George Aravidis / R&D 
Πριν από λίγες ημέρες και συγκεκριμένα στις 06 Δεκεμβρίου 2012 , είχαμε την χαρά να δούμε στην Ελληνική τηλεόραση και πιο ειδικά στο κανάλι Alpha TV , την ενημερωτική εκπομπή του δημοσιογράφου Αντώνη Σρόιτερ , με όνομα «Αυτοψία στους Hackers».Μια πραγματικά καταπληκτική εκπομπή , ειδικά προσεγμένη και με πλούσιο υλικό.
Συμμετείχαν όπως είδαμε , άνθρωποι από τον δύσκολο και αυστηρό χώρο της ασφάλειας των πληροφοριών αλλά και από τον χώρο της Ελληνικής Hacking σκηνής ( Greek Hacking Scene ), προφανώς με καλυμμένα τα πρόσωπα.
Εκπομπή που ίσως ήταν μια απο τις καλύτερες όλων των εποχών για τα δεδομένα της Ελληνικής τηλεόρασης και κατ’επέκταση επιθυμώ να συγχαρώ ιδιαίτερα τον δημοσιογράφο Αντώνη Σρόιτερ, γιατί απλά το δίδαγμα της εκπομπής του ήταν η επιβεβαίωση του προηγούμενου άρθρου που έγραψα πριν απο καιρό, για το αν οι hackers ( επίσης γνωστοί ως anonymous ) έχουν πραγματικά προχωρημένες γνώσεις ή όχι.
Σε ένα λοιπόν απο τα προηγούμενα άρθρα, εξέφρασα την προσωπική μου άποψη, βασισμένη βέβαια στα δεδομένα του χώρου της ασφάλειας πληροφοριών, ότι μια σημαντική μερίδα ανθρώπων που ανήκουν στον χώρο της άλλης πλευράς ( του Non Ethical Hacking ) , δεν δημιουργούν οι ίδιοι τα μαθηματικά μοντέλα , τα οποία είναι ικανά να παραβιάσουν ένα σχήμα ασφάλειας στο οποίο στηρίζεται μια ολόκληρη για παράδειγμα κρατική υποδομή.
Πιο συγκεκριμένα, εξέφρασα την άποψη ότι οι πλειονότητα τους , χρησιμοποιεί έτοιμα εργαλεία, ευρέως διαθέσιμα στο Internet ( σε ειδικά Forums που ασχολούνται με το Hacking ) τα οποία όταν εκτελεστούν απο την μεριά των επιτιθέμενων ( με συγκεκριμένη σειρά πεπερασμένων βημάτων , που κάθε βήμα δίνει πληροφορίες για το πώς θα διεξαχθεί η επίθεση στο επόμενο βήμα ), επιτυγχάνεται η πολυπόθητη διείσδυση σε ολόκληρο το εσωτερικό δίκτυο του οργανισμού, με αποτέλεσμα την υποκλοπή πληροφοριών.
Η άποψη αυτή, ότι δηλαδή χρησιμοποιούνται συνήθως έτοιμα εργαλεία , στηρίζεται στο γεγονός, ότι είναι πολύ δύσκολο κάποιος απο μόνος του να κάνει μια βαθιά έρευνα , για παράδειγμα στον πυρήνα ενός λειτουργικού συστήματος με σκοπό να ανακαλύψει ευπάθειες ( Vulnerabilities ) ώστε να διεξάγει εκ των υστέρων μια σιωπηρή επίθεση ( silent attack ) σε κάποιο θύμα ( Victim ).
Υπάρχουν βέβαια όμαδες , οι οποίες έχουν ως επιστημονικό αντικείμενο της καθημερινότητας τους, την διεξαγωγή ερευνών σε βάθος με σκοπό την ανακάλυψη σημείων ευπάθειας ενός λειτουργικού συστήματος ( Operating System) , ενός συστήματος διαχείρισης αρχείων ( File System ), ενός πρωτοκόλλου ανταλλαγής αρχείων ( TCP/IP , FTP ).
Ειδικότερα στην Θεσσαλονίκη υπάρχουν τέτοιες ομάδες , οι οποίες τιμούν την Ελλάδα με τις έρευνες τους.
Έτσι , υπάρχει νόμιμα , μια κεντρική βάση δεδομένων στις ΗΠΑ ( National Vulnerability Database ) στην οποία δημοσιεύονται όλες οι ευπάθειες οι οποίες ανακαλύπτονται απο ομάδες ερευνητών ανα τον κόσμο.
Έτσι κανείς μπορεί να ενημερώνεται ( ο κάθε ενδιαφερόμενος ) , ακριβώς ποιό λογισμικό, ποιό λειτουργικό σύστημα και ποιό πρωτόκολλο , παρουσιάζει ευπάθεια και πόσο κινδυνεύει τελικά ένας οργανισμός ή ένας τελικός χρήστης , απο αυτή την ευπάθεια.
Επίσης αναφέρεται στην εν λόγο βάση δεδομένων, πώς αντιμετωπίζεται η εν λόγο ευπάθεια.
Για όσους ενδιαφέρονται, η κεντρική αυτή βάση δεδομένων είναι προσβάσιμη στην διεύθυνση
( http://nvd.nist.gov )
Δυστυχώς λοιπόν, οι anonymous ( γενικότερα οι κακόβουλοι Non Ethical Hackers ), συμβουλεύονται πάντα τέτοιες βάσεις δεδομένων και έτσι είναι ενημερωμένοι στο 100% για το πώς τελικά θα εισχωρήσουν σε έναν κεντρικό υπολογιστή και ακόμα καλύτερα πιο ακριβώς exploit ( μαθηματικό σχήμα επίθεσης ) θα χρησιμοποιήσουν για να πετύχουν το σκοπό τους.
