Το ηλεκτρονικό έγκλημα αποτελεί καυτό θέμα στις μέρες μας και θα συνεχίσει να μονοπωλεί την προσοχή μας και στο μέλλον. Όμως μπορούμε να λάβουμε μέτρα ώστε να κάνουμε πιο δύσκολη τη ζωή των κάθε λογής hackers, crackers και phishers και να μειώσουμε το επίπεδο κινδύνου για τον Οργανισμό μας.

Εισαγωγή: 3 βασικές γραμμές άμυνας
Με δεδομένο ότι δεν υπάρχει ‘μαγική συνταγή’ για την 100% διασφάλιση των συστημάτων μας από παράνομη είσοδο, οφείλουμε αρχικά να χαράσσουμε 3 βασικές γραμμές άμυνας:

1η γραμμή. Εντοπίζουμε τους κινδύνους, τις απειλές και τα αδύνατα σημεία που έχουν σήμερα τα συστήματα τα οποία υποστηρίζουν τις εφαρμογές μας. Μια σωστή και σε βάθος ανάλυση κινδύνου είναι η βάση για να οργανώσουμε περαιτέρω την άμυνά μας.
2η γραμμή. Παρατάσσουμε με τέτοιο τρόπο τα μέτρα προστασίας που έχουμε αποφασίσει, ώστε να προστατεύσουμε τις κρίσιμες λειτουργίες του Οργανισμού.
3η γραμμή. Μαθαίνουμε όσο περισσότερα μπορούμε για τον ΄΄εχθρό΄΄. Γνωρίζοντας τα προβλήματα που θα αντιμετωπίσουμε, θα οργανώσουμε καλύτερα την αντίδρασή μας.

Αυτή την 3η γραμμή άμυνας θα αναπτύξουμε στη συνέχεια, συζητώντας για 10 απλούς τρόπους που χρησιμοποιούν οι hackers για να παραβιάσουν την ασφάλεια των συστημάτων μας.

1. Κλοπή Κωδικών Πρόσβασης
Η δυνατότητα των υπολογιστικών συστημάτων να επεξεργάζονται τεράστιες ποσότητες δεδομένων σε ελάχιστο χρόνο, έκανε το σπάσιμο των passwords παιχνίδι για παιδιά. Το password είναι μια σειρά από χαρακτήρες, που κάποιος πρέπει να θυμάται απ’ έξω και να τους πληκτρολογεί όταν ζητηθεί. Δυστυχώς, ενώ ο χρήστης δυσκολεύεται να θυμηθεί ένα πολύπλοκο password, ένα απλό εργαλείο cracking το εντοπίζει σε ελάχιστο χρόνο. Επιθέσεις dictionary (εντοπίζουν πιθανά password χρησιμοποιώντας λεξικά), brute force (εξαντλητικό ψάξιμο με όλα τα πιθανά κλειδιά), ακόμα και υβριδικές, όπου ο cracker χρησιμοποιεί dictionary προσθέτοντας αριθμούς και σύμβολα, είναι στην ημερήσια διάταξη.
Πολλές φορές δεν χρειάζεται καν να χρησιμοποιηθεί εργαλείο cracking. Τα password είναι γραμμένα σε κάρτες ή σε χαρτάκια κολλημένα στην οθόνη του υπολογιστή. Ακόμη οι χρήστες χρησιμοποιούν το ίδιο password για είσοδο σε διαφορετικά συστήματα – και στο internet ή για την επικοινωνία μεταξύ συστημάτων χρησιμοποιούνται ανασφαλή πρωτόκολλα, που μεταφέρουν το password σε μορφή απλού κειμένου.
Ο καλύτερος τρόπος προστασίας είναι τα συστήματα πολλαπλής ταυτοποίησης (one time passwords, biometrics, smart cards, digital certificates κ.λπ.) και η εκπαίδευση των χρηστών στην ασφαλή χρήση του password.

