Λαμβάνοντας υπόψη το υπάρχον τοπίο των κυβερνοεπιθέσεων (cyber attacks) και απειλών στην ασφάλεια, ας προσπαθήσουμε να προβλέψουμε με όσο το δυνατό μεγαλύτερη ακρίβεια τις τάσεις και τα γεγονότα που θα μας επηρεάσουν το επόμενο έτος.

Σύμφωνα με το Κέντρο Ασφαλείας GTISC (Georgia Tech Information Security Centre), ένα από τα πλέον αξιόπιστα ερευνητικά ιδρύματα στην Ατλάντα των ΗΠΑ, οι κυριότερες επιθέσεις που αναμένεται να εκδηλωθούν στον κυβερνοχώρο το 2011 αφορούν σε υψηλής αποτελεσματικότητας κακόβουλο λογισμικό τύπου botnet, επιθέσεις σε κινητές συσκευές, κοινωνικά δίκτυα (social networks, web 2.0) και επιθέσεις σε συστήματα που συνδέονται με την κρίσιμη υποδομή μιας χώρας (π.χ. δίκτυα παροχής ηλεκτρικού ρεύματος, πυρηνικούς σταθμούς κ.ά.).

Καθώς ο αριθμός νέων προγραμμάτων κακόβουλου λογισμικού (malware) το οποίο μπαίνει καθημερινά σε κυκλοφορία στο διαδίκτυο αυξάνεται εκθετικά (περί τα 100.000 την ημέρα1) γίνεται φανερό ότι οι κλασικές μέθοδοι αντιμετώπισης προβλημάτων ασφαλείας, όπως τα προγράμματα antivirus με χρήση υπογραφών ιών (virus signatures detection methods) δεν επαρκούν πλέον. Οι κυβερνο-εγκληματίες έχουν τη δυνατότητα να εξαπολύουν μαζικές επιθέσεις κακόβουλου λογισμικού, το οποίο διαθέτει πλέον ποικιλία δυνατοτήτων αυτόματης μεταλλαγής, ώστε να ανταποκρίνεται με επιτυχία στις μεθόδους ανάσχεσης των ομάδων ασφαλείας και των προγραμμάτων αντιμετώπισης ιών (antivirus programs). Αναφερόμαστε μεταξύ άλλων και στα κακόβουλα προγράμματα τύπου botnets, τα οποία χρησιμοποιούνται για μαζική αποστολή spam mail, δημιουργία DoS attacks, αλλά και υποκλοπή στοιχείων (π.χ. banking credentials) με στόχο το οικονομικό κέρδος.
Για παράδειγμα αναφέρουμε το botnet Maripoza, το οποίο μόλυνε μεταξύ άλλων και έναν τεράστιο αριθμό αμερικανικών επιχειρήσεων και οικιακών υπολογιστών το 2009. Μετά από πολύμηνες συνδυασμένες κοινές επιχειρήσεις των αρχών ασφαλείας, του FBI και Παρόχων Υπηρεσιών διαδικτύου, κατέστη δυνατό τον Ιανουάριο του 2010 να εντοπιστούν και να κλείσουν όλα τα domains του botnet, αλλά και να συλληφθούν οι υπεύθυνοι. Κατά τη σύλληψη ενός από τα μέλη της ομάδας, βρέθηκαν στον υπολογιστή του πάνω από 800.000 κωδικοί οικονομικών συναλλαγών (financial credentials) οικιακών χρηστών, οι οποίοι είχαν υποκλαπεί με τη χρήση του botnet Mariposa.
Μία άλλη τάση που διαφαίνεται ήδη είναι η χρήση κινητών τηλεφώνων κυρίως Smartphones για πρόσβαση στο διαδίκτυο. Αν αναλογιστεί κανείς ότι καθημερινά 1,5 δις άνθρωποι κάνουν πρόσβαση στο διαδίκτυο, ενώ χρησιμοποιούνται περί τα 4,5 δις κινητά τηλέφωνα παγκοσμίως, θα αντιληφθούμε την άμεση ανάγκη για λήψη μέτρων ασφαλείας στις κινητές συσκευές, οι οποίες όλο και περισσότερο θα χρησιμοποιούνται το 2011 για πρόσβαση στο διαδίκτυο.

