Το defacement ενός ιστοτόπου αποτελεί μια μορφή ψηφιακού βανδαλισμού. Δε συνιστά νέα μορφή δραστηριότητας, αλλά μια έκνομη συμπεριφορά που συναντάται εδώ και χρόνια στον κυβερνοχώρο.

 

Γεώργιος Γέρμανος
Υπ. Διδάκτωρ Πληροφορικής & Τηλεπικοινωνιών
www.cybersafety.gr

 Πρακτικά, το γεγονός ότι ένας ιστότοπος έχει υποστεί defacement, σημαίνει ότι κάποιος χρήστης χωρίς εξουσιοδότηση προέβη σε αλλαγές (κατά βάση) στην εμφάνιση του ιστοτόπου, ιδίως μέσω αντικατάστασης κειμένων, εικόνες ή ολόκληρου του περιεχομένου του ιστοτόπου, που βρίσκεται αποθηκευμένο σε έναν εξυπηρετητή (server).

Μπορεί, μάλιστα, πίσω από μια ενέργεια defacement να ενυπάρχει συγκεκαλυμένη μια άλλη κακόβουλη ενέργεια, όπως για παράδειγμα είτε η φόρτωση κακόβουλου λογισμικού στον εξυπηρετητή, είτε η διαγραφή κρίσιμων αρχείων που βρίσκονται αποθηκευμένα σε αυτόν, είτε ακόμα και η υποκλοπή αρχείων με που περιέχουν προσωπικά δεδομένα.

 Κίνητρα

Οι κακόβουλοι χρήστες που προβαίνουν σε defacement έχουν, σε ένα μεγάλο ποσοστό των περιπτώσεων, πολιτικά, ιδεολογικά ή θρησκευτικά κίνητρα. Ο ακτιβισμός (activism) εναλλάσσεται με τον χακτιβισμό (hacktivism). Οι κακόβουλες ενέργειες μπορούν να λάβουν μορφή αντίστοιχη με μαζικής λαϊκής διαμαρτυρίας, αφού οι χρήστες οργανώνονται σε ομάδες μέσω των ιστοσελίδων κοινωνικής δικτύωσης και online fora, μοιραζόμενοι εργαλεία και οδηγίες επίθεσης μέσω video tutorials και κανονίζοντας «οργανωμένες» επιθέσεις σε συγκεκριμένους χρόνους.

 Αντίκτυπος

Κι αν η «τεχνική» ζημιά στον ιστότοπο μπορεί να είναι μικρή και να διορθώνεται εύκολα, ο αντίκτυπος, ωστόσο, μιας τέτοιας επίθεσης δεν αποκλείεται να είναι μεγάλος. Αυτός είναι και ο σκοπός του επιτιθέμενου: να αλλοιώσει έναν ιστότοπο με μεγάλη επισκεψιμότητα, το συμβάν αυτό να διαδοθεί κι έτσι τα προωθούμενα από το δράστη μηνύματα να φτάσουν σε όσο το δυνατό περισσότερους χρήστες. Το defacement μπορεί να βλάψει τη φήμη της επιχείρησης, του οργανισμού ή του φορέα στους οποίους ανήκει ο ιστότοπος, ως προς την (ελλειμματική) ψηφιακή τους θωράκιση, αφού η επίθεση θα απασχολήσει τα ειδησεογραφικά site και ΜΜΕ.

 Τεχνικές επιθέσεων

Οι συνηθέστερες μέθοδοι που χρησιμοποιούνται για το defacement είναι οι ακόλουθες:

  1. SQL injection, όπου οι επιτιθέμενοι εκμεταλλεύονται μια ευπάθεια για να εισάγουν κακόβουλα SQL statements σε έναν ιστότοπο,
  2. Παραβίαση συστημάτων διαχείρισης περιεχομένου (CMS – content management systems),
  3. Απόκτηση πρόσβασης σε web servers, όπου με τη χρήση των κατάλληλων credentials οι κακόβουλοι μπορούν να τροποποιήσουν τους ιστοτόπους που φιλοξενούνται σε αυτούς.

Για την επιτυχία του defacement, ενδέχεται να απαιτείται η χρήση κατάλληλων εργαλείων, όχι απαραίτητα από τη φύση τους κακόβουλων.

