26 Ιουνιου 2011
Posted in
Επικαιρότητα
Αν και έχει επικρατήσει να αποκαλούνται χάκερς σχεδόν αποκλειστικά όσοι αξιοποιούν τις γνώσεις τους για παράνομες δραστηριότητες, στην πραγματικότητα οι πρώτοι χάκερς τη δεκαετία του ’70 ήταν ερασιτέχνες ή φοιτητές που πειραματίζονταν και εξέλισσαν νέες γλώσσες προγραμματισμού και πρωτόκολλα. Ετσι, στις σχετικές λίστες θα βρει κανείς επίσης τον Στιβ Βόζνιακ, συνιδρυτή της Apple, ή τον Λίνους Τόρβαλντς, δημιουργό του Linux.
Από την άλλη μεριά, δεν είναι λίγοι οι προγραμματιστές που πραγματοποίησαν τις πιο εντυπωσιακές κυβερνοεπιθέσεις στο παρελθόν και σήμερα εργάζονται ως σύμβουλοι ασφαλείας σε επιχειρήσεις και κρατικές υπηρεσίες – αξιοποιώντας πλέον τις ικανότητές τους όχι για να εκμεταλλεύονται τα ευάλωτα σημεία των συστημάτων μιας εταιρείας, αλλά για να της τα υποδεικνύουν.
«Πάντως, γι’ αυτό τον σκοπό οι εταιρείες στρέφονται τελευταία όλο και περισσότερο στους λεγόμενους “white hat” χάκερς, δηλαδή σε ειδικούς και επιστήμονες που έχουν χτίσει την καριέρα τους πραγματοποιώντας εξαρχής απόλυτα νόμιμες “εικονικές” απόπειρες εισβολής, για να ανακαλύψουν τις όποιες τρύπες ασφάλειας», τονίζει ο κ. Βασίλης Βλάχος, καθηγητής στο τμήμα Πληροφορικής και Τηλεπικοινωνιών του ΤΕΙ Λάρισας.
Ομαδικές επιθέσεις
Αλλωστε, αυτό που παρατηρείται τα τελευταία χρόνια, συμπληρώνει, είναι ότι οι πιο σοβαρές κακόβουλες κυβερνοεπιθέσεις δεν προέρχονται πια από μεμονωμένα άτομα, αλλά από ομάδες προγραμματιστών που συχνά αποτελούν παρακλάδια του οργανωμένου εγκλήματος. Ή ηλεκτρονικές επιθέσεις οι οποίες παραπέμπουν περισσότερο σε κυβερνοπόλεμο, καθώς, όπως συνέβη με τον ιό Stuxnet, είναι πολύ εξελιγμένες και στοχεύουν σε ειδικές βιομηχανικές εγκαταστάσεις συγκεκριμένων κρατών
Και μπορεί η ηλικία του 18χρονου Ελληνα «nSplitter», που συνελήφθη πρόσφατα στον Αγιο Δημήτριο Αθήνας, να είναι πρωτόγνωρη για τα ελληνικά δεδομένα, στον κόσμο του χάκινγκ όμως δεν είναι σπάνιο πίσω από τέτοια ψευδώνυμα να κρύβονται έφηβοι που δεν έχουν καν τελειώσει το σχολείο.
«Χαρακτηριστική περίπτωση είναι ο 15χρονος “Mafiaboy”, που στις αρχές του 2000 κατάφερε να πλήξει επιχειρήσεις όπως η Amazon, η Yahoo και το eBay», υπενθυμίζει ο κ. Βλάχος. Ή ο διάσημος Κέβιν Μίτνικ («Condor»), ο οποίος το 1981, σε ηλικία 17 ετών, παραβίασε τα πληροφοριακά συστήματα αεράμυνας των ΗΠΑ – «τρυπώνοντας» στη συνέχεια σε δεκάδες κρατικές υπηρεσίες και εταιρείες, μέχρι την τελευταία σύλληψη και αποφυλάκισή του, το 2000.
Και ανήλικοι
Εξάλλου, ο πρώτος ανήλικος χάκερ που καταδικάστηκε σε φυλάκιση ήταν ο Jonathan James, επειδή στα 16 του εισέβαλε στο αμερικανικό υπουργείο Αμυνας. Και μέχρι το 2007, που εντοπίστηκε, ο συνομήλικος του «nSplitter», ο Νεοζηλανδός «Akill», είχε κι αυτός δημιουργήσει ένα… στρατό από 1,3 εκατομμύρια υπολογιστές–ζόμπι.
