In this post I will explain a very intresting way of hacking the human OS. This is known as Social Engineering.
So, first of all what is social engineering? Social engineering is an art of manipulating people to get vital information from them.This information can be used to build an attack against the respective person. Any one can social engineer, even a kid. There are various methods to perform social engineering. Your options are endless, so make use of it and exploit the most powerful OS (the Human OS). Let me give a true example of social engineering.
One morning a few years back, a group of strangers walked into a large shipping firm and walked out with access to the firm's entire corporate network. How did they do it? By obtaining small amounts of access, bit by bit, from a number of different employees in that firm. First, they did research about the company for two days before even attempting to set foot on the premises. For example, they learned key employees' names by calling HR. Next, they pretended to lose their key to the front door, and a man let them in. Then they "lost" their identity badges when entering the third floor secured area, smiled, and a friendly employee opened the door for them.
The strangers knew the CFO was out of town, so they were able to enter his office and obtain financial data off his unlocked computer. They dug through the corporate trash, finding all kinds of useful documents. They asked a janitor for a garbage pail in which to place their contents and carried all of this data out of the building in their hands. The strangers had studied the CFO's voice, so they were able to phone, pretending to be the CFO, in a rush, desperately in need of his network password. From there, they used regular technical hacking tools to gain super-user access into the system.
In this case, the strangers were network consultants performing a security audit for the CFO without any other employees' knowledge. They were never given any privileged information from the CFO but were able to obtain all the access they wanted through social engineering.
Here are some methods of social engineering:
* Phishing - is a technique often used to obtain private information. Typically, the user sends an e-mail that appears to come from a legitimate business requesting "verification" of information and warning of some consequence if it is not provided. The e-mail usually contains a link to a web page that seems legitimate and has a form requesting everything from home address to an ATM card's PIN.
* IVR or phone phishing - also known as "vishing"; this technique uses an Interactive Voice Response (IVR) system to recreate a legitimate sounding copy of a bank or other institution's IVR system. The victim is prompted to call in to the "bank" via a phone number provided in order to "verify" information.
* Baiting - Baiting is like the real-world Trojan Horse that uses physical media and relies on the curiosity or greed of the victim. In this attack, the attacker leaves a malware infected floppy disc, CD ROM, or USB flash drive in a location sure to be found, gives it a legitimate looking and curiosity-piquing label, and simply waits for the victim to use the device.
* Quid pro quo - An attacker calls random numbers at a company claiming to be calling back from technical support. Eventually they will hit someone with a legitimate problem, grateful that someone is calling back to help them. The attacker will "help" solve the problem and in the process have the user type commands that give the attacker access or launch malware.
Advantage of Social Engineering
So to soak up what you've learned so far, which was, an introduction to social engineering and some examples on the very subject itself (SE). On to the very question that people want to hear and know. What can I GAIN from using social engineering? Anything! Like I said before, and not afraid to hesitate to say again, your options are endless when using social engineering! It all depends on your goal and how you approach it, is the defining factor of your outcome. Now with that said, don't go off thinking that you can take over the World in a matter of a few days, not going to happen. But what you can do is practice using social engineering, little by little, step by step; learn how to build your ground and the environment around it. So yes, think outside the box and learn to open new doors! Keep in mind that connections and relationships is everything in being a social engineer, without it, what can you build from nothing? Nothing! That's when social engineering comes in place, learn to make new friends, take the time to ask questions, and most importantly, learn your target! Like one once said, "My greatest enemy is also my best friend." You can achieve anything with the right mindset!
Believe it or not, more than 50% of people living on this Earth subconsciously don't know what they're capable of! That's a scary thought, that's a lot of potential lost!
So, what ya thinkin, U a social engineer? Of course you are even without knowing it.
Wednesday, September 1, 2010
Hacking Human OS (Operating System)
If you're like most people, you feel as if you are rational and logical, and most of the rest of the world is not. If you're right about this, then most of the world is illogical. If they're right, then you're illogical.
The fact is you're both wrong: neither you nor anyone else is as logical as you think you are.
You think and feel with your brain all the time, but how often do you think about your brain; its strengths and weaknesses and its limitations?
Your brain is a battlefield peppered with electrochemical explosions; a wet bundle of nerves, firing at each other within a glue-like soup. It does some things well and others poorly.
Not only do you think with your brain, you also use it to perceive: it's the primary mechanism by which you collect information about the world around you. It's a bit like the fox guarding the henhouse: the same entity that provides you with information is also telling you what it means. Any information you take in -- through your eyes, nose, ears, tongue and fingertips -- is heavily filtered before you are even consciously aware of it.
This is a necessity: if you consciously processed every piece of information you are capable of perceiving, you would be so flooded with sensation that you would be unable to function. A lack of such filters is one of the primary characteristics of autism.
Now, think of your brain as if it were a computer for a second.
Your hardware is the bundle of nerves that makes up your brain; it's simply gray matter.
Your applications are patterns of thought, which are built up over the course of years. Some of them, like basic algebra and how to read, were written by others; and some of them, like the way you kiss or buy clothes, you probably wrote yourself. Some of them run like clockwork, others are riddled with bugs; some are in beta, others are in version 9.0. If you're a life hacker [What's a hacker?] you have probably written more of your own "brain apps" than most people.
Your OS is the low-lying software that all the other apps rely on. How much do you know about it? Most people don't think about it much.
If you want to get serious about communication, it's time to learn more about the Human OS.
Understanding how your mind works will make you a more effective communicator, so you'll know the path of least resistance to getting people's attention and getting them focused on the things you think are important. If you do it well, people will even start to think that you're logical!
The fact is you're both wrong: neither you nor anyone else is as logical as you think you are.
You think and feel with your brain all the time, but how often do you think about your brain; its strengths and weaknesses and its limitations?
Your brain is a battlefield peppered with electrochemical explosions; a wet bundle of nerves, firing at each other within a glue-like soup. It does some things well and others poorly.
Not only do you think with your brain, you also use it to perceive: it's the primary mechanism by which you collect information about the world around you. It's a bit like the fox guarding the henhouse: the same entity that provides you with information is also telling you what it means. Any information you take in -- through your eyes, nose, ears, tongue and fingertips -- is heavily filtered before you are even consciously aware of it.
