Με την πληροφορία να αποτελεί το σημαντικότερο asset μιας εταιρείας και τις επιθέσεις να αυξάνονται ολοένα και περισσότερο, η ασφάλεια αναδεικνύεται σε κυρίαρχη πρόκληση και απαίτηση. Για να επιτευχθεί όμως το μέγιστο επίπεδο της ασφάλειας, χρειάζεται βαθιά κατανόηση των ευπαθειών αλλά και των πηγών προέλευσης των κινδύνων.
«ΙT, infrastructure, network, cloud, hacker, virus, penetration testing, vulnerability assessment, wires, CAT5/6, fiber optics, router, switch, rack…» είναι μερικές από τις λέξεις που απαρτίζουν το λεξιλόγιο μιας σύγχρονης υποδομής Πληροφορικής. Πώς όμως διαχειρίζεται σήμερα ο εκάστοτε IT / Network administrator τις υποδομές αυτές και πόσο σίγουρος είναι ότι αυτές είναι και ασφαλείς;
Δυστυχώς, τα δεδομένα και οι στατιστικές των τελευταίων ετών, σε συνδυασμό με τις συνεχείς επιθέσεις σε εγκαταστάσεις και ιστοσελίδες στην Ελλάδα, μας λένε πως η έννοια της ασφάλειας είναι ανύπαρκτη! Σε αυτό έχουν συμβάλει, για μεγάλο χρονικό διάστημα, η στείρα γνώση και η μη πρακτική εφαρμογή των θεωριών σε πραγματικό χώρο που δέχεται επιθέσεις. Ο IT / Network administrator είναι απαίδευτος και δεν έχει καλή και σε βάθος γνώση των τεχνολογικών υποδομών, αλλά ούτε και φυσικά των πρωτοκόλλων και εφαρμογών που «συνεργάζονται» για την επίτευξη του στόχου και την παροχή υπηρεσιών σε ένα εταιρικό δίκτυο.
Ας πάρουμε όμως τα πράγμα με τη σειρά! Το πρόβλημα ξεκινά, ξεκάθαρα, από την παιδεία και την κακή έως ανύπαρκτη εμβάθυνση της γνώσης των ειδικευμένων που αναλαμβάνουν τη διαχείριση ενός συστήματος Πληροφορικής. Εάν ο υπεύθυνος δεν λάβει σωστές γνώσεις, τότε και οι πράξεις του θα είναι μοιραία εσφαλμένες ή ελλιπείς. Το άρθρο αυτό έχει ως στόχο να ενημερώσει τον αναγνώστη του σχετικά με τις ευπάθειες των υφιστάμενων υποδομών και έπειτα να προσδώσει παραδείγματα λύσεων, τα οποία είναι αποτελεσματικά και άμεσα, εξηγώντας παράλληλα σε βάθος τις υποδομές.
Η εποχή της πληροφορίας
Η εποχή μας έχει «βαφτιστεί» -και όχι άδικα- ως ο αιώνας της πληροφορίας και της Πληροφορικής, οπότε συνεχώς «βομβαρδιζόμαστε» από καταιγιστικά δεδομένα, τα οποία πρέπει να επεξεργαστούμε για να πάρουμε αποφάσεις και να πράξουμε ανάλογα. Η πληροφορία, όμως, είναι εύκολο να μεταβληθεί, να αλλάξει, να μετασχηματιστεί και να δημιουργήσει εσφαλμένες αντιλήψεις ή να μας οδηγήσει εσκεμμένα σε λάθος δρόμο.
Επίσης, υπάρχουν μέθοδοι με τις οποίες η πληροφορία μπορεί να παρουσιάζεται σε κάποιους ως ασήμαντη, ενώ την ίδια στιγμή λίγο παραπέρα κάποιος άλλος την εκμεταλλεύεται και αντλεί σημαντικά και απόρρητα, πολλές φορές, δεδομένα!