«Παρόλο που σήμερα κυκλοφορούν στο Διαδίκτυο έτοιμες εφαρμογές για χάκινγκ, σίγουρα για να αποκτήσει κανείς πρόσβαση σε συστήματα σαν της Interpol, χρειάζεται ταλέντο, εξαιρετική γνώση προγραμματισμού και ατέλειωτη εξάσκηση», σημειώνει ο κ. Βλάχος. Αν μάλιστα πρόκειται για ανήλικο, δηλαδή αυτοδίδακτο, η εξάσκηση είναι ακόμη πιο εντατική: σύμφωνα με όσα έγιναν γνωστά, ο Ελληνας «nSplitter» αποχωριζόταν τον υπολογιστή του μόλις για 4–6 ώρες το 24ωρο.
Οσο για τα κίνητρα εκπαίδευσης στο χάκινγκ; «Πλέον είναι τόσο ετερόκλητα, που αν κάποτε μιλούσαμε για χάκερ ή κράκερ, με κριτήριο το αν ο προγραμματιστής έχει κακόβουλους ή όχι σκοπούς», απαντά ο καθηγητής, «σήμερα μιλάμε για “black hat”, “grey hat” και “white hat” χάκερ». Με τους «grey hat» χάκερς να κινούνται ουσιαστικά στα όρια μεταξύ νομιμότητας και παρανομίας, ζητώντας π.χ. «λύτρα» από μία εταιρεία, ώστε να μη δημοσιοποιήσουν τα κενά ασφαλείας που εντόπισαν σε κάποιο προϊόν της.
Ο σκοπός
Ωστόσο, ακόμη και στην περίπτωση των «black hat» χάκερ, ο στόχος δεν είναι πάντοτε το οικονομικό όφελος, αφού και στη χώρα μας δεν λείπουν οι (σχετικά εύκολες σύμφωνα με τους ειδικούς) κυβερνοεπιθέσεις που αποσκοπούν στην παραποίηση ιστοσελίδων, όπως π.χ. αυτό της βουλευτού τότε και υπουργού σήμερα κ. Λούκας Κατσέλη, στο οποίο το 2009 αναρτήθηκε «δήλωσή» της, όπου υποτίθεται ότι χαρακτήριζε «προεκλογικό τρικ» τις συλλήψεις μελών της «Συνωμοσίας Πυρήνων της Φωτιάς».
Παράλληλα, πολλοί διάσημοι χάκερς διεισδύουν σε καλά «θωρακισμένα» δίκτυα απλώς για να αποδείξουν τις ικανότητές τους, με χαρακτηριστικό παράδειγμα την «Ελληνική Ομάδα Ασφάλειας», η οποία «έσπασε» τα συστήματα προστασίας του CERN.
«Ο γενικός κανόνας είναι πως κανένα σύστημα δεν είναι απαραβίαστο, κάτι που αποδεικνύεται από το γεγονός ότι στα θύματα πετυχημένων κυβερνοεπιθέσεων δεν συγκαταλέγονται μόνο “ευαίσθητες” κρατικές υπηρεσίες με προηγμένα συστήματα ασφαλείας (CIA, FBI)», τονίζει ο κ. Βλάχος, «αλλά και ιντερνετικοί κολοσσοί, όπως η Google ή η Microsoft».
Οι Έλληνες χάκερς στο CERN, στο ΝΑΤΟ και στο Πεντάγωνο...
Σαράντα πέντε λεπτά της ώρας. Τόσο χρειάστηκε o «Αντώνης» -ας τον πούμε Αντώνη- για να αποκτήσει πρόσβαση στη βάση δεδομένων μεγάλης ελληνικής τράπεζας. Αμέσως μετά, στην οθόνη του υπολογιστή παρέλαυναν οι λίστες των καταθετών, οι αριθμοί των λογαριασμών τους, στοιχεία για τα ποσά που έχουν «σηκώσει» κ.λπ.
Για την «είσοδο» στα συστήματα του ΝΑΤΟ χρειάστηκε μία ώρα «δουλειάς». Ομως μετά, οι δυνάμεις στο Κοσσυφοπέδιο, οι μετακινήσεις τους, τα οργανογράμματα και μια σειρά άλλες πληροφορίες βρίσκονταν «φόρα παρτίδα» μπροστά του. Υπάρχουν βέβαια και πιο «εύκολες» αποστολές. Η είσοδος για παράδειγμα στα κεντρικά συστήματα του Παντείου Πανεπιστημίου ήταν παιχνιδάκι για έναν χάκερ, τόσο καλό όσο αυτός. Το να «παίξει» με τις βαθμολογίες στον κεντρικό υπολογιστή ήταν απλώς θέμα διάθεσης.
