Κυβερνοασφάλεια, χρηματαγορές και ο ρόλος των... χάκερ

Πόσο ασφαλείς από κυβερνοεπιθέσεις μπορούν να είναι οι σύγχρονες χρηματαγορές, τόσο ως προς τις λειτουργίες που επιτελούν όσο και ως προς τις εγκαταστάσεις τους; Ποιο είναι το κόστος ενός καλού επιπέδου ασφάλειας; Ποιος ο ρόλος των κινήτρων των χάκερς κατά την σχεδίαση και υλοποίηση μιας κυβερνοεπιθέσεις και πώς σχετίζεται η ικανότητα πρόκλησης επιθέσεων τους με την προσωπική γνώση και εμπειρία στην χρήση τεχνολογίας;

Αν θέλαμε να απαντήσουμε ρεαλιστικά στις παραπάνω ερωτήσεις τότε θα πρέπει να αποφανθούμε: ελάχιστα για την πρώτη, μεγάλο για την δεύτερη και τεράστιος για την τρίτη.

Πρόσφατες αποκαλύψεις δεν αφήνουν πολλά περιθώρια να πιστέψουμε ότι υπάρχει μεγάλη ασφάλεια από κυβερνοεπιθέσεις. Ακόμη και νέες τεχνολογίες, όπως αυτή του blockchain, ή αλλιώς της τεχνολογίας των κρυπτονομισμάτων, που υποτίθεται θα συμβάλλουν στην αύξηση της ασφάλειας στις χρηματαγορές, ενέχουν περισσότερους κινδύνους από ότι έχουν έρθει να επιλύσουν.

Για παράδειγμα, προσφάτως ήρθε στο φως αποκάλυψη ότι περίπου 4.000 ιστότοποι σε ΗΠΑ, Ιρλανδία και Ηνωμένο Βασίλειο, μεταξύ των οποίων και κυβερνητικοί, χρησιμοποιούνταν μήνες ολόκληρους για την εξόρυξη κρυπτονομισμάτων μέσω της χρήσης του γνωστού πλέον malware, cryptojacking.[1]

Το νέο αυτό έρχεται να προστεθεί σε μια τεράστια σειρά κυβερνοεπιθέσεων που έχουν σημαδέψει τον 21ο αιώνα των χρηματαγορών, όπως:

• Η επίθεση το καλοκαίρι του 2014 στην μεγαλύτερη τράπεζα των ΗΠΑ την JP Morgan Chase, όπου τα ευαίσθητα προσωπικά στοιχεία 76 εκατομμυρίων λογαριασμών υποκλάπηκαν [2]

• Η αποκάλυψη το καλοκαίρι του 2013 ότι ήδη από το 2007 είχε τοποθετηθεί επιζήμιο λογισμικό στο σύστημα του Nasdaq, οπότε και τα στοιχεία 160 εκατ. χρεωστικών και πιστωτικών καρτών και 800.000 λογαριασμών εκτέθηκαν στα αδηφάγα μάτια Ρώσων και Ουκρανών χάκερς, προκαλώντας ζημιά ύψους 300 εκατ. δολαρίων σύμφωνα με τις αμερικανικές διωκτικές αρχές [3]

• Από τις «κυβερνοεπιδρομές» δεν έχουν γλυτώσει ούτε τα πιο γνωστά social media (Yahoo, 2012, 2014, 2017, My Space, 2016, LinkedIn, 2012, Dropbox, 2012, κ.α.) , αλλά ούτε και η φορολογική αρχή των ΗΠΑ η γνωστή IRS, ούτε εταιρείες χρηματοοικονομικής πληροφόρησης, όπως, η περίπτωση της υποκλοπής στοιχείων 143 εκατ. λογαριασμών της Equifax, μια εκ των τριών μεγαλύτερων εταιρειών χρηματοοικονομικής πληροφόρησης των ΗΠΑ, που έλαβε χώρα στα τέλη του 2017 [4]

