George Aravidis
Καθημερινά, όλοι όσοι συμμετάσχουμε στην ψηφιακή κοινωνία των ΗΥ, γινόμαστε μάρτυρες διαδικτυακών επιθέσεων αλλά και μάρτυρες διαρροής ευαίσθητων δεδομένων.
Ομάδες ατόμων, με αρκετά προχωρημένες γνώσεις πάνω στην ασφάλεια ΗΥ, καθημερινά ανακαλύπτουν «τρύπες» ασφαλείας πάνω σε ιστοσελίδες ή και σε κεντρικούς διακομιστές ( Servers ) διαφόρων οργανισμών.
Οι ομάδες αυτές, στην καλύτερη περίπτωση αμέσως ενημερώνουν τον εκάστοτε υπεύθυνο ασφαλείας της ιστοσελίδας ή του Server, ώστε να διορθώσει την «τρύπα» αυτή, ενώ στην χειρότερη περίπτωση, οι ομάδες αυτές προβαίνουν σε μη εξουσιοδοτημένη πρόσβαση επι των δεδομένων του οργανισμού.
Παρόλο που υπάρχουν σχετικοί νόμοι του Ποινικού Κώδικα ( άρθρο 370Α, 370Β , 370Γ ), μια διαρροή πληροφοριών ύστερα απο επιτυχημένο hacking, δεν είναι και ότι ευχάριστο.
Δυστυχώς τα σενάρια αυτά θα πληθαίνουν όλο και περισσότερο, μιας και η εποχή μας πλέον στηρίζεται αποκλειστικά στους υπολογιστές.
Εισάγουμε επομένως τον όρο της ψηφιακής ληστείας και αυτό που έχει αξία σήμερα είναι η πληροφορία και όχι τόσο τα χρήματα.
Η πληροφορία ( ειδικότερα αν προέρχεται απο έναν μεγάλο οργανισμό ) είναι αυτή που διαμορφώνει την οικονομία, την αγορά αλλά και τον στρατό και η κλοπή πληροφοριών κοστίζει πολύ και είναι καταστροφική για τον οργανισμό.
Πρέπει να τονιστεί, ότι μόνον το 2% των επιχειρήσεων στην Ελλάδα, λαμβάνουν υπόψιν σοβαρά το ρίσκο διαρροής εμπιστευτικών δεδομένων και πληροφοριών, κάνοντας χρήση προχωρημένων εργαλείων που διασφαλίζουν το απόρρητο των επικοινωνιών αλλά και των αποθηκευμένων δεδομένων μέσα στους ΗΥ.
Τα εργαλεία αυτά, δεν είναι άλλο απο τα γνωστά εργαλεία κρυπτογράφησης.
( PGP, TrueCrypt Κλπ )
Σε προηγούμενο άρθρο, είχαμε αναφέρει, πώς μπορούμε να κάνουμε ποιό ασφαλές το Gmail μέσω της διπλής εξακρίβωσης της γνησιότητας των στοιχείων ενός χρήστη της εν λόγο υπηρεσίας, ώστε να είναι δύσκολο σε κάποιον τρίτο ( hacker ) να μπει στα προσωπικά εισερχόμενα email ενός χρήστη.
Το παρόν άρθρο, ως μια νοητή επέκταση του προηγούμενο άρθρου για το Gmail, ευελπιστεί να δώσει μια ακόμα επιπλέον πληροφορία, σε περίπτωση που κάποιος δεν είναι χρήστης της υπηρεσίας Gmail αλλά παρόλα αυτά επιθυμεί να έχει μια δωρεάν ασφαλή επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου με χρήση πολύ προχωρημένου αλγόριθμου κρυπτογράφησης.
Το σκεπτικό που κρύβεται πίσω απο το παρόν άθρο αναλύεται στα ακόλουθα 3 απλά βήματα
α) Σύνταξη του μηνύματος
β) Κρυπτογράφηση του μηνύματος με κωδικό που θέλουν οι δύο εμπλεκόμενοι.
c) Αποστολή μέσω Email του κρυπτογραφημένου μηνύματος.