 Ποινική διάσταση

Ως προς το νομικό σκέλος, το defacement συνιστά ποινικό αδίκημα, τιμωρείται δε στην Ελλάδα κατά περίπτωση, ανάλογα με τις τεχνικές που χρησιμοποιήθηκαν, με εφαρμογή των άρθρων του Ποινικού Κώδικα 292Β «Παρακώλυση λειτουργίας πληροφοριακών συστημάτων», 370Γ «Παράνομη πρόσβαση σε πληροφοριακό σύστημα», 381Α «Φθορά ηλεκτρονικών δεδομένων», καθώς και 292Γ και 381Β σε ότι αφορά τη χρήση κακόβουλων προγραμμάτων, κωδικών πρόσβασης κ.λπ. Για την ποινική δίωξη των ανωτέρω πράξεων μπορεί να απαιτείται έγκληση.

Τα ανωτέρω άρθρα προστέθηκαν – επικαιροποιήθηκαν πρόσφατα, καθώς με το Ν. 4411/2016 ενσωματώθηκε στην ελληνική έννομη τάξη η ευρωπαϊκή Οδηγία 2013/40/ΕΕ, που αφορά σε επιθέσεις κατά πληροφοριακών συστημάτων.

Καθ’ ύλη αρμόδια υπηρεσία της Ελληνικής Αστυνομίας για την ποινική διερεύνηση των αδικημάτων αυτών τυγχάνει η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος.

 Πρόληψη – Προστασία

Οι υπεύθυνοι IT που έχουν αναλάβει τη λειτουργία, διαχείριση και ασφάλεια ιστοτόπων θα πρέπει να είναι σε θέση:

  • να προλαμβάνουν – αποτρέπουν επιθέσεις defacement,
  • να ανιχνεύουν μια επίθεση defacement αμέσως μόλις αυτή λάβει χώρα και
  • να μεριμνούν για την αποκατάσταση της ορθής λειτουργίας του ιστοτόπου στο συντομότερο δυνατό χρόνο.

Για την επίτευξη των ανωτέρω, αναγκαία μέτρα συνιστούν τουλάχιστον τα κάτωθι:

εφαρμογή βασικών πολιτικών ασφάλειας: ισχυροί κωδικοί πρόσβασης, αυστηρή παραμετροποίηση διαχειριστικών δικαιωμάτων, τήρηση αντιγράφων ασφαλείας (back up), κ.λπ.,

  • χρήση τείχους προστασίας (firewall) σε επίπεδο εφαρμογών web, για φιλτράρισμα, παρακολούθηση και μπλοκάρισμα κακόβουλης κίνησης (traffic),
  • εφαρμογή secure coding standards σε όλους τους διαχειριζόμενους ιστοτόπους,
  • δοκιμές με κατάλληλα εργαλεία για την ανθεκτικότητα και ασφάλεια του κώδικα,
  • μέριμνα για patching των πληροφοριακών συστημάτων, για την αποφυγή εκμετάλλευσης ευπαθειών,
  • τακτική σάρωση εφαρμογών web για ευπάθειες, για την αποφυγή επιθέσεων SQL injection και cross-site scripting,
  • παρακολούθηση (monitoring) σε πραγματικό χρόνο για σημάδια εγκατάστασης νέων ιστοσελίδων ή επικοινωνίας με command & control servers ή αλλαγών σε εξυπηρετητές web, DNS ή βάσεων δεδομένων.

Υπάρχουν τέλος λύσεις ασφάλειας στην αγορά που μπορούν να συμβάλλουν στην πρόληψη, την ανίχνευση και την αντιμετώπιση του defacement.

 Επίλογος

Ο ιστότοπος ενός φορέα αποτελεί σήμερα τον καθρέφτη του προς το ευρύ κοινό. Η προβληματική του λειτουργία, λόγω defacement, δημιουργεί τουλάχιστον άσχημη εντύπωση στους επισκέπτες του. Επειδή, ωστόσο, το defacement μπορεί να συμβεί σε οποιοδήποτε ιστότοπο και να έχει απροσδιόριστες συνέπειες, οφείλετε να προετοιμαστείτε κατάλληλα για να το αποτρέψετε ή τουλάχιστον να το εντοπίσετε εγκαίρως, καθώς επίσης και να επαναφέρετε τα πληροφοριακά σας συστήματα στην κανονική τους λειτουργία.