Στα βήματα των χάκερ… Τα χτυπήματα μέσω usb και ο υπόκοσμος του διαδικτύου

«Ένας 15χρονος πριν περίπου τρία χρόνια κατάφερε να χακάρει τον Διευθυντή της CIA, τον Υποδιευθυντή του FBI και όλο Υπουργικό Συμβούλιο των ΗΠΑ...», «Μετά την εκλογή του Τραμπ το 2016, κάποιος έβαλε στο σκοτεινό διαδίκτυο αγγελία για να προσληφθεί εκτελεστής και μάζεψε ογδόντα χιλιάδες δολάρια…»

Είναι μόλις δύο από τις χιλιάδες ιστορίες που κατάφεραν να ανακαλύψουν οι Αρχές τα τελευταία χρόνια, σε παγκόσμιο επίπεδο, και να σταματήσουν ανθρώπους που διέπραξαν ή προτίθονταν να διαπράξουν εγκλήματα μέσω διαδικτύου.

Το διαδίκτυο είναι μέρος της ζωής μας τα τελευταία 20 χρόνια. Από τη μια είναι ένα εργαλείο που έλυσε τα χέρια των ανθρώπων και τους προσέφερε τεράστιες ευκολίες στη ζωή τους, ωστόσο από την άλλη, για αυτούς που έχουν διαφορετικές προθέσεις, έγινε ένα όπλο στα χέρια τους.

Ο καθηγητής του Ανοικτού Πανεπιστημίου Κύπρου, Κοσμήτορας της Σχολής Θετικών και Εφαρμοσμένων Επιστημών και Πρόεδρος του σχηματισμού της κυβερνοασφάλειας (EAB. Cyber), του Ευρωπαϊκού Κολεγίου Άμυνας και Ασφάλειας (European Security and Defence College) που εδρεύει στις Βρυξέλλες, Σταύρος Σταύρου, μίλησε στον REPORTER, για το σκοτεινό διαδίκτυο, την τέχνη των χάκερ αλλά και πως κάποιος μπορεί να μας παγιδεύσει και να μας υποκλέψει στοιχεία, με μόνο ένα usb.

«Το διαδίκτυο που γνωρίζουμε είναι μόνο η κορυφή του παγόβουνου, στη βάση του βρίσκεται το σκοτεινό διαδίκτυο». Όμως τι είναι το σκοτεινό διαδίκτυο;

Όπως εξηγεί ο κ. Σταύρου, «το διαδίκτυο μπορεί να παρομοιωθεί με ένα τρίγωνο ή παγόβουνο, όπου στην κορυφή του βρίσκεται το κομμάτι του διαδικτύου που γνωρίζουμε. Σε αυτή την κορυφή είναι το διαδίκτυο στο οποίο μπορούμε να αναζητήσουμε πληροφορίες από τους περιηγητές (google, internet explorer, mozzila κλπ). Στη βάση του παγόβουνου υπάρχει ένα πολύ μεγαλύτερο κομμάτι του διαδικτύου, από το κομμάτι που γνωρίζουμε. Αυτό είναι το σκοτεινό διαδίκτυο, το οποίο χωρίζεται σε δύο μέρη. Στο dark web και το deep web».

Ωστόσο, για να εισέλθεις σε εκείνο το κομμάτι του διαδικτύου, χρειάζεσαι ειδικά λογισμικά. Παρόλα αυτά, σήμερα λόγω της πληροφόρησης που παρέχει το γνωστό κομμάτι του διαδικτύου, οποιοσδήποτε μπορεί να αποκτήσει πρόσβαση στο σκοτεινό διαδίκτυο.

«Αν κάποιος θέλει να βρει τον τρόπο να μπει στο σκοτεινό διαδίκτυο, μπορεί να βρει οδηγίες που θα του εξηγήσουν βήμα προς βήμα, πώς να το κάνει. Ακόμα και κάποιος που δεν έχει ιδιαίτερες γνώσεις στην πληροφορική, μπορεί να αποκτήσει πρόσβαση στο σκοτεινό διαδίκτυο».

ΔΙΑΒΑΣΤΕ ΕΔΩ: Κλείδωσε την έκδοση του μικρού χάκερ στις ΗΠΑ το Ανώτατο

Ο επίδοξος εκτελεστής του Τραμπ που μάζεψε 80,000 δολάρια

Εκεί, στο σκοτεινό διαδίκτυο, οι ενέργειες που γίνονται είναι, ως επί το πλείστον, παράνομες και ανώνυμες. Για παράδειγμα μπορεί κάποιος να αγοράσει από όπλα, ναρκωτικά και διαβατήρια, μέχρι συνάλλαγμα, υπηρεσίες από χάκερ και πληρωμένους δολοφόνους.

