Ο εντοπισμός παραβατικών ενεργειών μέσω του διαδικτύου, όπως η εισαγωγή παράνομου υλικού που συνιστά δυσφήμηση ή εκβιασμό, αποτελεί μία μορφή ηλεκτρονικού εγκλήματος για τον εντοπισμό του οποίου έχουν αναπτυχθεί συγκεκριμένες τεχνικές.
Είναι γνωστά τα γεγονότα του περασμένου Φεβρουαρίου, με το press-gr.blogspot.com, τις ανακρίσεις που επακολούθησαν, αλλά και το γεγονός ότι εντοπίστηκε διεύθυνση υπολογιστών (ΙΡ address) του Ελληνικού Κοινοβουλίου, μέσω της οποίας «ανέβηκε» (έγινε upload) υλικό στις εν λόγω ιστοσελίδες, οι οποίες σύμφωνα με δημοσιεύματα φέρεται να σχετίζονται με διάφορες παράνομες δραστηριότητες (όπως διασπορά ειδήσεων με στόχο εκβιασμούς κ.ά.).
Πώς όμως γίνεται ο ηλεκτρονικός εντοπισμός αυτών που ανεβάζουν υλικό σε ιστοσελίδες του διαδικτύου; Είναι τεχνικά δυνατός ο εντοπισμός σε τέτοιες περιπτώσεις; Και, γενικότερα, είναι δυνατός ο εντοπισμός ηλεκτρονικών εγκληματικών ενεργειών και του δράστη (traceback);
Πριν απαντήσουμε στα παραπάνω ερωτήματα που ενδιαφέρουν πολλούς, πρέπει να διευκρινίσουμε ότι υπάρχει πληθώρα περιπτώσεων κατά τις οποίες το διαδίκτυο χρησιμοποιείται για διάπραξη παράνομων δραστηριοτήτων. Ποικιλία παράνομων πράξεων, αλλά και εγκληματικές δραστηριότητες διαπράττονται καθημερινά με ηλεκτρονικό τρόπο, όχι μόνο μέσω του διαδικτύου, αλλά και με τη χρήση δικτύων σταθερών και κινητών επικοινωνιών.
Οι παράνομες ενέργειες κατανέμονται σε μεγάλο φάσμα και τα κίνητρα των εγκληματιών είναι διαφορετικά και ποικίλα (άλλοτε χρηματικά, άλλοτε για λόγους εκδίκησης, ανταγωνισμού ή για άλλες αιτίες). Για παράδειγμα, αναφέρουμε:
- Επιθέσεις σε Ιδιωτικά Τηλεφωνικά Κέντρα εταιρειών, Υπουργείων και διαφόρων Φορέων.
- Υποκλοπές επικοινωνιών σταθερών και κινητών (υποκλοπή ομιλίας και μηνυμάτων SMS).
- Ανέβασμα κειμένων ή videos σε ιστοσελίδες, με στόχο τη δυσφήμηση ή τον εκβιασμό.
- Τηλεπικοινωνιακές απάτες με προγράμματα dialers και υπερχρεώσεις των τηλεφωνικών λογαριασμών (σταθερών ή κινητών τηλεφώνων) ανυποψίαστων θυμάτων.
- Διακίνηση και εμπορία παράνομου περιεχομένου (παιδικής πορνογραφίας, κλοπή Πνευματικής Ιδιοκτησίας).
- Κλοπή στοιχείων πιστωτικών καρτών (όπως πρόσφατη περίπτωση δικτυοπειρατείας υπολογιστών μεγάλης αλυσίδας Super Market) και χρέωση των ανυποψίαστων πελατών του Super Market.
- Κλοπές από ΑΤΜ τραπεζών.
- Βιομηχανική κατασκοπεία με κλοπή μυστικών μεγάλης αξίας από ανταγωνίστριες εταιρείες και πολλά άλλα που θα αναφέρουμε στη συνέχεια
Τα τηλεπικοινωνιακά δίκτυα σήμερα
Για την καλύτερη κατανόηση, ας διαχωρίσουμε τις περιπτώσεις των ηλεκτρονικών εγκλημάτων και τους τρόπους εντοπισμού, ανάλογα με τα δίκτυα που χρησιμοποιούνται για τη διάπραξή των εγκλημάτων. Αυτά σήμερα είναι τα εξής:
- Το τηλεφωνικό δίκτυο σταθερών επικοινωνιών (το διεθνώς ονομαζόμενο PSTN = Public Switched Telephone Network, που περιλαμβάνει και συνδέσεις ISDN).