(1) «Emerging Cyber Threats Report 2011» (GTISC) – 7.10.2010
Ας σημειωθεί ότι σύμφωνα με την ENISA2, πάνω από 65 εκατομ. χρήστες κάνουν πρόσβαση στα κοινωνικά δίκτυα (όπως το Facebook, το Twitter κ.ά.) χρησιμοποιώντας το κινητό τους τηλέφωνο. Σήμερα σε αντίθεση με παλαιότερα χρόνια η πλειονότητα των κινητών τηλεφώνων στηρίζεται σε λειτουργικά συστήματα τύπου Windows, Android και Mac, με αποτέλεσμα να γίνεται ευκολότερη η δημιουργία κακόβουλου λογισμικού. Η απαίτηση όμως να δημιουργηθούν προγράμματα προστασίας των κινητών τηλεφώνων συναντά ένα πρόβλημα που έχει να κάνει με την κατανάλωση ισχύος της μπαταρίας για τη συνεχή λειτουργία τέτοιων προγραμμάτων ασφαλείας στη μνήμη του κινητού τηλεφώνου.
Πολλοί άνθρωποι δεν αντιλαμβάνονται τους κινδύνους επιθέσεων στα κινητά τους τηλέφωνα, οι οποίοι μεταξύ άλλων περιλαμβάνουν ακριβή εντοπισμό της θέσης που βρίσκονται κάθε στιγμή, αλλά και την υποκλοπή ευαίσθητων πληροφοριών που πιθανώς να βρίσκονται ταμιευμένες σ’ αυτά (ακόμη και κωδικούς τραπεζικών συναλλαγών).
Τα κινητά τηλέφωνα σε αντίθεση με τους υπολογιστές έχουν επιπρόσθετες πύλες εισόδου πιθανής εισβολής, όπως μηνύματα SMS, Internet applications, emails ή ακόμη και κακόβουλες κλήσεις από απατεώνες, οι οποίοι χρησιμοποιούν μεθόδους social engineering για να υποκλέψουν εμπιστευτικά στοιχεία. Για παράδειγμα, με μέθοδο CLI spoofing μπορεί να λάβουμε μία κλήση που υποτίθεται ότι προέρχεται από την Τράπεζά μας. Ο αριθμός κλήσης όμως που βλέπουμε στο κινητό μας, έχει παραποιηθεί και στην άλλη πλευρά της γραμμής βρίσκεται κάποιος απατεώνας, ενώ νομίζουμε ότι λάβαμε κλήση από την Τράπεζα με την οποία συνεργαζόμαστε.
Σύμφωνα με τον Robert Smith (CTO της εταιρείας Mobile Active Defense που ειδικεύεται στην ασφάλεια των smartphones) «οι εφαρμογές κινητών τηλεφώνων είναι οι μεγαλύτερες πηγές κακόβουλου λογισμικού που ανακάλυψε ποτέ ο άνθρωπος». Σύμφωνα με τον ίδιο, λιγότερο από 1% των εν χρήσει smartphones χρησιμοποιεί λογισμικό ασφαλείας. Μία μέθοδος προστασίας που προτείνει ο ίδιος είναι η ανάπτυξη δικτύων από τις εταιρείες κινητών επικοινωνιών, τα οποία θα παρέχουν cloud-based security αφού «η ημερομηνία μαζικής επίθεσης κατά των κινητών τηλεφώνων (χειρότερη από την 11η Σεπτεμβρίου κατά των διδύμων πύργων) είναι πολύ κοντά» !

