Πέμπτη 14 Αυγούστου 2014

Στα άδυτα του «κυβερνοπολέμου»


Ποιοι είναι οι χάκερς του σήμερα και ποιες οι απειλές του διαδικτύου
.
Ο ανταγωνισμός θέλγει από καταβολής κόσμου τον άνθρωπο. Και οι προκλήσεις γύρω από την τελειότητα ενός δημιουργήματος, κάνουν αρκετούς που ασχολούνται με πάθος, με ανάλογες δραστηριότητες, να θέλουν να δοκιμάσουν τις αντοχές του.

Παράλληλα έτσι, ανταγωνίζονται τις δυνατότητες του κατασκευαστή ενός μηχανήματος, ενός υφάσματος, ενός ζωγραφικού έργου και τις τελευταίες δεκαετίες και ενός μηχανογραφικού συστήματος. Η τελευταία προσπάθεια ανταγωνισμού, αυτή του μηχανογραφικού συστήματος, φέρει την ονομασία «χάκινγκ».

Από λύτρα για την αποκρυπτογράφηση αρχείων, μέχρι την υποκλοπή των κωδικών τραπεζικών λογαριασμών, οι επιθέσεις στον κυβερνοχώρο απασχολούν όλο και περισσότερο τις επιχειρήσεις, τους χρήστες του διαδικτύου, τα μέσα ενημέρωσης και τη δίωξη ηλεκτρονικού εγκλήματος…

Ένα πρόσφατο ελληνικό παράδειγμα είναι αυτό του 27χρονου και του 31χρονου που συνελήφθησαν πριν από λίγο καιρό επειδή κατάφεραν να υποκλέψουν κωδικούς χρηστών του Facebook. Ένα άλλο, παγκόσμιας κλίμακας, ήταν η ανακοίνωση του Ebay μέσω της οποίας προέτρεπε τους χρήστες να αλλάξουν κωδικούς, μιας και η ασφάλεια του συστήματος είχε διαρρηχθεί. Καμία από τις δύο περιπτώσεις δεν «κόστισε ακριβά», αλλά και οι δύο τρομοκράτησαν την κοινή γνώμη, όσον αφορά την ασφάλεια στην εποχή της ευρυζωνικότητας.

Έφηβοι που περνούν την ώρα τους, επαγγελματίες που διασφαλίζουν την ακεραιότητα ενός συστήματος ή όργανα ενός συντονισμένου ψηφιακού ακτιβισμού ως απάντηση σε κρατικές πρωτοβουλίες, ποιοι είναι τελικά οι χάκερς και πόσο διαφέρει η κινδυνολογία που τους συνοδεύει από την πραγματικότητα για την ασφάλεια του κυβερνοχώρου;

Οι μαυροσκούφηδες και οι ασπροσκούφηδες της κοινότητας των χάκερς



Ανάμεσα στα πολλά που έχουν γραφτεί η «κινηματογραφική» άποψη θέλει τους χάκερς να φορούν καπέλα, ανάλογα με τους σκοπούς τους, να συναντιούνται ανώνυμα σε hackforums, IRC channels και newsgroups από όπου κανονίζουν τις επιθέσεις τους. Χωρίζονται σε μαυροσκούφηδες (blackhat) και ασπροσκούφηδες (whitehat) χωρίς να λείπει από την «ιντερνετική σκηνή» και η δύναμη της ισορροπίας, οι εκφραστές της οποίας κινούνται στο χώρο του γκρι καπέλου (greyhat). Ο σκούφος αντιπροσωπεύει τον σκοπό της επίθεσης, καλοπροαίρετος ή κακόβουλες επιθέσεις προς ίδιον όφελος, χωρίς βέβαια να λείπουν και οι αναποφάσιστοι οι οποίοι, κινούμενοι στον ενδιάμεσο χώρο, λειτουργούν κατά περίπτωση. Και όπως σε κάθε πόλεμο, έτσι και σ’ αυτόν υπάρχουν βαθμίδες, που άλλοι τις παραδέχονται κι άλλοι όχι, οι οποίες θέλουν το άσπρο να συντάσσεται με το καλό και το μαύρο να φέρει ως είθισται τη σφραγίδα του κακού…

