Πέμπτη 11 Νοεμβρίου 2021

Χρήσιμα μαθήματα από την COVID-19 για την κυβερνοασφάλεια

Ένα θέμα που με είχε απασχολήσει ιδιαίτερα στο παρελθόν ήταν οι ομοιότητες μεταξύ βιολογικών ιών και των γνωστών μας σε μας ιούς υπολογιστών (computer viruses ή malware οπους του αποκαλούμε σήμερα). Είχα την τιμή να με προσκαλέσουν οι διοργανωτές του Infocom Security να δώσω μια σχετική ομιλία. Σκέφτηκα αυτό το θέμα και τελικά η προσπάθεια αυτή πήγε αρκετά καλά, οπότε είπαμε να δημοσιεύσουμε τα βασικά σημεία της στο περιοδικό IT Security, το πλέον επιτυχημένο περιοδικό για ότι έχει να κάνει με κυβερνοασφάλεια στην Ελλάδα. Μπορείτε να διαβάσετε το άρθρο στο IT Security ή παρακάτω. 











Τα τελευταία δύο χρόνια η ανθρωπότητα παλεύει με ένα νέο ιό, τον  SARS-CoV-2. Στον τεχνολογικό κόσμο, οι παλαιότεροι πληροφορικοί αντιμετωπίζουν για περισσότερες από τέσσερις δεκαετίες διάφορους υπολογιστικούς ιούς (computer viruses) με μεγαλύτερη ή μικρότερη επιτυχία. Ο όρος computer virus, αναμφίβολα, είναι από τους πλέον πετυχημένους στην ιστορία της πληροφορικής.