This is a necessity: if you consciously processed every piece of information you are capable of perceiving, you would be so flooded with sensation that you would be unable to function. A lack of such filters is one of the primary characteristics of autism.
Now, think of your brain as if it were a computer for a second.
Your hardware is the bundle of nerves that makes up your brain; it's simply gray matter.
Your applications are patterns of thought, which are built up over the course of years. Some of them, like basic algebra and how to read, were written by others; and some of them, like the way you kiss or buy clothes, you probably wrote yourself. Some of them run like clockwork, others are riddled with bugs; some are in beta, others are in version 9.0. If you're a life hacker [What's a hacker?] you have probably written more of your own "brain apps" than most people.
Your OS is the low-lying software that all the other apps rely on. How much do you know about it? Most people don't think about it much.
If you want to get serious about communication, it's time to learn more about the Human OS.
Understanding how your mind works will make you a more effective communicator, so you'll know the path of least resistance to getting people's attention and getting them focused on the things you think are important. If you do it well, people will even start to think that you're logical!
Wednesday, August 25, 2010
Web 2.0: Κοινότητες ή φυλακές;
Γινόμαστε κάτοικοι ενός τεράστιου ηλεκτρονικού κοινόβιου και μάρτυρες της αναβίωσης των ‘60s μέσω των μικροτσίπ, ή τρόφιμοι μεγάλων στρατοπέδων συγκέντρωσης 3-4 εταιριών;
Απλότητα, ευκολία, συμμετοχή, διαμοιρασμός. Μερικές από τις βασικές επιδιώξεις του Internet όπως εξελίσσεται. Το Web 2.0, όπως μαθαίνουμε να το αποκαλούμε, χρησιμοποιεί νέες τεχνολογίες για να μας φέρει «κοντά» με τον κόσμο, να μας επιτρέψει να μοιραστούμε ότι ξέρουμε, να κάνει το λόγο μας να ακουστεί. Επίσης, οι τεχνολογίες αυτές επιτρέπουν εφαρμογές μέχρι τώρα γραφείου, να περνούν στο διαδίκτυο και να κάνουν τα έγγραφά μας διαθέσιμα από όπου κι αν είμαστε.
Το Web 2.0 δημιουργεί κοινότητες και έχει μεγάλη επιτυχία σε αυτό. Ο αριθμός των sites αυξήθηκε σε τεράστιο βαθμό με την έλευση των blogs. Τόποι όπως το MySpace, το YouTube, το Blogger και το Flickr έκαναν τους δημιουργούς τους διάσημους και πολυεκατομυριούχους. Το διαδίκτυο δεν είναι πλέον βοηθητικό εργαλείο, είναι δημιουργικός, πολυλειτουργικός χώρος. Η επιφάνεια εργασίας αποδεσμεύεται από τον σκληρό δίσκο μας μέσω των e-mail εφαρμογών και των online εφαρμογών γραφείου.
Παράλληλα, ξεσπάει όμως και ένας χορός δισεκατομυρίων δολαρίων. Γιατί ξοδεύονται 1,65 δις. για να αποκτηθεί το YouTube; Γιατί η Microsoft προσφέρει χρήματα σε μεγάλες εταιρίες για να χρησιμοποιούν τη μηχανή αναζήτησής της; Γιατί η Yahoo!, όπως και η Google, δημιουργεί συνεχώς δωρεάν υπηρεσίες, ενώ ξοδεύει υπέρογκα ποσά για να αγοράσει άλλες; Ό,τι συμβαίνει πλέον στο MySpace, στη Wikipedia ή στο YouTube, είναι συνήθως μέσα στα πρώτα θέματα της επικαιρότητας. Γιατί τόσος ντόρος για δωρεάν υπηρεσίες;
Ο ντόρος γίνεται, προφανώς, γιατί καθένας από τους μεγάλους του χώρου θέλει να έχει στη «διάθεσή» του τους εγγεγραμένους χρήστες. Στοχευμένες διαφημίσεις, γιγάντωση του brand name, άλματα στο χρηματιστήριο. Όμως, πως θα πρέπει να αισθάνεται ένας χρήστης σαν εμένα κι εσένα; Γινόμαστε κάτοικοι ενός τεράστιου ηλεκτρονικού κοινόβιου και μάρτυρες της αναβίωσης των ‘60s μέσω των μικροτσίπ, ή τρόφιμοι μεγάλων στρατοπέδων συγκέντρωσης 3-4 εταιριών;
Γιατί αν η Google με την “do no evil” φιλοσοφία των δημιουργών της, συνθηκολογεί με την κυβέρνηση της Κίνας για να δείχνει άλλ’ αντ’ άλλων η μηχανή αναζήτησής της, ποιος μπορεί να μου πει ότι η μάχη δεν γίνεται για να ξέρουν άλλοι τις απόψεις μου, τις συζητήσεις μου και τις «παρέες» μου; Υπάρχουν 4-5 τομείς στους οποίους γίνεται ο «πόλεμος» και όλοι αφορούν αρκετά ευαίσθητες πλευρές της ζωής μας. Σκεφτείτε ότι μία εκ των Google, Yahoo και Microsoft, μπορεί ανα πάσα στιγμή να γνωρίζει με ποιους ανταλάσετε e-mail και το περιεχόμενό τους, τι επισκέπτεστε στο Internet μέσω των μηχανών αναζήτησης , των προσωποποιημένων σελίδων, των rss readers και των social bookmarks, ποιες είναι οι απόψεις σας – από τα blogs - , τι είδους εργασίες κάνετε – από τις online εφαρμογές γραφείου - , αλλά και τι παρέες προτιμάτε από τα socializing sites. Αρκετά ζοφερή προοπτική, δεν νομίζετε;
Το διαδίκτυο υπήρξε και είναι ακόμα, παράδεισος ελευθερίας. Στον απλό θεατή φαίνεται ότι διευρύνεται και βελτιώνεται. Αν και αντιπαθώ τους συνωμοσιολόγους, ίσως πρέπει να είμαστε σκεπτικοί πλέον απέναντι στον μεγάλο μας φίλο.