«Καλοί» και «κακοί» hackers
Φτάνοντας σε αυτό το σημείο, μπορούμε να παρουσιάσουμε τον άνθρωπο που ζει ανάμεσά μας και που έχει τις γνώσεις και τις μεθόδους να πράξει τα παραπάνω. Αυτός είναι η πηγή του «κακού» και ο υπαίτιος για όλα τα προαναφερθέντα σύμφωνα με τα Μέσα Μαζικής Ενημέρωσης, τα οποία του έχουν προσδώσει έναν πολύ γενικό τίτλο. Τον ονομάζουν «Hacker»!
Ενας τίτλος, που όμως από μόνος του, δεν λέει απολύτως τίποτα στους γνώστες της Πληροφορικής, στους μηχανικούς και στους αρχιτέκτονες πληροφοριακών συστημάτων. Ο hacker είναι μια πολύ αφηρημένη έννοια. Ο συγγραφέας αυτού του άρθρου είναι hacker. Τι είναι, όμως, ο hacker και γιατί από μόνη της η λέξη αυτή δεν προσδίδει κάτι το κακό ή το καλό;
Σύμφωνα με το Jargon dictionary, ο hacker εκφράζει ένα τρόπο ζωής. Είναι ένα άτομο που έχει μια νοοτροπία ζωής, με βάση την οποία δεν αποδέχεται απλά ότι του λένε. Είναι ένα άτομο με οξύ νου και αναπτυγμένη την κριτική σκέψη, που προσπαθεί πάντα να μάθει πώς και γιατί τα πράγματα που βλέπει γύρω του λειτουργούν με αυτό τον τρόπο και πολλές φορές μπορεί να προτείνει πιο αποτελεσματικές λύσεις σε προβλήματα ή να αξιοποιήσει ένα σύνολο γνώσεων και υποδομών για να ικανοποιήσει τις δικές του ανάγκες. Οπως καταλαβαίνετε, ο hacker δεν έχει να κάνει πάντα και μόνο με την τεχνολογία και φυσικά δεν είναι πάντα κακός ή κακόβουλος.
Μερικά παραδείγματα hacker είναι ο πρωτοπόρος αρχιτέκτονας που σχεδιάζει κάτι με νέες προσθήκες, πέραν της κλασικής αρχιτεκτονικής, ο μηχανικός αυτοκινήτων που με καλή γνώση, αλλά με λιγότερα ανταλλακτικά από όσα θα έπρεπε να είχε, καταφέρνει και επισκευάζει ή ακόμα και βελτιστοποιεί έναν κινητήρα, ο ιστορικός που ανακαλύπτει μετά από χρόνια ερευνών χαμένες έννοιες και τις συνδέει με γεγονότα…
Βλέπουμε, λοιπόν, πως ο hacker είναι ο άνθρωπος της έρευνας, της αγάπης για την εργασία του, της καινοτομίας και της «πατέντας», όπως λέμε στην Ελλάδα.
Ο hacker της τεχνολογίας
Για να επικεντρωθούμε, όμως, στο χώρο μας και να προσδιορίσουμε τον hacker της Πληροφορικής με σαφήνεια, πρέπει ορίσουμε κάποιες κατηγορίες που τα τελευταία 20 χρόνια δίνουν «χρώμα» και κυριολεκτούν στις ενέργειές τους.
Η βασική κατάταξη των hackers είναι:
1. White Hat
2. Grey Hat
3. Black Hat.
White Hat: Οι White Hat hackers είναι τα «καλά» παιδιά της Πληροφορικής. Είναι ηθικοί και πάρα πολύ ικανοί. Είναι Security Experts και έχουν άμεσες λύσεις στα πιο δύσκολα προβλήματα. Επίσης, εγκαθιστούν λογισμικό και υλικό και το ρυθμίζουν με τέτοιο τρόπο, ώστε να είναι ανθεκτικό σε επιθέσεις και να προκαταλαμβάνει τυχόν ευπάθειες. Είναι αυτοί που διαβάζουν ασταμάτητα, εκπαιδεύονται και ενημερώνονται για να μη βρεθούν ποτέ στη δεύτερη θέση. Είναι η κατηγορία των διαχειριστών που λείπει από την Ελλάδα, λόγω της κακής παιδείας μας.