Η συσχέτιση ιών στον βιολογικό και τεχνολογικό κόσμο

Τόσο οι βιολογικοί ιοί, όσο και οι ιοί υπολογιστών απαιτούν ένα ξενιστή (host) για να μπορέσουν να πολλαπλασιαστούν. Εάν το περιβάλλον είναι ευνοϊκό μπορούν να εξαπλωθούν πολύ γρήγορα προκαλώντας πανδημίες. Επιπρόσθετα, όταν καταφέρουν να μολύνουν ένα μεγάλο αριθμό θυμάτων είναι πάρα πολύ δύσκολο να περιοριστούν.
Οι ομοιότητες όμως δεν σταματούν εδώ. Η πρόσφατη παγκόσμια απειλή του COVID-19 ανέδειξε και άλλα ενδιαφέροντα χαρακτηριστικά των βιολογικών ιών, τα οποία θα είχε ενδιαφέρον να συσχετιστούν με τη συμπεριφορά των υπολογιστικών ιών.  Για παράδειγμα, σε αντίθεση με ότι πιστεύει η πλειοψηφία,  δεν είναι οι καταστροφικοί ιοί πραγματικά αποτελεσματικοί ως προς την εξάπλωση τους, καθώς εξοντώνοντας τον ξενιστή τους δεν μπορούν διαδοθούν σε ευρεία κλίμακα. Ας αναλογιστούμε σε βιολογικό επίπεδο τον φονικότατο Έμπολα που σε κάθε έξαρση του μπορεί να αποδεκατίζει κάποια γειτονικά χωριά, αλλά αναγκαστικά περιορίζεται γεωγραφικά αφού τα θύματα του δεν είναι σε θέση να κυκλοφορήσουν και να μεταδώσουν τον ιό. Αντίθετα, ο SARS-CoV-2 με τη χαμηλή θνητότητα του, απειλεί ολόκληρη την ανθρωπότητα αφού κυκλοφορεί σε όλο το πλανήτη. Στην πληροφορική όπου όλα εξελίσσονται ταχύτατα προφανώς και είχαμε ανάλογα παραδείγματα. Οι παλιότεροι αναγνώστες ενδεχομένως να θυμούνται τον ιό CIH (Chernobyl) όπου διαγράφοντας το BIOS της μητρικής ουσιαστικά κατέστρεφε το σύστημα. Προκάλεσε μεγάλη αναταραχή, όμως δεν μπόρεσε να εξαπλωθεί περεταίρω όταν έγινε αντιληπτός. Αντίθετα την δεκαετία του 2000 αντιμετωπίσαμε σε μεγάλη έκταση το φαινόμενο των computer worms όπου μπορούσαν να εξαπλωθούν ταχύτατα. Ο Slammer κατάφερε να μολύνει το σύνολο σχεδόν των ευπαθών συστημάτων που εκτελούσαν μια μη ενημερωμένη έκδοση του MS SQL Server σε ελάχιστο χρόνο, πρακτικά σε διάστημα μικρότερο των 10’. ‘Άλλες περιπτώσεις που computer worms που σημάδεψαν την δεκαετία αυτή ήταν ο CodeRed v2, CodeRed2, NimdaMyDoomNetSkyConfiker κλπ. Σχεδόν όλες αυτές οι μορφές κακόβουλου λογισμικού είχαν μη καταστροφικές συνέπειες όμως κατάφεραν να μολύνουν εκατομμύρια υπολογιστές. Χαριτολογώντας, ειδικοί στην ασφάλεια των πληροφοριακών συστημάτων ονόμασαν το φαινόμενο αυτό ως Global Worming κατά αναλογία του Global Warming. Η επόμενη δεκαετία έφερε στο προσκήνιο μορφές κακόβουλου λογισμικού που χρησιμοποιήθηκε για παρακολούθηση,  βιομηχανική (και όχι μόνο) κατασκοπία. Τα εργαλεία αυτά ονομάστηκαν RAT (Remote Access Trojans) και εστιάζουν στο να παραμείνουν σε λάθρα κατάσταση για όσο το δυνατόν μεγαλύτερο χρονικό διάστημα χωρίς να γίνονται αντιληπτά από τους χειριστές των συστημάτων που έχoυν μολύνει. Τα συστήματα που προσβάλουν, λειτουργούν απολύτως κανονικά, ασυμπτωματικά όπως θα λέγαμε στην περίπτωση της COVID-19 και αυτό είναι το επικίνδυνο καθότι παραμένουν σε λειτουργία από μήνες έως και χρόνια κατασκοπεύοντας τα θύματα τους. Μερικά χαρακτηριστικά παραδείγματα είναι τα QuasarHavexFinSpyRCS X και φυσικά το Pegasus για το οποίο πολλή συζήτηση γίνεται τελευταία αν και όσοι ασχολούνται με την κυβερνοασφάλεια γνωρίζουν την ύπαρξη του εδώ και αρκετά χρόνια. Όλα τα παραπάνω αποτελούν απόδειξη ότι όπως και στη φύση η θνητότητα έτσι και στους υπολογιστές η καταστροφικότατα λειτουργούν ανασταλτικά στην περαιτέρω εξάπλωση των διαφόρων απειλών. Ο σημαντικότερος κίνδυνος προκύπτει όταν δεν υπάρχουν εμφανή συμπτώματα κάποιας μόλυνσης, βιολογικής ή υπολογιστικής. Τελευταία, η κυρίαρχη απειλή είναι το ransomware το οποίο προκαλεί τεράστια προβλήματα. Το ransomware εξελίσσεται με ταχύτατους ρυθμούς και η αντιμετώπιση του γίνεται όλο και πιο δύσκολη, σχεδόν αδύνατη σε πολλές περιπτώσεις. Όμως αν παρακολουθήσουμε το φυλογενετικό δέντρο των σύγχρονων μορφών κακόβουλου λογισμικού, όπως θα κάναμε με τους κλασσικούς βιολογικούς ιούς,  θα διαπιστώσουμε ότι 3 περίπου οικογένειες ransomware (Conti, Maze, REvil)  είναι πρακτικά υπεύθυνες για το μεγαλύτερο ποσοστό των μολύνσεων.

Τα Μέτρα Προστασίας

Οι παραπάνω διαπιστώσεις ενδεχομένως να έχουν ακαδημαϊκό ενδιαφέρον. Θα ήταν ωστόσο σημαντικότερο αν μπορούσαν να προκύψουν καλές πρακτικές από τα επιτεύγματα της ιατρικής κοινότητας απέναντι στην COVID-19, οι οποίες να είναι εφαρμόσιμες στο χώρο της κυβερνοασφάλειας. Ορισμένα χρήσιμα συμπεράσματα είναι τα ακόλουθα. Αρχικά είναι απαραίτητη η αυστηρή τήρηση απλών, βασικών μέτρων αυτοπροστασίας μέχρι να γίνουν διαθέσιμα τα κατάλληλα «εμβόλια». Ουσιαστικά πρόκειται για την επικαιροποίηση των αντιικών προγραμμάτων, με τις κατάλληλες «υπογραφές / signatures» που μπορούν να εντοπίσουν νέες μορφές κακόβουλου λογισμικού. Αυτό αποτελεί μια ιδιαίτερα αποτελεσματική μορφή «ψηφιακής υγιεινής», δηλαδή την εφαρμογή βασκικών κανόνων ασφαλούς λειτουργίας των προσωπικών και επαγγελματικών υπολογιστών. Συγκεκριμένα η σωστή χρήση συνθηματικών (passwords), η εγκατάσταση προγραμμάτων μόνο από αξιόπιστες πηγές, η ενεργοποίηση των εφαρμογών ασφαλείας του Λειτουργικού Συστήματος αλλά και η απενεργοποίηση όλων των μη αναγκαίων υπηρεσιών του συστήματος αποτελούν την καλύτερη άμυνα απέναντι σε γνωστές αλλά και άγνωστες κυβερνοεπιθέσεις.

