Κάμερες, οικιακές συσκευές, κινητά και ταμπλέτες, όλα είναι πια δικτυωμένα. Χαρούμενοι με όλα τα καλούδια, ξεχνάμε συνήθως τους κινδύνους. Πώς θα προστατευθούμε;
Κάλεσε δύο χάκερ να σπάσουν το σύστημα της κάμερας για να δει πώς μπορεί κάποιος επιτιθέμενος να αποκτήσει πρόσβαση στο νοικοκυριό του. Ένας εκ των δύο ήταν ο Έλληνας Κυπριανός Βασιλόπουλος, σύμβουλος ασφαλείας πληροφοριακών συστημάτων.
Εμείς εντοπίσαμε τον Έλληνα ειδικό, ο οποίος μας εξήγησε τι ακριβώς συνέβη στο Λονδίνο. «Ο δημοσιογράφος του BBC μας κάλεσε στο σπίτι του και μας ζήτησε να δείξουμε αν είναι ασφαλές ένα οικιακό δίκτυο με κάποιες συνδεδεμένες συσκευές, όπως π.χ. η κάμερα. Αυτό που δείξαμε είναι ότι και μέσω ενός απλού email, της κάμερας και του οικιακού ρούτερ καταφέραμε να αποκτήσουμε πρόσβαση στο δίκτυό του» εξηγεί στο «Βήμα» ο κ. Βασιλόπουλος.
Ψηφιακοί εισβολείς στο σπίτι μας
Με μια πληθώρα έξυπνων και δικτυωμένων συσκευών να μας περιβάλλει και νέες προτάσεις να κάνουν διαρκώς την εμφάνισή τους για ένα ενοποιημένο δίκτυο που θα μπορούμε να ελέγχουμε από παντού, οι απειλές είναι ξεκάθαρες και οι επιτήδειοι αμέτρητοι. «Πλέον δεν είναι και τόσο δύσκολο να "μπει" κανείς στο δίκτυο κάποιου. Όσο περισσότερες είναι οι συσκευές που συνδέονται στο Διαδίκτυο (κάμερες, ρούτερ, γκάτζετ κ.ά.) τόσο μεγαλύτερο είναι και το ρίσκο μιας υποτιθέμενης επίθεσης. Στο σπίτι είναι λίγο ανώνυμη η κατάσταση, συγκριτικά με μια στοχευμένη επίθεση σε μια εταιρεία. Δεν ξέρεις δηλαδή σε ποιον ανήκει η διεύθυνση IP (Internet Protocol Address) - εκεί στοχεύει κανείς στα τυφλά, όμως αν αποκτήσει πρόσβαση σε κάποιες συσκευές, τότε μπορεί να τις αξιοποιήσει για δικούς του λόγους».
Οπως μας ενημερώνει ο κ. Βασιλόπουλος, δεν χρειάζεται κανείς να διαθέτει σπουδές στην Πληροφορική για να καταφέρει να χακάρει ένα σύστημα. «Υπάρχουν "τρύπες" που είναι πολύ εύκολο να τις βρει κάποιος, και άλλες που απαιτούν πιο εξειδικευμένες γνώσεις. Η ευπάθεια που βρήκαμε π.χ. στην κάμερα του BBC δεν απαιτούσε ιδιαίτερες γνώσεις πληροφορικής. Αρκούσε κανείς να γνωρίζει κάποια βασικά πράγματα, να ασχολείται στον ελεύθερο χρόνο του, να διαβάζει, να ενημερώνεται, για να μπορέσει να αξιοποιήσει τη συγκεκριμένη αδυναμία του συστήματος. Στη συνέχεια μαζί με τον δημοσιογράφο βρήκαμε την αντίστοιχη ιστοσελίδα όπου εμφανίζονταν 1,5 εκατομμύριο κάμερες σε όλο τον κόσμο με το ίδιο λειτουργικό σύστημα. Το μέγεθος, όπως καταλαβαίνετε, είναι τεράστιο».