Grey Hat: Οι Grey Hat hackers είναι εξίσου καλοί και μοιάζουν σε πολλά σημεία με τους White Hats. Ομως, ένας Grey Hat δεν είναι και πάντα τόσο ηθικός και μπορεί την πληροφορία που θα τον ικανοποιεί να τη διαστρεβλώσει ή να την υποκλέψει. Οι Grey Hats έχουν μεγάλο πάθος με την άντληση πληροφοριών και είναι πολύ εκδικητικοί. Τέλος, είναι υπεύθυνοι για χιλιάδες επιθέσεις σε συστήματα και ιστοσελίδες σε όλο τον κόσμο.
Black Hat: Οι Black Hat hackers είναι άτομα με πολύ καλές γνώσεις, αλλά συνήθως διακρίνονται από κακεντρέχεια και μίσος για το σύνολο. Είναι περιθωριακοί τύποι και, πολλές φορές, πέρα από επιθέσεις, κάνουν και σπασίματα κωδικών ή cracks. Γενικά, διαβάζουν πολύ και έχουν εξαιρετικές δυνατότητες στην κατανόηση και τον προγραμματισμό σε χαμηλό επίπεδο. Σε αυτή την κατηγορία ανήκουν και πολλοί δυνατοί crackers, αν και σαν κατηγορία οι crackers είναι αυτόνομοι.
Οποια κατηγορία, όμως, και να κοιτάξουμε διακρίνουμε ένα κοινό σημείο: το σκάλισμα του τι υπάρχει μέσα στο «κουτί», η δίψα για γνώση, η τάση για εξερεύνηση. Από εκεί ξεκινάει ο μεγάλος αγώνας και η αντιπαράθεση. Οι επιθέσεις είναι μια μορφή πρόκλησης που ανεβάζει την αδρεναλίνη του επιτιθέμενου. Η δίψα του να ανακαλύψει ή να προσβάλει ένα σύστημα το οποίο θεωρείται ασφαλές, είναι το υπέρτατο ναρκωτικό που ικανοποιεί τον εγωισμό του!
Η άγνοια και η «σιγουριά» είναι επικίνδυνες
Εχοντας κατανοήσει τους κοινωνικούς και ψυχολογικούς παράγοντες της συμπεριφοράς ενός hacker, ένας οργανισμός, μια εταιρεία ή ένας ιστοχώρος, δεν θα είναι στο έλεος του επιτιθέμενου.
Αυτό φυσικά προϋποθέτει ότι η εκάστοτε επιχείρηση έχει φροντίσει να εκπαιδεύσει το προσωπικό της, έχει προσλάβει εξειδικευμένα άτομα και ικανούς administrators και φυσικά, έχει ενισχύσει τις άμυνες του δικτύου της και της εγκατάστασής της γενικά. Δυστυχώς, στην Ελλάδα όταν μια εταιρεία ακούει τις έννοιες «vulnerability assessment» και «penetration testing», είτε αδυνατεί να κατανοήσει τη σημαντικότητα των λέξεων και απλά τις απορρίπτει, είτε πιο συχνά, τις φοβάται ως κάτι άγνωστο ή άχρηστο. Είναι τρομακτικό το γεγονός πως στην Ελληνική επικράτεια υπάρχει η νοοτροπία του ότι είμαστε ασφαλείς και οι καλύτερα διασφαλισμένοι σε εγκαταστάσεις και συστήματα Πληροφορικής.
Το δε κωμικοτραγικό, είναι πως υπάρχουν άτομα με χρόνια εμπειρίας που υποστηρίζουν και έχουν την πεποίθηση ότι επειδή δεν έπεσαν ποτέ θύματα επιθέσεων, δεν θα πέσουν και στο μέλλον. Φαίνεται ότι οι κύριοι αυτοί δεν γνωρίζουν το κλασικό ρητό που λέει πως: «Το θέμα δεν είναι αν θα υπάρξει κάποια ηλεκτρονική επίθεση σε μια εταιρεία, αλλά το πότε θα γίνει!». Κοινώς το «αν» δεν είναι καν θέμα συζήτησης αλλά το «πότε» είναι, και αυτό δεν πρέπει να το αφήσουμε στην τύχη.
