Ζητείται αντίδοτο στη θύελλα

Στην αρχή της τελευταίας εβδομάδας του Οκτωβρίου έλαβε χώρα στο Αμστερνταμ το τριήμερο ετήσιο συνέδριο ασφάλειας υπολογιστικών συστημάτων, RSA Europe 2013. Σκοπός του συνεδρίου ήταν να παρουσιαστούν και να συζητηθούν τα νέα εργαλεία και πολιτικές προστασίας των ψηφιακών δεδομένων ατόμων και επιχειρήσεων –όλων όσων απαρτίζουν τελικά τον διαδικτυωμένο πλανήτη μας. Ωστόσο, κατά σύμπτωση, το τριήμερο αυτό αποδείχθηκε «μαρτυρικό» για τους ηρακλείς της ασφάλειας, καθώς οι εφημερίδες «Washington Post» και «Guardian» αποκάλυψαν τον τρόπο με τον οποίο οι μυστικές υπηρεσίες ΗΠΑ και Βρετανίας υπέκλεπταν εδώ και επτά χρόνια τις επικοινωνίες όλων μας! Οπότε το ερώτημα πλέον που προέκυπτε ήταν διττό: «Πώς μπορούν να προστατευθούν τα δεδομένα μας;» και «Ποιος θα μας προστατέψει από τους προστάτες μας;».

Το συνεδριακό κέντρο RAI του Αμστερνταμ, όπου έλαβε χώρα το πανευρωπαϊκό συνέδριο ασφάλειας δεδομένων

Το συνέδριο RSA Europe 2013 προσέφερε αφενός μια καταγραφή των κυβερνοεπιθέσεων που δέχθηκαν τον τελευταίο χρόνο τα εν δικτύω δεδομένα μας και αφετέρου τις νέες προτάσεις βελτίωσης της ασφάλειάς τους. Δεν ήταν εύκολο να παρακολουθήσει κανείς τις 43 εισηγήσεις που έγιναν, όχι μόνο λόγω του αριθμού τους αλλά και διότι κάποιες «ζουμερότατες συνεδρίες» δεν ήταν ανοιχτές στους δημοσιογράφους. Τα θέματα ήταν από «καταναλωτικά» –όπως τι είδους ιοί είναι της μόδας –ως στρατηγικά –όπως τι σύστημα ψηφιακής άμυνας έχει το ΝΑΤΟ.

Στην εναρκτήρια ομιλία του συνεδρίου ο πρόεδρος της διοργανώτριας εταιρείας RSA (και αντιπρόεδρος της μητρικής της EMC Corp.), Art Coviello, προκήρυξε την ανωνυμία (μέσω δικτύων Tor ή VPN) ως τον εχθρό της ιδιωτικότητας, καθ’ ότι «παραδίδει τα δίκτυά μας στους εχθρούς μας, χωρίς να φοβούνται ότι θα αποκαλυφθούν ή ότι θα οδηγηθούν στο δικαστήριο». Υποστήριξε ότι οι ανησυχίες προστασίας της ιδιωτικής ζωής που προέκυψαν από τις αποκαλύψεις για τις δραστηριότητες της αμερικανικής υπηρεσίας εθνικής ασφάλειας NSA δεν θα πρέπει να εμποδίσουν την υιοθέτηση ισχυρών εργαλείων παρακολούθησης, τα οποία –όπως είπε –είναι ζωτικής σημασίας για τη ματαίωση κυβερνοεισβολών. Εξήγησε ότι «οι παραδοσιακές μέθοδοι άμυνας αποδεικνύονται όλο και πιο αναποτελεσματικές, οι παραδοσιακοί έλεγχοι ασφαλείας όλο και πιο παρωχημένοι και κάθε επιχείρηση που στηρίζεται σε τέτοιους κινδυνεύει να αλωθεί».

Αλλά τα καλά νέα, είπε ο κ. Coviello, έρχονται από το ότι ορισμένες επιχειρήσεις έχουν αρχίσει να υιοθετούν έξυπνα συστήματα ασφαλείας, που ενσωματώνουν ανάλυση υποβάθρου. «Αυτό που κάνει τα έξυπνα συστήματα ασφάλειας οδηγό για το μέλλον», δήλωσε, «είναι ότι εξαλείφουν την ανάγκη για εκ των προτέρων γνώση των μεθόδων επίθεσης. Αντ’ αυτής, τα έξυπνα συστήματα εντοπίζουν τυχόν ανώμαλη συμπεριφορά, στους ανθρώπους, στην κυκλοφορία του δικτύου ή στις συσκευές του». Ωστόσο ο κ. Coviello προειδοποίησε ότι η επίτευξη ασφάλειας παρεμποδίζεται από την υπερβολική ευαισθησία για διασφάλιση της ιδιωτικότητας. «Πρέπει να βρούμε την ισορροπία ανάμεσα στον Μεγάλο Αδελφό και στην Ανωνυμία, με το να επενδύσουμε στη διακυβέρνηση και στη διαφάνεια με έξυπνες τεχνολογίες ασφάλειας».