Οι τόποι συνάντησης που προαναφέρθηκαν είναι εύκολο να εντοπιστούν. Όμως για να γίνει κάποιος μέλος μιας τέτοιου είδους κοινότητας, πρέπει σύμφωνα με την ιεροτελεστία να «αποδείξει την αξία του» όπως μας ενημερώνει ο Γιώργος, υπεύθυνος ηλεκτρονικών συστημάτων μεγάλης εταιρείας. Μόλις βαθμολογηθεί μπορεί να χρησιμοποιηθεί σε επιθέσεις. Όπως κάθε μυστική κοινότητα, έτσι κι αυτή, έχει τη δική της ιεροτελεστία την οποία αφότου ακολουθήσεις, χρησιμοποιείσαι, ανάλογα με τους βαθμούς που έλαβες, εκεί που οι ανώτεροι εκτιμούν πως μπορείς να βοηθήσεις. «Ο αρχηγός πάντα είναι αυτός που συγκεντρώνει τα περισσότερα προσόντα. Που αποδεδειγμένα έχει κάνει το μεγαλύτερο χάκεμα, δηλαδή το σπάσιμο του λογισμικού ασφαλείας που κάθε ψηφιακό σύστημα φέρει», λέει ο Γιώργος.

Ως «blackhat» χαρακτηρίζονται εκείνοι που για προσωπικό όφελος πραγματοποιούν μια επίθεση, για παράδειγμα εκείνοι που αποσπούν στοιχεία από πιστωτικές κάρτες και ταυτόχρονα χρηματικά ποσά από τους ιδιοκτήτες τους, οι κακόβουλοι χάκερς.

Από την άλλη, οι «whitehat» αποσκοπούν στη χαρά της κατάκτησης, δεν πραγματοποιούν επιθέσεις με ιδιοτελείς σκοπούς, δεν αποσκοπούν στο χρήμα. Όσοι από αυτούς είναι επιπλέον προσκείμενοι στον ακτιβισμό, συγκροτούν ομάδες σαν τους «Anonymous» και η όλη δράση από χάκινγκ μετατρέπεται σε χάκτιβισμ (hactivism).



Η ώρα της επίθεσης

Όσο για την ώρα της επίθεσης ο Γιώργος αναφέρει: «Η αλήθεια είναι πως μοιάζει με πόλεμο. Την ώρα που δέχεσαι μια επίθεση για να ρίξουν τη σελίδα σου, δέχεσαι χτυπήματα από κατευθυνόμενους υπολογιστές από κάθε μεριά του πλανήτη. Φαντάσου να έχεις ένα τούνελ στο οποίο χωράει συγκεκριμένος αριθμός αυτοκινήτων και ξαφνικά μπαίνουν όλο και περισσότερα. Ε, όσο κι αν προσπαθείς να διασφαλίσεις τις εισόδους και να ομαλοποιήσεις τη ροή, αναμενόμενο είναι κάποια στιγμή το τούνελ να φράξει». Άλλωστε, σύμφωνα με τον Γιώργο, όταν αρχίζει ένας πόλεμος, όλα μπορούν να συμβούν. Ειδικά σε έναν κόσμο που τον χαρακτηρίζει η φράση «what comes up, stays up» - ό,τι ανεβαίνει δεν κατεβαίνει, σε ελεύθερη μετάφραση.

Και κάπου εδώ τελειώνει η κινηματογραφική εκδοχή η οποία περιλαμβάνει αλήθειες χρωματισμένες βέβαια ανάλογα προς τέρψιν του φιλοθεάμονος κοινού.

Στα μάτια του απλού χρήστη το χάκινγκ μπορεί να ορίζεται ως ο απόλυτος πόλεμος, ως μια επίδειξη δύναμης ή ένας εύκολος τρόπος πλουτισμού δεν είναι ακριβώς έτσι. Παρόλο που ο Αλέξανδρος, υπεύθυνος ασφάλειας πληροφοριακών συστημάτων, εντοπίζει κενά ασφαλείας σε ηλεκτρονικά συστήματα εταιρειών, «χακάροντάς τα», λίγοι είναι εκείνοι που θα τον χαρακτήριζαν χάκερ.

