«Ο μεγαλύτερος ρουφιάνος του εαυτού μας είμαστε εμείς», μου λέει ο Μ. την ώρα που προετοιμάζουμε τα υπολογιστικά συστήματα που θα χακαριστούν μπροστά στα μάτια μου. «Πρώτα από όλα πρέπει να ξεκαθαρίσουμε κάτι. Άλλο πράγμα είναι ο χάκερ, κι άλλο ο κράκερ. Δουλειά του πρώτου είναι να βρίσκει τα κενά ασφαλείας και να τα διορθώνει, ενώ ο δεύτερος το μόνο που κάνει είναι να χτυπά ιδιώτες και εταιρείες με σκοπό το προσωπικό του κέρδος». «Δεν χρειάζεται και πολύ μυαλό για να κατανοήσουμε ότι αυτό που είμαστε εκεί έξω κουβαλάμε και μέσα σε κάθε ψηφιακή μας δραστηριότητα», απαντά ο Μ. την ώρα που «μαγειρεύει» την πρώτη επίθεση στον υπολογιστή μου.
«Κάθε επίθεση πρέπει να ακολουθηθεί από τη σωστή έρευνα. Πριν από το χτύπημα πρέπει πρώτα να μάθω όσα περισσότερα μπορώ για τον υποψήφιο στόχο». Στη συγκεκριμένη περίπτωση ο στόχος είμαι εγώ. Για την ακρίβεια, ο ψηφιακός χαρακτήρας που έστησα στο διαδίκτυο, και που σε πραγματικές συνθήκες θα έμοιαζε με τον καθένα μας. Άλλωστε, αν σήμερα ο Stephen King αποφάσιζε να ξαναγράψει το «Rita Hayworth and Shawshank Redemption» [Τελευταία Έξοδος: Ρίτα Χέιγουορθ ελληνιστί] δεν θα άφηνε τον φανταστικό χαρακτήρα ονόματι Peter Stephens χωρίς προσωπική σελίδα στο Facebook, στο Twitter, δίχως Gmail και LinkedIn. Κανείς δεν θα μπορούσε να πιστέψει ότι υπάρχει πλέον άνθρωπος που κυκλοφορεί εκεί έξω «ψηφιακά γυμνός».
«Μερικές από τις βασικότερες πληροφορίες που αφορούν το στόχο μας βρίσκονται με ένα “απλό” Google search. Τα τυφλά χτυπήματα δεν είναι συνηθισμένα. Πρέπει να μετατρέψω το θύμα από Alien Box, σε Friendly Zone», εξηγεί ο Μ. «Οφείλω να μάθω όσα περισσότερα μπορώ γι’ αυτόν, πριν τον χακάρω». Το «απλό» Google Search δεν μπήκε τυχαία σε εισαγωγικά. Στο μυαλό ενός ειδικού πάνω στην ασφάλεια δικτύων, κάθε πληροφορία που σε εμένα φαίνεται από αδιάφορη έως ασήμαντη, για εκείνον είναι υπέρ-πολύτιμη.
Ο Μ. τραβά από τη «βιβλιοθήκη» του ένα αρχείο ήχου. Τουλάχιστον έτσι δείχνει. «Αυτό που βλέπεις είναι ένα exploit. Ένα μουσικό αρχείο που το έχω γεμίσει “σκουπίδια”». Ανοίγει τον κώδικα του και σκρολάρει προς τα κάτω δείχνοντάς μου την ατελείωτη αλληλουχία ψηφίων, γραμμάτων και συμβόλων. Μοιάζει με συγχορδία από νότες που πατούν σε ένα στοιχισμένο μοτίβο. Μετά από μερικά δευτερόλεπτα πέφτουμε πάνω σε εκείνα τα «σκουπίδια». Τεσσάρια μαζεμένα σε μερικές σειρές που παρεμβάλουν στην ιδιότυπη αυτή «συναυλία» ενός συνηθισμένου αρχείου. «Εδώ είμαστε. Αυτά που βλέπεις είναι 8μπιτα “σκουπίδια” χωμένα βαθιά μέσα στον κώδικα. Πρέπει να είσαι πολύ ψιλιασμένος για να τα βρεις».
Ανεβάζουμε αυτό το αρχείο στο piratebay και στη συνέχεια το κατεβάζω στον υπολογιστή μου – και καλά θεωρώντας πως είναι ένα τραγούδι. Προσπαθώ να το ανοίξω και ο media player κρασάρει, κι ανοίγει το calculator! Όλο και κάτι θα πάτησα κατά λάθος, σκέφτομαι.