Οι συγκεκριμένες ενέργειες μέσω του σκοτεινού διαδικτύου επιφέρουν όμως συνέπειες σε όσους δρουν σε αυτά τα παράνομα μονοπάτια;

Όπως υπέδειξε ο κ. Σταύρου, «η επικοινωνία στο σκοτεινό διαδίκτυο είναι ανώνυμη. Δηλαδή, δύσκολα μπορείς να εντοπίσεις ποιος είναι ο άλλος με τον οποίο συνομιλείς. Αυτό όμως, δεν σημαίνει ότι αν κάποιος προσπαθήσει να προβεί σε μια κακόβουλη ενέργεια δεν θα τον ανακαλύψουν οι Αρχές. Π.χ. αν κάποιος πάει να αγοράσει κάτι παράνομο, αυτό το κάτι θα πρέπει να παραδοθεί. Άρα ακόμη και εάν δεν τον εντοπίσεις κατά την επικοινωνία, θα μπορέσεις δυνητικά να τον πιάσεις την ώρα της παραλαβής».

Ο κοσμήτορας Σταύρος Σταύρου, έδωσε μάλιστα το παράδειγμα κάποιου απαγωγέα, ο οποίος είχε απαγάγει πριν κάποια χρόνια μια φοιτήτρια και προσπάθησε να την πουλήσει στο σκοτεινό διαδίκτυο. Τελικά, οι έρευνες των Αρχών οδήγησαν στην σύλληψη του.

ΔΙΑΒΑΣΤΕ ΕΔΩ: Ο κύβος ερρίφθη! Εκδίδεται στις ΗΠΑ ο μικρός χάκερ, παραδίδεται στο FBI

Οι καλοί και οι κακοί χάκερ

Τα τελευταία τριάντα χρόνια, πέραν από την τεχνολογία, έχει αλλάξει και η πρόσβαση στην πληροφορία. Αυτή τη στιγμή, το διαδίκτυο είναι ένα μέσο που βρίσκεις οδηγούς για τα πάντα. Κάποιοι εκμεταλλεύονται αυτή την πρόσβαση στην πληροφορία για καλό σκοπό, ενώ άλλοι για να διαπράξουν κακόβουλες ενέργειες.

Η έννοια του χάκερ έχει αποκτήσει αρνητική χροιά, ωστόσο και οι χάκερ χωρίζονται σε καλούς και κακούς.

«Οι white χάκερ, μπορεί να είναι οι σύμβουλοι μιας εταιρείας, που προστατεύουν τα δίκτυα, την ηλεκτρονική υποδομή και δεδομένα της. Από την άλλη, οι κακοί χάκερ επιτίθενται σε πρόσωπα ή οργανισμούς, έχοντας διάφορα κίνητρα. Για παράδειγμα, μπορεί να το κάνουν για τη φήμη, για τα χρήματα ή για κατασκοπία. Μπορεί να το κάνουν ακόμη και για να παγιδεύσουν κάποιο άλλο».

Ως προς το αν κάποιος είναι εύκολο να γίνει χάκερ, αν συνυπολογίσουμε ότι υπάρχουν παραδείγματα ανήλικων χάκερ, ο κ. Σταύρου επισήμανε πως, «αν κάποιος έχει κάποιες βασικές γνώσεις πληροφορικής, μέσω του διαδικτύου, μπορεί να τις αυξήσει με σχετική ευκολία. Φυσικά υπάρχουν και περιπτώσεις που κάποιος μπορεί να μην έχει γνώσεις, να διαβάσει αρκετά και να επιτεθεί σε ένα σύστημα. Σε αυτές τις περιπτώσεις, όπου ο χρήστης δεν έχει σοβαρό υπόβαθρο, ο χρήστης ή επίδοξος χάκερ, κατατάσσεται στους αρχάριους».

Ωστόσο, για το θύμα, είτε αυτοί είναι οργανισμοί, είτε πρόσωπα, όταν πάθουν τη ζημιά, δεν θα έχει σημασία εάν ο χάκερ ήταν αρχάριος ή όχι. Έτσι, όλοι οι χάκερ, αρχάριοι ή έμπειροι, στην πράξη είναι όλοι επικίνδυνοι.

Μπορούν να σε χτυπήσουν απλά με ένα usb

Μπορεί να φανταζόμαστε ότι για να μας χτυπήσει κάποιος επιτήδειος, χρειάζεται πολλά εργαλεία και πολλές γνώσεις. Παρόλα αυτά, ένας από τους πιο απλούς τρόπους είναι μέσω ενός κακόβουλου usb.