• Επίσης, λίγες ημέρες πριν στα μέσα Φεβρουαρίου 2018 η Cisco αποκάλυψε ότι η ειδική ομάδα της εντόπισε την περίπτωση όπου 50 εκατ. δολάρια σε κρυπτονομίσματα υπεκλάπησαν από χάκερς μέσω της χρήσης «μολυσμένων» διαφημίσεων της Google [5]. [6]

Αν όμως έτσι είναι η κατάσταση, πώς μπορούν οι χρηματαγορές να θωρακιστούν αποτελεσματικά, χωρίς να επιβαρυνθούν με ένα δυσθεώρητο κόστος; Δυστυχώς, αν θέλουμε να είμαστε επαρκώς εξασφαλισμένοι, αν και απόλυτο επίπεδο δεν υπάρχει, το κόστος είναι ιδιαίτερα υψηλό.

Σύμφωνα με την κοινή έκθεση της γνωστής εταιρείας κυβερνοασφάλειας McAfee και του Κέντρου Στρατηγικών και Διεθνών Σπουδών το ετήσιο κόστος του κυβερνοεγκλήματος αγγίζει τα 600 δισ. δολάρια και εξαρτάται από την συνεχή εξέλιξη των ικανοτήτων των χάκερς, τον πολλαπλασιασμό των εγκληματικών χρηματαγορών, (των αγορών online και φυσικών όπου οι χάκερς αγοράζουν και πωλούν τα δεδομένα που υποκλέπτουν, γνωστές και ως darkmarket), και τελευταία από την ύπαρξη των κρυπτονομισμάτων.

Οι χώρες που βρίσκονται στην κορυφή της λίστας πραγματοποίησης κυβερνοεπιθέσεων προς άλλες είναι η Ρωσία, η Βόρεια Κορέα, το Ιράν και άλλες ασιατικές χώρες, ενώ η Κίνα θεωρείται η πιο δραστήρια στον τομέα του κυβερνοκατασκοπείας. [7]

Η έκθεση αυτή ήρθε μια μέρα μετά την έκθεση του Λευκού Οίκου που υπολογίζει το κόστος των κυβερνοεπιθέσεων μεταξύ 57-109 δισ. δολαρίων και η οποία προβλέπει ένα αρνητικό «spillover» φαινόμενο σε όλη την οικονομία αν δεν καλυτερεύσει η κατάσταση, ενώ την ίδια περίοδο από την Σύνοδο Ασφαλείας στο Μόναχο, ο Γενικός Γραμματέας του ΟΗΕ, Antonio Guterres, προειδοποιεί τα κράτη να προετοιμαστούν καταλλήλως για «επεισόδια κυβερνοπολέμων».[8]

Με ένα απλό υπολογισμό, αν το παγκόσμιο ΑΕΠ αγγίζει τα 76 τρισ. δολάρια και το κόστος της κυβερνοασφάλειας αγγίζει τα 600 δισ. δολάρια, τότε περίπου το 0,8% του παγκόσμιου ΑΕΠ θα είναι το ετήσιο κόστος προστασίας ή/και αποκατάστασης από κυβερνοεπιθέσεις.

Μαζί με την εξέλιξη της τεχνολογίας και την μεγιστοποίηση του κόστους έχουμε και την μετεξέλιξη των χάκερς σε παγκόσμιο επίπεδο. Ως άνθρωποι διεξάγουν το μεγαλύτερο μέρος της ζωής τους μπροστά από την οθόνη ενός υπολογιστή μεγάλης επεξεργαστικής ισχύος, ενώ πρόκειται κυρίως για άνδρες 18-45 ετών, χωρίς ουσιαστικές και ποιοτικές κοινωνικές σχέσεις.