Απλότητα, ευκολία, συμμετοχή, διαμοιρασμός. Μερικές από τις βασικές επιδιώξεις του Internet όπως εξελίσσεται. Το Web 2.0, όπως μαθαίνουμε να το αποκαλούμε, χρησιμοποιεί νέες τεχνολογίες για να μας φέρει «κοντά» με τον κόσμο, να μας επιτρέψει να μοιραστούμε ότι ξέρουμε, να κάνει το λόγο μας να ακουστεί. Επίσης, οι τεχνολογίες αυτές επιτρέπουν εφαρμογές μέχρι τώρα γραφείου, να περνούν στο διαδίκτυο και να κάνουν τα έγγραφά μας διαθέσιμα από όπου κι αν είμαστε.
Το Web 2.0 δημιουργεί κοινότητες και έχει μεγάλη επιτυχία σε αυτό. Ο αριθμός των sites αυξήθηκε σε τεράστιο βαθμό με την έλευση των blogs. Τόποι όπως το MySpace, το YouTube, το Blogger και το Flickr έκαναν τους δημιουργούς τους διάσημους και πολυεκατομυριούχους. Το διαδίκτυο δεν είναι πλέον βοηθητικό εργαλείο, είναι δημιουργικός, πολυλειτουργικός χώρος. Η επιφάνεια εργασίας αποδεσμεύεται από τον σκληρό δίσκο μας μέσω των e-mail εφαρμογών και των online εφαρμογών γραφείου.
Παράλληλα, ξεσπάει όμως και ένας χορός δισεκατομυρίων δολαρίων. Γιατί ξοδεύονται 1,65 δις. για να αποκτηθεί το YouTube; Γιατί η Microsoft προσφέρει χρήματα σε μεγάλες εταιρίες για να χρησιμοποιούν τη μηχανή αναζήτησής της; Γιατί η Yahoo!, όπως και η Google, δημιουργεί συνεχώς δωρεάν υπηρεσίες, ενώ ξοδεύει υπέρογκα ποσά για να αγοράσει άλλες; Ό,τι συμβαίνει πλέον στο MySpace, στη Wikipedia ή στο YouTube, είναι συνήθως μέσα στα πρώτα θέματα της επικαιρότητας. Γιατί τόσος ντόρος για δωρεάν υπηρεσίες;
Ο ντόρος γίνεται, προφανώς, γιατί καθένας από τους μεγάλους του χώρου θέλει να έχει στη «διάθεσή» του τους εγγεγραμένους χρήστες. Στοχευμένες διαφημίσεις, γιγάντωση του brand name, άλματα στο χρηματιστήριο. Όμως, πως θα πρέπει να αισθάνεται ένας χρήστης σαν εμένα κι εσένα; Γινόμαστε κάτοικοι ενός τεράστιου ηλεκτρονικού κοινόβιου και μάρτυρες της αναβίωσης των ‘60s μέσω των μικροτσίπ, ή τρόφιμοι μεγάλων στρατοπέδων συγκέντρωσης 3-4 εταιριών;
Γιατί αν η Google με την “do no evil” φιλοσοφία των δημιουργών της, συνθηκολογεί με την κυβέρνηση της Κίνας για να δείχνει άλλ’ αντ’ άλλων η μηχανή αναζήτησής της, ποιος μπορεί να μου πει ότι η μάχη δεν γίνεται για να ξέρουν άλλοι τις απόψεις μου, τις συζητήσεις μου και τις «παρέες» μου; Υπάρχουν 4-5 τομείς στους οποίους γίνεται ο «πόλεμος» και όλοι αφορούν αρκετά ευαίσθητες πλευρές της ζωής μας. Σκεφτείτε ότι μία εκ των Google, Yahoo και Microsoft, μπορεί ανα πάσα στιγμή να γνωρίζει με ποιους ανταλάσετε e-mail και το περιεχόμενό τους, τι επισκέπτεστε στο Internet μέσω των μηχανών αναζήτησης , των προσωποποιημένων σελίδων, των rss readers και των social bookmarks, ποιες είναι οι απόψεις σας – από τα blogs - , τι είδους εργασίες κάνετε – από τις online εφαρμογές γραφείου - , αλλά και τι παρέες προτιμάτε από τα socializing sites. Αρκετά ζοφερή προοπτική, δεν νομίζετε;
Το διαδίκτυο υπήρξε και είναι ακόμα, παράδεισος ελευθερίας. Στον απλό θεατή φαίνεται ότι διευρύνεται και βελτιώνεται. Αν και αντιπαθώ τους συνωμοσιολόγους, ίσως πρέπει να είμαστε σκεπτικοί πλέον απέναντι στον μεγάλο μας φίλο.
Monday, August 2, 2010
CyberSpace - Ενας νεος πόλεμος
Το πρώτο πρόβλημα κάθε συζήτησης με θέμα τον κυβερνο-πόλεμο είναι ο ορισμός του. Διαβάζω και βλέπω εδώ και χρόνια για τον κυβερνο-πόλεμο και υπάρχουν τόσοι πολλοί ορισμοί του όρου, όσα και τα άτομα που γράφουν για αυτό το θέμα. Μερικοί προσπαθούν να περιορίσουν τον κυβερνο-πόλεμο σε στρατιωτική δράση που λαμβάνεται κατά τη διάρκεια πολέμου, ενώ άλλοι είναι τόσο γενικοί που περιλαμβάνουν ακόμη και τα παιδάκια (script kiddies), τα οποία με τη χρήση προγραμμάτων (scripts) καταστρέφουν ιστοχώρους για την πλάκα τους.
Κατά τη γνώμη μου ο περιοριστικός όρος είναι περισσότερο χρήσιμος. Θα ήθελα να ορίσω τέσσερις διαφορετικούς όρους παρακάτω:
Κυβερνο-πόλεμος – Πόλεμος στον κυβερνοχώρο. Αυτό περιλαμβάνει πολεμικές επιθέσεις ενάντια στο στρατιωτικό σώμα ενός έθνους – προκαλώντας τη διακοπή κρίσιμων επικοινωνιακών διαύλων, για παράδειγμα – και επιθέσεις ενάντια σε άμαχο πληθυσμό.