Τα παραπάνω δεν αποτελούν σενάρια φαντασίας. Εχουν συμβεί μπροστά στα μάτια του δημοσιογράφου Βασίλη Τερζάκη και την κάμερα του σκηνοθέτη Σπύρου Καψίλη, στο πλαίσιο της οκτάμηνης έρευνάς τους για την ελληνική κοινότητα των χάκερς.
Το αποτέλεσμα της δουλειάς τους, το ντοκιμαντέρ «black01white» αφενός ανοίγει ένα μεγάλο παράθυρο στους κώδικες των Ελλήνων χάκερς και αφετέρου αποκαλύπτει τα τεράστια κενά στην οχύρωση της χώρας σε περίπτωση κυβερνοπολέμου. «Μπροστά στην κάμερα, χάκερς μπαίνουν στον κεντρικό υπολογιστή του υπουργείου Εθνικής Αμυνας, επιλέγουν τον υπολογιστή του αρχηγού ΓΕΕΘΑ και βλέπουν σε πραγματικό χρόνο τι γράφει. Είναι τρομακτικό», αναφέρει ο κ. Τερζάκης. «Στην ουσία, δεν υπάρχει τίποτα στην Ελλάδα που να μην μπορούν να “σπάσουν”. Αρκεί να το θελήσουν».
Ο πυρήνας των καλύτερων Ελλήνων χάκερς μετρά 70 έως 100 άτομα, αν και κανείς δεν γνωρίζει πόσοι ακριβώς είναι οι λεγόμενοι black hat ή κακόβουλοι χάκερς, εκείνοι οι οποίοι λειτουργούν στην παρανομία και για δική τους ευχαρίστηση ή για λογαριασμό εταιρειών προκαλούν καταστροφές σε συστήματα. Οπως λένε βέβαια οι ίδιοι, οι διαχωρισμοί είναι στα χαρτιά.
Σε κάθε περίπτωση, πολλά πράγματα έχουν αλλάξει από τα Χριστούγεννα του 1993 και την πρώτη «σοβαρή» επίθεση Ελλήνων χάκερς στο ερευνητικό Κέντρο Δημόκριτος, που προσέφεραν σε όλους τους χρήστες απεριόριστη πρόσβαση στις υπηρεσίες του Διαδικτύου.
Οι Ελληνες χάκερς έχουν χτυπήσει το CERN, την Ελληνική Προεδρία, τις ιστοσελίδες υπουργείων ακόμα και το αμερικανικό Πεντάγωνο, εδραιώνοντας τη θέση τους ανάμεσα στους καλύτερους παγκοσμίως.
Και προειδοποιούν μιλώντας στο ντοκιμαντέρ: «Τα σάιτ των οργανισμών και των υπουργείων είναι “τρύπια”. Αν συμβεί σύρραξη Ελλάδας - Τουρκίας στον κυβερνοπόλεμο, θα τα χάσουμε όλα».
Τα... «αθώα τραπεζικά» e-mails των επιτηδείων στοχοποιούν τους αφελείς
Παρά τις συνεχείς συστάσεις των χρηματοπιστωτικών ιδρυμάτων, το 0,2% - 0,5% των χρηστών εξαπατάται...
Η πρόσφατη επίθεση χάκερς σε λογαριασμούς 360.000 πελατών της Citibank στη Βόρεια Αμερική αποτέλεσε μία από τις μεγαλύτερες επιθέσεις σε τραπεζικά δεδομένα και παρά το γεγονός ότι η έγκαιρη παρέμβαση της τράπεζας απέτρεψε τα χειρότερα, η απάτη μέσω του Διαδικτύου αποτελεί ένα διαρκές άγχος στην προσπάθεια διάδοσης της ηλεκτρονικής τραπεζικής.
Στη χώρα μας δεν έχουν καταγραφεί μέχρι σήμερα παρόμοια φαινόμενα και η πιο συνήθης προσπάθεια υποκλοπής προσωπικών κωδικών είναι αυτή μέσω της αποστολής στους χρήστες ηλεκτρονικών μηνυμάτων με την παρότρυνση να επισκεφθούν ένα επισυναπτόμενο link για να επιβεβαιώσουν τους κωδικούς της κάρτας τους ή τα στοιχεία του λογαριασμού τους. Η μαζική αντικατάσταση των παλιών χρεωστικών που έφεραν την παραδοσιακή μαγνητική ταινία με τις νέες κάρτες, εξοπλισμένες με chip, που υλοποιήθηκε από την πλειοψηφία των ελληνικών τραπεζών στο τέλος του 2010 και τους πρώτους μήνες του 2011, αποτέλεσε ιδανική ευκαιρία για τους απατεώνες του Διαδικτύου στην προσπάθειά τους να υποκλέψουν στοιχεία των λογαριασμών.
