Μαθήματα κυβερνοεγκλήματος για αρχάριους

Καθίσαμε μπροστά από έναν υπολογιστή, πληκτρολογώντας φρόνιμα κάτι αλαμπουρνέζικα. Το μόνο που μας έλειπε ήταν η δυνατή μουσική του μπάσου και μερικά άδεια μπουκάλια Red Bull.

Αυτά τα αλαμπουρνέζικα μας είπαν ότι ήταν τόσο ισχυρά που -εάν τα πληκτρολογούσαμε σωστά- θα μπορούσαν να βάλουν ακόμη και εμάς τους αρχάριους στον κόσμο του κυβερνοεγκλήματος. Ήταν το μάθημά μου για το πώς θα γίνω κυβερνοεγκληματίας το οποίο έγινε στο περιθώριο ενός συνεδρίου για θέματα ασφαλείας της RSA, στο Σαν Φρανσίσκο.

Το κυβερνοέγκλημα αυξάνεται ταχύτατα, κατά 14% τον προηγούμενο χρόνο σύμφωνα με τις εκτιμήσεις της Cisco Systems, και η ανάπτυξη μίας υπόγειας αγοράς εξαρτημάτων βοηθά σε μαζική κλίμακα όσους δεν έχουν προηγμένες δεξιότητες στο οικονομικό έγκλημα.

Κι ενώ κάποτε ήθελε μόνο κότσια και τύχη για να κάνει κάποιος  μία τραπεζική ληστεία, τώρα γίνεται από την άνεση του σπιτιού του.

Η παγίδα: αυτό που είναι αιφνιδιαστικά ασφαλές είναι επίσης πολύ βαρετό. «Σήμερα θα κάνουμε 08067 σε αυτό το κακό αγόρι» ήταν το αστείο του δασκάλου μας. Ο Μάικλ Μπέλτον, που εργαζόταν για τη Rapid 7, μία αμερικανική εταιρεία κυβερνοασφάλειας.

Δουλειά του κ. Μπέλτον -όταν δεν έκανε υπομονή με εμάς τους δημοσιογράφους- ήταν να χακάρει σε συστήματα μεγάλων επιχειρήσεων που τον πληρώνουν για να τους υποδείξει τα ευάλωτα σημεία των δικτύων τους. Το μάθημα χρησιμοποιεί περιβάλλον προσομοίωσης έτσι ώστε κανένας να μην παραβιάσει πραγματικά τον νόμο.

Ο κ. Μπέλτον έχει όλες τις απαραίτητες ικανότητες για να κάνει πολύ κακό. Επιλέγει να τις χρησιμοποιεί όμως, για την ασφάλεια του κυβερνοχώρου. Υπάρχει μία λεπτή γραμμή ανάμεσα στους χάκερ που κάνουν το καλό και σε εκείνους που κάνουν το κακό, υποστηρίζει. «Σημασία έχει για ποιον το κάνω και πώς πληρώνομαι» εξηγεί.

Κατά τη διάρκεια του μαθήματος βάλαμε εντολές που μας πήγαν σε περιοχές του πληκτρολογίου που δεν ξέραμε καν ότι υπάρχουν. Μάθαμε ότι ένας χάκερ πρέπει να χρησιμοποιεί τα πιο ήσυχα συστήματα που λειτουργούν παράλληλα σχεδόν κάθε πρόγραμμα έτσι ώστε τίποτα να μη σταματήσει τη λαθραία εισβολή τους. Μάθαμε επίσης ότι η προετοιμασία για μία κυβερνοεπίθεση είναι επώδυνα βαρετή.

Η φάση της «εξερεύνησης» - όταν οι χάκερ ψάχνουν τρύπες στα δίκτυα και μελετούν το ηλεκτρονικό έδαφος για τα πολύτιμα κοσμήματα - τώρα γίνεται με outsource. Όπως συμβαίνει σε πολλούς κλάδους, έτσι κι εδώ μετατοπίζονται ορισμένες εργασίες σε λιγότερο έμπειρους χάκερ, καθώς αυτές οι δραστηριότητες δεν είναι ούτε παράνομες, ούτε δύσκολες.

Όταν όμως η στιγμή είναι κατάλληλη για επίθεση, τότε ο κυβερνοεγκληματίας πρέπει να κινηθεί γρήγορα. Κάναμε την επιλογή του στόχου και τον υπονομεύσαμε χρησιμοποιώντας μία ευπάθεια του συστήματός του που υπήρχε εδώ και έξι χρόνια. Πρόκειται για μία μη εξελιγμένη, αλλά αποτελεσματική επίθεση, καθώς τα θύματα συχνά δεν ενημερώνουν τα λογισμικά τους προγράμματα. Μετά έχουμε στη διάθεσή μας ευρεία λίστα πραγμάτων που μπορούμε να κάνουμε: Να αναλάβουμε τον έλεγχο της web camera, να παρακολουθούμε το πληκτρολόγιο  για πληροφορίες όπως κωδικοί ή να παίρνουμε screenshots της οθόνης.

Στόχος δεν είναι το περιεχόμενο που θα μπορούσε να σπείρει τον όλεθρο, αυτό ήταν περισσότερο στόχος των χάκερ τη δεκαετία του 1980 και όχι του προηγμένου κυβερνοεγκληματία του 21ου αιώνα. Στόχος μας είναι να καταλάβουμε ένα πιο ισχυρό μηχάνημα που θα μπορούσε να μας δώσει πρόσβαση σε μεγαλύτερο μέρος του δικτύου. Προκαλώντας σκόπιμα κατάρρευση ενός υπολογιστή που έχει υπονομευθεί, εμπλέξαμε  έναν υπάλληλο της μηχανοργάνωσης που έσπευσε να βοηθήσει κι έτσι να ανακαλύψουμε τον κωδικό του helpdesk. Στη συνέχεια, εξοπλισμένοι με όλους τους κωδικούς σύνδεσης, φτιάξαμε έναν νέο λογαριασμό που μας επέτρεψε να περιδιαβαίνουμε στο δίκτυο όποτε θέλαμε.

Από τη στιγμή που ένας χάκερ μπαίνει σε κάποιο δίκτυο τότε μπορεί να κυνηγήσει τα πάντα, από στοιχεία εκατομμυρίων πιστωτικών καρτών μέχρι πνευματική περιουσία όπως οι κωδικοί για λογισμικά προγράμματα της Adobe που εκλάπησαν τον προηγούμενο χρόνο.

Σε λιγότερο από μία ώρα, με εργαλεία αξίας μερικών εκατοντάδων δολαρίων και 15 ή 20 εντολές, υπονομεύσαμε ένα ολόκληρo ηλεκτρονικό δίκτυο. «Είναι πολύ εύκολο» λέει και ο κ. Μπέλτον. 

© The Financial Times Limited 2014. All rights reserved.
FT and Financial Times are trademarks of the Financial Times Ltd.
Not to be redistributed, copied or modified in any way.
Euro2day.gr is solely responsible for providing this translation and the Financial Times Limited does not accept any liability for the accuracy or quality of the translation