Εάν, λοιπόν, περιμένουμε την ημέρα που κάποιος hacker με τον ένα ή τον άλλο τρόπο θα εισβάλει στο σύστημά μας για να πάρουμε αντίμετρα, τότε πλέον είναι σίγουρο πως έχουμε πάθει μεγάλη ζημιά και το μέλλον της εταιρείας, ή του εκάστοτε οργανισμού, είναι στο έλεος του επιτιθέμενου. Αυτό είναι απαράδεκτο!
Διαδεδομένες μέθοδοι επιθέσεων
Ας δούμε ποιες είναι οι πιο κλασικές μέθοδοι επιθέσεων, καθώς και οι τεχνικές που ακολουθούνται από τους Grey Hat και Black Hat hackers:
1. Cross Site Scripting (XSS)
2. SQL Injection (SQLi).
Cross Site Scripting (XSS): είναι η τεχνική κατά την οποία ο επιτιθέμενος εισαγάγει τμήματα κώδικα σε μια ιστοσελίδα, τα οποία με τη σειρά τους εκτελούνται όταν ένας χρήστης «βλέπει» την ιστοσελίδα από τον υπολογιστή του. Εάν αυτό συμβεί, και ο επιτιθέμενος έχει προγραμματίσει με τέτοιο τρόπο τον κώδικα, ώστε να αποστέλλει πληροφορίες όπως τα «session cookies», τότε μπορεί μέσα σε μερικά λεπτά να αποκτήσει πρόσβαση με στοιχεία άλλων χρηστών.
SQL Injection (SQLi): είναι η τεχνική κατά την οποία ο επιτιθέμενος παρεμβάλει τμήματα κώδικα μέσω της address bar του browser και επηρεάζει ή αλλάζει τη λογική των SQL εντολών που «τρέχουν» πίσω από την ιστοσελίδα και εξυπηρετούν τη φόρτωση περιεχομένων. Ο επιτιθέμενος είναι ικανός να υποκλέψει στοιχεία από τη βάση δεδομένων, να αλλάξει ή ακόμα και να σβήσει όλα τα δεδομένα.
Οπως καταλαβαίνετε, τα παραπάνω μπορούν να συνδυαστούν και ο επιτιθέμενος να έχει πλήρη πρόσβαση στον απομακρυσμένο server που βρίσκεται η προς επίθεση ιστοσελίδα. Πέραν των παραπάνω μεθόδων, υπάρχουν κι άλλες κλασικές ή πιο νέες ή πιο εξειδικευμένες τεχνικές, που όμως δεν είναι συνήθεις λόγω της δυσκολίας υλοποίησής τους.
Το προφίλ του επιτιθέμενου στην Ελλάδα
Το ανησυχητικό, όμως, δεν είναι η πληθώρα τρόπων επιθέσεων, αλλά τα άτομα και οι ηλικίες αυτών που είναι ικανοί να πράξουν και να ολοκληρώσουν μια ηλεκτρονική επίθεση στην εποχή μας. Στατιστικά και μιλώντας μόνο για την Ελλάδα, έχει παρατηρηθεί ότι το εύρος των ηλικιών των επιτιθέμενων είναι από 12 – 25 ετών! Είναι πραγματικά δύσκολο να αποδεχτούμε πως ένας έφηβος ηλικίας μόλις 15 ετών μπορεί μέσα σε λίγα λεπτά να καταστήσει άχρηστα τα συστήματα ασφαλείας και τους ειδικευμένους διαχειριστές μιας τράπεζας!
Ομως για τα πάντα υπάρχει μια εξήγηση. Σήμερα το Internet αποτελεί μια τεράστια βιβλιοθήκη γνώσης, αλλά και λογισμικού / υλικού. Είναι εύκολο για ένα παιδί να βρει μερικές πηγές και να κατεβάσει έτοιμα εργαλεία ή βοηθητικά λογισμικά, που θα του δώσουν τα εφόδια ώστε να εκτελέσει μια επιτυχημένη επίθεση.
Δεν αποτελεί, λοιπόν, πανάκεια το ότι ο επιτιθέμενος μπορεί να είναι ένας γνώστης, ένας ειδικευμένος ή ένας hacker. Μπορεί κάλλιστα να είναι το παιδί της διπλανής πόρτας. Αυτό, όμως, είναι και το πιο ανησυχητικό και δυστυχώς δεν το κατανοούν οι εταιρείες και οι οργανισμοί.