Επίσης, είναι σημαντική η λεπτομερής καταγραφή όλων των μολύνσεων, που εντοπίζουν οι εταιρίες κυβερνοασφάλειας, σε μια κοινή πλατφόρμα ώστε με τα κατάλληλα μαθηματικά μοντέλα να προσδιοριστούν άμεσα ποιες μορφές κακόβουλου λογισμικού είναι πραγματικά επικίνδυνες να προκαλέσουν την επόμενη ψηφιακή πανδημία κακόβουλου λογισμικού. Επιπρόσθετα,  είναι απολύτως απαραίτητο ένα Σύστημα Έγκαιρης Προειδοποίησης για όλους τους χρήστες που θα τους επιτρέψει να ενημερώνονται για τις επικείμενες κυβερνοαπειλές σε πραγματικό χρόνο παρέχοντας τους τις κατάλληλες οδηγίες, συμβουλές, εργαλεία και διορθωτικό κώδικα αν είναι διαθέσιμος. Τέλος, θα ήταν χρήσιμο για τις εταιρίες που κατασκευάζουν τα γνωστά αντιικά προγράμματα αντί να προσπαθούν να εντοπίσουν κάθε πιθανή ή απίθανη νέα μορφή κακόβουλου λογισμικού από τις δεκάδες εκατομμύρια που υπάρχουν, να εστιάσουν στις 3-4 επικρατούσες οικογένειες κακόβουλου λογισμικού και στις πολυμορφικές «μεταλλάξεις» τους που δημιουργούν για να δυσκολεύουν την ανίχνευσης τους.

Σίγουρα χρειάζεται μια νέα οπτική στην αντιμετώπιση των κυβερνοαπειλών. Η μελέτη των βιολογικών συστημάτων  μπορεί να παράσχει την απαιτούμενη έμπνευση.

*Ο Βασίλης Βλάχος είναι Επίκουρος Καθηγητής στο Τμήμα Οικονομικών Επιστημών του Πανεπιστήμιου Θεσσαλίας. Ασχολείται με την ασφάλεια των ηλεκτρονικών συναλλαγών, τα κρυπτονομίσματα και το κυβερνοέγκλημα.

Πέμπτη 4 Νοεμβρίου 2021

Σύντομο άρθρο στην Καθημερινή

 Η κ. Γιάννης Παπαδόπουλος της Καθημερινής είχε την καλοσύνη να μου ζητήσει ένα σύντομο άρθρο - σχόλιο για τις απάτες μέσω του Διαδικτύου σε τραπεζικές συναλλαγές. Μπορείτε να βρείτε το άρθρο εδώ ή να το διαβάσετε παρακάτω. 



Η αξιοποίηση των Τεχνολογιών Πληροφορικής και Επικοινωνιών συνέβαλε καθοριστικά στη μετρίαση των προβλημάτων που προέκυψαν από την πανδημία. Η τηλεργασία, το ηλεκτρονικό εμπόριο και οι ηλεκτρονικές τραπεζικές συναλλαγές είναι οι τομείς που προσέλκυσαν, αναγκαστικά σε αρκετές περιπτώσεις, τους περισσότερους νέους χρήστες. Πολλοί από αυτούς είχαν περιορισμένη εμπειρία με το Διαδίκτυο και συνεπακόλουθα ήταν λογικό και αναμενόμενο να αποτελέσουν προνομιακούς στόχους για τους κυβερνοεγκληματίες.