«Ο πιο συνηθισμένος τρόπος για να μολύνεις τον άλλο είναι να του δώσεις ένα μολυσμένο usb. Μπορεί αυτό το usb να είναι ένα συνηθισμένο usb, με το οποίο μεταφέρουμε αρχεία, ή ακόμη και ένα κακόβουλο usb καλώδιο. Στην περίπτωση του καλωδίου, το καλώδιο είναι εφοδιασμένο με ένα chip που είναι προγραμματισμένο να εκτελεί κακόβουλες ενέργειες στην συσκευή με την οποία έχει συνδεθεί. Φυσικά το καλώδιο θα λειτουργήσει κανονικά, θα σου φορτίσει το κινητό, θα σου μεταφέρει τα αρχεία σου αλλά θα εκτελέσει και κακόβουλες ενέργειες. Σε κάθε περίπτωση, ο πιο εύκολος τρόπος να μολυνθεί ένας οργανισμός είναι να πασάρει το κακόβουλο άτομο με κάποιο τρόπο ένα μολυσμένο usb σε κάποιο μέλος του οργανισμού. Αυτό που έχει σημασία και ένα μήνυμα προς όλους, είναι ότι δεν πρέπει να παίρνουμε usb από άγνωστα άτομα ή να χρησιμοποιούμε οποιαδήποτε άγνωστη συσκευή η και καλώδια. Πολλές φορές τα κακόβουλα άτομα πετάνε μολυσμένα USB σε κοινοχρήστους χώρους ενός οργανισμού», σύμφωνα με τον κ. Σταύρου.

ΔΙΑΒΑΣΤΕ ΕΔΩ: Χάκερ με έδρα την Κύπρο κτύπησε εταιρεία κινητής τηλεφωνίας στο εξωτερικό

Τύποι επιθέσεων μέσω USB

Οι επιτήδειοι που θέλουν να χτυπήσουν ένα χρήστη ή ένα οργανισμό μέσω USB, μπορούν να το πράξουν με τέσσερις διαφορετικούς τύπους επιθέσεων. Ο ένας τύπος επίθεσης χρησιμοποιεί τα usb για να καταστρέψουν τη συσκευή του θύματος.

«Ένας άλλος τρόπος, είναι ο προγραμματισμός του usb σε επίπεδο firmware, το οποίο είναι το λογισμικό του hardware, στο οποίο τα antivirus δεν έχουν πρόσβαση για να καταφέρουν να εντοπίσουν το κακόβουλο λογισμικό».

Ο τρίτος τρόπος είναι μέσω της χρήσης κακόβουλων αρχείων που μεταφέρει το usb. Αυτά τα κακόβουλα αρχεία, σήμερα, μπορεί να είναι φωτογραφίες, pdf, word κλπ.

«Ο τελευταίος τρόπος είναι να προγραμματίσεις τη συσκευή να κάνει μια κακόβουλη ενέργεια, όπως για παράδειγμα να κάνει τη δουλειά του πληκτρολογίου».

Σε ό,τι αφορά το κόστος αυτού του είδους usb, μπορεί κάποιος με μόλις εκατό δολάρια να τα αγοράσει μέσω διαδικτύου.

«Σκιαγραφούν το προφίλ σου και κάνουν στοχευμένη επίθεση»

Ο χάκερ, μπορεί επίσης να στείλει ένα κακόβουλο email ή να στείλει ένα κακόβουλο αρχείο, προσπαθώντας να προκαλέσει τον εκάστοτε στόχο να ανοίξει το αρχείο.

«Συγκεκριμένα, αυτού του είδους οι επιθέσεις χωρίζονται σε διάφορες προσεγγίσεις. Η μια προσέγγιση είναι μια γενική επίθεση που ονομάζεται spray and pray. Σε αυτή την επίθεση ο θύτης στέλνει κακόβουλα αρχεία ή συνδέσμους σε ένα μεγάλο αριθμό στόχων, χωρίς να προσωποποιεί τον στόχο και όποιος πατήσει».

Ένας άλλος τρόπος, είναι η επίθεση τύπου spear fishing. Στη συγκεκριμένη περίπτωση, ο θύτης στήνει το προφίλ του θύματος. Μελετά για παράδειγμα τα κοινωνικά του δίκτυα και χρησιμοποιεί οποιοδήποτε άλλο τρόπο για να αλιεύσει πληροφορίες για τον στόχο. Ακολούθως, ο θύτης στέλνει ένα προσωποποιημένο email στο θύμα, προσπαθώντας να τον πείσει να εκτελέσει τα κακόβουλα επισυναπτόμενα αρχεία ή να συνδεθεί στους κακόβουλους συνδέσμους.

