[InterBIZ Newsletter Logo]

Τι είναι οι παράπλευρες επιθέσεις (semantic attacks)
2/2/2001 (Ένας ανορθόδοξος, αλλά ισχυρός και συχνά αποτελεσματικός τρόπος παραβίασης συστημάτων ασφαλείας, εντός και εκτός δικτύου) Γιώργος Επιτήδειοςgepiti@gepiti.com

 

Ένα υπολογιστικό ή άλλο σύστημα μπορεί να δεχθεί τριών ειδών επιθέσεις: Φυσικές, Συντακτικές και Παράπλευρες. Στο κείμενο που ακολουθεί θα δούμε τι μορφές λαμβάνουν αυτές οι απειλές και γιατί οι Παράπλευρες επιθέσεις αποτελούν τον πιο "μοντέρνο" και επικίνδυνο τρόπο να παρακάμψει κανείς οποιοδήποτε μηχανισμό ασφαλείας.

Τι είναι οι φυσικές επιθέσεις (physical attacks)

Πρόκειται για εισβολές οι οποίες πραγματοποιούνται συνήθως με τη χρήση κάποιας μορφής βίας. Χαρακτηριστικό παράδειγμα της φιλοσοφίας των φυσικών επιθέσεων αποτελεί η διάρρηξη ενός μηχανήματος αυτόματων αναλήψεων. Εδώ ο εισβολέας αναγνωρίζει ότι δεν έχει τις δυνατότητες να παραπλανήσει τα ηλεκτρονικά συστήματα της τράπεζας, ανακαλύπτοντας τρόπους ώστε το μηχάνημα να του δίνει συνεχώς χρήματα από λογαριασμούς άλλων. Έτσι, προμηθεύεται απλώς τα απαραίτητα εκρηκτικά, σπάει τον τοίχο όπου είναι τοποθετημένο το μηχάνημα και, με ένα γρήγορο φορτηγό, το μεταφέρει ολόκληρο κάπου αλλού για να το παραβιάσει με την ησυχία του.

’λλο συνηθισμένο παράδειγμα φυσικής επίθεσης αποτελεί η κλοπή του notebook κάποιου ανθρώπου και η ανάγνωση της αλληλογραφίας του, καθώς και όποιων άλλων πληροφοριών περιέχονται σε αυτό το μηχάνημα (π.χ. τα μελλοντικά σχέδια της εταιρείας όπου εργάζεται).

Στις φυσικές επιθέσεις όμως κατατάσσονται και λιγότερο βίαιες δραστηριότητες όπως η τοποθέτηση μαγνητοφώνου στο καλώδιο ενός τηλεφώνου. Εδώ βέβαια δεν έχουμε χρήση βίας αλλά η επίθεση πραγματοποιείται πάλι στο φυσικό επίπεδο, χωρίς να απαιτούνται εκλεπτυσμένες τεχνικές παραπλάνησης, ή υψηλή τεχνολογία υποκλοπής.

Αν και οι φυσικές επιθέσεις βασίζονται συνήθως σε ένα εξαιρετικά απλό σχέδιο, η αποτελεσματικότητά τους έχει αποδειχθεί σε πάρα πολλές περιπτώσεις και επειδή δεν απαιτούν εξειδικευμένες γνώσεις αποτελούν την δημοφιλέστερη μορφή επίθεσης εναντίον οποιουδήποτε συστήματος. Ευτυχώς όμως αυτό το είδος απειλής είναι λίγο πολύ γνωστό στην ανθρωπότητα εδώ και αιώνες. Έτσι έχουμε μάθει πλέον να ζούμε μαζί της και έχουμε αναπτύξει σχετικά ικανοποιητικούς τρόπους για να την αντιμετωπίζουμε (φύλακες, συστήματα συναγερμού κ.λπ.).

Τι είναι οι συντακτικές επιθέσεις (syntactic attacks)

Πρόκειται για τη νεότερη και τη "δημοφιλέστερη" στη λαϊκή φαντασία μορφή επιθέσεων. Για τα ΜΜΕ και τον κινηματογράφο τόσο οι ηλεκτρονικές απάτες όσο και κάθε άλλη επίθεση σε δίκτυα, αποτελούν πάντοτε έργο κάποιου νεαρού εισβολέα ο οποίος καταφέρνει να εκπορθήσει ακόμη και το καλύτερα προστατευμένο σύστημα, καθισμένος στην καρέκλα του γραφείου του, με ένα ανοιχτό κουτί πίτσα πάνω στην οθόνη του και ένα μεγάλο ποτήρι coca cola δίπλα στο πληκτρολόγιο.