Ουσιαστικά, η ζωή των περισσοτέρων εξ αυτών αρχίζει και τελειώνει ανάλογα με την επιτυχία και την αναγνώρισή τους στις κοινότητες των υπόλοιπων χάκερ είτε αυτές είναι της πόλης ή της χώρας που ζουν, είτε σε παγκόσμιο επίπεδο.

Έτσι, δίπλα στα παραδοσιακά κίνητρα του χρήματος, της ιδεολογίας, της πίεσης και της εγωπάθειας [μετάφραση από τα αγγλικά του ακρωνύμιου M.I.C.E. - Μ.= Money (Χρήματα), I. = Ideology (Ιδεολογία), C. =Compromise/Coercion (Πίεση/Συμβιβασμός) & E. = Ego/ Extortion (Εγωπάθεια/ Εκβιασμός)], που χαρακτηρίζουν όσους διαπράττουν απάτες και εχθρικές συμπεριφορές εναντίων οντοτήτων, όπως εταιρείες, θεσμικά όργανα, κράτη κλπ. προστίθενται νέα κίνητρα, που αφορούν τους χάκερς.

Με εξαίρεση το κομμάτι της πίεσης, που δεν ισχύει τόσο στην περίπτωσή τους, προστίθενται νέα κίνητρα, όπως η διασκέδαση, η εκδίκηση, η ικανότητα διείσδυσης, και το status, δηλαδή το να γίνονται αποδεκτοί και σεβαστοί από την υπόλοιπη κοινότητα των χάκερς [μετάφραση από τα αγγλικά του ακρωνύμιου M.E.E.C.E.S.-Μ.= Money (Χρήματα), E. = Ego (Εγωπάθεια), E. = Entertainment (Διασκέδαση), C. = Cause (Αιτία), E. =Entrance (Ικανότητα διείσδυσης) & S. = Status (Σεβασμός από την υπόλοιπη κοινότητα των χάκερς). [9]

Τα κίνητρα αυτά δεν εγγυώνται όμως, ότι όλοι οι χάκερς είναι εξίσου ικανοί να πλήξουν τους πάντες και για πάντα. Η ικανότητα κυβερνοεπιθέσεων ειδικά απέναντι τυπικά καλά προστατευόμενων οντοτήτων, όπως είναι οι μεγάλες εταιρείες, οι τράπεζες, τα χρηματιστήρια, οι διεθνείς οργανισμοί και οι κεντρικές διοικήσεις των κρατών, ακολουθεί τον τυπικό κανόνα της αναλογίας του βαθμού δυσκολίας και αριθμού κατόχων των σχετικών ικανοτήτων.

Όπως δείχνει και το ακόλουθο γράφημα, όσο πιο περίπλοκη και τεχνολογικά απαιτητική είναι μια κυβερνοεπίθεση, τόσο λιγότεροι είναι οι γνώστες, που μπορούν να επιτύχουν κάτι τέτοιο. Προκειμένου να επιλύσουν αυτό το πρόβλημα οι χάκερ συνεργάζονται μεταξύ τους, μέσω γκρουπαρίσματος, όπως οι Anonymous, ανάλογα την κοινή ιδεολογία, τις επιδιώξεις πλουτισμού τους, τους προσωπικούς σκοπούς ακόμη και την εθνική καταγωγή των συνεργαζόμενων χάκερς.

 Παρά την στενωπό της όλης κατάστασης, δεν πρέπει να υιοθετούμε ηττοπαθή και απαισιόδοξη στάση, καθώς υπάρχουν βήματα, που μπορούν να εξασφαλίσουν ένα ικανοποιητικό επίπεδο ασφάλειας. Μερικά από τα πιο σημαντικά πράγματα που μπορεί να κάνει κάποιος είτε είναι εταιρεία, είτε θεσμός είτε επενδυτής είτε απλά ιδιώτης είναι:

α) Διαθέτουμε δύο ξεχωριστά δίκτυα ίντερνετ: ένα εσωτερικό και ένα για το κοινό από διαφορετικούς παρόχους. Οι κωδικοί να αλλάζουν τουλάχιστον κάθε τρίμηνο με αλλαγή και του προσώπου/προσώπων που τα διαχειρίζονται.