- Τα δίκτυα κινητών επικοινωνιών, που χρησιμοποιούν τα γνωστά μας κινητά τηλέφωνα τεχνολογίας GSM, DCS-1800, UMTS-G3, αλλά και άλλα δίκτυα όπως τα GPRS, WiFi και WiMax (το οποίο μόλις πρόσφατα άρχισε να εμφανίζεται στην Ελλάδα).
- Τα δίκτυα υπολογιστών και ιδιαίτερα το διαδίκτυο (Internet).
Τα τηλεπικοινωνιακά δίκτυα αύριο
Στην Ολλανδία και άλλες Ευρωπαϊκές χώρες άρχισε ήδη η μετάβαση από τις σημερινές τηλεπικοινωνιακές υποδομές που αναφέρονται παραπάνω, στα δίκτυα επόμενης γενιάς (Next Generation Networks), οι οποίες αποτελούν ένα ενοποιημένο δίκτυο (Full IP Network) πάνω από το πρωτόκολλο ΙΡ του διαδικτύου. Εμπειρία των νέων τεχνολογιών, που άρχισαν ήδη να έρχονται, έχουν όσοι χρησιμοποιούν τις επικοινωνίες VoIP (Voice over Internet Protocol), π.χ. το Skype, για να μιλούν με το εξωτερικό δωρεάν (ή με μικρό κόστος), αλλά και τις υπηρεσίες double & triple play, οι οποίες χρησιμοποιούν σαν κοινή πλατφόρμα μετάδοσης το διαδίκτυο. Οι νέες τηλεπικοινωνιακές υποδομές θα βρίσκονται πάνω από μία ενοποιημένη πλατφόρμα (ΙΡ protocol), η οποία ονομάζεται IMS (ΙΡ Multimedia Subsystem), η οποία θα διασυνδέει κάθε είδους δίκτυο, παρέχοντας επικοινωνία σε σταθερά ή κινητά τηλέφωνα και ανταλλαγή κάθε μορφής δεδομένων (φωνής, data, ήχου, εικόνας, video, TV κ.λπ.).
Η σύγκλιση τηλεπικοινωνιών και διαδικτύου που επιτυγχάνεται με το πρωτόκολλο IMS (και άλλες παρόμοιες τεχνολογίες) συνιστά νέες απειλές και προβλήματα ασφάλειας, τελείως διαφορετικά από αυτά που αντιμετωπίζουμε σήμερα, μιας και οι υποδομές θα είναι τελείως διαφορετικές. Φανταστείτε ένα πρόγραμμα «ιό», το οποίο θα επιτρέπει την υποκλοπή των επικοινωνιών του σταθερού σας τηλεφώνου, χωρίς ο υποκλοπέας να χρειάζεται να παγιδεύσει το δίκτυο του τηλεφώνου σας (π.χ. το Καφάο ή το Box) και χωρίς να μετακινηθεί από τον υπολογιστή του. Σε επόμενα άρθρα, θα αναλύσουμε παραπέρα αυτό το αντικείμενο.
Εντοπισμός ηλεκτρονικού εγκληματία στο διαδίκτυο σήμερα – με τι τρόπο;
Ας ξεκινήσουμε από το διαδίκτυο, το οποίο αποτελεί μία κατάκτηση των τελευταίων δεκαετιών, παρέχοντας δυνατότητες τελείως άγνωστες στις προηγούμενες γενεές.
Αντίστοιχα με τον αριθμό τηλεφώνου, ο οποίος χαρακτηρίζει ένα σταθερό ή κινητό τηλέφωνο, στο διαδίκτυο υπάρχει η ΙΡ διεύθυνση (IP address), την οποία παίρνει ένας υπολογιστής συνδεδεμένος στο Internet. Η διεύθυνση αυτή περιέχει σήμερα τέσσερα (αργότερα έξι) 3-ψήφια νούμερα, τα οποία χωρίζονται με τελείες, για παράδειγμα 162.103.038.112.
Η ΙΡ διεύθυνση ενός υπολογιστή που συνδέεται στο διαδίκτυο, είναι ορατή από τους άλλους υπολογιστές με τους οποίους επικοινωνεί.(π.χ. στέλνοντας e-mail ή απλά επισκεπτόμενος κάποιες ιστοσελίδες), ακριβώς όπως βλέπουμε στο κινητό μας τηλέφωνο τον αριθμό τηλεφώνου αυτού που μας καλεί. Με την ΙΡ διεύθυνση μπορεί θεωρητικά να εντοπιστεί ο υπολογιστής, ο οποίος έκανε μία συγκεκριμένη παράνομη ενέργεια. Άλλωστε, ίχνη της ΙΡ διεύθυνσης του υπολογιστή ο οποίος συνδέθηκε σε συγκεκριμένη ιστοσελίδα ή έστειλε e-mail, υπάρχουν στα αρχεία ημερολογίου (log files) όλων των ενδιάμεσων υπολογιστών (π.χ. στους proxy servers) και του τελικού υπολογιστή (σχήμα 1).