Προσοχή στις κάμερες
Το πρόβλημα, σύμφωνα με τον ειδικό ασφαλείας, ξεκινάει από τους ίδιους τους χρήστες οι οποίοι τις περισσότερες φορές εμφανίζονται μάλλον αφελείς απέναντι στους πιθανούς κινδύνους. «Οι περισσότεροι γονείς, ειδικά στην Ελλάδα, και το λέω εμπειρικά, δεν είναι και πολύ της τεχνολογίας. Οπότε βάζουν μια κάμερα, τη συνδέουν στο δίκτυο του σπιτιού τους έτσι ώστε και όταν πάνε στη δουλειά να μπορούν να παρακολουθούν κάποια πράγματα. Είτε αφήνουν τον προεπιλεγμένο κωδικό της εταιρείας στην κάμερα, είτε τον αλλάζουν. Ομως συμβαίνει το εξής: οι περισσότεροι κατασκευαστές που φτιάχνουν τις κάμερες, λίγο-πολύ έχουν το ίδιο λειτουργικό σύστημα. Αυτό το σύστημα δεν είναι τόσο καλά προστατευμένο ώστε να παρέχει στους χρήστες υψηλή ασφάλεια. Οι επιτήδειοι λοιπόν παίρνουν μια τέτοια κάμερα στο σπίτι τους, μελετούν το λειτουργικό σύστημα που τρέχει από κάτω, βρίσκουν ευπάθειες, στη συνέχεια εντοπίζουν τις ιστοσελίδες στις οποίες αναφέρονται οι συσκευές που είναι συνδεδεμένες στο Διαδίκτυο σε παγκόσμιο επίπεδο και ξεκινούν να χτυπούν τις κάμερες ανά χώρα ή μία-μία, παρακάμπτοντας τη διαδικασία ασφαλείας τους, με αποτέλεσμα να αποκτούν πρόσβαση σε αυτές».
Σε περίπτωση που θέλουμε να αγοράσουμε μια κάμερα, σύμφωνα με τον κ. Βασιλόπουλο, καλό είναι να καταφεύγουμε σε γνωστές εταιρείες και όχι σε φθηνές λύσεις από άγνωστους κατασκευαστές. «Κατά την ενεργοποίηση της κάμερας το λεγόμενο firmware που τη συνοδεύει θα πρέπει να αναβαθμιστεί αμέσως στην τελευταία έκδοση (αν υπάρχει). Επίσης όταν βγάζουμε μια συσκευή στο Διαδίκτυο, αν θέλουμε να τη βλέπουμε από smartphone ή από τον υπολογιστή του γραφείου μας, τότε καλό είναι να την περιορίσουμε. Δηλαδή, θα πρέπει να ενεργοποιήσουμε το λεγόμενο VPN (Virtual Private Network) που έχει ο ρούτερ του σπιτιού και από τη συσκευή να συνδεόμαστε μέσω VPN στον ρούτερ και η κάμερα που βρίσκεται πίσω από τη σύνδεση αυτή να επιλέγεται τοπικά στο δίκτυο ούτως ώστε να μην είναι ορατή διαδικτυακά. Η σύνδεση VPN είναι κρυπτογραφημένη οπότε ό,τι σύνδεση γίνεται εκεί δεν μπορεί να σπάσει από κάποιον άλλον που θα ήθελε να αποκτήσει πρόσβαση στα δεδομένα αυτά. Ως χρήστες καλό είναι να μη βγάζουμε οικιακές συσκευές στο Διαδίκτυο τις οποίες είτε δεν πολυγνωρίζουμε, είτε δεν εμπιστευόμαστε. Προσωπικά, τις κάμερες τις προσέχω πάρα πολύ».