Κοινωνικά δίκτυα και κινητά τηλέφωνα
Ενώ τα προβλήματα που σχετίζονται με την ιδιωτικότητα (privacy) κατά τη χρήση των κοινωνικών δικτύων είναι κατανοητά, λίγος κόσμος αντιλαμβάνεται τις μεθόδους μετάδοσης κακόβουλου λογισμικού στον υπολογιστή του ή στο κινητό του τηλέφωνο, όταν κάνει πρόσβαση σε κοινωνικά δίκτυα. Σύμφωνα με εκτιμήσεις ειδικών μόνο το 30% των λογαριασμών του κοινωνικού δικτύου Twitter είναι λογαριασμοί που έχουν κατασκευαστεί από πραγματικούς χρήστες. Σε αντίθεση, υπάρχει πληθώρα χρηστών που χρησιμοποιούν πάνω από 10 λογαριασμούς με ψευδή στοιχεία και κακόβουλο σκοπό. Υπάρχουν πολλές περιπτώσεις κατά τις οποίες χρήστες γνωρίστηκαν μέσω κοινωνικών δικτύων με απατεώνες κρυμμένους πίσω από πλαστά στοιχεία και φωτογραφίες. Στη συνέχεια οδηγήθηκαν εν αγνοία τους να επισκεφθούν ιστοσελίδες με κακόβουλο λογισμικό, το οποίο είχε ως αποτέλεσμα μετάδοση ιών, Trojan horses

(2) ENISA report: «17 Golden Rules To Combat Online Risks For Mobile Social Networking».
και υποκλοπή προσωπικών πληροφοριών από τον υπολογιστή ή το κινητό τους τηλέφωνο. Τον Οκτώβριο 2009 ο βαθμός εγκληματικότητας στο Twitter αυξήθηκε κατά 12% με αποτέλεσμα να μπλοκάρεται ένας στους 8 νέους λογαριασμούς από την εταιρεία που τρέχει το σύστημα, για λόγους που είχαν να κάνουν με κυβερνοέγκλημα..
Πριν λίγους μήνες ένας ρεπόρτερ του Associated Press ανέφερε ότι ο λογαριασμός του στο Twitter είχε υποκλαπεί και ο εισβολέας έστειλε σε όλες τις επαφές του (συνεργάτες – φίλους του) μηνύματα με ακατάλληλο περιεχόμενο, ενώ τους οδήγησε να ανοίξουν επικίνδυνα web sites που προκάλεσαν μόλυνση με κακόβουλο λογισμικό. Η λύση που προτείνεται είναι η χρήση μεθόδων URL filtering, URL reputation services κ.ά.
Αυτό που απαιτείται από τις εταιρείες που τρέχουν τα κοινωνικά δίκτυα είναι να εντοπίζουν τους ψευδείς λογαριασμούς και να τους απενεργοποιούν. Κάτι αντίστοιχο που ζητάμε από τα search engines (π.χ. Google), δηλαδή να αποκλείουν την εμφάνιση επικίνδυνων ιστοσελίδων, όταν αναζητούμε κάποια πληροφορία (π.χ. printer driver).