Κυβερνο-τρομοκρατία – Η χρήση του κυβερνοχώρου για τη διάπραξη τρομοκρατικών ενεργειών. Για παράδειγμα, την εισβολή σε υπολογιστικό σύστημα προκαλώντας τη διάλυση ενός εργοστασίου πυρηνικής ενέργειας, την καταστροφή ενός φράγματος, ή τη σύγκρουση δύο αεροσκαφών. Σε προηγούμενο άρθρο του Κρυπτογράμματος, έγινε λόγος για το πόσο ρεαλιστική είναι μία απειλή κυβερνο-τρομοκρατίας.
Κυβερνο-έγκλημα – Το έγκλημα στον κυβερνοχώρο. Αυτό περιλαμβάνει πολλές γνωστές εμπειρίες: κλοπή πνευματικής ιδιοκτησίας, εκβιασμό βάσει απειλής για επιθέσεις διανεμημένης άρνησης παροχής υπηρεσιών (DDOS), πλαστογραφία βάσει κλοπής ταυτοτήτων, κ.ο.κ.
Κυβερνο-βανδαλισμός – Τα παιδάκια (script kiddies), τα οποία με τη χρήση προγραμμάτων (script) καταστρέφουν ιστοχώρους για την πλάκα τους, είναι θεωρητικά εγκληματίες, αλλά εγώ τα θεωρώ περισσότερο βάνδαλους ή χούλιγκαν. Είναι όπως τα παιδιά που βάφουν με σπρέι τα λεωφορεία και το κάνουν περισσότερο για την πλάκα τους.
Με μία πρώτη ματιά, οι όροι αυτοί δεν είναι καινούργιοι με εξαίρεση το πρόθεμα «κυβερνο-». Ο πόλεμος, το έγκλημα, ακόμη και ο βανδαλισμός είναι παλιές έννοιες. Το μόνο καινούργιο είναι ο τομέας ∙ τα ίδια πράγματα σε νέο πεδίο. Επειδή, όμως, το πεδίο του κυβερνοχώρου είναι διαφορετικό από άλλα πεδία, υπάρχουν κάποιες διαφορές που αξίζει τα εξετάσουμε.
Αυτό που δεν έχει αλλάξει είναι ότι οι όροι αλληλοκαλύπτονται: αν και οι στόχοι είναι διαφορετικοί, πολλές από τις τακτικές που χρησιμοποιούν οι στρατιωτικές δυνάμεις, οι τρομοκράτες και οι εγκληματίες είναι ίδιες. Όπως και οι τρεις ομάδες χρησιμοποιούν όπλα και βόμβες, έτσι μπορούν να χρησιμοποιήσουν και τις κυβερνο-επιθέσεις. Δεδομένου ότι ο κάθε πυροβολισμός δεν αποτελεί πολεμική πράξη, έτσι και κάθε επιτυχημένη επίθεση στο Διαδίκτυο, όσο θανατηφόρα κι αν είναι, δεν αποτελεί απαραίτητα μία πολεμική πράξη. Μία κυβερνο-επίθεση που προκαλεί το κλείσιμο ενός δικτύου παροχής ενέργειας μπορεί να είναι μέρος μίας εκστρατείας κυβερνο-πολέμου, αλλά μπορεί να είναι πράξη κυβερνο-τρομοκρατίας, κυβερνο-εγκλήματος, ή ακόμη και – σε περίπτωση που γίνει από κάποιο δεκατετράχρονο που δεν καταλαβαίνει τί ακριβώς κάνει – πράξη κυβερνο-βανδαλισμού. Τι θα είναι από όλα αυτά θα εξαρτηθεί από τα κίνητρα του επιτιθέμενου και τις συνθήκες της επίθεσεις...όπως και στον πραγματικό κόσμο.
Ωστόσο, για να υπάρχει κυβερνο-πόλεμος, θα πρέπει να υπάρχει πόλεμος. Και βέβαια στον 21ο αιώνα, ο πόλεμος αναπόφευκτα θα περιλαμβάνει και κυβερνο-πόλεμο. Όπως ο πόλεμος μεταφέρθηκε στον εναέριο χώρο με την ανάπτυξη των χαρταετών και των μπαλονιών και στη συνέχεια των αεροσκαφών, έτσι και ο πόλεμος θα μεταφερθεί στον κυβερνοχώρο με την ανάπτυξη ειδικών όπλων, τακτικών και αμυντικών συστημάτων.
Η διεξαγωγή του κυβερνο-πολέμου
Αναμφισβήτητα, οι πιο έξυπνες στρατιωτικές δυνάμεις του κόσμου που λαμβάνουν μεγάλες χρηματοδοτήσεις προετοιμάζονται για κυβερνο-πόλεμο, σε επίπεδο άμυνας και επίθεσης. Θα ήταν ανόητη κίνηση για μία στρατιωτική δύναμη να αγνοήσει την απειλή μίας κυβερνο-επίθεσης και να μην επενδύσει σε αμυντικά προγράμματα ή να μην υπολογίσει, από άποψη στρατηγικής ή τακτικής, τη πιθανότητα να ξεκινήσει μία κυβερνο-επίθεση εναντίον κάποιου εχθρού σε περίοδο πολέμου. Κι επειδή η ιστορία μάς έχει διδάξει ότι πολλές στρατιωτικές δυνάμεις στάθηκαν ανόητες και αγνόησαν την τεχνολογική πρόοδο, ο κυβερνο-πόλεμος έχει συζητηθεί τόσο πολύ στους στρατιωτικούς κύκλους που δεν γίνεται να αγνοηθεί.
Αυτό σημαίνει ότι τουλάχιστον μερικές από τις στρατιωτικές δυνάμεις του κόσμου διαθέτουν εργαλεία επίθεσης Διαδικτύου και τα φυλάνε σε περίπτωση πολέμου. Μπορεί να είναι εργαλεία άρνησης παροχής υπηρεσιών (denial-of-service tools). Μπορεί να είναι εργαλεία εκμετάλλευσης αδυναμιών κάποιου συστήματος (exploits) που επιτρέπουν στις στρατιωτικές υπηρεσίες πληροφοριών να εισχωρούν σε στρατιωτικά συστήματα. Μπορεί να είναι ιοί και σκουλήκια παρόμοια με αυτά που αντιμετωπίζουμε σήμερα, τα οποία, όμως, να περιορίζονται σε συγκεκριμένη χώρα ή συγκεκριμένο δίκτυο. Μπορεί να είναι ιοί τύπου Trojan που κατασκοπεύουν δίκτυα, διακόπτουν λειτουργίες δικτύου ή επιτρέπουν στους επιτιθέμενους να εισχωρούν και σε άλλα δίκτυα.