Θα περιμέναμε λοιπόν ότι γνωρίζοντας την IP διεύθυνση ενός υπολογιστή, να ήταν δυνατό να ταυτοποιήσουμε αυτόν τον υπολογιστή, μέσω του οποίου διαπράχθηκε ένα ηλεκτρονικό έγκλημα. Τα πράγματα όμως δεν είναι ακριβώς έτσι. Υπάρχουν δύο ειδών διευθύνσεις στο διαδίκτυο: Στατικές (οι οποίες δεν αλλάζουν με το χρόνο) και Δυναμικές (οι οποίες αλλάζουν κάτω από συγκεκριμένες προϋποθέσεις). Στατικές διευθύνσεις έχουν συνήθως οι εταιρείες – Οργανισμοί, που διαθέτουν web servers (εξυπηρετητές με ενταμιευμένες ιστοσελίδες) ή e-mail servers (εξυπηρετητές ηλεκτρονικής αλληλογραφίας). Δυναμικές ΙΡ διευθύνσεις έχουν συνήθως οι οικιακοί χρήστες ή οι μικρές εταιρείες.
Η δυναμική ΙΡ διεύθυνση είναι μοναδική για κάθε υπολογιστή που είναι συνδεδεμένος στο διαδίκτυο κάποια ημερο-χρονολογία (μία συγκεκριμένη ημέρα και ώρα). Αλλά μπορεί δύο διαφορετικοί υπολογιστές, σε διαφορετικές στιγμές, να έχουν την ίδια δυναμική ΙΡ διεύθυνση. Από τα log files όμως του Παρόχου Διαδικτύου (ISP=Internet Service Provider) στον οποίο είναι συνδεδεμένος ο υπολογιστής, είναι δυνατό να ευρεθεί ακόμη και το τηλέφωνο του υπολογιστή, ο οποίος, μία συγκεκριμένη χρονική στιγμή είχε δεδομένη δυναμική ΙΡ διεύθυνση και έστειλε για παράδειγμα ένα συγκεκριμένο e-mail σε κάποιον παραλήπτη, με υβριστικό περιεχόμενο. Αρκεί τα αρχεία ημερολογίου του ISP να είναι διαθέσιμα και προσβάσιμα (κατόπιν εισαγγελικής εντολής άρσης του απορρήτου).
Αν όμως ο υπολογιστής βρίσκεται συνδεδεμένος στο τοπικό δίκτυο (LAN=Local Area Network) μιας εταιρείας, τότε σαν ΙΡ διεύθυνση η οποία θα φαίνεται από το διαδίκτυο στους άλλους υπολογιστές, θα είναι η ΙΡ διεύθυνση της τελευταίας μονάδας του LAN (συνήθως του router), ο οποίος συνδέεται άμεσα στο διαδίκτυο (Σχ. 1). Αυτό έγινε και στην περίπτωση του υπολογιστή της Βουλής, του οποίου η ΙΡ διεύθυνση βρέθηκε στα αρχεία ημερολογίου που αφορούσαν τη χρήση του ιστότοπου press-gr.blogspot.com.
Πέρα από τα παραπάνω, υπάρχουν απλές διαδικασίες με τις οποίες είναι δυνατόν ο χρήστης ενός υπολογιστή να αλλοιώσει την ΙΡ διεύθυνσή του, όπως αυτή εμφανίζεται στο διαδίκτυο, αλλάζοντας για παράδειγμα τις ρυθμίσεις του φυλλομετρητή του (web browser), χρησιμοποιώντας anonimysers ή proxy servers. Οι σχετικές διαδικασίες (ΙΡ hiding, anonymity ή ΙΡ spoofing) θα αναλυθούν σε επόμενα άρθρα, άλλωστε οδηγίες για το πώς γίνεται αυτό, υπάρχουν άφθονες στο διαδίκτυο.
Η διαδικασία εντοπισμού της πραγματικής ΙΡ διεύθυνσης ενός υπολογιστή ο οποίος έκανε μία παράνομη ενέργεια, προϋποθέτει τη διαθεσιμότητα των αντίστοιχων αρχείων ημερολογίου της δικτυακής μονάδας (router ή/και proxy server), μέσω της οποίας συνδέονται οι υπολογιστές ενός τοπικού δικτύου (LAN) στο Internet, πράγμα το οποίο στην περίπτωση της Βουλής δεν ίσχυε. Σύμφωνα με τα λεγόμενα των υπευθύνων της Πληροφορικής της Βουλής, τέτοια στοιχεία είχαν να κρατηθούν για πάνω από 10 χρόνια, για λόγους που έχουν να κάνουν με τη διασφάλιση του απορρήτου, προφανώς.
Η κατάσταση είναι αντίστοιχη με εκείνη στο τηλεφωνικό δίκτυο, όταν δεχθούμε μία κλήση στο κινητό μας από μία εταιρεία. Αν το τηλεφωνικό κέντρο της εταιρείας στέλνει ως αριθμό αναγνώρισης κλήσης το κεφαλικό νούμερο του κέντρου (π.χ. 210-xxx.000) τότε γνωρίζουμε μεν ότι δεχθήκαμε κλήση από την εν λόγω εταιρεία, αλλά όχι το εσωτερικό νούμερο του τηλεφώνου που μας κάλεσε. Ο εντοπισμός του εσωτερικού τηλεφώνου της εταιρείας μπορεί να γίνει μόνο αν υπάρχουν διαθέσιμα στοιχεία από το αρχείο ημερολογίου (log file) του Ιδιωτικού Τηλεφωνικού Κέντρου της εταιρείας.
Πώς εντοπίζονται αυτοί που ανεβάζουν αρχεία με παράνομο περιεχόμενο στο διαδίκτυο;
Οι υπηρεσίες ασφαλείας και δίωξης ηλεκτρονικού εγκλήματος κάθε χώρας χρησιμοποιούν ειδικές τεχνικές για τον εντοπισμό των ποικίλων εγκληματιών, οι οποίες ονομάζονται διεθνώς FORENSICS. Το πρόβλημα είναι να βρεθούν κάποια στοιχεία στα αρχεία που ανεβαίνουν στο διαδίκτυο (π.χ. videos από μία κάμερα ή ένα κινητό τηλέφωνο ή αρχεία κειμένου word), που να ταυτοποιούν τον αποστέλλοντα υπολογιστή και σε ορισμένες περιπτώσεις ακόμα και τον ιδιοκτήτη του. Τέτοια στοιχεία υπάρχουν μέσα στα ίδια τα αρχεία που διακινούνται στο διαδίκτυο και με ειδικές τεχνικές μπορεί να εντοπιστεί το όνομα του υπολογιστή, στον οποίο δημιουργήθηκε ένα αρχείο (π.χ. μία επιστολή, εικόνες-videos πορνογραφικού περιεχομένου κ.λπ.), ποιοι υπολογιστές κατέβασαν το εν λόγω αρχείο και πολλά άλλα. Η ταυτότητα του υπολογιστή ή της κάμερας – κινητού τηλεφώνου μέσω των οποίων δημιουργήθηκε το video, υπάρχει ανέπαφη μέσα στο ίδιο το αρχείο!
Για παράδειγμα, αναφέρουμε ότι το Microsoft Word εισάγει αυτόματα στα μετα-δεδομένα (metadata) που βρίσκονται μέσα στο αρχείο doc, το όνομα του ιδιοκτήτη που δόθηκε κατά την αρχική εγκατάσταση του προγράμματος στον υπολογιστή του. Με άλλες τεχνικές μπορεί να εντοπιστεί η ΙΡ διεύθυνση αλλά και το όνομα του υπολογιστή, ο οποίος εισήγαγε ένα σχόλιο σε μία ιστοσελίδα ενός Ηλεκτρονικού Forum. Έτσι όσοι σχολιάζουν «ανώνυμα» κείμενα σε ένα Forum του διαδικτύου, ας γνωρίζουν ότι μπορεί κάποια στιγμή να βρουν το μπελά τους από τα σχόλια που γράφουν. Ο γράφων έχει υπόψη του τέτοια συμβάντα. Στη σειρά των άρθρων που θα επακολουθήσουν, θα αναλύσουμε διεξοδικά πολλές περιπτώσεις ηλεκτρονικών εγκλημάτων και τους τρόπους εντοπισμού των υπαιτίων.
Του Μιχάλη Μαβή
Μηχανικός Ασφαλείας
Τηλεπικοινωνιακών και Πληροφοριακών Συστημάτων
msec00@gmail.com