Στα άδυτα του «κυβερνοπολέμου»

Ο ανταγωνισμός θέλγει από καταβολής κόσμου τον άνθρωπο. Και οι προκλήσεις γύρω από την τελειότητα ενός δημιουργήματος, κάνουν αρκετούς που ασχολούνται με πάθος, με ανάλογες δραστηριότητες, να θέλουν να δοκιμάσουν τις αντοχές του.

Ρεπορτάζ: Νίκη Παπάζογλου

Παράλληλα έτσι, ανταγωνίζονται τις δυνατότητες του κατασκευαστή ενός μηχανήματος, ενός υφάσματος, ενός ζωγραφικού έργου και τις τελευταίες δεκαετίες και ενός μηχανογραφικού συστήματος. Η τελευταία προσπάθεια ανταγωνισμού, αυτή του μηχανογραφικού συστήματος, φέρει την ονομασία «χάκινγκ».

Από λύτρα για την αποκρυπτογράφηση αρχείων, μέχρι την υποκλοπή των κωδικών τραπεζικών λογαριασμών, οι επιθέσεις στον κυβερνοχώρο απασχολούν όλο και περισσότερο τις επιχειρήσεις, τους χρήστες του διαδικτύου, τα μέσα ενημέρωσης και τη δίωξη ηλεκτρονικού εγκλήματος…

Ένα πρόσφατο ελληνικό παράδειγμα είναι αυτό του 27χρονου και του 31χρονου που συνελήφθησαν πριν από λίγο καιρό επειδή κατάφεραν να υποκλέψουν κωδικούς χρηστών του Facebook. Ένα άλλο, παγκόσμιας κλίμακας, ήταν η ανακοίνωση του Ebay μέσω της οποίας προέτρεπε τους χρήστες να αλλάξουν κωδικούς, μιας και η ασφάλεια του συστήματος είχε διαρρηχθεί. Καμία από τις δύο περιπτώσεις δεν «κόστισε ακριβά», αλλά και οι δύο τρομοκράτησαν την κοινή γνώμη, όσον αφορά την ασφάλεια στην εποχή της ευρυζωνικότητας.

Έφηβοι που περνούν την ώρα τους, επαγγελματίες που διασφαλίζουν την ακεραιότητα ενός συστήματος ή όργανα ενός συντονισμένου ψηφιακού ακτιβισμού ως απάντηση σε κρατικές πρωτοβουλίες, ποιοι είναι τελικά οι χάκερς και πόσο διαφέρει η κινδυνολογία που τους συνοδεύει από την πραγματικότητα για την ασφάλεια του κυβερνοχώρου;

Οι μαυροσκούφηδες και οι ασπροσκούφηδες της κοινότητας των χάκερς

Ανάμεσα στα πολλά που έχουν γραφτεί η «κινηματογραφική» άποψη θέλει τους χάκερς να φορούν καπέλα, ανάλογα με τους σκοπούς τους, να συναντιούνται ανώνυμα σε hackforums, IRC channels και newsgroups από όπου κανονίζουν τις επιθέσεις τους. Χωρίζονται σε μαυροσκούφηδες (blackhat) και ασπροσκούφηδες (whitehat) χωρίς να λείπει από την «ιντερνετική σκηνή» και η δύναμη της ισορροπίας, οι εκφραστές της οποίας κινούνται στο χώρο του γκρι καπέλου (greyhat). Ο σκούφος αντιπροσωπεύει τον σκοπό της επίθεσης, καλοπροαίρετος ή κακόβουλες επιθέσεις προς ίδιον όφελος, χωρίς βέβαια να λείπουν και οι αναποφάσιστοι οι οποίοι, κινούμενοι στον ενδιάμεσο χώρο, λειτουργούν κατά περίπτωση. Και όπως σε κάθε πόλεμο, έτσι και σ’ αυτόν υπάρχουν βαθμίδες, που άλλοι τις παραδέχονται κι άλλοι όχι, οι οποίες θέλουν το άσπρο να συντάσσεται με το καλό και το μαύρο να φέρει ως είθισται τη σφραγίδα του κακού…