Τα παιδάκια με τα προγράμματα (script kiddies) είναι επιτιθέμενοι που εκτελούν ένα κώδικα γραμμένο από άλλους, αλλά δεν κατανοούν πραγματικά τις περιπλοκές των ενεργειών τους. Αντιθέτως, οι επαγγελματίες επιτιθέμενοι ξοδεύουν άπειρο χρόνο για να δημιουργήσουν εργαλεία εκμετάλλευσης αδυναμιών κάποιου συστήματος: αναζητούν αδυναμίες, γράφουν κώδικες για να τις εκμεταλλευτούν, αναζητούν τρόπους για να καλύψουν τα ίχνη τους. Οι πραγματικοί επαγγελματίες δεν γνωστοποιούν τον κωδικό τους στα script kiddies. Όλο αυτό το υλικό είναι πιο πολύτιμο αν παραμείνει μυστικό, μέχρι να χρειαστεί. Πιστεύω ότι οι στρατιωτικές δυνάμεις διαθέτουν συλλογές με αδυναμίες σε κοινά λειτουργικά συστήματα, γενικές εφαρμογές ή ακόμη και κατασκευασμένα στρατιωτικά λογισμικά που χρησιμοποιούν οι πιθανοί εχθροί τους, καθώς και κωδικούς για να εκμεταλλευτούν τις εκάστοτε αδυναμίες. Πιστεύω ότι αυτές οι στρατιωτικές δυνάμεις διατηρούν τις αδυναμίες αυτές μυστικές και ότι τις φυλάνε σε περίπτωση πολέμου ή άλλων εχθροπραξιών. Διαφορετικά, θα θεωρούνταν ανεύθυνες.
Η πιο προφανής κυβερνο-επίθεση είναι η απενεργοποίηση μεγάλων τμημάτων του Διαδικτύου, τουλάχιστον για ένα μικρό χρονικό διάστημα. Βέβαια, μερικές στρατιωτικές δυνάμεις έχουν τη δυνατότητα να το κάνουν αυτό, αλλά από τη στιγμή που δεν διεξάγεται παγκόσμιος πολέμος, αμφιβάλλω ότι θα προβούν σε τέτοιου είδους κινήσεις ∙ το Διαδίκτυο αποτελεί ένα από τα πλέον χρήσιμα πλεονεκτήματα και ένα υπερβολικά μέρος της παγκόσμιας οικονομίας. Αυτό που έχει περισσότερο ενδιαφέρον είναι εάν θα προσπαθήσουν να απενεργοποιήσουν μερικά εθνικά τμήματά του. Αν η Χώρα Α βρίσκεται σε πόλεμο με τη Χώρα Β, άραγε θα θελήσει η Χώρα Α να απενεργοποιήσει το μερίδιο της Χώρας Β στο Διαδίκτυο ή να εξαλείψει τις συνδέσεις μεταξύ του Διαδικτύου της Χώρας Β και του υπόλοιπου κόσμου; Ανάλογα με τη χώρα ∙ μία λύση χαμηλής τεχνολογίας μπορεί να είναι πιο εύκολη: απενεργοποίηση των υποθαλάσσιων καλωδίων που χρησιμοποιούν ως πρόσβαση. Θα μπορούσε η Χώρα Α να μετατρέψει το δικό της δίκτυο σε εγχώριο δίκτυο μόνο, αν ήθελε;
Μία πιο χειρουργική προσέγγιση είναι ο σχεδιασμός κυβερνο-επιθέσεων με σκοπό να καταστραφούν δίκτυα συγκεκριμένων οργανισμών, όπως για παράδειγμα, η επίθεση άρνησης παροχής υπηρεσιών (denial-of-service) εναντίον του ιστοχώρου του Αλ Τζαζίρα κατά τη διάρκεια του πρόσφατου πολέμου στο Ιράκ που λέγεται ότι έγινε από φιλαμερικανούς χάκερς, αλλά είναι πιθανό να έγινε από την κυβέρνηση. Μπορούμε να φανταστούμε μία κυβερνο-επίθεση ενάντια στα δίκτυα Η/Υ στα στρατιωτικά αρχηγεία ενός έθνους ή ενάντια στα δίκτυα Η/Υ που χειρίζονται πληροφορίες σχεδιασμού και συντήρησης των ένοπλων δυνάμεων.
Αυτό που δεν πρέπει να ξεχνάμε είναι ότι το τελευταίο πράγμα που θέλει να κάνει μία στρατιωτική δύναμη είναι να καταστρέψει ένα δίκτυο επικοινωνιών. Μία στρατιωτική δύναμη προβαίνει σε κλείσιμο του δίκτυο του εχθρού, μόνο στην περίπτωση που δεν λαμβάνει αρκετές πληροφορίες από αυτό. Το καλύτερο που έχει να κάνει είναι να εισχωρήσει στους Η/Υ και στα δίκτυα του εχθρού, να κατασκοπεύσει και κρυφά να διακόψει επιλεγμένα τμήματα των επικοινωνιών του, όταν το κρίνει σκόπιμο. Η καλύτερη κίνηση είναι η παθητική λαθρακρόαση και στη συνέχεια, η ανάλυση των πληροφοριών ∙ να αναλύσει ποιός μιλάει σε ποιόν και τα χαρακτηριστικά της εκάστοτε επικοινωνίας. Σε περίπτωση που μία στρατιωτική δύναμη δεν μπορεί να κάνει κάτι από όλα αυτά, τότε αναλογίζεται το κλείσιμο, ή στην περίπτωση που το όφελος από το ολοκληρωτικό κλείσιμο του διαύλου επικοινωνιών του εχθρού υπερτερεί όλων των άλλων πλεονεκτημάτων, πράγμα που σπανίως συμβαίνει.
