Tuesday, November 29, 2011

Επιθέσεις με μολυσμένα links

Συνέντευξη στον Κώστα Δεληγιάννη της Καθημερινής (27-11- 11 )

Του Κωστα Δεληγιαννη
Ακρωτηριασμένα ζώα, θύματα τροχαίων, σταρ του Χόλιγουντ σε φωτομοντάζ που τους έδειχναν σε άσεμνες πόζες. Πριν από λίγες ημέρες, αμέτρητες φωτογραφίες βίας και πορνό κυριολεκτικά πλημμύρισαν το Facebook, από χάκερ που κατέλαβαν τα προφίλ χιλιάδων μελών του για να τις διακινήσουν. Οι δράστες επιστράτευσαν σαν δόλωμα ένα μήνυμα που περιείχε έναν σύνδεσμο (link), ο οποίος υποτίθεται ότι παρέπεμπε σε κάποια φαινομενικά αθώα ιστοσελίδα έξω από το δίκτυο. Με τη διαφορά ότι ήταν μολυσμένος· έτσι, όταν ένας χρήστης που παραλάμβανε το μήνυμα αντέγραφε αυτόν το σύνδεσμο στην μπάρα διευθύνσεων του φυλλομετρητή του (browser), ουσιαστικά εκτελούσε το κακόβουλο λογισμικό το οποίο κρυβόταν πίσω από το link. Από εκείνη τη στιγμή, το προφίλ του ήταν στα χέρια των χάκερ, οι οποίοι το χρησιμοποιούσαν για να αναρτήσουν στον «τοίχο» του χρήστη όλες αυτές τις εικόνες, αλλά και για να μολύνουν τους «φίλους» του. Μέσα σε λίγα 24ωρα, οι υπεύθυνοι της πλατφόρμας κατάφεραν να απομακρύνουν σχεδόν όλες τις εικόνες. Ωστόσο, κανείς δεν μπορεί να αποκλείσει πως κάποιο ανάλογο δόλωμα δεν θα κατακλύσει το κοινωνικό δίκτυο ξανά στο μέλλον. Ο λόγος; «Επειδή οι επιθέσεις με μολυσμένα link είναι από τις πιο διαδεδομένες και πετυχημένες, κάτι που αποδεικνύεται από το γεγονός ότι σε αυτές είναι ευάλωτες πολλές ακόμη ιστοσελίδες στο Διαδίκτυο, όπως και το Twitter», απαντά στην «Κ» ο κ. Βασίλης Βλάχος, καθηγητής στο Tμήμα Πληροφορικής και Τηλεπικοινωνιών του ΤΕΙ Λάρισας. Η αλήθεια είναι πως για την εξάπλωση του σοκαριστικού υλικού ευθύνονταν και κενά ασφάλειας στους φυλλομετρητές, ενώ το Facebook χρησιμοποιεί ένα από τα πιο αξιόπιστα συστήματα προστασίας, το οποίο μάλιστα ανακοίνωσε ότι θα αναβαθμίσει. «Με δεδομένο όμως ότι το κοινωνικό δίκτυο διαθέτει 800 εκατομμύρια μέλη, είναι βέβαιο ότι θα γίνεται ολοένα και συχνότερα στόχος», συμπληρώνει ο κ. Βλάχος.
Αλλωστε, σε αντίθεση με τη συγκεκριμένη επίθεση, το πιο πιθανό είναι πως τις επόμενες φορές οι χάκερ θα έχουν σαν κίνητρο το κέρδος - με τα μολυσμένα links, για παράδειγμα, να οδηγούν σε πλαστά σάιτ, ώστε να παραπλανήσουν τον χρήστη και να υποκλέψουν προσωπικά δεδομένα. «Ετσι, το πιο σημαντικό είναι να τηρεί κανείς στοιχειώδη μέτρα αυτοπροστασίας, με κυριότερο το να αποφεύγει σε κάθε περίπτωση να αντιγράφει οποιοδήποτε link στην μπάρα διευθύνσεων του browser», επισημαίνει ο καθηγητής, «αφού, αν αυτό είναι μολυσμένο, ακόμη και οι πιο καλά προστατευμένες ιστοσελίδες, σαν το Facebook, είναι πολύ δύσκολο να το εντοπίσουν». Επίσης, επιφυλακτικός θα πρέπει να είναι κανείς και με τις αναρτήσεις που περιέχουν συνδέσμους οι οποίοι ενεργοποιούνται με ένα απλό «κλικ» του ποντικιού.
