza kumruhusu tovuti kumtambua mtumiaji kwa usahihi na kipekee kwa kuzingatia shughuli zake kwenye tovuti nyingine, kama akaunti yake ya Google [1]. Apple ilirekebisha udhaifu huu baadaye mnamo Januari 2022 [2].

Video ya Fingerprint ikionyesha udhaifu wa IndexedDB

Wakati wa kipindi kilichotangulia, tuligundua kuwa watumiaji wengi wa Safari walibaki bila ufahamu juu ya udhaifu huu. Ingawa suala hilo hatimaye lilifunikwa na vyanzo mbalimbali vya habari, ikiwa ni pamoja na The Verge, The Hacker News, Macworld, TechCrunch, The Register, Screen Rant, na SiliconANGLE, kwetu bado halikupata uangalizi wa kutosha kutoka kwa umma kwa ujumla.

Mara tulipogundua udhaifu huu mnamo Januari 2022, tuliujadili na familia zetu, marafiki, na wenzetu, tukagundua kuwa wengi wao hawakujua kuhusu hilo hadi tulipotaja. Baadaye, walipotambua udhaifu huo, walibadilisha kivinjari mara moja hadi tulithibitisha kuwa tatizo lilitatuliwa.

Tukio hili lilibainisha ukosefu wa maarifa kwa ujumla miongoni mwa watu kuhusu matukio ya usalama wa mtandao na udhaifu. Hata hivyo, pia lilionyesha kuwa kuna wasiwasi mkubwa na umuhimu unaoendelea kutengwa kwa usalama na faragha, licha ya uelewa mdogo katika eneo hili. Ni muhimu kwamba watu wajichukulie jukumu kwa usalama wao wa kidijitali na wabaki na taarifa kuhusu vitisho vya mtandao na udhaifu vinavyotokea hivi karibuni.

Kwa kuibuka kwa zana za AI zinazotengeneza yaliyomo kama ChatGPT, kubaki na taarifa kuhusu habari za usalama wa mtandao na udhaifu wake kunakuwa muhimu zaidi. Zana hizi zina uwezo wa kugundua udhaifu kwa haraka, na hivyo kuweza kuongeza kasi ya kuongezeka kwa matumizi ya udhaifu kama ule tuliojadili hapo awali [3]. Kwa hivyo, kubaki na habari kuhusu vitisho vinavyoibuka sasa ni muhimu zaidi kuliko hapo awali.

Katika nyakati za video 00:23:00-00:23:31 na 00:23:31-00:35:48, Tristan Harris na Aza Raskin wanaonyesha hatari zinazoweza kusababishwa na teknolojia za AI katika eneo la usalama wa mtandao.

Ili kujilinda, ni muhimu kubaki na taarifa kuhusu matukio ya usalama wa mtandao yanayohusiana na programu unazotumia kila siku. Hapa ndipo jukwaa letu, Notify-Cyber (www.notifycyber.com), linapoingia. Notify-Cyber ni jukwaa la habari la usalama wa mtandao lenye kila kitu linalofanya iwe rahisi kubaki na taarifa kuhusu matukio ya usalama wa mtandao. Notify-Cyber hukusanya habari za hivi karibuni za usalama wa mtandao kutoka vyanzo mbalimbali zote katika mtiririko mmoja wa habari, na kufanya iwe rahisi kupata muhtasari wa ujumla wa mandhari ya habari za usalama wa mtandao za sasa.

Unapotembelea Notify-Cyber (www.notifycyber.com), utaonyeshwa mtiririko wa habari unaojumuisha habari za hivi karibuni za usalama wa mtandao zilizokusanywa kutoka kwa siku 7 zilizopita. Kila chapisho la habari lina muhtasari kwa ajili ya kusoma haraka. Zaidi ya hayo, kuna upau wa utafutaji kukusaidia kupata machapisho maalum kwa maneno muhimu.

Demo rahisi ya Notify Cyber

Lengo kuu la Notify-Cyber ni kukuweka macho na kukufahamisha kuhusu udhaifu unaoathiri programu na vifaa unavyovihusu. Hivi sasa, Notify-Cyber inatumikia kama mkusanyiko wa habari za hivi karibuni za usalama wa mtandao kutoka kwa vyanzo mbalimbali. Mpango wetu ni kuongeza uwezo wa Notify-Cyber kwa kuanzisha huduma ya barua pepe ambayo itatuma arifa kwa watumiaji kwa wakati kuhusu udhaifu wanazoujali. Huduma hii haitakuwa jarida la habari bali itakuwa kama arifa za kibinafsi. Barua pepe zitatumwa pekee pale inapogunduliwa matukio yanayohusiana ya usalama wa mtandao kwa kila mtu. Kwa hivyo, kulingana na mapendeleo ya mtumiaji, wanaweza kupokea barua pepe kila siku au barua moja kila miezi kadhaa. Ikiwa unavutiwa na huduma kama hiyo, unaweza kujiunga na orodha yetu ya kusubiri hapa: https://notifycyber.com/join.

Tunawaalika kila mtu abaki na ufahamu wa mandhari ya usalama wa mtandao ya sasa, ukitambua jukumu muhimu ambalo kila mmoja wetu analo katika usalama wetu wa kidijitali. Kumbuka daima, usalama wako wa mtandao unaanza na wewe. Tunawakaribisha nyote kutembelea Notify Cyber: https://notifycyber.com/

Makala hii iliandikwa na timu ya Notify-Cyber kwa msaada wa ChatGPT (GPT-3.5). Rasimu ya mwisho ilisomwa kwa uangalifu, ikathibitishwa ukweli, na kuhaririwa na timu ya Notify-Cyber.

Marejeo

• [1] M. Bajanik, “Kutumia Uvujaji wa Taarifa za IndexedDB API katika Safari 15,” Fingerprint Blog RSS, https://fingerprint.com/blog/indexeddb-api-browser-vulnerability-safari-15/ (ilipatikana Mei 29, 2023).
• [2] “Uvujaji wa indexeddb wa Safari 15,” Safari 15 IndexedDB Leaks, https://safarileaks.com/ (ilipatikana Mei 29, 2023).
• [3] Center for Humane Technology, “Dilemma ya A.I. — Machi 9, 2023,” YouTube, https://www.youtube.com/watch?v=xoVJKj8lcNQ (ilipatikana Mei 29, 2023). Nyakati za video 00:23:00–00:23:31 na 00:23:31–00:35:48