Χαρακτηριστικά του κυβερνο-πολέμου
Λόγω του ότι οι επιτιθέμενοι και οι αμυνόμενοι χρησιμοποιούν το ίδιο υλικό (H/W) και λογισμικό δικτύων, υπάρχει μία θεμελιώδης ένταση μεταξύ της κυβερνο-επίθεσης και της κυβερνο-άμυνας. Η Υπηρεσία Εθνικής Ασφάλειας (NSA) το αναφέρει ως το «ζήτημα των κοινών πόρων». Εν περιλήψει, όταν μια στρατιωτική δύναμη ανακαλύψει μία αδυναμία σε ένα κοινό προϊόν, μπορεί είτε να ενημερώσει τον κατασκευαστή για να τη διορθώσει, ή να μην το πει σε κανέναν. Δεν πρόκειται για εύκολη απόφαση. Η διόρθωση της αδυναμίας θα παρέχει και στους καλούς και στους κακούς ένα πιο ασφαλές σύστημα. Εάν η αδυναμία παραμείνει μυστική συνεπάγεται ότι οι καλοί μπορούν να εκμεταλλευτούν την αδυναμία για να επιτεθούν στους κακούς και παράλληλα ότι και οι καλοί θα είναι ευάλωτοι. Εφόσον όλοι χρησιμοποιούν τους ίδιους μικροεπεξεργαστές, λειτουργικά συστήματα, πρωτόκολλα δικτύου, λογισμικά εφαρμογών, κλπ., το «ζήτημα των κοινών πόρων» πάντοτε θα αποτελεί ένα παράγοντα προς εξέταση στο σχεδιασμό του κυβερνο-πολέμου.
Ο κυβερνο-πόλεμος μπορεί να υιοθετεί κάποια χαρακτηριστικά κατασκοπείας, αλλά δεν περιλαμβάνει απαραιτήτως ανοιχτό πόλεμο. (Σε στρατιωτική ορολογία, ο κυβερνο-πόλεμος δεν αποτελεί απαραιτήτως «θερμό επεισόδιο».) Από τη στιγμή που το μεγαλύτερο μέρος του κυβερνο-πολέμου θα σχετίζεται με την κατάληψη ελέγχου ενός δικτύου και τη λαθρακρόαση, μπορεί να μην υπάρχουν εμφανείς ζημιές από τις κυβερνο-πολεμικές επιχειρήσεις του. Αυτό σημαίνει ότι οι ίδιες τακτικές μπορεί να χρησιμοποιηθούν σε καιρό ειρήνης από εθνικές υπηρεσίες πληροφοριών. Η συγκεκριμένη περίπτωση περιλαμβάνει μεγάλο κίνδυνο. Όπως οι πτήσεις των πολεμικών αεροσκαφών (U2) των ΗΠΑ πάνω από τη Σοβιετική Ένωση θα μπορούσαν να θεωρηθούν ως πράξεις πολέμου, έτσι μπορεί να θεωρηθεί και η σκόπιμη εισχώρηση στα δίκτυα των Η/Υ μίας χώρας.
Οι κυβερνο-επιθέσεις έχουν ως στόχο την υποδομή. Παρομοίως, δεν διαφέρουν από τις συμβατικές στρατιωτικές επιθέσεις εναντίον άλλων δικτύων: ενέργειας, μεταφορών, επικοινωνιών, κλπ. Όλα αυτά τα δίκτυα χρησιμοποιούνται τόσο από πολίτες, όσο και από στρατιωτικές δυνάμεις σε καιρό πολέμου και οι επιθέσεις αυτές προκαλούν προβλήματα και στις δύο ομάδες ανθρώπων. Για παράδειγμα, όταν οι Σύμμαχοι βομβάρδισαν τις γερμανικές σιδηροδρομικές γέφυρες κατά τη διάρκεια του Β’ Παγκοσμίου Πολέμου, το γεγονός αυτό επηρέασε τόσο τις πολιτικές, όσο και τις στρατιωτικές μεταφορές. Παρομοίως, όταν οι Ηνωμένες Πολιτείες βομβάρδισαν τις ιρακινές συνδέσεις επικοινωνιών τόσο στον Α’, όσο και στο Β’ Πόλεμο του Ιράκ επηρέασαν και τις δύο επικοινωνίες, πολιτικές και στρατιωτικές. Οι κυβερνο-επιθέσεις, ακόμη και οι επιθέσεις με ακριβείς στόχους όπως των σημερινών έξυπνων βομβών, πιθανώς να έχουν επιπλέον ακούσιες συνέπειες.
Οι κυβερνο-επιθέσεις μπορεί να χρησιμοποιηθούν για να προκαλέσουν πόλεμο πληροφοριών. Ο πόλεμος πληροφοριών είναι ένα άλλο ζήτημα που έλαβε πρόσφατα σημαντική προσοχή από τα μέσα, αν και δεν είναι καινούργιο. Η διανομή φυλλαδίων στους εχθρούς για να τους πείσουν να παραδοθούν είναι πόλεμος πληροφοριών. Η μετάδοση ραδιοφωνικών προγραμμάτων στους εχθρούς είναι πόλεμος πληροφοριών. Όσο οι άνθρωποι θα μεταφέρουν όλο και περισσότερες από τις πληροφορίες τους στον κυβερνοχώρο, ο κυβερνοχώρος θα αποτελεί όλο και περισσότερο το χώρο δράσης του πολέμου πληροφοριών. Δεν είναι δύσκολο να φανταστούμε κυβερνο-επιθέσεις σχεδιασμένες με σκοπό να εντάξουν τους διαύλους επικοινωνίας των εχθρών και να τους χρησιμοποιήσουν ως όχημα για τον πόλεμο πληροφοριών.
Λόγω του ότι ο κυβερνο-πόλεμος έχει ως στόχο την υποδομή πληροφοριών, τα αποτελέσματα αυτού μπορεί να είναι πιο επιζήμια για τις χώρες που διαθέτουν σημαντικές υποδομές δικτύων Η/Υ. Η λογική είναι ότι μία τεχνολογικά φτωχή χώρα μπορεί να καταλήξει στο συμπέρασμα ότι μία κυβερνο-επίθεση που επηρεάζει ολόκληρο τον κόσμο θα επηρεάσει δυσανάλογα τους εχθρούς της, επειδή τα πλούσια έθνη βασίζονται στο Διαδίκτυο πολύ περισσότερο από τα φτωχά. Από μία άποψη, αυτή είναι η σκοτεινή πλευρά του ψηφιακού χάσματος και ένας από τους λόγους που χώρες όπως οι Ηνωμένες Πολιτείες ανησυχούν τόσο πολύ για την κυβερνο-άμυνα.