Ας αναλογιστούμε μόνο πως εάν ανάμεσα στα χιλιάδες παιδιά της χώρας μας ένα μικρό ποσοστό «παίζει» και περνάει την ώρα του κάνοντας ηλεκτρονικές επιθέσεις, τότε κάθε μέρα οι εταιρείες, οι οργανισμοί, τα υπουργεία, οι σταθμοί, τα νοσοκομεία και άλλα θα είναι σε συνεχή κίνδυνο. Τέλος, τι θα γινόταν εάν ένα μέρος μόνον αυτών των παιδιών στο κοντινό μέλλον γίνουν ικανοί hackers;
Στόχος η ολοκληρωμένη προστασία
Για να αποφευχθούν, λοιπόν, οι επιθέσεις και να είναι έτοιμες οι εταιρείες να ανταπεξέλθουν, θα πρέπει να υπάρχει ενημέρωση, οργάνωση, εκπαίδευση και συνεχής έλεγχος των εγκαταστάσεων.
Το πρότυπο ISO 27000 καθορίζει όλες τις μεθοδολογίες, καλές πρακτικές και κινήσεις μέσα σε μια εταιρεία, ώστε να προφυλαχτεί και να συνεχίζει να προφυλάσσει τις εταιρικές πληροφορίες. Επιπλέον, το ISO 27000 καθορίζει πρότυπα για την καταγραφή και την οργάνωση του τμήματος της Πληροφορικής μέσα σε έναν οργανισμό ή εταιρεία. Για την ολοκληρωμένη προστασία δεν φτάνει, όμως, μόνον αυτό. Οι εταιρείες πρέπει να επαγρυπνούν και να κάνουν συνεχείς ελέγχους σε τακτά χρονικά διαστήματα λίγων εβδομάδων για πιθανές ευπάθειες των υποδομών τους.
Για το λόγο αυτό, υπάρχουν οι μεθοδολογίες και οι τεχνικές, μαζί με τα κατάλληλα λογισμικά και τους κανόνες, που βοηθούν στην έγκαιρη καταγραφή και επίλυση των πιθανών ευπαθειών που ίσως ανακαλυφθούν.
Για την επίτευξη του στόχου, η διαδικασία περιλαμβάνει τρία βασικά βήματα:
1. Vulnerability Assessment: Η διαδικασία κατά την οποία ένα σύστημα ελέγχεται με εργαλεία και μεθοδολογίες για την τεκμηρίωση των πιθανών ευπαθειών του.
2. Penetration Testing: Η διαδικασία κατά την οποία ένα σύστημα τίθεται υπό επίθεση από εξουσιοδοτημένο και εξειδικευμένο τεχνικό προσωπικό για να ανακαλυφθούν ευπάθειες και τρωτά σημεία. Συνήθως συνδυάζεται με το Vulnerability Assessment και μάλιστα ακολουθεί αυτού.
3. Επίλυση προβλημάτων και ευπαθειών.
Είδαμε λοιπόν, γενικά, τι είναι ένας hacker και πώς παιδιά με ελάχιστες γνώσεις Ηλεκτρονικών Υπολογιστών μπορούν να βλάψουν μια εταιρεία με τη βοήθεια έτοιμων λογισμικών. Είδαμε πώς γίνονται οι συνήθεις επιθέσεις, ποιοι είναι οι πιθανοί επιτιθέμενοι και πώς μπορεί μια εταιρεία να προστατευθεί.
Κλείνοντας, θέλω να επισημάνω πως οι εταιρείες για να προστατευθούν πρέπει να δίνουν πάντα προσοχή ακόμα και σε θέματα που φαίνονται ασήμαντα, τόσο για τις εγκαταστάσεις όσο και τα λογισμικά τους. Πρέπει να θυμούνται πάντα πώς ο επιτιθέμενος θα στηριχθεί στο γεγονός της αδιαφορίας ή της μη κατανόησης της σοβαρότητας του κινδύνου σε θεωρητικά «μικρά» προβληματάκια.