Επικαιρότητα

Υψώνοντας τείχη απέναντι στους χάκερ

Η εκφώνηση θύμιζε σενάριο ταινίας: «Αυτή την περίοδο η εταιρεία Οπλικά Συστήματα “Ζευς” αναπτύσσει ένα νέο όπλο υπό συνθήκες απόλυτης μυστικότητας. Ο αναλυτής ασφαλείας της εταιρείας διαπίστωσε μέσω των αρχείων καταγραφής πως προ ολίγων ημερών τροποποιήθηκε το περιεχόμενο μερικών αρχείων του ιστοχώρου χωρίς φαινομενική αλλαγή στη λειτουργία και στην εμφάνιση των ιστοσελίδων. Ο διαχειριστής φαίνεται να επικοινωνεί με άτομα εκτός εταιρείας μέσω της εφαρμογής Viber». Με αυτή την περιγραφή ξεκινούσε τον Ιούνιο του 2019 ένα από τα επεισόδια που είχαν κληθεί να αντιμετωπίσουν συμμετέχοντες στην ετήσια εθνική άσκηση κυβερνοάμυνας «Πανόπτης». Αποστολή τους ήταν να διαχειριστούν μια υπόθεση βιομηχανικής κατασκοπείας. Ο χρόνος ήδη κυλούσε αντίστροφα.

Σύμφωνα με εκείνο το σενάριο, η διεύθυνση της υποτιθέμενης εταιρείας οπλικών συστημάτων ανησυχούσε ότι διέρρεαν απόρρητες πληροφορίες από τις εγκαταστάσεις της. Οι πρώτες υποψίες στρέφονταν προς τον διαχειριστή του web server, ο οποίος φερόταν να τροποποιεί και να κρύβει το εμπιστευτικό υλικό σε αρχεία του ιστοχώρου. Οι συμμετέχοντες στην άσκηση έπρεπε να εντοπίσουν τα κρυμμένα αρχεία και σε περίπτωση που ο διαχειριστής ήταν όντως ένοχος, να στοιχειοθετήσουν την κατηγορία εναντίον του. Χρειάζονταν, μεταξύ άλλων, γνώσεις κρυπτογραφίας, στεγανογραφίας και προγραμματισμού για να φτάσουν κοντά στη λύση.

Ακόμη κι αν επρόκειτο σε αυτή την περίπτωση για μια προσομοίωση σε ένα κλειστό σύστημα, δηλαδή σε ελεγχόμενο περιβάλλον, μια πρόσφατη κυβερνοεπίθεση σε ιδιωτική εταιρεία αγωγών καυσίμων στις ΗΠΑ υπενθυμίζει πόσο υπαρκτοί είναι οι ψηφιακοί κίνδυνοι, αλλά και τις επιπτώσεις που μπορεί να έχουν παρόμοιες κακόβουλες ενέργειες στον πραγματικό κόσμο.

Η ροή στους αγωγούς καυσίμων της Colonial Pipeline, οι οποίοι μεταφέρουν πετρέλαιο και βενζίνη καλύπτοντας των 45% των ενεργειακών αναγκών της ανατολικής ακτής των ΗΠΑ, αντιμετώπισε σημαντικά προβλήματα μετά την ηλεκτρονική επίθεση με λογισμικό τύπου ransomware στις 7 Μαΐου. Οι δράστες κατάφεραν να κρυπτογραφήσουν αρχεία της εταιρείας και απαιτούσαν ψηφιακά λύτρα για να τα ξεκλειδώσουν. Σύμφωνα με αμερικανικά ΜΜΕ, η εταιρεία φέρεται να πλήρωσε 5 εκατ. δολάρια. Το FBI απέδωσε αυτή την επίθεση στην ομάδα χάκερ DarkSide, η οποία φέρεται να σχετίζεται με τη Ρωσία. Σε μήνυμά τους πάντως οι δράστες υποστήριξαν ότι δεν εκπροσωπούν κάποιο κράτος και ότι οι ενέργειές τους δεν έχουν γεωπολιτικά κίνητρα. «Στόχος μας είναι να βγάλουμε χρήματα», έχουν ισχυριστεί. Η ρωσική κυβέρνηση έχει αρνηθεί οποιαδήποτε σχέση.

Οδηγοί στις ΗΠΑ έσπευσαν στα βενζινάδικα μετά την επίθεση φοβούμενοι ελλείψεις καυσίμων και οι αμερικανικές αρχές προσπαθούσαν να μετριάσουν την αγωνία των πολιτών για να μην προκληθεί πανικός. Οπως φαίνεται και από αυτό το παράδειγμα, η όποια ευαλωτότητα σε κάποια κρίσιμη υποδομή δεν είναι αμελητέα, καθώς ένα κενό ασφαλείας θα μπορούσε να διαταράξει την ομαλή λειτουργία μιας περιοχής.