Αντί άλλου σχολιασμού αυτών των δηλώσεων, παραθέτω το τι σημείωσε στο ιστολόγιό του ο σύμβουλος ασφάλειας Dave Whitelegg: «Η οπτική του Art (Coviello) υπογραμμίζει τη διαφορά νοοτροπίας απέναντι στην προστασία της ιδιωτικής ζωής που υπάρχει μεταξύ Ηνωμένων Πολιτειών και Ευρώπης. Η Ευρωπαϊκή Ενωση οικοδομήθηκε πάνω στα δικαιώματα των πολιτών της, συμπεριλαμβανομένου του δικαιώματος στην ιδιωτικότητα, ένα δικαίωμα που η ΕΕ επιθυμεί να διασφαλίζεται και εν δικτύω, ενώ η άποψη των ΗΠΑ τείνει να είναι «η προστασία της ιδιωτικής ζωής είναι νεκρή», πιστεύοντας ότι η μάχη αυτή έχει ήδη χαθεί».

Την ίδια πρώτη ημέρα του συνεδρίου αίσθηση προκάλεσε η παρουσίαση από τη Microsoft της νέας μεθοδολογίας της Επιχειρησιακής Επιβεβαίωσης Ασφάλειας (OSA), από το στέλεχός της Mike Reavey. Πρόκειται για έναν μπούσουλα ανάπτυξης υπηρεσιών διαχείρισης δεδομένων στα «ψηφιακά σύννεφα» του Διαδικτύου (βλ. σχετικά στην ένθετη συνέντευξη του Reavey προς «Το Βήμα»). Παράλληλα όμως η Microsoft παρουσίασε και το τελευταίο της «Security Intelligence Report», με στοιχεία του πρώτου εξαμήνου του 2013 παρμένα από 1 δισεκατομμύριο υπολογιστές με Windows. Προκύπτει πως το εξάμηνο αυτό το 17% των υπολογιστών εκτέθηκε σε κακόβουλα λογισμικά και πως, παρ’ ότι τα Windows 8 αποτέλεσαν παρόμοιο στόχο με τα Windows XP, οι χρήστες των Windows 8 ήταν έξι φορές πιο προστατευμένοι από την προσβολή.

Το ενδιαφέρον της «καταγραφής της κατάστασης» κορυφώθηκε αργότερα, σε μια στρογγυλή τράπεζα, όπου ειπώθηκε ότι η συντριπτική πλειονότητα (90%-95%) των επιθέσεων περιλαμβάνει κάποια πτυχή της κοινωνικής μηχανικής, όπως το phishing, όπου οι χρήστες εξαπατούνται και παραδίδουν τους κωδικούς τους σε έναν ψεύτικο ιστότοπο. Ο ρουμάνος διευθυντής Ερευνών της Kaspersky Lab, Costin Raiu, δήλωσε ότι μόνο στην Κίνα δρουν 100-200 ομάδες χάκερ και μίλησε για συμμορίες έξω από την Κίνα που ενοικιάζουν δικτυακές διευθύνσεις μέσω των κινεζικών παρόχων προκειμένου να αποκρύψουν την πραγματική προέλευση των επιθέσεων κάτω από ψεύτικη σημαία. Ο διευθυντής της ομάδας κυβερνοεγκλήματος της Europol, Jaap van Oss, συμπλήρωσε ότι η ποικιλία δεξιοτήτων των χάκερ του κοινού ποινικού δικαίου είναι παρόμοια με εκείνη που διαπιστώνεται στους «κρατικά επιχορηγούμενους χάκερ». Ο Neil Thacker, της Websense, είπε ότι η «αντεπίθεση» (hacking back) κατά των επιτιθεμένων είναι μια πιθανή απάντηση στην κυβερνοκατασκοπεία. Αυτή μπορεί, για παράδειγμα, να περιλαμβάνει αποδιοργάνωση των συστημάτων που συνδέονται με μια συγκεκριμένη επίθεση. Ωστόσο ένας τέτοιος ανταρτοπόλεμος είναι νομικά ακάλυπτος. Ο Michael Belton, επικεφαλής της ομάδας υπηρεσιών αξιολόγησης της Rapid7, σχολίασε εκ των υστέρων πως «ανησυχητικό γεγονός για τη βιομηχανία ασφάλειας είναι το ότι τα επίπεδα δεξιοτήτων που απαιτούνται για να χρησιμοποιηθούν τα εργαλεία hacking γίνονται όλο και χαμηλότερα κάθε χρόνο. Ετσι το πρόβλημα πρόκειται να γίνει μόνο χειρότερο» κατέληξε.