«Στην εταιρεία μου απευθύνονται επιχειρήσεις για να τεστάρουν την ασφάλεια των δικτύων τους, με penetration tests. Ουσιαστικά όταν κάποιος έρθει σε εμάς, προσπαθούμε, μέσα σε διάστημα 15 ημερών, να σπάσουμε την ασφάλεια του συστήματός του. Καταφέρνοντάς το, εντοπίζουμε τα κενά που τον κάνουν ευάλωτο σε μη πληρωμένες επιθέσεις, και γνωστοποιώντας του τα αποτελέσματα, παρέχουμε τη λύση για ένα πιο ασφαλές δίκτυο». Αυτοί οι επαγγελματίες χάκερς αν και υπάρχουν στην Ελλάδα δεν χρησιμοποιούνται τόσο όσο στο εξωτερικό.

«Το χάκινγκ σαν μια παρεξηγημένη έννοια, έχει συνδεθεί με κάτι αξιόποινο. Παρόλα αυτά για εμένα και για πολλούς άλλους εργαζομένους παραμένει μια δουλειά. Ουσιαστικά δηλώνει κάποιον που γνωρίζει πολύ καλά κάτι. Εάν πρέπει να βρω την αδυναμία ενός συστήματος θα πρέπει να εισβάλλω σε ένα κώδικα για να εντοπίσω την ευπάθεια του. Ουσιαστικά δηλαδή κάνω μια αξιόποινη πράξη αλλά κατόπιν έγκρισης του ιδιοκτήτη της ιστοσελίδας» συμπληρώνει ο Αλέξανδρος.

Γενικότερα σε άλλες ευρωπαϊκές χώρες και στην Αμερική η διασφάλιση των δικτύων είναι πρωταρχικό μέλημα μιας εταιρείας. Στη μικρή αγορά της χώρας μας όμως, οι επιχειρήσεις δεν έχουν τα περιθώρια για τέτοιου είδους παροχές ή ο κίνδυνος που ενέχει μια δυνητική επίθεση δεν αποτιμάται τόσο μεγάλος για να προβούν σε μια τέτοιου είδους διαδικασία. «Εάν το κόστος της υπηρεσίας που προσφέρουμε υπερβαίνει αυτό που θα στοιχίσει σε κάποιον η επίθεση στη ιστοσελίδα του τότε σίγουρα δεν ασχολείται με την ασφάλεια του δικτύου του».

Η αντιμετώπιση του χάκινγκ στην Ελλάδα και άλλες χώρες

Στην Ελλάδα βέβαια, όπως μας ενημερώνει ο Αλέξανδρος, δεν υπάρχει και συντονιστικό όργανο αρμόδιο να ενημερώνει τους χρήστες για τους εντοπισμένους κινδύνους, εκτός από την Δίωξη Ηλεκτρονικού Εγκλήματος, η οποία ασχολείται μόνο με αξιόποινες πράξεις. Στην Αμερική το Cert ενημερώνει το κοινό για τους κινδύνους του διαδικτύου, για την ασφάλεια, για τις έρευνες που πραγματοποιούνται στο χώρο της ασφάλειας, ακόμα και για μερικά από τα περιστατικά επιθέσεων που οργανώνονται, όχι όμως για όλα. Στο διεθνές συνέδριο ασφάλειας του κυβερνοχώρου, Μπλακ Χατ που διοργανώνεται κάθε χρόνο στο Λας Βέγκας, την τελευταία φορά οι ειδικοί διερωτήθηκαν εάν οι επιχειρήσεις θα έπρεπε να υποχρεούνται να δημοσιοποιούν τις επιθέσεις που δέχονται δεδομένου ότι παρατηρούνται πολλές ελλείψεις στους μηχανισμούς προστασίας.



Η αυξητική τάση των επιθέσεων, που επιβάλλει την υιοθέτηση επιπρόσθετων μέτρων, αποτυπώνεται άλλωστε και σε δύο ιστότοπους. Η Digital Attack Map αλλά και η ιστοσελίδα της Akamai σκιαγραφούν τον πόλεμο του κυβερνοχώρου καταγράφοντας σε πραγματικό χρόνο τις επιθέσεις που γίνονται ανά τον κόσμο. Τους χάρτες των επιθέσεων μπορείτε να δείτε εδώ και εδώ.





Αντίστοιχο ετήσιο συνέδριο ασφάλειας του κυβερνοχώρου που διοργανώνεται σε εθνικό επίπεδο είναι το Αthcon. Κατά τη διάρκειά του οι ειδικοί της ασφάλειας που δραστηριοποιούνται στον ελλαδικό χώρο συναντιούνται για να συζητήσουν εκτός από άλλα θέματα και περιπτώσεις διείσδυσης σε ιστότοπους ελληνικών εταιρειών και τρόπους αντιμετώπισής τους.