Ο παραλήπτης, είναι φανερό ότι πρέπει να κάνει την αντίστροφη δουλειά, δηλαδή την αποκωδικοποίηση του μηνύματος, ώστε να μπορεί να διαβάσει το αρχικό μήνυμα στα Ελληνικά.
Η κρυπτογραφημένη αποστολή ενός μηνύματος ( end to end ) διασφαλίζει το γεγονός ότι δεν μπορεί κανείς ενδιάμεσος να διαβάσει το μήνυμα , εκτός απο τον αποστολέα και τον παραλήπτη, που γνωρίζουν και τον κωδικό.
Για την δωρεάν κρυπτογράφηση, θα χρησιμοποιήσουμε την ιστοσελίδα
http://www.everpassword.com/aes-encryptor , η οποία είναι απλόχειρα διαθέσιμη για τον οποιονδήποτε ενδιαφόμενο.
Τα βήματα για την κρυπτογράφηση του κειμένου είναι τα ακόλουθα:
a) Στον πλοηγητή μας ( Internet Explorer ή Mozilla Firefox ) πληκτρολογούμε την διεύθυνση
http://www.everpassword.com/aes-encryptor
β) Στο παράθυρο σύνταξης (Plain / Encrypted Text ) , συντάσσουμε το κανονικό μήνυμα προς αποστολή.
c) Στο πεδίο Password, γράφουμε τον κωδικό, βάση του οποίου θα κρυπτογραφηθεί το κείμενο μας. Προσοχή! Ο κωδικός θα πρέπει να ειναι γνωστός μόνον μεταξύ του αποστολέα και του παραλήπτη ύστερα απο προφορική μεταξύ τους συνεννόηση.
d) Πατάμε click στο κουμπί Encrypt
e) Αμέσως παρακάτω, πλέον έχει ήδη σχηματιστεί το κρυπτογραφημένο κείμενο, το οποίο τώρα μπορούμε να το κάνουμε ΑΝΤΙΓΡΑΦΗ και ΕΠΙΚΟΛΛΗΣΗ , στο κυρίως σώμα του email που θέλουμε να στείλουμε.
Στο παράδειγμα μας, η πρόταση George Aravidis / Thessaloniki , με Password George2012 , έχει κρυπτογραφηθεί ως εξής:
U2FsdGVkX1+faAIMfOCg4GEhG7eciwryogNQD9iGPvIVsMANVGYcrtBKdp5N6vim
f) Τέλος, στέλνουμε το παρακάτω κρυπτογραφημένο Email
U2FsdGVkX1+faAIMfOCg4GEhG7eciwryogNQD9iGPvIVsMANVGYcrtBKdp5N6vim
στον παραλήπτη μας.
Τα βήματα για την απο-κρυπτογράφηση του κειμένου είναι τα ακόλουθα:
1) Κάνουμε αντιγραφή του μηνύματος που μόλις λάβαμε U2FsdGVkX1+faAIMfOCg4GEhG7eciwryogNQD9iGPvIVsMANVGYcrtBKdp5N6vim
στο παράθυρο της ιστοσελίδας που αναφέραμε παραπάνω.
2) Δίνουμε τον κωδικό , στο πεδίο Password.
3) Πατάμε click στο κουμπί Decrypt.
4) Λίγο παρακάτω στην ίδια ιστοσελίδα , έχει σχηματιστεί το κανονικό κείμενο στα Ελληνικά και το οποίο μπορούμε να διαβάσουμε πλέον κανονικά.
Όπως είναι φανερό, τα βήματα για την κρυπτογράφηση αλλά και την αποκρυπτογράφηση είναι σχετικά απλά. Η εν λόγο δωρεάν υπηρεσία κάνει χρήση του πανίσχυρου αλγόριθμου κρυπτογράφησης AES ( Advanced Encryption Standard ) με μήκος κλειδιού 128Bit, 256Bit.
Για περισσότερες πληροφορίες όσον αφορά τον Αλγόριθμο AES , μπορεί κανείς να επισκεφθεί την σελίδα
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
George Aravidis / R&D , Ερευνητής ασφάλειας πληροφοριών.
Email : aravidis@yahoo.com