Ο ταχυδρόμος «χτυπά» συσκευές
Σε ένα νοικοκυριό μπορεί κανείς να συναντήσει μια smart TV, ένα λάπτοπ, ένα tablet και ένα smartphone. Oι απειλές άραγε για την καθεμιά από τις παραπάνω συσκευές είναι ίδιες; «Η περίπτωση της smart TV είναι πιο περίπλοκη και απαιτεί συγκεκριμένη τεχνική, είναι πιο δύσκολο να γίνει κάτι τέτοιο. Στις υπόλοιπες συσκευές (λάπτοπ, κινητό, tablet), αν θέλω να αποκτήσω πρόσβαση μπορώ, για παράδειγμα, να σας στείλω ένα email το οποίο δεν θα ενεργοποιήσει κανένα απολύτως μέτρο ασφαλείας, όπως π.χ. το antivirus. Θα μοιάζει με αληθοφανές επισυναπτόμενο αρχείο (ένας λογαριασμός τηλεφώνου, ενημέρωση από την εφορία κ.ά.), ο παραλήπτης θα το ανοίξει και από όποια συσκευή γίνει αυτό θα γυρίσει σε εμένα μια σύνδεση. Ετσι, θα έχω πλήρη πρόσβαση στη συσκευή σας».
Σύμφωνα με τον ειδικό, η προστασία που προσφέρουν τα υπάρχοντα συστήματα antivirus δεν αγγίζει ούτε το 70% και αυτό γιατί ο επιτιθέμενος γνωρίζει τα μέτρα που μπορεί να λάβει κάποιος. Κατεβάζει λοιπόν στον υπολογιστή του το οποιοδήποτε antivirus, ελέγχει το σύστημα για ευπάθειες και αλλάζει διαρκώς το αρχείο-«παγίδα» μέχρις ότου καταφέρει να κοροϊδέψει το antivirus. «Σε παγκόσμια κλίμακα, όλες οι εταιρείες που ασχολούνται με την ασφάλεια κάνουν ακριβώς αυτό: προσπαθούν να στείλουν ένα τέτοιο αρχείο για να κοροϊδέψουν το antivirus».
«Η αλήθεια είναι ότι ο πόλεμος μεταξύ των εταιρειών ασφαλείας, που βγάζουν τα antivirus και των επιτιθεμένων δεν γίνεται επί ίσοις όροις γιατί πάντα ο επιτιθέμενος βρίσκεται ένα βήμα πιο μπροστά. Σαν επιτιθέμενος, έχω το πλεονέκτημα μέσω του κακόβουλου αρχείου που φτιάχνω να κάνω ό,τι χρειάζεται για να παρακάμψω την ασφάλεια» μας λέει ο ειδικός. «Αν είμαστε υποψιασμένοι όμως, π.χ. αν λάβουμε ένα τέτοιο αρχείο ενώ δεν το περιμένουμε, αν δούμε κάτι που δεν έχουμε ξαναδεί, απλά δεν το ανοίγουμε».
Όταν οι εφαρμογές τρυπώνουν στην κάμερα
Δεν είναι λίγες όμως και οι εφαρμογές που κατά την εγκατάσταση ή την αναβάθμισή τους μας ζητούν να αποδεχτούμε πρόσβαση στην κάμερα και στο μικρόφωνο της συσκευής μας. «Αυτό έχει να κάνει καθαρά με τον τύπο της εφαρμογής. Από τη στιγμή όμως που ο χρήστης αποδέχεται την πρόσβαση στο μικρόφωνο ή στην κάμερα του κινητού του, αυτός που έχει φτιάξει την εφαρμογή ενδεχομένως να τη χρησιμοποιήσει π.χ. για να βγάλει κάποια φωτογραφία, να ακούσει κάποια συνομιλία, οτιδήποτε. Επίσης όταν σας καλούν από εταιρείες ενώ δεν έχετε δώσει τα προσωπικά σας στοιχεία, το κινητό σας, το email σας, αυτό συμβαίνει - μεταξύ άλλων - και από εφαρμογές ή εταιρείες delivery οι οποίες παραχωρούν τα προσωπικά δεδομένα των χρηστών ή των πελατών τους έναντι κάποιου χρηματικού ποσού» μας λέει ο κ. Βασιλόπουλος.
* Οι απόψεις του ιστολογίου μπορεί να μη συμπίπτουν με τις απόψεις του/της αρθρογράφου ή τα περιεχόμενα του άρθρου.
0 Σχόλια