2. Παράνομο Λογισμικό (Trojan Horses)
Σίγουρα έχετε ακούσει για μερικά διάσημα trojans – κακόβουλο λογισμικό, ύπουλα αποθηκευμένο σε νόμιμα προγράμματα – όπως Back Orifice, NetBus, SubSeven κ.ά. Οποιοσδήποτε με βασικές γνώσεις προγραμματισμού μπορεί να φτιάξει ένα trojan, χρησιμοποιώντας ακόμη και εργαλεία ειδικά φτιαγμένα για το σκοπό αυτό. Η πραγματική απειλή όμως δεν προέρχεται από τα trojans που γνωρίζουμε ήδη, αλλά από αυτά που δεν ξέρουμε ακόμα.
Τα trojans μπορεί να καταστρέψουν σκληρούς δίσκους και αρχεία, να καταγράψουν κινήσεις στο πληκτρολόγιο, να παρακολουθούν την κίνηση του δικτύου και τις επισκέψεις στο διαδίκτυο, να επιτρέψουν έλεγχο του υπολογιστή και πρόσβαση από απόσταση, να μεταφέρουν δεδομένα σε άλλους προορισμούς, να εξαπολύσουν επιθέσεις εναντίον άλλων στόχων και άλλα, που ίσως δεν έχουμε ακόμα φανταστεί. Ένα trojan μπορεί να φιλοξενείται σε παιχνίδια, screensavers, συστήματα διακίνησης ευχετηρίων καρτών, διαχειριστικά utilities, ακόμη και σε κείμενα. Το μόνο που χρειάζεται για να πετύχει μία επίθεση με trojan είναι η εκτέλεση του προγράμματος που το φιλοξενεί, από ένα μόνο χρήστη. Αν αυτό γίνει, τότε το παράνομο λογισμικό τίθεται σε κίνηση, χωρίς να εμφανιστεί κανένα σύμπτωμα άλλης ανεπιθύμητης δραστηριότητας. Ένα trojan μπορεί να διακινηθεί μέσω e-mail ως επισυναπτόμενο, να διατίθεται προς αντιγραφή από ένα web site ή μπορεί να βρίσκεται σε κάρτες μνήμης, CD/DVD, USB κ.λπ.
Σε κάθε περίπτωση μπορούμε να προστατευτούμε χρησιμοποιώντας εργαλεία αυτόματης ανίχνευσης παράνομου λογισμικού και, βέβαια, ενημερώνοντας τους χρήστες για τους κινδύνους και τα μέτρα προστασίας που πρέπει να πάρουν.

3. Εκμετάλλευση των εργοστασιακών ρυθμίσεων
Τίποτε δεν κάνει πιο ευάλωτο ένα σύστημα από το να διατηρεί τις ρυθμίσεις του προμηθευτή ή του κατασκευαστή του. Πολλά εργαλεία επίθεσης και κακόβουλα προγράμματα παίρνουν ως δεδομένο ότι ο administrator δεν έχει αλλάξει τις αρχικές ρυθμίσεις του συστήματος. Έτσι, ένα από τα πιο αποτελεσματικά αλλά και πιο παραμελημένα μέτρα προστασίας είναι απλά η αλλαγή των ρυθμίσεων του κατασκευαστή. Κάντε ένα απλό πείραμα: Αναζητήστε sites στο internet με τη λέξη-κλειδί ‘default password’ και δείτε το αποτέλεσμα. Υπάρχουν αναρίθμητα sites που έχουν καταλόγους με όλα τα default user names, passwords, κωδικούς πρόσβασης, ονοματολογίες κ.ά., που έχουν χρησιμοποιηθεί από καταβολής hardware και software. Αλλά δεν είναι μόνο οι ρυθμίσεις πρόσβασης που πρέπει να αλλαχθούν. Πρέπει να ληφθούν υπόψη και οι ρυθμίσεις εγκατάστασης, όπως path names, κατάλογοι, παράμετροι διαμόρφωσης, settings κ.λπ. Αποφύγετε την εγκατάσταση λειτουργικών συστημάτων στους καταλόγους και drives που έχουν οριστεί από τον προμηθευτή. Μην εγκαθιστάτε εφαρμογές στις προκαθορισμένες θέσεις. Μην αποδέχεστε τα στάνταρ ονόματα των καταλόγων που διατίθενται από τα προγράμματα εγκατάστασης ή τα wizards. Προσαρμόζοντας τις εξ ορισμού ρυθμίσεις των συστημάτων σας στις δικές σας ανάγκες, αχρηστεύετε τα εργαλεία επίθεσης και το παράνομο λογισμικό και κάνετε δυσκολότερη τη ζωή στους επίδοξους παράνομους επισκέπτες.