Οι επιθέσεις σε συστήματα κρίσιμης υποδομής
Σύμφωνα με τον Jon Ramsey της εταιρείας SecureWorks που ειδικεύεται σε παροχή υπηρεσιών ασφαλείας σε επιχειρήσεις, οι επιθέσεις στην κρίσιμη υποδομή μιας χώρας προηγούνται της πραγματικής μάχης. Το είδαμε αυτό, είπε ο Ramsey, κατά τη διάρκεια των εχθροπραξιών μεταξύ Ρωσίας-Γεωργίας το 2008. Λίγο πριν την έναρξη της επίθεσης των στρατευμάτων υπήρξε μαζική κυβερνο-επίθεση κατά των κυβερνητικών επικοινωνιών, των ΜΜΕ, των τραπεζικών συστημάτων και τμημάτων της κρίσιμης υποδομής της Γεωργίας, τα οποία τέθηκαν εκτός λειτουργίας για μεγάλο χρονικό διάστημα, δημιουργώντας χάος στους πολίτες.
Τα συστήματα μετάδοσης ηλεκτρικής ενέργειας (electrical power) υλοποιούνται σήμερα με τεχνικές τύπου smart grid και automated power grids για μεγαλύτερη αποδοτικότητα κατανομής φορτίου και αξιοπιστία. Η αυτοματοποίηση όμως αυτή συνδέεται με διασύνδεση των συστημάτων μέσω διαδικτύου και μεταφορά μεγάλου όγκου πληροφοριών, αφήνοντας ευάλωτα σημεία για κυβερνοεπιθέσεις οι οποίες μπορεί να αποσκοπούν σε διακοπή ηλεκτροδότησης πόλεων ή ακόμη και κλοπή ισχύος (power theft). Εξάλλου, υποκλοπή στοιχείων που σχετίζονται με την κατανάλωση ηλεκτρικής ισχύος μπορεί να δώσει πληροφορίες σχετικά με το πότε βρίσκεται στο σπίτι μια οικογένεια και πότε απουσιάζει, για λόγους διάπραξης κλοπής.
Παρόμοια βιομηχανικά συστήματα τα οποία μεταφέρουν μεγάλο όγκο πληροφοριών χωρίς απαραίτητα να συνδέονται στο διαδίκτυο είναι ευάλωτα σε κυβερνοεπιθέσεις και μολύνσεις από κακόβουλο λογισμικό, το οποίο μπορεί να διαδοθεί με πολλούς τρόπους (όπως π.χ. με USB sticks). Είναι γνωστή η πρόσφατη επίθεση στις πυρηνικές εγκαταστάσεις του Ιράν λόγω μόλυνσης με κακόβουλο λογισμικό, ενώ παρόμοια προβλήματα ανακοινώθηκαν στην Ινδία και στο Καζακστάν.
Ένας άλλος τομέας που αναμένεται να δεχθεί επιθέσεις κυβερνοεγκλήματος είναι και ο ιατρικός και νοσοκομειακός τομέας, ιδιαίτερα στις προηγμένες χώρες όπου η πρόσβαση σε ιατρικά δεδομένα μέσω δικτύων υπολογιστών έχει ήδη προχωρήσει αρκετά. Υπάρχουν ήδη γεγονότα σε διάφορες χώρες που αφορούν σε επιθέσεις σε δεδομένα νοσοκομείων, όπως η επίθεση σε σύστημα καταχώρησης ακτινογραφιών – τομογράφων, το οποίο χρησιμοποιούσαν οι γιατροί του νοσοκομείου πριν από τις εγχειρήσεις. Επίσης η κλοπή δεδομένων ιατρικού ιστορικού με στόχο οικονομικό κέρδος, χρήση από ασφαλιστικές εταιρείες ή εκβιασμό. Ένα σημαντικό μέτρο προστασίας στις περιπτώσεις των νοσοκομείων είναι το μπλοκάρισμα των USB ports των υπολογιστών για να αποτραπεί μεταξύ άλλων και η μόλυνση με ιούς από USB sticks, τακτική που ακολουθείται σήμερα στις περισσότερες στρατιωτικές εγκαταστάσεις.
Από τα παραπάνω γίνεται αντιληπτό ότι οι κίνδυνοι και οι απειλές αυξάνουν, καθώς τα συστήματα γίνονται όλο και πιο πολύπλοκα. Η αντιμετώπιση των απειλών απαιτεί συνεργασία πολλών φορέων και τακτική ενημέρωση του κοινού και των επιχειρήσεων.

Μιχάλης Μαβής
Μηχανικός Ασφάλειας Τηλεπικοινωνιών & Πληροφορικής
http://gr.linkedin.com/in/mmavis