Πόσο ασφαλείς είναι οι υπηρεσίες email;

Πόσο ασφαλείς είναι οι υπηρεσίες email;
Βασίλης Φουρτούνης, δάσκαλος	Δευτέρα 17 Φεβρουαρίου 2014
Στην πρόσφατη Διάσκεψη για την ασφάλεια στο διαδίκτυο οι ειδικοί έδειξαν πόσο εύκολο είναι να σπάσει κανείς κωδικούς ασφαλείας στα email. Απαιτείται προσοχή αλλά και σωστή διαχείριση των δεδομένων. Πού υπάρχουν τρωτά σημεία στα συστήματα ασφαλείας των προσωπικών δεδομένων που διακινούνται μέσω ηλεκτρονικής αλληλογραφίας; Αυτή και άλλες παρόμοιες ερωτήσεις βρέθηκαν στο επίκεντρο στην πρόσφατη Διάσκεψη Ειδικών των Τεχνολογιών Τεχνολογιών και Επικοινωνίας που έλαβε χώρα στην Κολωνία (10 -14 Φεβρουαρίου). Σήμερα, λένε οι ειδικοί, οι χρήστες του διαδικτύου είναι πιο ευαισθητοποιημένοι και ενημερωμένοι σε σχέση με το παρελθόν. Πολλοί είναι καχύποπτοι όταν δέχονται μηνύματα «spam», ή ξέρουν τί είναι οι «ιοί» και πώς να τους αποφύγουν. Ωστόσο, όπως επισημαίνει ο Μπεν Γουίλιαμς από την εταιρεία NCC Group, μαζί με την εξέλιξη της τεχνολογίας του ίντερνετ εξελίσσονται και οι μέθοδοι επιθέσεων χάκερ. Ο ίδιος για να αυξήσει την ασφάλεια στο διαδίκτυο, μπαίνει ο ίδιος στη θέση των χάκερ προσπαθώντας να τους μιμηθεί. Αποκρυπτογραφώντας τη συμπεριφορά των χάκερ «Ως χάκερ, θα πρέπει να γνωρίζω ποιο πρόγραμμα είναι εγκατεστημένο στον εκάστοτε διακομιστή καθώς και ποια είναι η ηλεκτρονική του διεύθυνση», λέει χαρακτηριστικά ο Μπεν Γουίλιαμς. Με τον τρόπο αυτό, στέλνοντας ψεύτικα email σε τυχαίες διευθύνσεις, μπορεί να εισχωρήσει σε έναν ξένο εσωτερικό διακομιστή αλληλογραφίας και να αντλήσει στοιχεία. Οι απαντήσεις που λαμβάνει από τις τυχαία επιλεγμένες ηλεκτρονικές διευθύνσεις αποκαλύπτουν πολλά στοιχεία για την ηλεκτρονική ταυτότητα των προσβαλλόμενων υπολογιστών. «Μπορώ να μάθω έτσι διευθύνσεις των τειχών προστασίας (firewalls), των φίλτρων που χρησιμοποιούνται στα email και ούτω καθεξής. Μπορώ να καταλάβω για ποια συγκεκριμένα προϊόντα πρόκειται καθώς και ποια έκδοση είναι εγκατεστημένη. Όλα αυτά τα δεδομένα με βοηθούν στο σχεδιασμό της επίθεσής του», αναφέρει ο ειδικός της πληροφορικής. Κρυφά, επικίνδυνα προγράμματα σε ιστοσελίδες Ένας άλλος τρόπος πρόσβασης σε προσωπικά στοιχεία είναι μέσω λινκ που στέλνονται με ένα υποτιθέμενο προσωπικό email σε συγκεκριμένο παραλήπτη. Έτσι πολλοί κάνουν κλικ στη συγκεκριμένη επικίνδυνη ιστοσελίδα. Η σελίδα αυτή είναι όμως ψεύτικη. Κάνοντας κλικ εκεί, ένας χάκερ αποκτά πληροφορίες για τα φίλτρα που χρησιμοποιεί ο εκάστοτε διακομιστής. Μια χαρακτηριστική περίπτωση κυβερνοεπίθεσης μέσω email ήρθε στο φως της δημοσιότητας το 2011. Μία ομάδα χάκερ ονόματι LulzSec κατάφερε να διεισδύσει στους υπολογιστές κρατικών και οικονομικών οργανισμών στις ΗΠΑ, συμπεριλαμβανομένων των υπολογιστών της Γερουσίας αλλά και της CIA. Πώς όμως τα κατάφεραν; Η απάντηση είναι απλή. Σύμφωνα με τον ειδικό στις τεχνολογίες πληροφοριών και επικοινωνίας Μάικλ Μακάντριους, ολοένα περισσότεροι εργαζόμενοι χρησιμοποιούν το ίδιο όνομα χρήστη και τους ίδιους κωδικούς ασφαλείας για προσωπικούς και επαγγελματικούς λογαριασμούς. Με τον τρόπο αυτό η «τεμπελιά» τους να αποστηθίσουν περισσότερους, πολύπλοκους κωδικούς τους αφήνει έκθετους σε ενδεχόμενες επιθέσεις χάκερ. O Mακάντριους πάντως, συνιστά στους χρήστες, να μην αναρτούν στο διαδίκτυο ελεύθερα, σε ιστοσελίδες όπως το facebook ή το προσωπικό τους μπλογκ προσωπικά δεδομένα που μπορούν να τους «καρφώσουν», όπως για παράδειγμα ημερομηνίες γενεθλίων, ονόματα συγγενικών προσώπων ή ακόμη… το όνομα του κατοικίδιου τους, διότι μπορούν να καταλήξουν σε λάθος χέρια πολύ ευκολότερα από όσο φαντάζονται.