Στην πραγματικότητα όμως οι τεχνολογίες προστασίας δεδομένων έχουν ήδη προχωρήσει αρκετά και ελάχιστοι άνθρωποι στον κόσμο διαθέτουν τις τεχνικές γνώσεις για να εξαπολύσουν μια παρόμοια επίθεση, ενώ ακόμη λιγότεροι έχουν το κίνητρο να το πράξουν (συνήθως τους πληρώνουν ήδη πολύ καλά εκεί που βρίσκονται).

Έτσι, οι περισσότεροι crackers αναλώνουν την ενεργητικότητά τους εναντίον λιγότερο προστατευμένων στόχων, δημιουργώντας μεν προβλήματα σε όσους δεν είναι καλά προετοιμασμένοι, αλλά χωρίς να αποτελούν μια σκοτεινή απειλή έτοιμη να καταστρέψει ανά πάσα στιγμή τον κόσμο γύρω μας, όπως φοβούνται μερικοί.

Τι είναι οι παράπλευρες επιθέσεις (semantic attacks)

Τις ονομάζουμε έτσι διότι στόχος τους δεν είναι η παραβίαση, αλλά η παράκαμψη των μηχανισμών ασφαλείας ενός συστήματος.

Δυστυχώς, είναι πολύ δύσκολο να δώσουμε έναν ακριβή ορισμό τους διότι εφαρμόζονται έναντι οποιουδήποτε στόχου με πολλές και συνήθως αρκετά ανορθόδοξες μεθόδους. Σχεδόν πάντοτε όμως εκμεταλλεύονται κάποιο χαρακτηριστικό ή αδυναμία της ανθρώπινης φύσης, γι' αυτό και θα μπορούσαμε να τις αποκαλέσουμε και κοινωνικές επιθέσεις. Επίσης, βρίσκονται στον αντίποδα των "άγαρμπων και άκομψων" φυσικών επιθέσεων μια και χάρη σε αυτές το θύμα εξαπατάται, παρέχοντας συχνά με τη θέλησή του τις πληροφορίες ή την πρόσβαση που επιθυμεί ο εισβολέας.

Η πιο διαδεδομένη μορφή κοινωνικής εξαπάτησης είναι η αποστολή ενός πλαστού email από κάποιον θρασύ απατεώνα ο οποίος εμφανίζεται ως ο network manager ή κάποιο άλλο υψηλόβαθμο στέλεχος της εταιρείας και ζητά από το ανύποπτο θύμα του, να του κοινοποιήσει το password που χρησιμοποιεί.

Μια πιο κομψή έκδοση αυτής της επίθεσης συναντούμε στην περίπτωση του πολύ πειστικού "πλαστού συνδρομητή" ο οποίος τηλεφωνεί στο γραφείο τεχνικής υποστήριξης μιας εταιρείας, δηλώνοντας ότι "ξέχασε" το password του, και καταφέρνει τον υπάλληλο να του το δώσει τα δικαιώματα πρόσβασης ενός πραγματικού πελάτη της εταιρείας. (Παρόμοια περιστατικά έχουν συμβεί πάρα πολλές φορές στο παρελθόν και όσο αυξάνει ο αριθμός των προσφερόμενων συνδρομητικών υπηρεσιών, τόσο συχνότερα θα συναντούμε ανάλογα κρούσματα).

Οι κοινωνικές ή παράπλευρες επιθέσεις προκαλούν πολύ μεγαλύτερο πονοκέφαλο στους υπευθύνους ασφαλείας μιας επιχείρησης, απ' ό,τι οι crackers και άλλοι θιασώτες του ηλεκτρονικού εγκλήματος επειδή είναι πολύ δύσκολο να προστατευτεί κανείς από αυτές. Μπορούν να λάβουν άπειρες μορφές (όσες και η φαντασία των εισβολέων) και δυσκολευόμαστε πάρα πολύ να τις αναγνωρίσουμε ως τέτοιες.

Επίσης, οι δράστες τους εκμεταλλεύονται συνήθως ανθρώπινα ελαττώματα ή καταστάσεις που δεν είναι δυνατόν να θεραπευτούν. Για παράδειγμα, ακόμη και η καλοσύνη ή η προθυμία ενός ευγενικού υπαλλήλου μπορούν να αποτελέσουν ελάττωμα, αν αποφασίσει να παραβιάσει τους κανονισμούς και να γίνει περισσότερο "ευέλικτος" στην προσπάθειά του να εξυπηρετήσει τον "σαστισμένο πελάτη" ο οποίος δεν θυμάται πότε λήγει η πιστωτική του κάρτα.