«Τους τελευταίους μήνες το Facebook, αλλά και τα υπόλοιπα κοινωνικά δίκτυα προσφέρουν τεχνικές λύσεις σαν τις “ειδοποιήσεις σύνδεσης”, για να αποφεύγουν τα μέλη τους τις δυσάρεστες εκπλήξεις ακόμη και στην περίπτωση που έχει υποκλαπεί ο λογαριασμός τους», προσθέτει ο κ. Βλάχος.
Ενεργοποιώντας τις «ειδοποιήσεις σύνδεσης», κάθε χρήστης θα ειδοποιείται με e-mail όποτε ένας καινούργιος υπολογιστής αποκτήσει πρόσβαση στον λογαριασμό του ώστε, εφόσον από τις γεωγραφικές συντεταγμένες του υπολογιστή και την ώρα σύνδεσης καταλάβει πως το προφίλ του έχει παραβιαστεί, να μπορεί να το μπλοκάρει.
Ακόμη καλύτερα, με την επιλογή «εγκρίσεις σύνδεσης» το Facebook στέλνει στο κινητό τηλέφωνο του χρήστη έναν δεύτερο κωδικό που πρέπει να πληκτρολογήσει για να μπει στην ιστοσελίδα, προσθέτοντας ουσιαστικά ένα επιπλέον επίπεδο προστασίας. «Ισως το πιο χρήσιμο συμπέρασμα από την πρόσφατη επίθεση είναι πως καμία ιντερνετική πλατφόρμα δεν μπορεί να είναι απόλυτα θωρακισμένη», σημειώνει στην «Κ» ο κ. Βλάχος.
Συμβιβασμοί
Η κυβερνοεπίθεση συνέβη το ίδιο χρονικό διάστημα όπου έκανε τον γύρο του κόσμου η αποκάλυψη της εφημερίδας Wall Street Journal για τον επικείμενο συμβιβασμό του Facebook με την αμερικανική Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) σχετικά με τον τρόπο με τον οποίο το κοινωνικό δίκτυο θα διαχειρίζεται τα προσωπικά δεδομένα των χρηστών του. Η έρευνα της Επιτροπής ξεκίνησε το 2009, όταν το Facebook άλλαξε χωρίς καμία προειδοποίηση τις ρυθμίσεις απορρήτου· έτσι, κάποια στοιχεία από τα προφίλ των μελών του που μέχρι τότε ήταν ιδιωτικά –όπως το όνομα, το φύλο και η πόλη διαμονής– ορίστηκαν ως «δημόσια», δηλαδή ήταν πλέον ορατά από όλους τους υπόλοιπους χρήστες. Σύμφωνα με την εφημερίδα, ο διακανονισμός προβλέπει πως από εδώ και στο εξής το δίκτυο θα πρέπει να ζητεί τη ρητή συγκατάθεση των μελών του όποτε πρόκειται να πραγματοποιήσει αντίστοιχες αλλαγές. Παράλληλα, το Facebook φέρεται να αποδέχθηκε να τεθεί σε εποπτεία για τα επόμενα 20 χρόνια από τις αρχές, οι οποίες θα το ελέγχουν για θέματα προστασίας της ιδιωτικότητας. Πριν από μερικούς μήνες στο στόχαστρο της FTC είχαν βρεθεί το Twitter και η Google, με τις δύο εταιρείες να καταλήγουν σε παρόμοιες συμφωνίες.