Στην εγχώρια ψηφιακή σκηνή, το 2018 είχε συμπεριληφθεί στον «Πανόπτη» για πρώτη φορά επεισόδιο SCADA, βάσει του οποίου είχε μπλοκάρει η λειτουργία τριών δεξαμενών ύδρευσης και η ομάδα ειδικών στη Διεύθυνση Πληροφορικής έπρεπε να αντιδράσει άμεσα, να ανακαλύψει την αιτία και να επαναφέρει το σύστημα στην αρχική του κατάσταση. Τα SCADA είναι συστήματα βιομηχανικού αυτόματου ελέγχου και τηλεχειρισμού που χρησιμοποιούνται, μεταξύ άλλων, σε κρίσιμες υποδομές, όπως εγκαταστάσεις υδροδότησης, διαχείρισης λυμάτων ή παροχής ηλεκτρικού ρεύματος.

Από το 2010

Ο «Πανόπτης» πραγματοποιήθηκε επίσημα για πρώτη φορά το 2010. Αρχικά οι δοκιμασίες ήταν πιο απλοϊκές, αλλά με τον καιρό τα σενάρια εμπλουτίστηκαν, έγιναν πιο ρεαλιστικά και πλέον χρειάζεται η συνεργασία οργανωμένων ομάδων για τη λύση κάποιου επεισοδίου. Οι προσομοιώσεις γίνονται υπό τον συντονισμό της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ και με τη συμμετοχή προσωπικού των Ενόπλων Δυνάμεων, φορέων δημόσιου και ιδιωτικού τομέα, καθώς και μελών της ακαδημαϊκής κοινότητας.

«Τα επεισόδια περιλαμβάνουν ευρεία γκάμα απειλών, καινοτόμες επιθέσεις», λέει στην «Κ» ο Βασίλης Βλάχος, επίκουρος καθηγητής στο Τμήμα Οικονομικών Επιστημών του Πανεπιστημίου Θεσσαλίας και εκ των συμμετεχόντων στην άσκηση με σπουδαστές του μέσω της ομάδας του Οργανισμού Ανοικτών Τεχνολογιών – ΕΕΛΛΑΚ. «Το σημαντικό πλεονέκτημα είναι ότι δημιουργήθηκε ένα δίκτυο ανθρώπων σχετικών με το αντικείμενο και υπάρχει άμεση επικοινωνία. Ξεπερνώντας τα στεγανά των διαφόρων υπηρεσιών, έρχονται όλοι ομότιμα σε ένα τραπέζι, συζητούν και ανταλλάσσουν εμπειρίες», προσθέτει.

Η πρόκληση της πανδημίας

Η πανδημία της COVID-19 επηρέασε και τον τρόπο διεξαγωγής της άσκησης, καθώς δεν ήταν εφικτό να πραγματοποιηθεί φυσική συνάντηση με τους συμμετέχοντες, εκτός των στελεχών των Ενόπλων Δυνάμεων, προκειμένου να συζητηθούν όλες οι λεπτομέρειες και να καταρτιστούν οι στόχοι και το περιεχόμενο των νέων επεισοδίων. Η μορφή που θα έχει κάθε χρόνο η άσκηση προκύπτει από τις προτάσεις όλων των φορέων, ανάλογα με τις επιθέσεις που έχουν καταγραφεί διεθνώς και τις ανάγκες που μπορεί να έχουν διάφοροι οργανισμοί.

Φέτος, όλες αυτές οι συναντήσεις θα γίνουν διαδικτυακά και θα προηγηθεί σχετική εκπαίδευση των συμμετεχόντων σε εργαλεία ανοιχτού κώδικα για να εντοπίζουν και να αντιμετωπίζουν κυβερνοεπιθέσεις. Για να προετοιμαστεί καλύτερα υπό τις συνθήκες της πανδημίας η άσκηση, άλλαξε και η ημερομηνία της. Συνήθως διεξαγόταν στα τέλη Μαΐου αλλά φέτος αναμένεται να πραγματοποιηθεί στα μέσα Οκτωβρίου.

Οι ψηφιακές «ομηρίες» και οι συμβουλές των ειδικών

Οι επιθέσεις με κακόβουλο λογισμικό τύπου ransomware, όπως αυτή που απασχολεί τις τελευταίες ημέρες τις ΗΠΑ με θύμα την εταιρεία Colonial Pipeline, είναι αρκετά διαδεδομένες και στην Ελλάδα. Η «Κ» έχει καταγράψει εκτενώς τα τελευταία χρόνια αντίστοιχα περιστατικά σε ιδιώτες, ελεύθερους επαγγελματίες και μικρές επιχειρήσεις της χώρας που βρίσκουν τα αρχεία των υπολογιστών τους κλειδωμένα με την απαίτηση της καταβολής ψηφιακών λύτρων για να τα ανακτήσουν.