Τα είδη των επιθέσεων

Ο Αλέξανδρος όμως δεν αποτελεί το μοναδικό είδος χάκερ και τα τεστ διείσδυσης δεν είναι οι μόνες επιθέσεις συστημάτων.

Στο κυβερνοχώρο υπάρχουν και οι ελεύθεροι επαγγελματίες. Στη δική τους περίπτωση αφού εντοπίσουν κενά ασφαλείας, ενημερώνουν τις εταιρείες και ή πληρώνονται από αυτές ή αφότου τις ενημερώσουν και διορθώσουν τα σφάλματα, δημοσιεύουν το επίτευγμα με σκοπό την προβολή τους. «Αυτή η αίσθηση της κατάκτησης που ακολουθεί την εισβολή σε ένα σύστημα είναι κι αυτή που συμβάλει συνήθως στον εντοπισμό των χάκερς, αφού εξαιτίας της ματαιοδοξίας τους το ανακοινώνουν. Βέβαια αυτός που συλλαμβάνεται είναι ο ικανός χάκερ, ο πολύ ικανός ο πρώτος, δεν εντοπίζεται σχεδόν ποτέ» αναφέρει ο Γιώργος. Την πρακτική της πληρωμής ακολουθεί και το Facebook. «Το Facebook, πληρώνει με επιταγές 500 έως 20.000 δολαρίων, όποιον ανακαλύψει κενά ασφαλείας και τα γνωστοποιήσει στους αρμόδιους της εταιρείας».

Παρόλα αυτά στην κοινή συνείδηση, μετά ιδιαίτερα από τον τρόπο που παρουσιάζονται από τα ειδησεογραφικά μέσα, χάκερς έχουν θεωρηθεί και οι νεαροί οι οποίοι χρησιμοποιούν κάποιο έτοιμο λειτουργικό ή πρόγραμμα, που αγοράζουν ή βρίσκουν ελεύθερο στο διαδίκτυο, για να εισβάλλουν σε ένα δίκτυο. «Για να σας φέρω ένα παράδειγμα, όταν πρωτοκυκλοφόρησαν τα iPhone, ως κλειστό λειτουργικό σύστημα, οι χρήστες δεν μπορούσαν να κατεβάσουν παρά μόνο τις εφαρμογές της συγκεκριμένης εταιρείας. Κάποιοι δαπάνησαν χρόνο, χρήμα και αξιοποιώντας μερικές αδυναμίες στις δικλείδες ασφαλείας του τηλεφώνου, πέτυχαν να το "σπάσουν" ούτως ώστε να μπορούν να εγκαθιστούν όποια εφαρμογή επιθυμούν. Το γνωστό σε όλους jailbreak. Από εκεί και πέρα κάθε χρήστης μπορεί πλέον με κάποιες απλές οδηγίες να κατεβάζει στο κινητό του όποια εφαρμογή θέλει χωρίς να απαιτούνται ιδιαίτερες γνώσεις και χωρίς φυσικά να μπορεί να ονομαστεί χάκερ», αναφέρει ο Αλέξανδρος.

Ένας άλλος τρόπος, όπως μας ενημερώνει, είναι και το social engineering. Ουσιαστικά δηλαδή η απόκτηση των κωδικών των χρηστών με ένα τέχνασμα κοινωνικής μηχανικής. «Κάτι παρόμοιο ήταν και η τελευταία περίπτωση του Facebook όπου συνελήφθησαν ο 27χρονος και ο 31χρονος. Συνήθως τέτοιου είδους επιθέσεις στοχεύουν στον άνθρωπο ή αλλιώς στον χρήστη. Στέλνουν κάποιο εκτελέσιμο αρχείο, κάποιο αρχείο που πρέπει ο χρήστης να το ανοίξει, να το τρέξει και να καταχωρήσει τους κωδικούς του για να το εκτελέσει», διευκρινίζει.