«Μετά, είτε θα έχουν καταφέρει να σε ξεγελάσουν ώστε εσύ ο ίδιος να έχεις βάλει τους κωδικούς σου κάποιο δικό τους κακόβουλο σύνδεσμο και θα τους πάρουν, είτε θα έχουν μολύνει την συσκευή σου με ένα κακόβουλο λογισμικό. Αυτοί είναι οι δύο πιο συνηθισμένοι τρόποι».

«Και στην Κύπρο δεχόμαστε επιθέσεις όπως σε όλες τις χώρες»

Στην Κύπρο, παρότι είμαστε μικρή χώρα, δεχόμαστε επιθέσεις, όπως όλες οι υπόλοιπες χώρες του κόσμου. Όπως τόνισε ο κ. Σταύρου, ο αδύναμος κρίκος δεν είναι το διαδίκτυο, αλλά ο άνθρωπος που δεν γνωρίζει τους κινδύνους.

«Υπάρχουν ειδικά εργαλεία, τα οποία βλέπουν και αναλύουν τι συμβαίνει στα δίκτυα. Οι επιθέσεις είναι αυτοματοποιημένες και δεν σταματούν ποτέ. Σαρώνουν τα ip adresses και ελέγχουν για ευάλωτες υπηρεσίες ή απλούς κωδικούς πρόσβασης. Μην φανταστείτε ότι ένας χάκερ είναι κάποιος που κάθεται σε ένα σκοτεινό υπόγειο και κτυπά μερόνυχτα κωδικούς για να βρει τον σωστό. Αυτή η διαδικασία είναι αυτοματοποιημένη».

Οι μεγάλοι οργανισμοί, συνέχισε, έχουν εγκατεστημένα συστήματα ασφαλείας, αλλά αν βλέπεις μια επίθεση να σου έρχεται από την Κίνα, το μόνο που μπορείς να κάνεις είναι, ή να μαυροπινακίσεις από το firewall σου το ip address, χωρίς κατ' ανάγκη να σημαίνει ότι ο κακόβουλος χρήστης βρίσκεται στην Κίνα.

«Θα έπρεπε βασικές γνώσεις ασφάλειας, σωστής περιήγησης στο διαδίκτυο και χρήση μέσων κοινωνικής δικτύωσης, να διδάσκονται σε όλους, αρχίζοντας από πολύ μικρή ηλικία ακόμη και από το δημοτικό».

Ο χάκερ που ξεγύμνωσε τις ΗΠΑ

Ο κ. Σταύρου έδωσε εξάλλου ένα άλλο παράδειγμα επίθεσης, όπου ένας 15χρονος χάκερ κατάφερε να κτυπήσει τον Διευθυντή της CIA, τον υποδιευθυντή του FBI, αλλά και άλλα υψηλόβαθμα κυβερνητικά στελέχη των ΗΠΑ.

«Πέρσι είχαν συλλάβει ένα 18χρονο στην Αγγλία, ο οποίος στα δεκαπέντε του χρόνια χάκαρε τον Διευθυντή της CIA, τον αναπληρωτή Διευθυντή του FBI και ένα σημαντικό αριθμό υψηλόβαθμων κυβερνητικών στελεχών των ΗΠΑ».

Για το τέλος αφήσαμε μια συζήτηση, που οι πλείστοι την έκαναν τουλάχιστον μια φορά στη ζωή τους, και εμπεριέχει θεωρίες συνωμοσίας.

Πρόκειται για το κατά πόσον η Google ή οποιοσδήποτε άλλος γνωστός οργανισμός, ηχογραφεί τις δια ζώσης συνομιλίες μας, την ώρα που μιλάμε με κάποιον άλλο, όταν το κινητό μας βρίσκεται δίπλα μας, εν άγνοια μας.

Ο κ. Σταύρου, επισήμανε πως είναι η δεύτερη φορά που τον ρωτούν κάτι τέτοιο τον τελευταίο μήνα, σημείωσε ότι «δεν πιστεύω ότι η Google μαγνητοφωνεί αυτά που λέμε εμείς εδώ εν άγνοια μας. Μια τέτοια ενέργεια θα ήταν παράνομη εάν δεν έχουμε δώσει την συγκατάθεση μας. Όχι δηλαδή ότι τεχνολογικά αυτό που συζητούμε δεν είναι εφικτό…».