Οι επιθέσεις phishing στοχεύουν ουσιαστικά στην εξαπάτηση του θύματος, ώστε να εκτελέσει άθελά του ενέργειες που υποβοηθούν τους απατεώνες να αποκτήσουν πρόσβαση στα δεδομένα του και συνήθως στους τραπεζικούς του λογαριασμούς. Αυτού του τύπου οι επιθέσεις είναι ιδιαίτερα αποτελεσματικές γιατί είναι ανθρωποκεντρικές. Με άλλα λόγια στοχεύουν στον πιο αδύναμο κρίκο της αλυσίδας της κυβερνοασφάλειας, τον άνθρωπο. Οι βασικές αρχές αυτών των απατών εντάσσονται στην κοινωνική μηχανική ή στο social engineering, όπως είναι ευρύτερα γνωστό. Ουσιαστικά πρόκειται για τεχνικές που μεγιστοποιούν τις πιθανότητες διαφόρων επιτηδείων να παραπλανήσουν τους χρήστες ψηφιακών υπηρεσιών. Μια προσεκτικότερη παρατήρηση των μηνυμάτων που οδηγούν σε απάτες phishing θα επιβεβαιώσει τα παραπάνω. Τα μηνύματα αυτά είτε έχουν κάποιο αυστηρό και επίσημο ύφος, είτε είναι ιδιαίτερα επείγοντα και πιεστικά ως προς τον χρόνο που πρέπει να ολοκληρωθεί κάποια ενέργεια, είτε είναι ιδιαίτερα φιλικά και οικεία.

Η συμμόρφωση με τους νόμους και τους κανόνες, το άγχος να κλείσει μια εκκρεμότητα πριν παρέλθει η προθεσμία της αλλά και η προδιάθεση σχεδόν κάθε ανθρώπου να είναι φιλικός και συνεργάσιμος είναι έμφυτα στην ανθρώπινη φύση. Είναι όμως επίσης και οι «αδυναμίες» που διαχρονικά εκμεταλλεύονται όλοι οι απατεώνες σε κάθε είδους απόπειρα εξαπάτησης, στον πραγματικό αλλά και στον ψηφιακό κόσμο.

Οι επιθέσεις phishing είναι ιδιαίτερα αποτελεσματικές γιατί είναι ανθρωποκεντρικές.

Ειδικότερα, μέσω του Διαδικτύου οι κυβερνοεγκληματίες μπορούν σαφώς πιο εύκολα να προσδώσουν ιδιαίτερη αληθοφάνεια και πειστικότητα στα παραπλανητικά μηνύματα που χρησιμοποιούν ως δόλωμα για τις απάτες phishing. Για τους πιο άπειρους χρήστες του Διαδικτύου, παλαιότερα οι συναλλαγές τους με την τράπεζα είχαν μια πιο ανθρώπινη και προσωπική διάσταση που πλέον δεν υφίσταται. Η αντιμετώπιση του προβλήματος του phishing δεν πρόκειται να λυθεί μόνο με τεχνολογικά μέσα. Αλλωστε, οι περισσότερες τράπεζες εφαρμόζουν σε γενικές γραμμές τα απαραίτητα μέτρα κυβερνοασφάλειας, καθώς είναι υποχρεωμένες να συμμορφώνονται με ανάλογους σχετικούς κανονισμούς και διεθνή πρότυπα. Φυσικά υπάρχουν περιθώρια βελτιώσεων, αλλά αυτά είναι μικρά σε σχέση με την πιεστική ανάγκη να ενημερώνονται καλύτερα και αποτελεσματικότερα οι πελάτες τους για τους κινδύνους των επιθέσεων phishing.

Σαφέστατα χρειάζονται στοχευμένες δράσεις ευαισθητοποίησης και όχι μόνο κάποια τυπικά προειδοποιητικά emails. Απαιτούνται διαφάνεια και άμεσος διαμοιρασμός πληροφοριών για τα περιστατικά κυβερνοαπατών με τους χρήστες αλλά και όλους τους εμπλεκόμενους φορείς, πέρα από τις τυπικές υποχρεώσεις που απορρέουν από τους ισχύοντες νόμους. Παραδοσιακά, σε όλο τον κόσμο ο τραπεζικός τομέας αντιμετωπίζει με μυστικότητα τα θέματα που αφορούν την κυβερνοασφάλεια. Αυτό το μοντέλο όμως είναι ξεπερασμένο και πρέπει να αλλάξει. Οι κυβερνοεγκληματίες ανταλλάσσουν διαρκώς πληροφορίες, τεχνικές και εργαλεία για να γίνουν πιο αποτελεσματικοί στις επιθέσεις τους. Το ίδιο πρέπει να κάνουμε και εμείς για να τους αντιμετωπίσουμε.

* Ο κ. Βασίλης Βλάχος είναι επίκουρος καθηγητής στο Τμήμα Οικονομικών Επιστημών του Πανεπιστημίου Θεσσαλίας. Ασχολείται με την ασφάλεια των ηλεκτρονικών συναλλαγών, τα κρυπτονομίσματα και το κυβερνοέγκλημα.