Καθημερινά βγαίνουν στον αέρα περίπου 4 έως 8 zeroday exploits ( 0-day) Από την μια λοιπόν οι απανταχού Hackers εκμεταλλευόμενοι την μη ύπαρξη παιδείας ( ειδικά στην Ελλάδα ) απο την πλευρά των διαχειριστών και απο την άλλη εκμεταλλευόμενοι την δύναμη που τους παρέχει η πληροφόρηση τέτοιων βάσεων δεδομένων, είναι λογικό να πετυχαίνουν τον στόχο τους, συνήθως πάντα !
Η εκπομπή του Αντώνη Σρόιτερ , άφησε να εννοηθεί ακριβώς αυτό. Ο παράγοντας άνθρωπος τελικά είναι αυτός , που θα ανοίξει την πόρτα στους Hackers .
Η τεχνολογία και η τεχνογνωσία για μια οργανωμένη μορφή ασφάλειας υπάρχει, αλλά κάτι τέτοιο θέλει παιδεία , υπομονή, εξυπνάδα και εξοπλισμό και το σημαντικότερο ; να ξέρουν να χειρίζονται σωστά τις απλόχερα διαθέσιμες τεχνολογίες άμυνας οι εμπλεκόμενοι στην ασφάλεια.
Τα στατιστικά έχουν δείξει ότι σχεδόν καμμιά εταιρεία στην Ελληνική επικράτεια δεν ενδιαφέρεται για την ψηφιακή της ασφάλεια, παρα μονάχα όταν ήδη έχει γίνει το «κακό».
Επίσης είναι πολύ λυπηρό, όπως είδαμε στην εκπομπή του Αντώμη Σρόιτερ , το γεγονός της δημόσιας διαθεσιμότητας , των συντεταγμένων των συστημάτων ραντάρ του Ελληνικού Στρατού!
Όπως είπε και στην εκπομπή ένας σύμβουλος ασφαλείας , ερωτηθείς απο τον Αντώνη Σρόιτερ ( αν θυμάμαι καλά σύμβουλος ασφαλείας του Στρατού ) , απάντησε ότι ένα πολύ μικρό ποσοστό των ανθρώπων στον Στρατό, έχουν παιδεία και ξέρουν να προστατεύουν κάποια πράγματα.
Οι υπόλοιποι δεν είναι της πληροφορικής και κατ’επέκταση δεν έχουν παιδεία για το πώς μπορούν να προστατέψουν ένα ψηφιακό αρχείο ή γενικά το υπάρχον δίκτυο.
Επίσης διεξήχθει και πείραμα κοινωνικής μηχανικής ( Social Engineering ) μπροστά στην κάμερα, με το περίφημο στικάκι. Ο δημοσιογράφος πετούσε μπροστά απο την πύλη – κεντρική είσοδο του στόχου π.χ. του Ελληνικού πενταγώνου ένα USB – Stick, το οποίο θα μπορούσε να περιέχει ένα μολυσμένο αρχείο με zero-day exploit υπο την ονομασία «Μισθοδοσία_Προσωπικού.pdf»
Η ανθρώπινη περιέργεια , για το τι μπορεί να περιέχει ένα USB-Stick ή ένα αρχείο, είναι αυτή τελικά η οποία δείνει την πρόσβαση στους Hackers , σε οποιοδήποτε δίκτυο όσο διαβαθμισμένο και αν είναι τελικά αυτό !
Παλαιότερα αν ήθελε κάποιος για παράδειγμα να εισβάλλει σε έναν ΗΥ, μπορούσε να στείλει ένα ειδικά διαμορφωμένο εσωτερικά ( σε επίπεδο ByteCode ) PowerPoint Presentation , και μόλις ο στόχος άνοιγε το εν λόγο .ppt αρχείο , έβλεπε μεν τις ωραίες εικόνες , τα ωραία τοπία , όμως ήδη στον υπολογιστή είχε δημιουργηθεί τρύπα ασφαλείας , με αποτέλεσμα ο υπολογιστής να μπορεί να είναι πλέον πλήρως προσβάσιμος απο τον hacker εντελώς σιωπηρά ( Silent attack ).
Βέβαια το Silent attack , έχει την έννοια , όπου ο πυρήνας ενός λειτουργικού έχει δεχθεί τέτοια επίθεση, που δεν είναι καν σε θέση να καταγράψει το ποιός χρησιμοποιεί απο απόσταση έναν υπολογιστή ( Log Files ).
Έτσι, προσωπικά το μοναδικό σημείο στο οποίο θα διαφωνήσω με την εκπομπή του Αντώνη Σρόιτερ, είναι ότι οι Hackers δεν μπορούν να κάνουν τα πάντα ! Πάντα χρειάζεται η συνεργασία με τους εν αγνοία απλούς χρήστες υπολογιστικών συστημάτων ή με τους εν αγνοία και απαίδευτους διαχειριστές κεντρικών συστημάτων ( Security Administrators ).
Σπάνια θα δούμε σενάρια , στα οποία πραγματικά ικανά άτομα , θα μπούν σε ένα δίκτυο το οποίο υπόκειται πραγματικά σε νόμους αυστηρών κρυπτογραφικών προδιαγραφών.
Αλλά ακόμα και σε τέτοιες περιπτώσεις, τα δεδομένα που έχουν υποκλαπεί , είναι τελικά άχρηστα στους hackers , μιας και είναι κρυπτογραφημένα και μη αναγώσιμα. Αυτό είναι που λέμε , ότι ένας οργανισμός σέβεται πραγματικά τον εαυτό του !
George Aravidis / R&D , Ερευνητής ασφάλειας πληροφοριών.
Email : aravidis@yahoo.com