Μεταξύ των θυμάτων έχουν βρεθεί λογιστές, δικηγόροι και φωτογράφοι, εταιρεία επίπλων στη Θεσσαλονίκη, ξενοδοχειακές μονάδες στην Κρήτη, στη Ρόδο και στην Κέρκυρα, καθώς και εταιρεία που δραστηριοποιείται στον κλάδο γεωργικών και κτηνοτροφικών εγκαταστάσεων. Σε αυτές τις περιπτώσεις πρόκειται πιθανότατα για τυχαία θύματα τα οποία παρασύρθηκαν στη δίνη κάποιας διεθνούς κυβερνοεπίθεσης πατώντας σε κάποιο λάθος σύμβολο ή κατεβάζοντας εν αγνοία τους ένα μολυσμένο αρχείο. Η συμβουλή που δίνεται στα θύματα από τις αστυνομικές αρχές και ειδικούς στην ασφάλεια δικτύων είναι να μην πληρώνονται τα λύτρα, καθώς κανείς δεν μπορεί να τους εγγυηθεί ότι οι θύτες θα τηρήσουν τον λόγο τους και θα στείλουν το κλειδί αποκρυπτογράφησης.

Στην περίπτωση του πρόσφατου χτυπήματος στην αμερικανική εταιρεία αγωγών καυσίμου φαίνεται ότι η ενέργεια ήταν στοχευμένη εξαιτίας και του οικονομικού μεγέθους του θύματος. «Αυτές οι επιθέσεις είναι ένα τεράστιο πρόβλημα που δεν πρόκειται να λυθεί άμεσα. Εχουν ένα σημαντικό κίνητρο, το χρήμα, τα λύτρα που μπορεί να εισπράξει μια ομάδα κυβερνοεγκληματιών», λέει ο Βασίλης Βλάχος, επίκουρος καθηγητής στο Πανεπιστήμιο της Θεσσαλίας. Οπως εξηγεί ο ίδιος, πρόκειται για επιθέσεις που έχουν συνήθως σημαντική προεργασία, στην οποία περιλαμβάνεται η παρακολούθηση των διαδικασιών ενός οργανισμού για να εντοπιστούν τα τρωτά σημεία του. Συνήθως η αποστολή του κακόβουλου λογισμικού γίνεται με κάποιο στοχευμένο email το οποίο φαίνεται ιδιαίτερα πειστικό στον παραλήπτη του και δεν έχει σχέση με ανορθόγραφα ή ασύντακτα ανεπιθύμητα ηλεκτρονικά μηνύματα που έχουν μεταφραστεί πρόχειρα και μπορεί κατά καιρούς να σταλούν σε απλούς χρήστες του Διαδικτύου. Επιθέσεις όπως αυτή στις ΗΠΑ, τονίζει ο κ. Βλάχος, δεν γίνονται αυτοματοποιημένα ή στην τύχη.

Πρόσφατα, τον Φεβρουάριο του 2021, η «Κ» αποκάλυψε ότι τα Ελληνικά Αμυντικά Συστήματα (ΕΑΣ) δέχτηκαν επίθεση με ransomware. Η κακόβουλη ενέργεια διαπιστώθηκε από στελέχη των ΕΑΣ, ενημερώθηκε σχετικά η Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ για να διενεργήσουν τα στελέχη της αυτοψία στις εγκαταστάσεις της εταιρείας, ενώ το ίδιο έπραξαν και αστυνομικοί της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος. Οπως είχε γραφτεί στην «Κ», οι δράστες είχαν κλειδώσει αρχεία της εταιρείας ζητώντας την καταβολή λύτρων σε κρυπτονομίσματα.

Σενάριο με επίθεση ransomware είχε συμπεριληφθεί στoν «Πανόπτη» το 2015 και οι συμμετέχοντες είχαν προσπαθήσει τότε να αποκρυπτογραφήσουν αρχεία τα οποία είχαν κλειδωθεί. Ο κ. Βλάχος τονίζει ότι στο πλαίσιο μιας άσκησης προσομοίωσης δεν είναι εφικτό να προβλεφθούν όλες οι πιθανές κυβερνοεπιθέσεις και επισημαίνει ότι το βασικό ζήτημα είναι να διαθέτει κάποιος φορέας, μια εταιρεία ή ένας οργανισμός σοβαρές υπηρεσίες ανάκτησης των συστημάτων του. «Χρειάζεται καλύτερη επιχειρησιακή ασφάλεια και να διατηρούνται αντίγραφα ασφαλείας των αρχείων εκτός δικτύου, μια τακτική που όσο κι αν ακούγεται απλή δεν εφαρμόζεται τακτικά», λέει.

Content retrieved from: https://www.kathimerini.gr/society/561364948/ypsonontas-teichi-apenanti-stoys-chaker/.