β) Δημιουργία ολοκληρωμένου Σχεδίου πρόληψης και αντιμετώπισης κυβερνοεπιθέσεων. To ολιστικό πλαίσιο κυβερνοασφάλειας του National Institute for Standards and Technology (NIST) του Υπουργείου Εμπορίου των ΗΠΑ θεωρείται ένα από τα πιο αναγνωρισμένα. [10]

 γ) Δεν χρησιμοποιούμε ποτέ το εσωτερικό δίκτυο ασφαλείας της εταιρείας, για προσωπικές διαδικτυακές δραστηριότητες (chatting, messaging, etc). Δεν προωθούμε ποτέ μέσω αυτού αυτοματοποιημένα μηνύματα. Συνήθως ως προέκταση αυτών υπάρχουν Δούρειοι Ίπποι, που μένουν στα συστήματα για χρόνια μέχρι οι χάκερς να τους ενεργοποιήσουν.

δ) Κάνουμε όλα τα updates στο software & hardware, ειδικά τα προτεινόμενα από τους παρόχους λογισμικού.

ε) Χρησιμοποιούμε AddBlockers, Privacy Badgers, VPN (Virtual Private Networks), Κρυπτογραφία, Hashing & 2-keys security systems, IDSs (Intrusion Detection Systems) και IPSs (Intrusion Prevention Systems και τέλος

στ) κάνουμε συνέχεια Backup, ενώ αν είναι οικονομικά εφικτό διατηρούμε την βάση δεδομένων μας σε δύο σημεία (όπως π.χ. συνδυασμό online cloud service και βάσης δεδομένων σε φυσικό δίκτυο π.χ. στην Ισλανδία).

 Πηγές:

[1] Jeff Patterson, 12/02/18, Thousands of US, UK Government Sites Targeted with Cryptojacking Malware Website codes were compromised via widely used plugin, BrowseAloud, which succeeded in affecting over 4k sites, Finance Magnates

[2] Jessica Silver-Greenberg, Matthew Goldstein And Nicole Perlroth, 2/10/14, JPMorgan Chase Hacking Affects 76 Million Households, The New York Times

[3] Daniel Beekman, 26/07/13, Hackers hit companies like Nasdaq, 7-Eleven for $300 million, prosecutors say, Daily News

[4] Seena Gressin, 08/09/17, The Equifax Data Breach: What to Do, Federal Trade Commission

[5] Jen Wieczner, 14/02/18, Hackers Stole $50 Million in Cryptocurrency Using 'Poison' Google Ads, Fortune

[6] Στον ακόλουθο ιστότοπο μπορείτε να δείτε με αρκετά διαδραστικό τρόπο τις μεγαλύτερες κυβερνοεπιθέσεις, που έχουν λάβει χώρα μέχρι στιγμής.

[7] Rob Lever, 21/02/18, Global cybercrime costs $600 bn annually: study

[8] Spacewar, 16/02/18, Cyberattacks are costly, and things could get worse: US report

[9] Max Kilger, 2015, Integrating Human Behavior into the Development of Future Cyberterrorism Scenarios, IEEE: 10th International Conference on Availability, Reliability and Security, 2015

[10] NIST, 2018, Cybersecurity Framework

* Η Αναστασία Κούκη, είναι:

- B.Sc., Διεθνολόγος, MA, Sustainability Practitioner, MSc. Student “Tax and Auditing”
- Γραμματέας Οικονομικής και Ελεγκτικής Επιτροπής Συνδέσμου Επενδυτών και Διαδικτύου (ΣΕΔ),
- Youth Worker– Ιδρυτικό και Αναπληρωματικό Μέλος Δ.Σ. Πανελλήνιου Σωματίου Συμβούλων Νέων, Erasmus+ Practitioner