Sunday, November 20, 2011

ΓΙΑ ΤΟ ΕΛΛΗΝΙΚΟ ΔΗΜΟΣΙΟ Οικονομική «ανάσα» από το ελεύθερο λογισμικό


Άρθρο της κ. ΑΛΕΞΑΝΔΡΑΣ ΓΟΥΤΑ, ΑΠΕ - ΜΠΕ δημοσιεύθηκε στα ΧΑΝΙΩΤΙΚΑ ΝΕΑ  στις
5-11-2011 (link)


Εκατοντάδες εκατομμύρια ευρώ θα μπορούσε να εξοικονομήσει «εδώ και τώρα» το ελληνικό Δημόσιο, αν αποφάσιζε την υποχρεωτική εγκατάσταση ανοιχτού λογισμικού σε όλες τις δημόσιες Υπηρεσίες, τα Ιδρύματα που χρηματοδοτούνται άμεσα ή έμμεσα από τον κρατικό κορβανά και -ιδίως- τις Περιφερειακές Ενότητες και τους Δήμους.
Το ανοιχτό λογισμικό (software) έχει υποπολλαπλάσιο κόστος σε σχέση με το επώνυμο εμπορικό -κατά μέσο όρο στοιχίζει το ένα δέκατο (1/10), ενώ σε πολλές περιπτώσεις είναι δωρεάν- δημιουργώντας νέες προοπτικές εν καιρώ... Μνημονίου.
Τα παραπάνω -που στοιχειοθετούνται και από παλαιότερη μελέτη του ΙΣΤΑΜΕ- υποστήριξε, μιλώντας στο ΑΠΕ - ΜΠΕ, ο καθηγητής Εφαρμογών του Τμήματος Πληροφορικής και Τηλεπικοινωνιών του Τ.Ε.Ι. Λάρισας, Βασίλης Βλάχος. Ο καθηγητής θα μιλήσει, αύριο, σε συνέδριο του e-TEE και του Συλλόγου Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής Β. Ελλάδας, υπό την αιγίδα του Τεχνικού Επιμελητηρίου (Τ.Ε.Ε.). Η εκδήλωση διοργανώνεται στο πλαίσιο της 8ης διεθνούς έκθεσης Τοπικής Αυτοδιοίκησης POLIS.
Την άποψη ότι το ανοιχτό λογισμικό είναι μονόδρομος για το ελληνικό Δημόσιο εξέφρασε στο ΑΠΕ - ΜΠΕ και ο αναπληρωτής καθηγητής του Τμήματος Πληροφορικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης (Α.Π.Θ.), Ιωάννης Σταμέλος.
«Δεν υπάρχει λόγος σε τέτοιες εποχές, το ελληνικό Δημόσιο να ξοδεύει τόσα χρήματα για άδειες λογισμικού, δεδομένου ιδίως ότι το ελεύθερο software είναι και πιο ασφαλές, σε σχέση με το κλειστό», υπογράμμισε ο καθηγητής, που θα μιλήσει στην ίδια εκδήλωση.

Οι «κερκόπορτες», τα Φώκλαντ, η Μάργκαρετ Θάτσερ και ο Μιτεράν
Το ανοιχτό (ελεύθερο) λογισμικό αποδεικνύεται πιο ασφαλές από το κλειστό, ακόμη και σε ευαίσθητους τομείς, όπως η εθνική άμυνα και τα οπλικά συστήματα. Γιατί; Λόγω της φύσης του, που επιτρέπει πλήρη πρόσβαση στον λεγόμενο «πηγαίο κώδικα» (source) και, άρα, μπορεί να ελεγχθεί γραμμή προς γραμμή και δεν προσφέρει στους επιτήδειους δούρειους ίππους και κερκόπορτες, για να «τρυπώνουν» στα πληροφοριακά συστήματα.
Θέλοντας να εξηγήσει τη σημασία της πρόσβασης στον πηγαίο κώδικα, ο κ. Βλάχος ανέφερε ένα πολιτικό περιστατικό, που περιλαμβάνεται και στη μελέτη του ΙΣΤΑΜΕ: «Κατά τη διάρκεια του πολέμου για τα νησιά Φώκλαντ, ανεπιβεβαίωτες πληροφορίες φέρουν τον Γάλλο πρόεδρο Φρανσουά Μιτεράν να είχε παραδώσει μυστικούς κωδικούς για την απενεργοποίηση των γαλλικών πυραύλων Exocet στη βρετανική κυβέρνηση, κατόπιν απειλών της Αγγλίδας πρωθυπουργού Μάργκαρετ Θάτσερ ότι θα χρησιμοποιήσει πυρηνικά όπλα. Το παραπάνω περιστατικό είτε είναι αληθές είτε όχι, τονίζει τη σημασία ύπαρξης του πηγαίου κώδικα καθώς είναι εφικτό από τεχνολογικής πλευράς, πανάκριβα οπλικά συστήματα να καταστούν ανενεργά».

Οπλο κατά του ελληνικού «brain drain»
Παράλληλα, οι ανάγκες παραμετροποίησης και συντήρησης του ανοιχτού λογισμικού μπορούν να δημιουργήσουν έργο για εγχώριες εταιρείες πληροφορικής και να δώσουν δουλειά σε χιλιάδες νέους Ελληνες μηχανικούς, που σήμερα γίνονται επιστημονικοί μετανάστες.
Υπάρχουν βέβαια και κάποια -μάλλον ήσσονος σημασίας- μειονεκτήματα, που σχετίζονται με το «φτωχότερο» περιβάλλον των προγραμμάτων, που ίσως ξενίζει τους χρήστες του πιο... πλουμιστού, εμπορικού λογισμικού, αλλά και με το ρίσκο δικαστικών διώξεων, από εταιρείες που αναπτύσσουν επώνυμο, εμπορικό software.
«Η κατάσταση που ζούμε, με το Μνημόνιο, καθιστά απαγορευτικές τις συμπεριφορές του παρελθόντος. Στην Ελλάδα έχουμε εξαιρετικά μυαλά, που σήμερα λειτουργούν σαν μεταπωλητές ξένων προϊόντων λογισμικού. Ποτέ δεν μπόρεσα να καταλάβω πώς είναι δυνατόν κάθε μικρός Δήμος και Κοινότητα στην Ελλάδα να χρησιμοποιεί πανάκριβο λογισμικό, που θα ήταν αρκετό π.χ., για να καλύψει τις ανάγκες ενός μεγάλου διεθνούς αεροδρομίου της τάξης του ‘Ελευθέριος Βενιζέλος’», είπε χαρακτηριστικά ο κ. Βλάχος.
Τα οφέλη του ανοιχτού ελεύθερου λογισμικού και του λογισμικού ανοιχτού κώδικα (ΕΛΛΑΚ), όμως, δεν σταματούν στο σημαντικά χαμηλότερο κόστος τους (στο ένα δέκατο ενός εμπορικού, με ελάχιστο κόστος συντήρησης) ούτε μόνο στη δημιουργία θέσεων εργασίας υψηλών προσόντων, που θα περιόριζε την ελληνική «διαφυγή εγκεφάλων» (brain drain).