«Αυτό θα μας ανοίξει την πόρτα», μου λέει ο Μ. «Από εδώ μπορούμε υπό προϋποθέσεις να τρυπώσουμε στο μηχάνημα του άλλου και να αντλήσουμε τις πληροφορίες που θέλουμε για να προχωρήσουμε βαθύτερα στο σύστημά του». Ένας debugger ξεκινά το «μαγείρεμα» κι ενημερώνεται. Η λίστα με εκείνα τα σύμβολα, τα ψηφία και τους αριθμούς εμπλουτίζεται με νέα στοιχεία. «Για να κάνεις κάτι τέτοιο πρέπει να κατέχεις βαθιά γνώση της αρχιτεκτονικής υπολογιστών. Όμως, δεν πρέπει να ξεχνάμε ότι η ευπάθεια κάθε υπολογιστή εξαρτάται από τις προφυλάξεις που παίρνει ο χρήστης».
Τα δεδομένα στον debugger αυξάνονται με γεωμετρικούς ρυθμούς. Όποιος περίμενε να δει σκηνές από χολιγουντιανή ταινία με εικόνες να περνούν μπροστά από την οθόνη, θα απογοητευόταν. Εδώ δεν είναι κινηματογράφος, αλλά η ψηφιακή πραγματικότητα, η οποία είναι γεμάτη με κωδικοποιημένες πληροφορίες καλά κρυμμένες πίσω από σύνθετους συνδυασμούς.
Ο Μ. κάνει διάφορα «μαγικά» και ξαφνικά το terminal εμφανίζει όλα τα αρχεία που έχω στον υπολογιστή μου. Ο Μ. ξέρει τι προγράμματα έχω, τι μουσική ακούω και τι ταινίες βλέπω. Τρομάζω.
Επόμενος σταθμός: social media. Και συγκεκριμένα το Facebook. «Ο Firefox βολεύει στη δουλειά αυτή. Είναι στημένος με εργαλεία που βοηθάνε στο σπάσιμο της σελίδας». Εδώ η προετοιμασία είναι γρηγορότερη. Δεξί κλικ, elements, και επιλογή στην καρτέλα που βρίσκεται στο κάτω μέρος της οθόνης. Περιηγούμαστε στην κωδικοποίηση της σελίδας. Τα πράγματα φαίνονται ακόμη πιο μπερδεμένα. «Τα εργαλεία αυτά έχουν σκοπό να σε ταυτοποιήσουν. Μαζί με όλα τα ψηφιακά αιτήματα, κάθε συνδεδεμένος χρήστης δίνει ένα μοναδικό αναγνωριστικό. Αυτό που τον κάνει να ξεχωρίζει. Δυστυχώς, ενώ ένα μεγάλο μέρος της “συνομιλίας” είναι κρυπτογραφημένο, αυτό το μοναδικό αναγνωριστικό δεν είναι». Κενό του Facebook; Όχι, όπως μαθαίνω από τον Μ. «Δεν έχει να κάνει με την πλατφόρμα, αλλά με το ίδιο το ίντερνετ. Είναι ένα γενικότερο κενό, η ανάγνωση του οποίου ονομάζεται session hijacking».
Πρώτος στόχος η παρεμβολή μεταξύ του θύματος και του server που έχει συνδεθεί. «Αυτό που θα κάνουμε λέγεται Man in the Middle. Είναι ίσως η πιο διαδεδομένη μέθοδος επίθεσης σε χρήστες. Δεν είναι μαζική, αλλά είναι πολύ βολική. Ειδικά σήμερα, που σχεδόν όλοι συνδέονται πλέον μέσω smartphone με τα social media, και όχι μόνο».
Φεύγουμε από τον debugger και ανοίγουμε τις ρυθμίσεις δικτύου. Δεν είναι ίδιες με αυτές των κοινών λογισμικών. «Εδώ στήνεις το δίκτυο-παγίδα. Στη ουσία αυτό που κάνεις είναι να παρουσιάζεις ένα ψεύτικο ανοιχτό δίκτυο -π.χ. μιας καφετέριας- στο χρήστη που κάθεται ή περνά από εκεί, ως αληθινό». Στην πραγματικότητα το δίκτυο αυτό είναι το εργαλείο παρεμβολής. Όποιος συνδεθεί μαζί του, φέρνει αυτομάτως κάθε online δραστηριότητα στην οθόνη του Μ. Ανοίγουμε την κλασσική καρτέλα για να δούμε πόσα δίκτυα είναι γύρω μας. Ένα από αυτά είναι κι εκείνο της γειτονικής καφετέριας-στόχο. «Δεν θα μπούμε κανονικά μέσα, αλλά θα φτιάξουμε το δίκτυο πάνω στο δικό της», με προλαβαίνει πριν κάνω την επόμενη ερώτηση.
