Ποιοι είναι οι χάκερς του σήμερα και ποιες οι απειλές του διαδικτύου
Ρεπορτάζ: Νίκη Παπάζογλου
Παράλληλα έτσι, ανταγωνίζονται τις δυνατότητες του κατασκευαστή ενός μηχανήματος, ενός υφάσματος, ενός ζωγραφικού έργου και τις τελευταίες δεκαετίες και ενός μηχανογραφικού συστήματος. Η τελευταία προσπάθεια ανταγωνισμού, αυτή του μηχανογραφικού συστήματος, φέρει την ονομασία «χάκινγκ».
Από λύτρα για την αποκρυπτογράφηση αρχείων, μέχρι την υποκλοπή των κωδικών τραπεζικών λογαριασμών, οι επιθέσεις στον κυβερνοχώρο απασχολούν όλο και περισσότερο τις επιχειρήσεις, τους χρήστες του διαδικτύου, τα μέσα ενημέρωσης και τη δίωξη ηλεκτρονικού εγκλήματος…
Άνδρας του 17ου αιώνα θάφτηκε με μεγάλες πέτρες στο στήθος
Google Password Manager: Αυτόματος συγχρονισμός passkeys
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ένα πρόσφατο ελληνικό παράδειγμα είναι αυτό του 27χρονου και του 31χρονου που συνελήφθησαν πριν από λίγο καιρό επειδή κατάφεραν να υποκλέψουν κωδικούς χρηστών του Facebook. Ένα άλλο, παγκόσμιας κλίμακας, ήταν η ανακοίνωση του Ebay μέσω της οποίας προέτρεπε τους χρήστες να αλλάξουν κωδικούς, μιας και η ασφάλεια του συστήματος είχε διαρρηχθεί. Καμία από τις δύο περιπτώσεις δεν «κόστισε ακριβά», αλλά και οι δύο τρομοκράτησαν την κοινή γνώμη, όσον αφορά την ασφάλεια στην εποχή της ευρυζωνικότητας.
Έφηβοι που περνούν την ώρα τους, επαγγελματίες που διασφαλίζουν την ακεραιότητα ενός συστήματος ή όργανα ενός συντονισμένου ψηφιακού ακτιβισμού ως απάντηση σε κρατικές πρωτοβουλίες, ποιοι είναι τελικά οι χάκερς και πόσο διαφέρει η κινδυνολογία που τους συνοδεύει από την πραγματικότητα για την ασφάλεια του κυβερνοχώρου;
Οι μαυροσκούφηδες και οι ασπροσκούφηδες της κοινότητας των χάκερς
Ως «blackhat» χαρακτηρίζονται εκείνοι που για προσωπικό όφελος πραγματοποιούν μια επίθεση, για παράδειγμα εκείνοι που αποσπούν στοιχεία από πιστωτικές κάρτες και ταυτόχρονα χρηματικά ποσά από τους ιδιοκτήτες τους, οι κακόβουλοι χάκερς.
Από την άλλη, οι «whitehat» αποσκοπούν στη χαρά της κατάκτησης, δεν πραγματοποιούν επιθέσεις με ιδιοτελείς σκοπούς, δεν αποσκοπούν στο χρήμα. Όσοι από αυτούς είναι επιπλέον προσκείμενοι στον ακτιβισμό, συγκροτούν ομάδες σαν τους «Anonymous» και η όλη δράση από χάκινγκ μετατρέπεται σε χάκτιβισμ (hactivism).
Όσο για την ώρα της επίθεσης ο Γιώργος αναφέρει: «Η αλήθεια είναι πως μοιάζει με πόλεμο. Την ώρα που δέχεσαι μια επίθεση για να ρίξουν τη σελίδα σου, δέχεσαι χτυπήματα από κατευθυνόμενους υπολογιστές από κάθε μεριά του πλανήτη. Φαντάσου να έχεις ένα τούνελ στο οποίο χωράει συγκεκριμένος αριθμός αυτοκινήτων και ξαφνικά μπαίνουν όλο και περισσότερα. Ε, όσο κι αν προσπαθείς να διασφαλίσεις τις εισόδους και να ομαλοποιήσεις τη ροή, αναμενόμενο είναι κάποια στιγμή το τούνελ να φράξει». Άλλωστε, σύμφωνα με τον Γιώργο, όταν αρχίζει ένας πόλεμος, όλα μπορούν να συμβούν. Ειδικά σε έναν κόσμο που τον χαρακτηρίζει η φράση «what comes up, stays up» – ό,τι ανεβαίνει δεν κατεβαίνει, σε ελεύθερη μετάφραση.