Ο κυβερνο-πόλεμος είναι δυσανάλογος και μπορεί να αποτελεί επίθεση ανταρτών. Σε αντίθεση με τις συμβατικές στρατιωτικές επιθέσεις που περιλαμβάνουν μεραρχίες ανδρών και προμήθειες, οι κυβερνο-επιθέσεις διεξάγονται από μερικούς εκπαιδευμένους χειριστές. Έτσι, οι κυβερνο-επιθέσεις μπορεί να είναι μέρος μιας πολεμικής εκστρατείας ανταρτών.
Επιπλέον, οι κυβερνο-επιθέσεις αποτελούν αποτελεσματικές επιθέσεις αιφνιδιασμού. Για χρόνια ακούγαμε τρομερές προειδοποιήσεις για μια αιφνίδια ηλεκτρονική επίθεση όπως αυτή του Περλ Χάρμπορ. Σήμερα αυτές είναι τεράστιες υπερβολές. Στο προηγούμενο τεύχος του Κρυπτογράμματος με θέμα την κυβερνο-τρομοκρατία γίνεται περισσότερος λόγος για το θέμα αυτό, αλλά η σύγχρονη υποδομή δεν είναι αρκετά ευάλωτη για να γίνει κάτι τέτοιο.
Οι κυβερνο-επιθέσεις δεν έχουν πάντοτε μία προφανή προέλευση. Σε αντίθεση με άλλες μορφές πολέμου, ο αποπροσανατολισμός είναι περισσότερο χαρακτηριστικό μιας κυβερνο-επίθεσης. Μπορεί να προκληθεί ζημιά, αλλά χωρίς να γνωρίζουμε την προέλευσή της. Αυτή είναι μία σημαντική διαφορά ∙ είναι τρομακτικό να μην γνωρίζεις τον αντίπαλό σου – ή να τον γνωρίζεις και μετά να κάνεις λάθος. Φανταστείτε εάν μετά το Περλ Χάρμπορ δεν γνωρίζαμε ποιός είχε προκαλέσει την επίθεση.
Ο κυβερνο-πόλεμος είναι κινούμενος στόχος. Στην προηγούμενη παράγραφο ανέφερα ότι σήμερα οι κίνδυνοι για μία ηλεκτρονική επίθεση όπως αυτή του Περλ Χάρμπορ είναι αβάσιμοι. Αυτό είναι αλήθεια, αλλά και αυτή, όπως όλες οι άλλες πλευρές του κυβερνοχώρου αλλάζουν συνεχώς. Οι τεχνολογικές βελτιώσεις επηρεάζουν τους πάντες, ακόμη και τους μηχανισμούς μιας κυβερνο-επίθεσης. Επιπλέον, το Διαδίκτυο γίνεται επικίνδυνο σε ολοένα περισσότερα σημεία της υποδομής μας, καθιστώντας τις κυβερνο-επιθέσεις πιο ελκυστικές. Κάποια στιγμή στο μέλλον, μπορεί στο εγγύς μέλλον, μία αιφνίδια κυβερνο-επίθεση να αποτελέσει μία πραγματική απειλή.
Καταλήγωντας, ο κυβερνο-πόλεμος είναι μία πολύπλευρη έννοια. Είναι μέρος μίας μεγαλύτερης στρατιωτικής εκστρατείας και οι επιθέσεις είναι πολύ πιθανό να αποτελούνται από πραγματικά στοιχεία, καθώς και από κυβερνο-στοιχεία. Μια στρατιωτική δύναμη μπορεί να θέσει ως στόχο την υποδομή επικοινωνιών του εχθρού μέσω μιας φυσικής επίθεσης – βομβαρδισμό σε επιλεγμένες εγκαταστάσεις επικοινωνιών και σε καλώδια μετάδοσης – και μέσω μιας εικονικής επίθεσης. Μία εκστρατεία πολέμου πληροφοριών μπορεί να περιλαμβάνει τη διανομή φυλλαδίων, το σφετερισμό ενός τηλεοπτικού καναλιού και τη μαζική αποστολή ηλεκτρονικών μηνυμάτων. Επίσης, πολλές κυβερνο-επιθέσεις έχουν πιο εύκολα μη κυβερνο-ισοδύναμα. Μία χώρα που θέλει να απομονώσει το Διαδίκτυο μίας άλλης μπορεί να βρει μία λύση χαμηλής τεχνολογίας, έχοντας τη συγκατάθεση εταιρειών δικτύου στήριξης (backbone), όπως η Cable & Wireless, πράγμα που είναι πολύ πιο εύκολο από την αποστολή σκουληκιών ή ιών. Ο κυβερνο-πόλεμος δεν αντικαθιστά τον πόλεμο ∙ απλώς είναι ακόμη ένα πεδίο, στο οποίο διεξάγονται μεγαλύτερες μάχες.
Ο κόσμος δίνει υπερβολική σημασία στους κινδύνους του κυβερνο-πολέμου και της κυβερνο-τρομοκρατίας. Είναι σέξυ και προσελκύουν την προσοχή των μέσων. Ενώ παράλληλα, ο κόσμος υποτιμάει τους κινδύνους του κυβερνο-εγκλήματος. Στις μέρες μας το έγκλημα είναι μία πολύ σοβαρή υπόθεση στο Διαδίκτυο, το οποίο λαμβάνει όλο και μεγαλύτερες διαστάσεις. Ευτυχώς, όμως, οι άμυνες είναι ίδιες. Τα μέτρα αποτροπής του κυβερνο-πόλεμου και των κυβερνο-τρομοκρατικών επιθέσεων θα μας προστατέψουν από το κυβερνο-έγκλημα και τον κυβερνο-βανδαλισμό. Οπότε, ακόμη κι αν οι οργανισμοί ασφαλίζουν τα δίκτυά τους για τους λάθος λόγους, στο τέλος θα κάνουν το σωστό.