Αλλαγή παραθύρου κι επιστροφή στον Firefox. Ο Μ. ανοίγει μερικά φόρουμ και σε ένα wordpad ρίχνει μέσα ψηφιακούς δούρειους Ίππους. «Αυτά θα με βοηθήσουν να πείσω το router ότι όλα είναι ασφαλή. Copy-paste στην command line, κι όλα είναι πλέον «καθαρά». Το Wi-Fi της καφετέριας στήθηκε και το επόμενο χτύπημα ξεκινά. «Στόχος μου τώρα είναι να πάρω το root του χρήστη», μου εξηγεί. Οι τρεις εικονικοί χρήστες που δημιούργησε συνδέονται στο παραπλανητικό δίκτυο. Η εξομοίωση δεν διαφέρει σε τίποτα από τις κανονικές συνθήκες.
Καινούριο πρόγραμμα, νέα γραμμή εντολών. Αυτή είναι πιο φιλική στο μάτι, μέχρι να «σκάσουν μύτη» και πάλι τα δεδομένα. Μπαίνω στο ύποπτο δίκτυο που στήθηκε και σερφάρω. «Κάθε κίνηση σου αυτή τη στιγμή καταγράφεται», μου λέει ο Μ. δείχνοντας μου τη ροή των πληροφοριών. «Ότι πακέτο στέλνεις βγαίνει στην οθόνη μου».
Τραβάω λίγο την καρέκλα σαν να θέλω να κρυφτώ. Κυκλοφορώ ξανά στις σελίδες. Κάνω like, share. Ο Μ. μου περιγράφει τις κινήσεις μου σαν να μη συμβαίνει τίποτα. Μου τις δείχνει στην οθόνη του παραβλέποντας το γεγονός ότι όποιος δεν μιλά αυτή τη γλώσσα μοιάζει σα χαμένος. Δεν αντέχω, του το λέω. «Φίλε, εδώ με κάνεις σα να είμαστε στο Μάτριξ. Εγώ βλέπω ακατανόητα ψηφία κι εσύ “ξανθές, μελαχρινές και κοκκινομάλλες!”». Εκείνος γελάει. «Αυτά που βλέπεις εδώ είναι τα cookies σου», μου λέει δείχνοντάς μου με τον δείκτη του δεξιού χεριού στο κάτω μέρος του Firefox. Ύστερα αρχίζει πάλι εκείνα τα «περίεργα» copy-paste. «Δεν είναι μόνο το Facebook. Ότι κι αν κάνεις αυτή τη στιγμή, εμένα μου προσφέρει απλόχερα πρόσβαση στις πλατφόρμες σου. Άνοιξε το Gmail», μου λέει.
Εδώ είμαστε για να μάθουμε, οπότε μιας και το Facebook πήγε ήδη χαμένο, σειρά να θυσιαστεί και το email μου. Άνοιγμα, σύνδεση, περιήγηση στο inbox. Τα cookies «γράφουν». Η «έκθεση ιδεών» των πακέτων μου στην οθόνη του Μ. αυξάνεται. Inspect element with firebug – copy τα cookies – paste και voilà. Στο ένα παράθυρο του υπολογιστή τού Μ. το Facebook μου, στο άλλο το Gmail μου. «Όση ώρα εσύ είσαι συνδεδεμένος, εγώ βλέπω τι κάνεις. Πού στέλνεις email, με ποιον μιλάς, τι Facebook status γράφεις. Φτάνει να μείνεις συνδεδεμένος. Μόλις αποσυνδεθείς, το μοναδικό αναγνωριστικό σου χάνεται. Η ζημιά, όμως, καταλαβαίνεις ότι έχει ήδη γίνει», με συμβουλεύει και συνεχίζει: «Να ξέρεις ότι το να μπεις στο Facebook κάποιου κι απλά να αρχίσεις να κράζεις είναι βλακεία. Η καλύτερη επίθεση είναι απλά να αράξεις και να βλέπεις τι κάνει».