4. Επιθέσεις Man-in-the- Middle (MITM)
Ονομάζονται οι επιθέσεις κατά τις οποίες ο χρήστης παραπλανάται και δημιουργεί γραμμή επικοινωνίας με server ή υπηρεσία μέσω ενός ψεύτικου φορέα. Ο ψεύτικος αυτός φορέας είναι ένα σύστημα που ελέγχεται από τον απατεώνα. Έχει στηθεί με σκοπό την υποκλοπή της επικοινωνίας μεταξύ του χρήστη και του server, χωρίς ο χρήστης να αντιληφθεί το παραμικρό. Μια επίθεση MITM είναι επιτυχής, όταν με κάποιο τρόπο παραπλανηθεί ο χρήστης, ο υπολογιστής του ή κάποιο κομμάτι του δικτύου του και κατευθύνει τη νόμιμη κυκλοφορία σε παράνομο ψεύτικο σύστημα. Η επίθεση MITM μπορεί να μοιάζει με το phishing, όπου ο χρήστης λαμβάνει ένα φαινομενικά αθώο e-mail με ένα URL link που συνδέεται με το ψεύτικο site αντί για το πραγματικό. Η ομοιότητα όμως των 2 sites είναι τέτοια, που ο χρήστης παραπλανάται εύκολα και εισάγει τα διαπιστευτήριά του. Αυτά, αυτόματα αντιγράφονται και στέλνονται στον πραγματικό server. Η ενέργεια αυτή ανοίγει την επικοινωνία μεταξύ των 2 servers, επιτρέποντας στο χρήστη να χρησιμοποιεί τις υπηρεσίες του νόμιμου περιβάλλοντος, χωρίς να αντιλαμβάνεται ότι η επικοινωνία τους περνάει μέσα από ένα παράνομο σύστημα, το οποίο υποκλέπτει ή ακόμα και αλλοιώνει τα δεδομένα της.
Αυτή είναι μια απλή εκδοχή της επίθεσης MITM. Μπορεί να χρησιμοποιηθούν πολύπλοκες μέθοδοι, όπως αντιγραφή του Media Access Control (MAC πρωτόκολλο επικοινωνίας που ελέγχει τη διασύνδεση πολλών τερματικών με ένα LAN), πρόκληση βλάβης στο Address Resolution Protocol (ARP- μέθοδος εντοπισμού της hardware διεύθυνσης του host όταν είναι γνωστή μόνο η διεύθυνση του επιπέδου δικτύου), φθορά ή πλαστογράφηση του χάρτη δικτύου του router, ψεύτικοι DNS servers και πολλοί άλλοι τρόποι που ανανεώνονται συνεχώς.
Προστατευτείτε από τις επιθέσεις MITM, αποφεύγοντας τις επισκέψεις σε διευθύνσεις που βρίσκετε σε e-mails. Επιπλέον, βεβαιωθείτε ότι όταν διασυνδέεστε σε διευθύνσεις μέσα από web sites, εξακολουθείτε να παραμένετε σε ασφαλές περιβάλλον, το οποίο διατηρεί το πρωτόκολλο SSL. Χρησιμοποιήστε συστήματα ανίχνευσης παραβιάσεων (IDS) τα οποία παρακολουθούν την κίνηση στο δίκτυο, καθώς επίσης και τυχόν μεταβολές στο DNS.