Κατάλληλο ακόμη και για υπολογιστές δεκαετίας
Σύμφωνα με τον κ. Βλάχο, ένα μεγάλο πρόσθετο πλεονέκτημα του ΕΛΛΑΚ είναι ότι, ενώ τα νέα συστήματα απαιτούν υπολογιστές με αυξημένες δυνατότητες (και άρα αγορά καινούργιου hardware), αυτά του ελεύθερου λογισμικού «μπορούν άνετα να εγκατασταθούν σε μηχανήματα πενταετίας ή και δεκαετίας».
Παράλληλα, περιορισμένο είναι το λεγόμενο «κόστος εξόδου τεχνολογίας» καθώς το ανοιχτό λογισμικό προσαρμόζεται πολύ πιο εύκολα στην αλλαγή αναγκών, χωρίς να χρειάζονται συνεχείς επί πληρωμή αναβαθμίσεις (updates) και «χωρίς ο χρήστης να εγκλωβίζεται ισόβια στο μοντέλο που χρησιμοποιεί χρόνια».

Να δημιουργηθεί ιστορική βάση δεδομένων για κοστολογημένα έργα
Στο μεταξύ, τη δημιουργία ιστορικής βάσης δεδομένων με κοστολογημένα έργα πληροφορικής στο δημόσιο ή/και ενός παρατηρητηρίου κόστους προμηθειών, πρότεινε, μιλώντας στο ΑΠΕ - ΜΠΕ, ο κ. Σταμέλος.
Οπως εξήγησε, αν δημιουργηθεί μια τέτοια βάση, θα υπάρχει επιτέλους ένας δείκτης (benchmark), που θα μπορούσε να βοηθήσει σημαντικά στην εξοικονόμηση κόστους.
Πόσο εύκολο είναι, όμως, να αντλήσει κάποιος συγκεκριμένα στοιχεία για τα κοστολογημένα έργα του παρελθόντος στην Ελλάδα; «Είναι πράγματι πολύ δύσκολο, αλλά αν καταφέρναμε να δημιουργήσουμε αυτή τη βάση ακόμη και σήμερα, σε ένα έως δύο χρόνια θα μπορούσε να έχει κάποιος αυτό που χρειάζεται», σημείωσε.
Διεθνή βάση δεδομένων κοστολογημένων έργων, με στοιχεία από πολλές χώρες ανά την υφήλιο, την οποία θα μπορούσε να αξιοποιήσει σαν «μπούσουλα» και το ελληνικό δημόσιο, έχει δημιουργήσει ο οργανισμός ISBSG, με έδρα την Αυστραλία. Συστήματα παρακολούθησης της κοστολόγησης λειτουργούν εδώ και δεκαετίες και στο Υπουργείο Αμυνας των Η.Π.Α.
Σύμφωνα με τον κ. Σταμέλο, το ελληνικό δημόσιο χρειάζεται -πέραν της βάσης δεδομένων- κι έναν συνδυασμό μεθόδων κοστολόγησης έργων.
Ενδεικτικό των οφελών που συνεπάγεται η κοστολόγηση είναι -μεταξύ άλλων- το παράδειγμα της Ιταλίας. Το 1993, χάρη στη χρήση ενός εργαλείου κοστολόγησης έργων πληροφορικής στον τομέα των τηλεπικοινωνιών, το οποίο συνεκτιμούσε πληροφορίες σχετικά με το μέγεθος του κάθε project και τα ποιοτικά χαρακτηριστικά του, η γειτονική χώρα κατόρθωσε να εξοικονομήσει πάνω από 1 δισ. λιρέτε

SEEDA-CECNSM 2019