Οι τόποι συνάντησης που προαναφέρθηκαν είναι εύκολο να εντοπιστούν. Όμως για να γίνει κάποιος μέλος μιας τέτοιου είδους κοινότητας, πρέπει σύμφωνα με την ιεροτελεστία να «αποδείξει την αξία του» όπως μας ενημερώνει ο Γιώργος, υπεύθυνος ηλεκτρονικών συστημάτων μεγάλης εταιρείας. Μόλις βαθμολογηθεί μπορεί να χρησιμοποιηθεί σε επιθέσεις. Όπως κάθε μυστική κοινότητα, έτσι κι αυτή, έχει τη δική της ιεροτελεστία την οποία αφότου ακολουθήσεις, χρησιμοποιείσαι, ανάλογα με τους βαθμούς που έλαβες, εκεί που οι ανώτεροι εκτιμούν πως μπορείς να βοηθήσεις. «Ο αρχηγός πάντα είναι αυτός που συγκεντρώνει τα περισσότερα προσόντα. Που αποδεδειγμένα έχει κάνει το μεγαλύτερο χάκεμα, δηλαδή το σπάσιμο του λογισμικού ασφαλείας που κάθε ψηφιακό σύστημα φέρει», λέει ο Γιώργος.

Ως «blackhat» χαρακτηρίζονται εκείνοι που για προσωπικό όφελος πραγματοποιούν μια επίθεση, για παράδειγμα εκείνοι που αποσπούν στοιχεία από πιστωτικές κάρτες και ταυτόχρονα χρηματικά ποσά από τους ιδιοκτήτες τους, οι κακόβουλοι χάκερς.

Από την άλλη, οι «whitehat» αποσκοπούν στη χαρά της κατάκτησης, δεν πραγματοποιούν επιθέσεις με ιδιοτελείς σκοπούς, δεν αποσκοπούν στο χρήμα. Όσοι από αυτούς είναι επιπλέον προσκείμενοι στον ακτιβισμό, συγκροτούν ομάδες σαν τους «Anonymous» και η όλη δράση από χάκινγκ μετατρέπεται σε χάκτιβισμ (hactivism).

Η ώρα της επίθεσης

Όσο για την ώρα της επίθεσης ο Γιώργος αναφέρει: «Η αλήθεια είναι πως μοιάζει με πόλεμο. Την ώρα που δέχεσαι μια επίθεση για να ρίξουν τη σελίδα σου, δέχεσαι χτυπήματα από κατευθυνόμενους υπολογιστές από κάθε μεριά του πλανήτη. Φαντάσου να έχεις ένα τούνελ στο οποίο χωράει συγκεκριμένος αριθμός αυτοκινήτων και ξαφνικά μπαίνουν όλο και περισσότερα. Ε, όσο κι αν προσπαθείς να διασφαλίσεις τις εισόδους και να ομαλοποιήσεις τη ροή, αναμενόμενο είναι κάποια στιγμή το τούνελ να φράξει». Άλλωστε, σύμφωνα με τον Γιώργο, όταν αρχίζει ένας πόλεμος, όλα μπορούν να συμβούν. Ειδικά σε έναν κόσμο που τον χαρακτηρίζει η φράση «what comes up, stays up» – ό,τι ανεβαίνει δεν κατεβαίνει, σε ελεύθερη μετάφραση.

Και κάπου εδώ τελειώνει η κινηματογραφική εκδοχή η οποία περιλαμβάνει αλήθειες χρωματισμένες βέβαια ανάλογα προς τέρψιν του φιλοθεάμονος κοινού.

Στα μάτια του απλού χρήστη το χάκινγκ μπορεί να ορίζεται ως ο απόλυτος πόλεμος, ως μια επίδειξη δύναμης ή ένας εύκολος τρόπος πλουτισμού δεν είναι ακριβώς έτσι. Παρόλο που ο Αλέξανδρος, υπεύθυνος ασφάλειας πληροφοριακών συστημάτων, εντοπίζει κενά ασφαλείας σε ηλεκτρονικά συστήματα εταιρειών, «χακάροντάς τα», λίγοι είναι εκείνοι που θα τον χαρακτήριζαν χάκερ.

«Στην εταιρεία μου απευθύνονται επιχειρήσεις για να τεστάρουν την ασφάλεια των δικτύων τους, με penetration tests. Ουσιαστικά όταν κάποιος έρθει σε εμάς, προσπαθούμε, μέσα σε διάστημα 15 ημερών, να σπάσουμε την ασφάλεια του συστήματός του. Καταφέρνοντάς το, εντοπίζουμε τα κενά που τον κάνουν ευάλωτο σε μη πληρωμένες επιθέσεις, και γνωστοποιώντας του τα αποτελέσματα, παρέχουμε τη λύση για ένα πιο ασφαλές δίκτυο». Αυτοί οι επαγγελματίες χάκερς αν και υπάρχουν στην Ελλάδα δεν χρησιμοποιούνται τόσο όσο στο εξωτερικό.

«Το χάκινγκ σαν μια παρεξηγημένη έννοια, έχει συνδεθεί με κάτι αξιόποινο. Παρόλα αυτά για εμένα και για πολλούς άλλους εργαζομένους παραμένει μια δουλειά. Ουσιαστικά δηλώνει κάποιον που γνωρίζει πολύ καλά κάτι. Εάν πρέπει να βρω την αδυναμία ενός συστήματος θα πρέπει να εισβάλλω σε ένα κώδικα για να εντοπίσω την ευπάθεια του. Ουσιαστικά δηλαδή κάνω μια αξιόποινη πράξη αλλά κατόπιν έγκρισης του ιδιοκτήτη της ιστοσελίδας» συμπληρώνει ο Αλέξανδρος.

Γενικότερα σε άλλες ευρωπαϊκές χώρες και στην Αμερική η διασφάλιση των δικτύων είναι πρωταρχικό μέλημα μιας εταιρείας. Στη μικρή αγορά της χώρας μας όμως, οι επιχειρήσεις δεν έχουν τα περιθώρια για τέτοιου είδους παροχές ή ο κίνδυνος που ενέχει μια δυνητική επίθεση δεν αποτιμάται τόσο μεγάλος για να προβούν σε μια τέτοιου είδους διαδικασία. «Εάν το κόστος της υπηρεσίας που προσφέρουμε υπερβαίνει αυτό που θα στοιχίσει σε κάποιον η επίθεση στη ιστοσελίδα του τότε σίγουρα δεν ασχολείται με την ασφάλεια του δικτύου του».

Η αντιμετώπιση του χάκινγκ στην Ελλάδα και άλλες χώρες

Στην Ελλάδα βέβαια, όπως μας ενημερώνει ο Αλέξανδρος, δεν υπάρχει και συντονιστικό όργανο αρμόδιο να ενημερώνει τους χρήστες για τους εντοπισμένους κινδύνους, εκτός από την Δίωξη Ηλεκτρονικού Εγκλήματος, η οποία ασχολείται μόνο με αξιόποινες πράξεις. Στην Αμερική το Cert ενημερώνει το κοινό για τους κινδύνους του διαδικτύου, για την ασφάλεια, για τις έρευνες που πραγματοποιούνται στο χώρο της ασφάλειας, ακόμα και για μερικά από τα περιστατικά επιθέσεων που οργανώνονται, όχι όμως για όλα. Στο διεθνές συνέδριο ασφάλειας του κυβερνοχώρου, Μπλακ Χατ που διοργανώνεται κάθε χρόνο στο Λας Βέγκας, την τελευταία φορά οι ειδικοί διερωτήθηκαν εάν οι επιχειρήσεις θα έπρεπε να υποχρεούνται να δημοσιοποιούν τις επιθέσεις που δέχονται δεδομένου ότι παρατηρούνται πολλές ελλείψεις στους μηχανισμούς προστασίας.

Περισσότερα: newsbeast.gr