5. Ασύρματες επιθέσεις
Τα ασύρματα δίκτυα είναι ελκυστικά λόγω της ευκολίας διασύνδεσης – χωρίς το φυσικό περιορισμό της καλωδίωσης – του μειωμένου κόστους και της ευκολίας εγκατάστασης. Το πραγματικό κόστος όμως και η προσπάθεια, εμφανίζονται μόλις μπει επί τάπητος το θέμα της ασφάλειας. Παρεμβολές, επιθέσεις Denial of Service και MITM, υποκλοπές και sniffing είναι στην ημερήσια διάταξη, όταν χρησιμοποιούμε ασύρματα δίκτυα.
Ακόμα όμως και αν η επιχείρηση έχει επιλέξει να μη χρησιμοποιήσει ασύρματη δικτύωση, μπορεί να το κάνουν οι ίδιοι οι εργαζόμενοι. Πολλοί Οργανισμοί ανακάλυψαν με έκπληξη ότι εργαζόμενοι ανέλαβαν οι ίδιοι να καλύψουν το κενό και να εγκαταστήσουν το δικό τους ασύρματο δίκτυο, χρησιμοποιώντας μια φτηνή συσκευή ασύρματης επικοινωνίας (Wireless Access Point) και να έχουν ταυτόχρονα και σύνδεση στο εταιρικό σταθερό δίκτυο και ασύρματη επικοινωνία. Έτσι, με ελάχιστα χρήματα άνοιξαν μια τεράστια τρύπα στην ασφάλεια ενός πανάκριβου δικτύου.
Προστατέψτε το δίκτυό σας από παράνομες προσθήκες. Χρησιμοποιήστε τακτικά ανιχνευτές ασύρματης επικοινωνίας για τον εντοπισμό τους.

6. Συλλογή πληροφοριών
Η ιστορία διδάσκει ότι τον πόλεμο τον κερδίζει αυτός που έχει την καλύτερη πληροφόρηση για τον εχθρό. Οι hackers το γνωρίζουν καλά και αφιερώνουν χρόνο και κόπο ώστε να φτιάξουν ένα εξαιρετικό οπλοστάσιο. Αυτό που εκπλήσσει είναι ότι οι ίδιες οι εταιρείες τους προσφέρουν στο πιάτο πολλές και πολύτιμες πληροφορίες, ενισχύοντας έτσι το απόθεμά τους. Ιδού μερικά παραδείγματα:

  • Ονόματα υψηλόβαθμων ή ΄΄διάσημων΄΄ στελεχών ανακοινώνονται στον τύπο.
  • Διευθύνσεις, αριθμοί τηλεφώνων και fax της εταιρείας.
  • Στοιχεία για τους εργαζόμενους (διευθύνσεις, τηλέφωνα, βιογραφικά, οικογενειακή κατάσταση) και άλλα, που τα βρίσκουν από διάφορα πληροφοριακά sites.
  • Λειτουργικά συστήματα, βασικές εφαρμογές, γλώσσες προγραμματισμού, λειτουργικές πλατφόρμες, πάροχοι υπηρεσιών και συστημάτων και άλλα πολλά από αγγελίες για προσλήψεις προσωπικού.
  • Φυσικές αδυναμίες και πλεονεκτήματα, είσοδοι και προσανατολισμοί κτηρίων, καλυμμένες προσβάσεις που εντοπίζονται από δορυφορικές φωτογραφίες.
  • Usernames, διευθύνσεις e-mail, ονόματα αρχείων, πλατφόρμες του web server και των web εφαρμογών, από σαρωτές web site.
  • Εμπιστευτικά έγγραφα που αναρτήθηκαν κατά λάθος σε web σελίδες.
  • Ελαττώματα στα προϊόντα, προβλήματα με το προσωπικό, εσωτερικά θέματα, εταιρικές πολιτικές και τα συναφή, ψαρεύονται από blogs, κριτικές προϊόντων και υπηρεσιών και από τον ανταγωνισμό.