Η αντίθετη περίπτωση, το να αποκτήσω το password κάποιου κάνοντας «brute force attack», δοκιμάζοντας δηλαδή συνδυασμούς μέχρι να πετύχω τον κατάλληλο, είναι πάρα πολύ δύσκολο και απαιτεί μεγάλη εμπειρία. Άλλωστε το σύστημα κάποια στιγμή κλειδώνει. Βέβαια εάν ο κωδικός που χρησιμοποιώ είναι 123, το όνομά μου, ή η ημερομηνία γέννησής μου, τότε φυσικά και είναι πιθανή η εισβολή στα αρχεία μου. «Αυτός είναι ο λόγος που όταν πλέον φτιάχνεις ένα λογαριασμό, οι απαιτήσεις του συστήματος για τον κωδικό είναι όλο και περισσότερες. Δεν επιτρέπουν διαδοχική αρίθμηση και πρέπει να περιλαμβάνει ο κωδικός και άλλους χαρακτήρες εκτός από γράμματα και αριθμούς κ.ά.»

Όπως υποστηρίζουν οι ειδικοί οι πλειονότητα των social engeeniring hacking, δηλαδή των επιθέσεων κοινωνικής μηχανικής, στηρίζονται στην άγνοια του κόσμου. «Και φυσικά πρόκειται για κακόβουλο χάκινγκ, εγώ έτσι το ονομάζω εσείς μπορείτε να το πείτε black» συμπληρώνει ο Αλέξανδρος.

Λαμβάνοντας υπόψη μας όλα αυτά, ουσιαστικά χάκινγκ είναι η διαδικασία επίθεσης με οποιοδήποτε τρόπο χωρίς αυτοματοποιημένο σύστημα. Και φυσικά είναι παράνομη εκτός κι αν ανατίθεται επίσημα από την εταιρεία. Στην περίπτωση αυτή ονομάζεται ethical hacking, ηθικό χάκινγκ, και οι ενδιαφερόμενοι μπορούν ακόμα και να πιστοποιηθούν με ειδικές εξετάσεις, αφού οι κανόνες δεοντολογίας είναι συγκεκριμένοι και πρέπει να ακολουθούνται υποχρεωτικά.

Ακόμα και μετά την πιστοποίηση όμως, τίποτα δεν είναι σίγουρο. Σε κάθε περίπτωση όταν δίνεται ένα «όπλο» εναπόκειται στο χρήστη πώς θα το χρησιμοποιήσει.

Το σίγουρο είναι πως ο άνθρωπος θα στοχεύει πάντα στον άνθρωπο όπως συμπληρώνει ο Αλέξανδρος. Η αλήθεια αυτή βρίσκει αναπαράσταση στο παράδειγμα της «Patch Tuesday» και της «Exploit Wednesday», όπως συνηθίζεται να λέγονται οι δύο αυτές μέρες της εβδομάδας. Όταν η εταιρεία Microsoft ανακαλύψει κάποιο κενό ασφαλείας στα συστήματά της δημοσιοποιεί ενημερώσεις ασφαλείας, τα λεγόμενα updates, ούτως ώστε εγκαθιστώντας τες οι χρήστες να διασφαλίσουν το λειτουργικό τους. Η δημοσιοποίηση γίνεται πάντα Τρίτη γι' αυτό και ονομάστηκε «Patch Tuesday». Εξαιτίας της άγνοιας των χρηστών, οι οποίοι συνηθέστερα δεν κάνουν updates, η Τετάρτη αντίστοιχα ονομάστηκε μέρα εξερεύνησης, «Exploit Wednesday» αφού χάκερς και μάλιστα χωρίς ιδιαίτερες γνώσεις, εκμεταλλεύονται αυτά τα κενά που τους προσφέρονται έτοιμα και δημοσιευμένα και χτυπούν όλους εκείνους που δεν εγκατέστησαν την κατάλληλη στιγμή τις ενημερώσεις που έπρεπε αναφέρει ο Αλέξανδρος.

Ο Σοφοκλής, ένας άλλος χάκερ που ασχολείται με το χώρο από τη δεκαετία του 1990 μας είπε πως κατά τη γνώμη του όλα είναι θέμα εργατοωρών που έχουν δαπανηθεί για την κατασκευή του συστήματος ασφάλειας σε ένα software, καθώς αν δαπανηθούν οι ίδιες και μια παραπάνω για το σπάσιμό του αυτό θα ανοίξει. Να γιατί πλέον συγκεντρώνουν τις δυνάμεις τους οι χάκερς, που είναι διαφορετικής ποιότητας άνθρωποι από τους κακόβουλους κράκερς. Το σίγουρο είναι πάντως , όπως επιβεβαιώνουν όλοι οι ειδικοί πως ο καλύτερος τρόπος προφύλαξης είναι η πρόληψη…





Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.