Wednesday, July 14, 2010
Αλυσίδες στον ωκεανό του κυβερνοχώρου
Ένα από τα πάγια χόμπι της τηλεδημοκρατίας είναι να υποδύεται το σύγχρονο Κολόμβο που ανακαλύπτει έκθαμβος τη νέα Αμερική και σπεύδει, μέσα στην αβυσσαλέα του άγνοια, να ασχημονήσει σε έννοιες που δεν κατέχει. Όπως στο θέμα που προέκυψε με τα blogs και κατ’ επέκταση με το Ίντερνετ.
Αίφνης και ασθμαίνοντας ήρθε στο προσκήνιο η αναγκαιότητα νομοθετικής ρύθμισης σε ένα χώρο που προσωποποιεί την ελευθερία της έκφρασης, ένα νέο υπέροχο κόσμο, όπου η δημοκρατικότητα της εικονικής (έστω) πραγματικότητας πολλές φορές –αν όχι κατά βάση- υπερβαίνει τη διάτρητη δημοκρατική δομή συντεταγμένων κοινωνιών.
Το ζήτημα εμφανίστηκε πασπαλισμένο με όλες τις παθογένειες της σύγχρονης ελληνικής ενημέρωσης, αν όχι της κοινωνίας: Εκβιασμοί, κιτρινισμός, διαπλοκή, σκοτεινές συναλλαγές, παρέμβαση της Δικαιοσύνης και άφθονη συνωμοσιολογία.
Το πακέτο ήταν βούτυρο στο ψωμί της τηλεοπτικής ενημέρωσης και σε μικρότερο βαθμό των εφημερίδων. Με αφορμή ένα blog, με κίτρινο και σκανδαλοθηρικό περιεχόμενο ως επί το πλείστον, μπήκε (υπογείως) στο στόχαστρο το Ίντερνετ και δη η διαδικτυακή ενημέρωση και η ελεύθερη έκφραση άποψης. Η πρώτη φάση απαιτούσε προπαγάνδα…
Οι υποψιασμένοι κατάλαβαν τις προθέσεις, οι ανυποψίαστοι είδαν να δαινομοποιείται κάτι που δεν γνωρίζουν- ενδεχομένως το πίστεψαν: Το Ίντερνετ ως ο παράδεισος των κακών και κόλαση των καλών. Αθάνατη ελληνική αμετροέπεια και υπερβολή…
Ένας στους τέσσερις (και κάτι παραπάνω) Έλληνες διαθέτει σύνδεση στο Ίντερνετ. Η Ελλάδα είναι αρκετά πίσω ακόμα σε σχέση με τον ευρωπαϊκό μέσο όρο, ωστόσο η τροχιά είναι ανοδική και κατά πάσα πιθανότητα (μα και βεβαιότητα) μη αναστρέψιμη. Την ίδια ώρα σοβαρές μετρήσεις από το ευρωβαρόμετρο δείχνουν ότι η απαξίωση της κοινής γνώμης απέναντι στα παραδοσιακά Μέσα Ενημέρωσης –και ειδικά στην τηλεόραση- ακουμπά το υπόγειο. Το ίδιο και για τον πολιτικό κόσμο, που είθισται να περνάει τις καλύτερες του ημέρες όταν υπάρχει περιορισμός και έλεγχος της ενημέρωσης και της άποψης.
Παράλληλα οι πωλήσεις των εφημερίδων βαίνουν μειούμενες- χωρίς τις «προσφορές» ενδεχομένως να είχαν ανησυχητική πτώση. Το δεδομένο ότι οι μεγάλες κυριακάτικες εφημερίδες διαγκωνίζονται στο ποια θα κάνει την πιο πλούσια προσφορά σε dvd, cd ή βιβλίο και οι πωλήσεις τους είναι ανάλογες του «δώρου» αποδεικνύει ότι η «μάχη» δεν γίνεται τόσο στον τομέα της ενημέρωσης αλλά του μάρκετινγκ. Δεν απαξιώνουμε συνολικά το ειδησεογραφικό προϊόν και ειδικότερα τους δημοσιογράφους, ωστόσο είναι δυσάρεστο να βλέπεις κάποιον να αγοράζει την εφημερίδα, να παίρνει το dvd από μέσα και στη συνέχεια να την πετάει στα σκουπίδια.
Η αλήθεια είναι ότι τα παραδοσιακά Μέσα Ενημέρωσης μόνα τους κατάφεραν να απαξιωθούν. Η υπόθεση Ζαχόπουλου, άλλωστε, ξεγύμνωσε πολιτικο-δημοσιογραφικές σχέσεις που μέχρι πρότινος είτε ήταν ανομολόγητες είτε στη σφαίρα της συνωμοσίας και του κουτσομπολιού. Αργά μα σταθερά ο πολίτης αντιδρούσε- και ένα καθόλου ευκαταφρόνητο ποσοστό βρήκε απάγκιο στο Διαδίκτυο. Συνεπώς στα μάτια και τη λογική κάποιων γινόταν εχθρός- τους υπερέβαινε, δεν μπορούσαν να το παρακολουθήσουν, το στοχοποίησαν. Είναι ελεύθερο…
Το ίδιο φαίνεται ότι επιχειρεί να κάνει και η κρατική εξουσία, η οποία αντέδρασε σπασμωδικά λόγω της φασαρίας που προκλήθηκε και αποφάσισε να προχωρήσει σε νομοθετική ρύθμιση, που ειδικά μετά την 11η Σεπτεμβρίου αποτέλεσε κυβερνητική επιταγή στις ΗΠΑ και στη συνέχεια στην Ευρώπη στο πλαίσιο της τρομοϋστερίας που ακολούθησε την πτώση των δίδυμων πύργων.
Έλεγχος και περιορισμοί στο Ίντερνετ, μετά τη λάσπη που έριξαν πολλοί άσχετοι με το «άθλημα». Η φοβικότητα απέναντι στο άγνωστο και το ελεύθερο μοιάζει με φάντασμα που πλανάται πάνω από τη χώρα. Και ίσως κομίζει αλυσίδες στον άυλο ωκεανό του κυβερνοχώρου.
Subscribe to:
Posts (Atom)