Και η λίστα δεν έχει τελειωμό. Το θέμα είναι πως δεν μπορείτε να κάνετε τίποτα για τις πληροφορίες που υπάρχουν ήδη εκεί έξω. Μπορείτε όμως να ελέγξετε τώρα κάθε πηγή πληροφοριών, που βρίσκεται κάτω από τον έλεγχό σας. Ακόμα και να επιστήσετε την προσοχή στους προμηθευτές και συνεργάτες σας, ώστε να φιλτράρουν τις πληροφορίες που ανακοινώνουν. Και, φροντίστε όταν κάνετε αλλαγές στα συστήματα και τις εφαρμογές σας, αυτές να μείνουν εμπιστευτικές.

7. Παρακολούθηση αναφορών για αδυναμίες συστημάτων
Οι hackers έχουν πρόσβαση στις ίδιες πηγές πληροφόρησης για τις αδυναμίες που παρουσιάζουν τα διάφορα συστήματα, τις οποίες έχετε κι εσείς. Οπότε, είναι πολύ πιθανό να ανακαλύψουν τρωτά σημεία που εσείς δεν έχετε προστατέψει ή δεν έχετε εντοπίσει ακόμα.
Για να τους αντιμετωπίσετε, πρέπει να είστε σε εγρήγορση. Μπείτε στη θέση τους και υιοθετήστε τη συνήθειά τους να ψάχνουν ακούραστα για ‘τρύπες’ στην ασφάλεια. Διαβάζετε τακτικά τα συμπεράσματα των ομάδων συζήτησης που υπάρχουν στις ιστοσελίδες των προμηθευτών σας και εντοπίστε προβλήματα, που ο προμηθευτής δεν τολμά να αναφέρει ή δεν έχει λύσει.

8. Ανεξάντλητη υπομονή και επιμονή
Η επίθεση σε μία επιχείρηση απαιτεί υπομονή και επιμονή. Προϋποθέτει μακρόχρονη έρευνα για τη συλλογή στοιχείων και στη συνέχεια προσεκτική επιλογή του τρόπου επίθεσης. Ακόμη και μετά από αυτό, η πρώτη προσπάθεια είναι αναγνωριστική ώστε ο hacker να βεβαιωθεί ότι είναι στο σωστό δρόμο. Σχεδιάζονται τα βήματα, γίνονται δοκιμές και βελτιώσεις και κατόπιν ξεκινάει η επίθεση.
Στις περισσότερες περιπτώσεις ο hacker στοχεύει στο να μη γίνει γρήγορα αντιληπτός. Οι πιο καταστροφικές επιθέσεις είναι αυτές που πήρε καιρό να εντοπιστούν και εν τω μεταξύ ο hacker είχε προλάβει να ελέγξει πλήρως το περιβάλλον. Γι’ αυτό κινείται αργά, αφήνοντας μεγάλα διαστήματα ανάμεσα στα επιμέρους βήματα. Μόλις καταφέρει να αποκτήσει πρόσβαση στο σύστημα της επιχείρησης, εγκαθιστά εργαλεία για να καλύψει τα ίχνη του και να αποκτήσει τον έλεγχο του περιβάλλοντος και περιμένει. Στη συνέχεια και αν δεν έχει γίνει αντιληπτός, εξαπολύει την επίθεσή του. Δύσκολα αποτυγχάνει μια επίθεση ενός υπομονετικού και επίμονου hacker.
Την ίδια και περισσότερη υπομονή και επιμονή πρέπει να δείξετε κι εσείς. Πρέπει να είστε σε θέση να εντοπίσετε την παραμικρή δραστηριότητα στο δίκτυό σας, με ελεγκτικές διαδικασίες και με αυτόματα συστήματα ανίχνευσης επιθέσεων. Μην αφήνετε καμία περίεργη συμπεριφορά χωρίς διερεύνηση. Χρησιμοποιήστε την κοινή λογική, ακολουθήστε τις βέλτιστες επιχειρηματικές πρακτικές και ενημερώνετε τα συστήματά σας με τις τελευταίες βελτιώσεις.