Πόσο ασφαλείς είναι οι υπηρεσίες email;

Βασίλης Φουρτούνης, δάσκαλος

Δευτέρα 17 Φεβρουαρίου 2014

Στην πρόσφατη Διάσκεψη για την ασφάλεια στο διαδίκτυο οι ειδικοί έδειξαν πόσο εύκολο είναι να σπάσει κανείς κωδικούς ασφαλείας στα email. Απαιτείται προσοχή αλλά και σωστή διαχείριση των δεδομένων.

Πού υπάρχουν τρωτά σημεία στα συστήματα ασφαλείας των προσωπικών δεδομένων που διακινούνται μέσω ηλεκτρονικής αλληλογραφίας; Αυτή και άλλες παρόμοιες ερωτήσεις βρέθηκαν στο επίκεντρο στην πρόσφατη Διάσκεψη Ειδικών των Τεχνολογιών Τεχνολογιών και Επικοινωνίας που έλαβε χώρα στην Κολωνία (10 -14 Φεβρουαρίου). Σήμερα, λένε οι ειδικοί, οι χρήστες του διαδικτύου είναι πιο ευαισθητοποιημένοι και ενημερωμένοι σε σχέση με το παρελθόν. Πολλοί είναι καχύποπτοι όταν δέχονται μηνύματα «spam», ή ξέρουν τί είναι οι «ιοί» και πώς να τους αποφύγουν. Ωστόσο, όπως επισημαίνει ο Μπεν Γουίλιαμς από την εταιρεία NCC Group, μαζί με την εξέλιξη της τεχνολογίας του ίντερνετ εξελίσσονται και οι μέθοδοι επιθέσεων χάκερ. Ο ίδιος για να αυξήσει την ασφάλεια στο διαδίκτυο, μπαίνει ο ίδιος στη θέση των χάκερ προσπαθώντας να τους μιμηθεί.

Αποκρυπτογραφώντας τη συμπεριφορά των χάκερ

«Ως χάκερ, θα πρέπει να γνωρίζω ποιο πρόγραμμα είναι εγκατεστημένο στον εκάστοτε διακομιστή καθώς και ποια είναι η ηλεκτρονική του διεύθυνση», λέει χαρακτηριστικά ο Μπεν Γουίλιαμς. Με τον τρόπο αυτό, στέλνοντας ψεύτικα email σε τυχαίες διευθύνσεις, μπορεί να εισχωρήσει σε έναν ξένο εσωτερικό διακομιστή αλληλογραφίας και να αντλήσει στοιχεία. Οι απαντήσεις που λαμβάνει από τις τυχαία επιλεγμένες ηλεκτρονικές διευθύνσεις αποκαλύπτουν πολλά στοιχεία για την ηλεκτρονική ταυτότητα των προσβαλλόμενων υπολογιστών. «Μπορώ να μάθω έτσι διευθύνσεις των τειχών προστασίας (firewalls), των φίλτρων που χρησιμοποιούνται στα email και ούτω καθεξής. Μπορώ να καταλάβω για ποια συγκεκριμένα προϊόντα πρόκειται καθώς και ποια έκδοση είναι εγκατεστημένη. Όλα αυτά τα δεδομένα με βοηθούν στο σχεδιασμό της επίθεσής του», αναφέρει ο ειδικός της πληροφορικής.

Κρυφά, επικίνδυνα προγράμματα σε ιστοσελίδες

Ένας άλλος τρόπος πρόσβασης σε προσωπικά στοιχεία είναι μέσω λινκ που στέλνονται με ένα υποτιθέμενο προσωπικό email σε συγκεκριμένο παραλήπτη. Έτσι πολλοί κάνουν κλικ στη συγκεκριμένη επικίνδυνη ιστοσελίδα. Η σελίδα αυτή είναι όμως ψεύτικη. Κάνοντας κλικ εκεί, ένας χάκερ αποκτά πληροφορίες για τα φίλτρα που χρησιμοποιεί ο εκάστοτε διακομιστής.

Μια χαρακτηριστική περίπτωση κυβερνοεπίθεσης μέσω email ήρθε στο φως της δημοσιότητας το 2011. Μία ομάδα χάκερ ονόματι LulzSec κατάφερε να διεισδύσει στους υπολογιστές κρατικών και οικονομικών οργανισμών στις ΗΠΑ, συμπεριλαμβανομένων των υπολογιστών της Γερουσίας αλλά και της CIA. Πώς όμως τα κατάφεραν; Η απάντηση είναι απλή. Σύμφωνα με τον ειδικό στις τεχνολογίες πληροφοριών και επικοινωνίας Μάικλ Μακάντριους, ολοένα περισσότεροι εργαζόμενοι χρησιμοποιούν το ίδιο όνομα χρήστη και τους ίδιους κωδικούς ασφαλείας για προσωπικούς και επαγγελματικούς λογαριασμούς. Με τον τρόπο αυτό η «τεμπελιά» τους να αποστηθίσουν περισσότερους, πολύπλοκους κωδικούς τους αφήνει έκθετους σε ενδεχόμενες επιθέσεις χάκερ.

O Mακάντριους πάντως, συνιστά στους χρήστες, να μην αναρτούν στο διαδίκτυο ελεύθερα, σε ιστοσελίδες όπως το facebook ή το προσωπικό τους μπλογκ προσωπικά δεδομένα που μπορούν να τους «καρφώσουν», όπως για παράδειγμα ημερομηνίες γενεθλίων, ονόματα συγγενικών προσώπων ή ακόμη… το όνομα του κατοικίδιου τους, διότι μπορούν να καταλήξουν σε λάθος χέρια πολύ ευκολότερα από όσο φαντάζονται.