Την επόμενη ημέρα ο αντιπρόεδρος και τεχνικός διευθυντής της Symantec, Stephen Trilling, τόνισε στην εισήγησή του πως τα καλύτερα αντιβιοτικά προγράμματα της αγοράς κατορθώνουν να εντοπίσουν και να αναχαιτίσουν πολλές επιθέσεις, αλλά αποτυγχάνουν να συνεργαστούν μεταξύ τους ώστε να αναβαθμίσουν την άμυνά τους. «Καθένα από αυτά τα προϊόντα είναι ένα νησί», είπε, «που προσπαθεί να ανιχνεύσει επιθέσεις αποκομμένο από κάθε άλλο προϊόν, χωρίς να γνωρίζει τίποτε για το τι συμβαίνει στο ευρύτερο δίκτυο». Κατά τον Trilling, αυτή η μυωπική αντιμετώπιση μπορεί να αλλάξει μόνο αν δημιουργηθεί ένα διαδικτυακό αποθετήριο τηλεμετρήσεων ασφάλειας, σε σύννεφο (cloud). Αυτό το αποθετήριο θα μπορεί να εξορύσσει μεγάλο όγκο δεδομένων για να εντοπίζει απειλές που δεν εκδηλώνονται αμέσως, παρά μόνο έπειτα από κάποιο χρονικό διάστημα. Η προσέγγιση αυτή θα επιτρέψει επίσης σε διάφορους οργανισμούς του ίδιου κλάδου να συνεργαστούν και να μοιραστούν τις εμπειρίες τους. «Ως αποτέλεσμα», κατέληξε, «θα έχουμε ένα σύστημα με θέα τον κόσμο, που θα συνδυάζει στοιχεία από τον κάθε οργανισμό με στοιχεία από άλλες επιχειρήσεις και γεωγραφικές περιοχές για να εντοπίζει απειλές που διαφορετικά θα έμεναν αόρατες».

Τα υπόλοιπα εντυπωσιακά θέματα του συνεδρίου είχαν να κάνουν με την εν εξελίξει «κάθοδο των ιών στα έξυπνα τηλέφωνα» και το τι αντιμετώπισε η ομάδα ασφάλειας του ιστοτόπου των Ολυμπιακών Αγώνων του Λονδίνου.

Ως προς το πρώτο, ο Grayson Milbourne της Webroot προειδοποίησε ότι το κακόβουλο λογισμικό για συσκευές με λειτουργικό σύστημα Android αυξάνεται και ότι το «ransomware» αναμένεται να συμπεριληφθεί στην επόμενη γενιά των απειλών. Για τους μη γνωρίζοντες, ransomware (λογισμικό λύτρων) ονομάζεται ο τύπος προγράμματος που κλειδώνει τις συσκευές των χρηστών και τους ζητεί έπειτα χρήματα και κωδικούς για να τους επιτρέψει ξανά την πρόσβαση.

Ως προς το δεύτερο, ο Mark Hughes, διευθύνων σύμβουλος ασφαλείας του βρετανικού οργανισμού τηλεπικοινωνιών BT, έδωσε εντυπωσιακά στατιστικά στοιχεία σχετικά με το πώς επιτεύχθηκε μια απρόσκοπτη και ασφαλής υποδομή δικτύου κατά τη διάρκεια των Ολυμπιακών και Παραολυμπιακών Αγώνων του Λονδίνου το 2012. Μερικά από αυτά τα στοιχεία είναι: Τουλάχιστον μία καμπάνια χακτιβισμού κάθε ημέρα, 2,31 δισεκατομμύρια περιστατικά παρενόχλησης της λειτουργίας, 11.000 κακόβουλες αιτήσεις ανά δευτερόλεπτο, 212 εκατομμύρια κακόβουλες προσπάθειες να μπλοκάρουν τη σύνδεση. Το πιο εντυπωσιακό ήταν η γεμάτη ικανοποίηση δήλωση του Hughes ότι «καμία επίθεση δεν κατάφερε τον στόχο της».