9. Παιχνίδια εμπιστοσύνης
Όλα όσα αναφέραμε μέχρι τώρα, είναι γνωστά στους υπεύθυνους ασφαλείας των συστημάτων. Οι επιχειρήσεις έχουν επενδύσει μεγάλα ποσά στην επίτευξη της ασφάλειας και έχουν θωρακίσει τα συστήματά τους, κάνοντας δύσκολη τη ζωή των hackers. Γι αυτό κι εκείνοι στράφηκαν στην εξερεύνηση του άλλου αδύνατου κρίκου της επιχειρησιακής αλυσίδας, τους ανθρώπους. Οι άνθρωποι είναι το μεγαλύτερο πρόβλημα στην ασφάλεια, γιατί, σε αντίθεση με τα συστήματα, επιλέγουν εκείνοι αν θα συμμορφωθούν με τους κανόνες ή όχι. Κάποιος μπορεί να τους εξαναγκάσει, να τους ξεγελάσει ή να τους εξαπατήσει ώστε να παραβιάσουν τα συστήματα ασφαλείας και να παραχωρήσουν πρόσβαση στο hacker.
Η μόνη προστασία είναι η ενημέρωση. Το εκπαιδευμένο προσωπικό το οποίο θα ψάξει και θα αναφέρει οποιαδήποτε παράξενη ή απρόβλεπτη συμπεριφορά, είναι ισχυρό μέτρο ασφάλειας. Και αυτό πρέπει να γίνει κατανοητό από όλες τις διοικητικές βαθμίδες της επιχείρησης, ανεξαρτήτως βαθμού ευθύνης. Γιατί, για το hacker, όλοι οι εργαζόμενοι είναι πολύτιμες πηγές πληροφόρησης.

10. Εσωτερική απάτη
Όταν συζητάμε για hacking υποθέτουμε ότι ο hacker είναι κάποιος άγνωστος από ΄΄κει έξω΄΄. Οι μελέτες όμως και οι στατιστικές λένε ότι η πλειονότητα των παραβιάσεων της ασφάλειας στα εταιρικά συστήματα γίνεται από μέσα, είτε από δυσαρεστημένους εργαζόμενους που αποφασίζουν να εκδικηθούν, είτε από κάποιον που έχει ως στόχο την επιχείρηση και πετυχαίνει να προσληφθεί ως υπάλληλος.
Σε κάθε περίπτωση, όλα τα μέτρα που έχουν παρθεί για προστασία των συστημάτων από εξωτερική επίθεση, είναι συνήθως αναποτελεσματικά. Εδώ χρειάζονται ισχυρά συστήματα ελέγχου εσωτερικής πρόσβασης, σαφείς πολιτικές ασφάλειας και χρήσης των συστημάτων, κυρώσεις για τους παραβάτες, διαδικασίες εσωτερικού ελέγχου και βέβαια αποτελεσματικό σύστημα ελέγχου προσλήψεων.

Εν κατακλείδι
Υπάρχουν πολλοί τρόποι που μπορεί να χρησιμοποιήσει ο hacker για να αποκτήσει πρόσβαση σε ένα φαινομενικά ασφαλές περιβάλλον. Οι διαχειριστές ασφάλειας και οι διοικήσεις των επιχειρήσεων σχεδιάζουν, εγκρίνουν και υλοποιούν συστήματα και πολιτικές προστασίας από παράνομες και εγκληματικές δραστηριότητες. Είναι όμως και ευθύνη των εργαζομένων να υποστηρίξουν αυτές τις επενδύσεις. Στην προσπάθεια αυτή, η εγρήγορση είναι προϋπόθεση, η επιμονή είναι αναγκαία και η γνώση είναι ανεκτίμητη.

Της Ελένης Σωτηρίου
CISA, CISM

Πηγές: Information Systems Control Journal, Global Knowledge, GAO.