Το κόλπο
Τα καθημερινά μηνύματα αποτέλεσαν ρουτίνα για τους επισκέπτες του Ιnternet, που βομβαρδίζονται από παρόμοια email μέσω της ενοχλητικής αλληλογραφίας και όχι μόνον. Το φαινόμενο του «phishing», κατά παράφραση του «fishing» (ψαρεύω / ψάρεμα), όπως ονομάζεται η προσπάθεια κάποιου να αποκτήσει πρόσβαση σε προσωπικά στοιχεία, δεν είναι παρά μια καλοστημένη επιχείρηση προσέλκυσης χρηστών του Διαδικτύου. Στόχος, η αξιοποίηση των δεδομένων για ιδία χρήση ή η πώλησή τους σε τρίτους, που τιμολογείται από 0,5 έως 5 δολάρια για τους αριθμούς των καρτών, ενώ οι αριθμοί λογαριασμών κοστολογούνται έως 400 δολάρια. Τα passwords θεωρούνται επίσης ακριβή πληροφορία, καθώς πωλούνται έως και 340 δολάρια, ενώ οι ηλεκτρονικές διευθύνσεις δεν ξεπερνούν τα 5 δολάρια.
Θύματα δεν είναι μόνον οι αδαείς, αλλά κυρίως οι νέοι χρήστες του Διαδικτύου, που πολλαπλασιάζονται ραγδαία και αποδεικνύονται πιο ευκολόπιστοι στο να ανταποκριθούν σε μηνύματα που δείχνουν να προέρχονται από μια τράπεζα, χωρίς φυσικά να προέρχονται ποτέ από αυτήν... Οι διευθύνσεις ηλεκτρονικής τραπεζικής συλλέγουν καθημερινά δεκάδες μηνύματα με παρόμοιο περιεχόμενο και παρά τις συνεχείς συστάσεις των τραπεζών, ένα ποσοστό της τάξης του 0,2% - 0,5% των χρηστών εξαπατάται.
Το μήνυμα παραπέμπει σε πρωτοβουλία της τράπεζας να ανανεώσει τα στοιχεία των πελατών της, ζητώντας από τον χρήστη του Διαδικτύου να «κλικάρει» στο link που εμφανίζεται στην οθόνη του και μπαίνοντας στη φόρμα που παρουσιάζεται, να πληκτρολογήσει τα στοιχεία του τραπεζικού του λογαριασμού ή ακόμα και του μυστικού piπου χρησιμοποιεί για τις συναλλαγές του. Ακόμα όμως κι αν κάποιος βιαστεί να χαρακτηρίσει αφελή μια τέτοια προσπάθεια πρόσβασης σε τόσο ευαίσθητα προσωπικά στοιχεία, δεν ισχύει το ίδιο με μηνύματα που αποσκοπούν στο να αγγίξουν την ευαισθησία του ή το αδύναμο σημείο του, δηλαδή τον προσπορισμό χρημάτων και πίσω από τα οποία κρύβεται συνήθως μια σπείρα cracker, στόχος της οποίας δεν είναι άλλος από τη δημιουργία μιας βάσης δεδομένων e-mails.
Το κόστος
Οι τράπεζες που έχουν επενδύσει πολλά εκατομμύρια στην ανάπτυξη συστημάτων ασφαλείας για τη διάδοση της ηλεκτρονικής τραπεζικής αναλαμβάνουν συνήθως και το κόστος που προκαλείται από παρόμοιες παράνομες επιθέσεις. Οι παράνομες συναλλαγές δεν επιβαρύνουν τον χρήστη, αρκεί φυσικά αυτή να γίνει αντιληπτή και να καταγγελθεί στην τράπεζα, η οποία με τη σειρά της προτιμά να υποστεί το κόστος μιας τέτοιας απώλειας, από το να υποθηκεύσει το μέλλον των τραπεζικών συναλλαγών.
Οι δούρειοι ίπποι (trojan horse) αποτελούν μια διαδεδομένη μορφή στο «κυνήγι» (pharming) προσωπικών δεδομένων. Πρόκειται για προγράμματα που εκτελούν διαφορετική λειτουργία από αυτήν που παρουσιάζουν στον χρήστη και στόχο έχουν να υποκλέψουν ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης, piκ. λπ. και να τα αποστείλουν με e-mail ή μέσω του Διαδικτύου στον «ιδιοκτήτη» τους. Τα αποκαλούμενα «backdoor» παρέχουν στους χάκερς απομακρυσμένη πρόσβαση σε υπολογιστές τους οποίους μπορούν πλέον να ελέγχουν.