Η αποσύνδεση από το Facebook, το Gmail ή οποιαδήποτε άλλη πλατφόρμα δεν σημαίνει αναγκαστικά ότι ο επιτιθέμενος θα απολέσει τα όπλα του. «Εφόσον μπεις στο δίκτυό μου, μπορώ να σε κάνω να μου δώσεις ότι κωδικούς έχεις. Αρκεί να το θέλεις». Ο Μ. μπαίνει στην κανονική σελίδα του Facebook. Δεξί κλικ, save as web page. Η σελίδα βρίσκεται αποθηκευμένη στο desktop. «Σε λίγο θα δεις αυτό που θέλω εγώ», με προειδοποιεί. Ανοίγω ξανά το Facebook. Ή τουλάχιστον έτσι νομίζω. Βάζω user name και password για να ξαναμπώ. «Η σελίδα που κατέβασα πριν ως πλήρης webpage στέλνει την αίτηση σου στο κανονικό Facebook, αλλά δεν είναι η γνήσια. Εσύ βλέπεις τον κλώνο της. Συγχαρητήρια. Μόλις μού έδωσες το passσου. Να ξέρεις ότι αυτό γίνεται με κάθε σελίδα που κυκλοφορεί εκεί έξω. Αρκεί να καταφέρω να ξεγελάσω την πηγή της».
Τελευταία στάση, το «ψάρεμα». Το phishing είναι η κλασσική μέθοδος εξαπάτησης των χρηστών, με links τα οποία ανοίγουν διάπλατα τις πίσω πόρτες του υπολογιστή. «Το Man in the Middle δεν πιάνει πάντα. Πρέπει με κάποιον τρόπο να πείσουμε τον άλλο να μας δώσει τα στοιχεία του».
Νέα παράθυρα, καινούριοι φάκελοι. Ρωτάω τον Μ. τι είναι αυτό που βλέπω τώρα. «Είναι μια βιβλιοθήκη XSS (Cross-site scripting). Αυτά εισάγουν κώδικα HTML ή Javascript. Ή αλλιώς εκείνα τα links που παίρνεις σε DM, private messages ή email, και σου λένε “δες τι γράφουν για σένα” και “κοίτα ένα γαμάτο κουτάβι”. Ακόμη και τα βλακώδη Facebook τεστ για το “πόσο στρες έχεις”ή “ποιος χαρακτήρας του Game of Thrones είσαι”, μπορούν να κάνουν την ίδια δουλειά».
Δείξε μου το κουτάβι, λοιπόν, του λέω και τραβάει ένα από τα link που έχει ετοιμάσει. «Το Phishing είναι ο πιο εύκολος τρόπος για να κάνεις την κλωνοποίησή μου να δουλέψει». Πράγματι, ο σύνδεσμος με στέλνει πίσω στη σελίδα που φτιάχτηκε για να τραβήξει τους κωδικούς μου από το Facebook. «Δεν υπάρχει περιορισμός με τα πειραγμένα URLs. Μπορεί να νομίζεις ότι μπαίνεις σε μια ασφαλή σελίδα, αλλά αν τη δεις πιο προσεκτικά θα καταλάβεις ότι σε αυτές τις επιθέσεις η διεύθυνση σε πάει σε μια παραλλαγμένη τοποθεσία. Αυτό το κάνουν πολλές φορές όταν θέλουν να τραβήξουν από σένα τους κωδικούς τραπεζών κλπ. Κάτι τέτοιο είχε γίνει το 2009 στην Alpha Bank και την Marfin. Στην πορεία βρήκαν τι πήγε να γίνει και το διορθώσανε».
Η κουβέντα ξεφεύγει. Τέσσερις ώρες, δύο μικρά κρασαρίσματα του υπολογιστή, και χιλιάδες αριθμούς μετά, καταλαβαίνω ότι σε όλες αυτές τις περιπτώσεις τη μεγαλύτερη ευθύνη έχει ο ίδιος ο χρήστης. Άλλωστε, ο όγκος των προσωπικών δεδομένων που οι ίδιοι μαρτυράμε, κάνει τη δουλειά του επιτιθέμενου ευκολότερη. Από τη μανία να διαφημίζουμε πού είμαστε και τις αναλυτικές παρουσιάσεις των bio μας στα social media, έως και τον τρόπο με τον οποίο εκφραζόμαστε, όλα δείχνουν τον δρόμο για το «σπάσιμο» των λογαριασμών μας. «Έτσι είναι το ίντερνετ», μου λέει ο Μ. «Δεν χρειάζεται όμως να τρομάζουμε. Αρκεί να είμαστε υποψιασμένοι για τα πάντα, να μη βάζουμε απλούς κωδικούς, να κοιτάμε πρώτα ποια σελίδα πάμε να ανοίξουμε και, κυρίως, να μη μπαίνουμε στον τραπεζικό μας λογαριασμό από το κινητό σε ένα ανοιχτό δίκτυο! Αν τα κάνουμε αυτά, τότε σίγουρα πάμε γυρεύοντας».
Γράφει: Βασίλης Σαμούρκας
vice.com
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου