Μετά από μια εξαήμερη περιπλάνηση στην βρετανική εξοχή με τραίνο, για λογαριασμό ενός Hackathon event που διοργάνωνε το Υπουργείο Μεταφορών της Ηνωμένου Βασιλείου, πέρασα την τελευταία μου μέρα περπατώντας στους κρύους δρόμους του Λονδίνου, κατευθυνόμενος στον τελικό μου προορισμό, το αεροδρόμιο Heathrow, για να επιστρέψω στη χώρα μου.
Όταν έφθασα σε ένα από τα πιο πολυσύχναστα αεροδρόμια στην Ευρώπη, το μυαλό μου ήταν σε σύγχυση για διάφορες ιδέες που βρίσκονταν σε εμβρυακό στάδιο, αλλά έπρεπε να γίνουν πράξη τις επόμενες μέρες. Ήταν η στιγμή που παρατήρησα στον πίνακα ανακοινώσεων του αεροδρομίου ότι η πτήση μου επρόκειτο να καθυστερήσει τέσσερις ώρες, λόγω ομίχλης στον αεροδιάδρομο. Η πρώτη σκέψη που μου ήρθε στο μυαλό ήταν: «Τι θα μπορούσα να κάνω εδώ για τέσσερις ώρες;». Κατευθύνθηκα, λοιπόν, προς την αίθουσα αναμονής, μαζί με δεκάδες άλλους επιβάτες, καθώς σχεδόν όλα τα καταστήματα και τα εστιατόρια στην αίθουσα αναχωρήσεων είχαν κλείσει. Ήταν 10.30 το βράδυ.
Για να περάσω το χρόνο μου, εγώ, όπως και πολλοί άλλοι, προτιμήσαμε να σερφάρουμε στο internet. Ρώτησα ένα συνεπιβάτη που καθόταν απέναντι από μένα, «βυθισμένος» στην οθόνη του laptop του, αν το δωρεάν Wi-Fi ήταν γρήγορο. Εκείνος απάντησε με βαριά βρετανική προφορά: «Να το θέσω έτσι: δε θα πρέπει να βασίζεσαι σε αυτό, αν ήθελες να κάνεις σοβαρή δουλειά». Παρ’ όλα αυτά, ποιος θα πλήρωνε για Premium internet, όταν υπάρχει το δωρεάν; σκέφτηκα.
Έτσι ξαφνικά, μου ήρθε μια ιδέα! Θα μπορούσα να παρατηρήσω, μέσα από ένα μικρό πείραμα, πόσοι ταξιδιώτες θα ήταν διατεθειμένοι να πληρώσουν premium Wi-Fi και πόσο ασφαλές θα ήταν αυτό σε ένα δημόσιο χώρο, όπως αυτός του αεροδρομίου. Ο πιο σύντομος δρόμος για να κάνω αυτό το πείραμα ήταν με τη μέθοδο MITM (man–in–the–middle–attack). Ανταλλαγή ευαίσθητων πληροφοριών, αριθμοί πιστωτικών καρτών, εμπιστευτικά έγγραφα ενδεχομένως. Όλα φαίνονται τόσο ενδιαφέροντα.
Ο συγκεκριμένος τύπος επίθεσης, MITM, έχει σκοπό ο «επιτιθέμενος» να μεσολαβήσει κρυφά στην επικοινωνία μεταξύ των δύο μερών (παροχής internet και χρήστη). Η επικοινωνία μεταβάλλεται και δίνεται η δυνατότητα στον επιτιθέμενο να υποκλέψει την πληροφορία. Βασιζόμενος στις αρχές τις μεθόδου αυτής, σκοπός μου ήταν να μεσολαβήσω στην επικοινωνία όσων επιθυμούσαν να συνδεθούν στο Wi-Fi του αεροδρομίου και, κυρίως, αυτών που θα χρησιμοποιούσαν την premium επιλογή internet.
Χρησιμοποίησα το κινητό μου ως ανεξάρτητο hot spot σύνδεσης και μετονόμασα το SSID σε αυτό του αεροδρομίου, ώστε το ανυποψίαστο θύμα να πιστεύει ότι συνδέεται άμεσα μέσω μίας ιδιωτικής και ασφαλούς σύνδεσης, όταν στην πραγματικότητα ολόκληρη η συνομιλία ελέγχεται από τον εισβολέα. Πρωτίστως, φρόντισα να χρησιμοποιήσω ένα freeware tool για να κλωνοποιήσω την ιστοσελίδα του αεροδρομίου και το welcome page “Πρόσβαση στο Internet”. Αλλάζοντας μερικές από τις προσφορές στην οθόνη υποδοχής της σελίδας, όπως, παραδείγματος χάριν, μείωση της τιμής του Premium internet από 8 λίρες σε 4, αυξάνοντας τον ελεύθερο χρόνο στο internet από 2 ώρες έως 4 ώρες, ώστε να προσελκύσω περισσότερα θύματα, αποτέλεσαν το τέλειο δόλωμα για τους ταλαιπωρημένους ταξιδιώτες του αεροδρομίου που ήθελαν μια αξιοπρεπή σύνδεση στο internet. Τέλος, έπρεπε να τροποποιήσω και να φτιάξω μια φόρμα ολοκλήρωσης πληρωμής, επιτρέποντας στα πιθανά θύματα να επεξεργάζονται εύκολα τις πιστωτικές τους κάρτες για να αγοράζουν premium internet.
Χρησιμοποιώντας απλά το τηλέφωνό μου ως hot-spot και χρεώνοντας στο λογαριασμό μου roaming data, οι ανυποψίαστοι άρχισαν ήδη να συνδέονται .
Μετά από μία ώρα σχεδόν, είχα την πρώτη μου επίσκεψη πρόθυμου ταξιδιώτη να πληρώσει για premium δίκτυο Wi-Fi, και, τόσο απλά, είχα σε την πρώτη υποκλοπή πιστωτικής κάρτας μαζί με κάποιες χρήσιμες προσωπικές πληροφορίες του θύματος. Αυτό το ψεύτικο, ιδιωτικό hot–spot που εξέπεμπε για τουλάχιστον 2 ώρες συγκέντρωσε περίπου 18 πιστωτικές κάρτες από ανυποψίαστους ταξιδιώτες. Και αυτό ήταν. Έριξα τη σύνδεση και διέγραψα οποιαδήποτε στοιχεία ενοχοποιούσαν τον υπολογιστή μου.
Η απειλή είναι υπαρκτή
Είναι τρομακτικό το πόσο εύκολα, στη σύγχρονη εποχή των γρήγορων ταχυτήτων του διαδικτύου και του Internet of Things, θα μπορούσε κάποιος να υποκλέψει τον αριθμό πιστωτικής κάρτας σε απλό κείμενο, έτοιμο για οποιαδήποτε πληρωμή στο διαδίκτυο ή ακόμα και να το πουλήσει στο deep web. Ένας αυτοαποκαλούμενος χάκερ, που συνδέεται με τους Anonymous έγραφε σε ένα τυχαίο site του darknet: «Είναι απλούστερη και ταχύτερη η διαδικασία να αγοράσει κάποιος αριθμούς πιστωτικών καρτών από κακοποιούς, οι οποίοι υποκλέπτουν υπολογιστές, έχουν συστήσει ψεύτικα ηλεκτρονικά καταστήματα που πωλούν ανύπαρκτα προϊόντα σε τιμές ευκαιρίας, να “σαρώσει” αριθμούς από ΑΤΜ, από το να ” κλέψει” ένα ανυποψίαστο θύμα σε ένα εστιατόριο».
Φανταστείτε τώρα, πως ένας «επιτιθέμενος» θα μπορούσε με στωικότητα, αφιερώνοντας χρόνο, να παρακολουθεί κάθε σας δραστηριότητα στο internet, υποκλέπτοντας τα πακέτα της σύνδεσης σας, ώστε να μελετήσει το profile σας. Βρίσκοντας στοιχεία για εσάς από το Web (social media sites, web-mails), κωδικούς για να έχει πρόσβαση σε sites που έχετε account, θα μπορούσε κάλλιστα να «αντιγράψει» την ηλεκτρονική σας ταυτότητα. Κάτι τέτοιο θα μπορούσε να συνεπάγεται ανεπανόρθωτη καταστροφή των ηλεκτρονικών σας αρχείων στο cloud, στην εταιρεία στην οποία εργάζεστε – σε περίπτωση υποκλοπής τους εταιρικού σας account – καθώς, επίσης, και την «ηλεκτρονικής σας φήμη», δηλαδή το αποκαλούμενο socialmediacrisis για έναν απλό χρήστη.
Μία μεγαλύτερης κλίμακα επίθεση συντελέστηκε πέρυσι τον Ιανουάριο στην Κίνα, όταν χάκερ ξεκίνησαν ένα μαζικό κύμα man-in-the-middle (MITM) επίθεσης, στοχεύοντας στους χρήστες του Microsoft Outlook, ικανό να κλέβει e-mail, επαφές και τους κωδικούς πρόσβασης στη χώρα. «Οι χρήστες έβλεπαν μόνο μια αυτόματη προειδοποίηση pop–up όταν προσπαθούσαν να ανακτήσουν αυτόματα μηνύματα. Οι χρήστες δεν ήταν σε θέση να αξιοποιήσουν το μήνυμα, επιλέγοντας το κουμπί ‘Συνέχεια’ και αγνοώντας το προειδοποιητικό μήνυμα» εξήγησε Σύμβουλος εταιρείας που ασχολείται με το Cyber Security.
Τι πρέπει να προσέχουμε
Είναι σημαντικό να θυμόμαστε πόσο εύκολα μπορεί κάποιος να δημιουργήσει ένα πλαστό hot-spot και να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες. Πρέπει να ληφθούν μέτρα, ώστε να αποφεύγετε η χρήση Wi-Fi στο τηλέφωνο, στο tablet ή στον υπολογιστή σας για να ελέγξετε το email σας, το υπόλοιπο του τραπεζικού λογαριασμού σας, ή οποιαδήποτε άλλη ιστοσελίδα που περιέχει ή απαιτεί τα προσωπικά σας δεδομένα. Στις περισσότερες περιπτώσεις, η χρήση ενός οποιουδήποτε εγκεκριμένου λογισμικού ασφάλειας στο Διαδίκτυο, θα μπορούσε να σας σώσει από πολλά προβλήματα, όμως αυτή η περίπτωση είναι λίγο διαφορετική.
Πώς όμως ένας τελικός χρήστης μπορεί να το αποτρέψει αυτό;
- Θα μπορούσε πολύ απλά να δει το πιστοποιητικό που προβλέπεται από το πρόγραμμα περιήγησης στο διαδίκτυο πριν από τη δημιουργία σύνδεσης και κάνοντας κλικ στο «όχι» αντί για το «ναι», θα είχε αποτρέψει ένα τέτοιο ενδεχόμενο.
- Πάρτε το χρόνο σας για να διαβάσετε και να κατανοήσετε όλα τα μηνύματα ασφαλείας που λαμβάνετε. Μην πατάτε μόνο τυχαία κλικ στο «ναι» λόγω ευκολίας.
- Προσπαθήστε να χρησιμοποιείτε πάντα την κρυπτογραφημένη έκδοση των ιστοσελίδων (δηλαδή, βεβαιωθείτε ότι η διεύθυνση URL αρχίζει με HTTPS). Ένας τρόπος για να γίνει αυτό είναι να εγκαταστήσετε ένα plugin πρόγραμμα περιήγησης όπως το “HTTPS Everywhere”, το οποίο αναζητά HTTPS συνδέσεις σε οποιαδήποτε ιστοσελίδα που επισκέπτεστε και προσπαθεί να την επιβάλει σε όλους τους χρόνους και Open sessions κατά την περιήγησή σας στο διαδίκτυο.
Πώς μια εταιρία μπορεί να αποτρέψει αυτό;
- Εκπαιδεύστε τον τελικό χρήστη, ώστε να γνωρίζει την προειδοποίηση ασφάλειας και πώς να αντιδράσει σε πιθανή επίθεση.
- Χρησιμοποιήστε One Time Passwords, όπως RSA Tokens, για να αποτραπεί η επαναχρησιμοποίηση τους.
- Χρησιμοποιήστε ένα VPN, δημιουργώντας μια κρυπτογραφημένη σύνδεση μεταξύ του υπολογιστή σας και ενός τρίτου, εμποδίζοντας την παρακολούθηση και την υποκλοπή των πληροφοριών .
Κύριος σκοπός αυτού του εγχειρήματος είναι περισσότερο να εκπαιδεύσει και να γνωστοποιήσει στους χρήστες αυτού του τύπου επιθέσεις (man-in-the-middle ή evil twin), η οποία είναι σχετικά εύκολή και δελεαστική από κακόβουλους χρήστες σε ένα public Wi-Fi περιβάλλον. Θα μπορούσε, επίσης, εύκολα κάτι τέτοιο να συμβεί και σε ένα δίκτυο Wi-Fi στο σπίτι, αν αυτό το δίκτυο δεν έχει ρυθμιστεί σωστά και επιτρέπει σε ένα χάκερ να συνδεθεί στο οικιακό σας δίκτυο. Ένας μέσος εκπαιδευμένος χρήστης θα εφαρμόσει ορθές πρακτικές ασφάλειας και εταιρικά προϊόντα που προστατεύουν τα πολύτιμα δεδομένα του.
Προς τέρψη της περιέργειας των ενδιαφερομένων, τα ευαίσθητα δεδομένα των ανυποψίαστων ταξιδιωτών απλώς σας καθησυχάζω ότι διαγράφηκαν. Μου ήταν αδύνατο να «εκμεταλλευτώ» έναν ταλαιπωρημένο ταξιδιώτη που ήδη περίμενε στο τέσσερις ώρες για την πτήση του.
Φώτης Σωφρόνης
Senior Cyber Security Consultant at EY