Ολοκληρώνοντας το τριήμερο αυτού του σημαντικού συνεδρίου αναζήτησα απόψεις των συνέδρων. Χαρακτηριστικά κοινή ήταν η στάση τους να μη δεχθούν να μου μιλήσουν επώνυμα. Την απορία μου επέτεινε η εκμυστήρευση κορυφαίου στελέχους της EMC (της μητρικής της διοργανώτριας RSA) ότι «εφέτος πολλοί σύνεδροι επιχείρησαν να έλθουν χωρίς να δώσουν τα πραγματικά στοιχεία τους».

Επίσης χαρακτηριστική ήταν η δήλωση που μου έκανε στέλεχος ισραηλινής επιχείρησης ασφαλείας επικοινωνιών των τραπεζών –πάντοτε ανώνυμα: «Ολοι αυτοί που μας μίλησαν στο συνέδριο νομίζουν ότι μπορούν να αντιμετωπίσουν το κυβερνοέγκλημα μόνο με την τεχνολογία. Δεν καταλαβαίνουν πως πρέπει να την αναμείξεις με την κοινωνιολογία… Για παράδειγμα, ο τρόπος που εγώ σταματώ τον χάκερ από το να χτυπήσει την τράπεζα που προστατεύω δεν είναι απλά να τον βρω αλλά και να μάθω τα πάντα γι’ αυτόν και την οικογένειά του. Μόνο όταν νιώσει την απειλή για τα αγαπημένα του πρόσωπα δεν θα ξανατολμήσει να μπλεχτεί στα πόδια μας».

Ανατριχιάζοντας, σκέφθηκα αυτόματα τις δοξολογίες για τα «έξυπνα συστήματα ασφαλείας», που θα αναλύουν τα «στοιχεία υποβάθρου» και τις «διαφορετικές συμπεριφορές». Πόσο θα διαφέρουν τελικά από τα όσα είδαμε στην ταινία «Minority Report»;

Αλλά η έκπληξή μου έμενε να ολοκληρωθεί με την απάντηση του προαναφερθέντος κορυφαίου στελέχους της EMC. Οταν τον ρώτησα τι θεωρεί μεγαλύτερη απειλή για τον κόσμο των Big Data που τώρα οικοδομείται στα «σύννεφα», μου είπε σιβυλλικά: «Την έλλειψη κοινωνικών ανακλαστικών». Μου εξήγησε τι εννοεί με την εξής προσωπική του ιστορία: «Πήγαμε το καλοκαίρι διακοπές στο Γκραν Κάνιον, μέσα σε άμαξα, με άλογα και καουμπόηδες. Μόλις χάθηκε το σήμα του Internet, τα παιδιά γύρισαν απελπισμένα στα βιντεοπαιχνίδια των συσκευών τους. Και μόλις τέλειωσε κάποτε και η μπαταρία τους, έτρεξαν με πλήρη απόγνωση στον οδηγό καουμπόη και τον ρώτησαν πού μπορούν να φορτίσουν τις συσκευές τους. Εκείνος απάντησε για πλάκα «στον κάκτο-φορτιστή». Και τότε είδα τα παιδιά μου –που δεν τα έχω για χαζά –να ορμούν επάνω μου με αγωνία και να μου ζητούν να τους δείξω ποιος είναι ο κάκτος που φορτίζει… Καταλαβαίνεις ότι μεγαλώνουμε μια νέα γενιά ανίκανη να ζήσει εκτός της εικονικής πραγματικότητας, απόλυτα εθισμένη στον κόσμο του Διαδικτύου. Αυτή η γενιά δεν θα έχει αντιστάσεις… και θα γίνει αναπόφευκτα θύμα όποιου έχει τα κλειδιά του ψηφιακού της κόσμου».

ΥΓ.: Το τι ακριβώς αποκαλύφθηκε για την υποκλοπή των δεδομένων μας από τις μυστικές υπηρεσίες, μπορείτε να το διαβάσετε αγγλιστί στις εξής δικτυακές διευθύνσεις:

και www.theguardian.com/world/interactive/2013/nov/01/snowden-nsa-files-surveillance-revelations-decoded#section/1.