Και κάπου εδώ τελειώνει η κινηματογραφική εκδοχή η οποία περιλαμβάνει αλήθειες χρωματισμένες βέβαια ανάλογα προς τέρψιν του φιλοθεάμονος κοινού.
Στα μάτια του απλού χρήστη το χάκινγκ μπορεί να ορίζεται ως ο απόλυτος πόλεμος, ως μια επίδειξη δύναμης ή ένας εύκολος τρόπος πλουτισμού δεν είναι ακριβώς έτσι. Παρόλο που ο Αλέξανδρος, υπεύθυνος ασφάλειας πληροφοριακών συστημάτων, εντοπίζει κενά ασφαλείας σε ηλεκτρονικά συστήματα εταιρειών, «χακάροντάς τα», λίγοι είναι εκείνοι που θα τον χαρακτήριζαν χάκερ.
«Στην εταιρεία μου απευθύνονται επιχειρήσεις για να τεστάρουν την ασφάλεια των δικτύων τους, με penetration tests. Ουσιαστικά όταν κάποιος έρθει σε εμάς, προσπαθούμε, μέσα σε διάστημα 15 ημερών, να σπάσουμε την ασφάλεια του συστήματός του. Καταφέρνοντάς το, εντοπίζουμε τα κενά που τον κάνουν ευάλωτο σε μη πληρωμένες επιθέσεις, και γνωστοποιώντας του τα αποτελέσματα, παρέχουμε τη λύση για ένα πιο ασφαλές δίκτυο». Αυτοί οι επαγγελματίες χάκερς αν και υπάρχουν στην Ελλάδα δεν χρησιμοποιούνται τόσο όσο στο εξωτερικό.
«Το χάκινγκ σαν μια παρεξηγημένη έννοια, έχει συνδεθεί με κάτι αξιόποινο. Παρόλα αυτά για εμένα και για πολλούς άλλους εργαζομένους παραμένει μια δουλειά. Ουσιαστικά δηλώνει κάποιον που γνωρίζει πολύ καλά κάτι. Εάν πρέπει να βρω την αδυναμία ενός συστήματος θα πρέπει να εισβάλλω σε ένα κώδικα για να εντοπίσω την ευπάθεια του. Ουσιαστικά δηλαδή κάνω μια αξιόποινη πράξη αλλά κατόπιν έγκρισης του ιδιοκτήτη της ιστοσελίδας» συμπληρώνει ο Αλέξανδρος.
Γενικότερα σε άλλες ευρωπαϊκές χώρες και στην Αμερική η διασφάλιση των δικτύων είναι πρωταρχικό μέλημα μιας εταιρείας. Στη μικρή αγορά της χώρας μας όμως, οι επιχειρήσεις δεν έχουν τα περιθώρια για τέτοιου είδους παροχές ή ο κίνδυνος που ενέχει μια δυνητική επίθεση δεν αποτιμάται τόσο μεγάλος για να προβούν σε μια τέτοιου είδους διαδικασία. «Εάν το κόστος της υπηρεσίας που προσφέρουμε υπερβαίνει αυτό που θα στοιχίσει σε κάποιον η επίθεση στη ιστοσελίδα του τότε σίγουρα δεν ασχολείται με την ασφάλεια του δικτύου του».
Η αντιμετώπιση του χάκινγκ στην Ελλάδα και άλλες χώρες
Στην Ελλάδα βέβαια, όπως μας ενημερώνει ο Αλέξανδρος, δεν υπάρχει και συντονιστικό όργανο αρμόδιο να ενημερώνει τους χρήστες για τους εντοπισμένους κινδύνους, εκτός από την Δίωξη Ηλεκτρονικού Εγκλήματος, η οποία ασχολείται μόνο με αξιόποινες πράξεις. Στην Αμερική το Cert ενημερώνει το κοινό για τους κινδύνους του διαδικτύου, για την ασφάλεια, για τις έρευνες που πραγματοποιούνται στο χώρο της ασφάλειας, ακόμα και για μερικά από τα περιστατικά επιθέσεων που οργανώνονται, όχι όμως για όλα. Στο διεθνές συνέδριο ασφάλειας του κυβερνοχώρου, Μπλακ Χατ που διοργανώνεται κάθε χρόνο στο Λας Βέγκας, την τελευταία φορά οι ειδικοί διερωτήθηκαν εάν οι επιχειρήσεις θα έπρεπε να υποχρεούνται να δημοσιοποιούν τις επιθέσεις που δέχονται δεδομένου ότι παρατηρούνται πολλές ελλείψεις στους μηχανισμούς προστασίας.