Η παραβίαση νόμιμων ιστοσελίδων μέσω εγκατάστασης κωδικών (iFrame) είναι επίσης συνήθης πρακτική των χάκερς, οι οποίοι εκμεταλλεύονται τα κενά ασφαλείας κοινωνικών portals, όπως το MySpace, το Facebook ή webmail, όπως το Gmail της Google, το Yahoo mail ή το Hotmail. Στους χρήστες είναι γνωστή η ιστορία ενός διαφημιστικού banner στο MySpace που περιείχε κώδικα ο οποίος εκμεταλλεύθηκε κενό ασφαλείας του Internet Explorer για να οδηγήσει τον χρήστη σε πλαστή ιστοσελίδα που κατέβαζε κακόβουλο λογισμικό.
Η θωράκιση των τραπεζών
Ο πιο αποτελεσματικός τρόπος θωράκισης που έχουν αναπτύξει οι τράπεζες -εκτός φυσικά από τα antivirus προγράμματα- είναι τα pins, περιορισμένης χρήσης, η ισχύς των οποίων μπορεί να ισχύει για μισή ώρα, 10 λεπτά ή ακόμα και μερικά δευτερόλεπτα. Τα ψηφιακά πιστοποιητικά (πρόγραμμα που δημιουργεί μοναδικούς αριθμούς που χαρακτηρίζουν τη συναλλαγή) αποτελούν επίσης έναν αξιόπιστο τρόπο προστασίας των συναλλαγών, ενώ το επόμενο βήμα -που ήδη επεξεργάζονται ορισμένες τράπεζες- στη θωράκιση του e-banking είναι η ανίχνευση της απάτης σε πραγματικό χρόνο. Πρόκειται για τη δυνατότητα της τράπεζας μέσα από ένα σύστημα βαθμολόγησης να αξιολογεί την ίδια στιγμή την αξιοπιστία της συναλλαγής. Καθοριστική είναι άλλωστε η συνειδητοποίηση του χρήστη του Διαδικτύου για τους κινδύνους του Ιντερνετ. Είναι χαρακτηριστικό ότι πρόσφατη έρευνα στις ΗΠΑ και στη Βρετανία έδειξε ότι το 80% των ερωτηθέντων θεωρούν ως κύρια αιτία της υποκλοπής των δεδομένων τους την προσωπική ανευθυνότητα. Εκτός από την προσοχή που πρέπει κάποιος να επιδεικνύει για το πού δίνει τα προσωπικά του στοιχεία, αγνοώντας ή διαγράφοντας ύποπτα μηνύματα, κρίσιμο μεταξύ άλλων είναι να αποφεύγει να χρησιμοποιεί κοινό κωδικό για όλο το Διαδίκτυο.
Πηγές: kathimerini.gr: 1 - 2 - 3
τελευταία άρθρα
- Ασφάλεια των δεδομένων μας: Μια εξαρχής χαμένη υπόθεση...
- Πώς η Tesla επαναστατικοποίησε την ηλεκτροκίνηση
- Terramaster F4-423: Το NAS που θέλει να τα κάνει όλα (και να συμφέρει)
- Synology DS923+
- Συγκριτικό δωρεάν NAS προγραμμάτων 2023
- Windows 11
- Apple M1: Επανάσταση στους επεξεργαστές ή κόλπο του (Apple) marketing;
- USB 4.0 - Το next big thing της πληροφορικής
- Εξηγώντας το SMR σκάνδαλο των κατασκευαστών σκληρών δίσκων
- Συγκριτικό προγραμμάτων NAS, έτος 2020
δημοφιλή άρθρα / νέα
- Οι ελληνικές εφημερίδες στο διαδίκτυο
- Ducky 1008 Black ALPS: Ένα φθηνό gaming keyboard
- Σπάζοντας το WPA/WPA2 ασύρματο δίκτυο σε λίγες ώρες
- Chat Roulette: Νέα μόδα online chat
- Συγκριτικό WinZip vs. WinRar vs. 7-Zip: Ποιο είναι το καλύτερο συμπιεστικό σήμερα;
- Πώς να κάνετε τον υπολογιστή σας γρηγορότερο σε 5'
- ΟΣΕ: Κράτηση εισιτηρίων μέσω διαδικτύου
- Digea: Γιατί η ψηφιακή τηλεόραση δεν έχει την ποιότητα εικόνας που θα θέλαμε;
- Ποια κάρτα γραφικών να αγοράσω;
- Φτηνά laptop: Compaq Presario CQ61 - 410SV