Μεγάλο πρόβλημα όμως προκαλούν και οι επιθέσεις σε στόχους που δεν μπορούμε να προστατεύσουμε μια και η διαχείρισή τους (άρα και η ασφάλειά μας) εξαρτάται από άλλους. Για παράδειγμα, ένα πλαστό fax που στάλθηκε σε μερικές εφημερίδες και περιοδικά ήταν αρκετό για να ρίξει τις τιμές των μετοχών της εταιρείας Emulex στις ΗΠΑ κατά 61% μέσα σε μία ημέρα. Θεωρητικά, το κείμενο του fax θα έπρεπε να είχε διασταυρωθεί πριν από τη δημοσίευση της είδησης, αλλά αυτό δεν έγινε και η εταιρεία ζημιώθηκε σημαντικά αφού ακόμη και μετά την αποκάλυψη της απάτης η μετοχή της παρέμεινε σε χαμηλά επίπεδα, χωρίς να υπάρχει τίποτε που θα μπορούσε να κάνει για να αποφύγει αυτή την τύχη.

Ένα άλλο πρόβλημα στην αναγνώριση των κοινωνικών ή παράπλευρων επιθέσεων είναι ότι πολλές φορές εκτελούνται με τη μορφή μιας αλυσίδας από φαινομενικά αθώες δραστηριότητες, που όλες όμως οδηγούν στον ίδιο σκοπό. Για παράδειγμα, οι περισσότεροι γνωστοί μου θα έδιναν χωρίς δισταγμό "αθώες" πληροφορίες όπως ποιο είναι το χρώμα και ο τύπος του αυτοκινήτου μου, πώς ονομάζεται η μητέρα μου, πότε άρχισα να εργάζομαι σε αυτή την εταιρεία, πού βρισκόταν το παλιό μου γραφείο κ.λπ. Κάποιος κακόβουλος εισβολέας όμως θα μπορούσε να χρησιμοποιήσει αυτά τα στοιχεία για να πείσει τους συναδέλφους μου στη δουλειά ότι είναι φίλος μου και να του επιτρέψουν την είσοδο στο γραφείο μου "για να πάρει κάτι που του έχω αφήσει".

Επίσης μια κοινωνική ή παράπλευρη επίθεση εκτελείται συχνά σε μεγάλο βάθος χρόνου. Έχουν αναφερθεί αρκετά περιστατικά γνωριμιών σε chat rooms όπου το ένα μέρος κατάφερε να πείσει το άλλο να του δώσει χρήματα ("ντρέπομαι που σου το ζητάω, αλλά έχω μεγάλη ανάγκη και στο κάτω κάτω "γνωριζόμαστε" τόσον καιρό") και στη συνέχεια εξαφανίστηκε. Δυστυχώς, μάλιστα πρόσφατα αναφέρθηκε η περίπτωση ενός έφηβου Ισραηλινού ο οποίος γνωρίστηκε σε chat room με μια (πιθανότατα) Παλαιστίνια η οποία του συστήθηκε ως αμερικανίδα τουρίστρια και του έκλεισε ραντεβού σε παλαιστινιακή περιοχή όπου τον δολοφόνησαν.

Τέλος, υπάρχει και η περίπτωση του συνδυασμού παράπλευρων και άλλων μορφών επίθεσης. Στο βιβλίο "How to play with your food", των Penn και Teller, υπάρχει μια συνταγή με τίτλο "Swedish Lemon Angels" και συστατικά όπως πέντε κουτάλια baking soda, ένα φλιτζάνι φρέσκο χυμό λεμονιού κ.λπ. Όπως εξηγεί το βιβλίο, σε κάποια στιγμή, κατά την παρασκευή της συνταγής, δημιουργείται ένα εκρηκτικό μίγμα το οποίο θα ανατιναχθεί, προκαλώντας ζημιές σε όλη την κουζίνα! Έτσι συνιστάται στους αναγνώστες να τυπώσουν αυτή τη συνταγή σε χαρτί παρόμοιο με εκείνο του βιβλίου συνταγών κάποιου φίλου τους, να την προσθέσουν στο βιβλίο όταν εκείνος (ή εκείνη) δεν τους βλέπει και μετά να περιμένουν να "απολαύσουν" τα αποτελέσματα. Στην ηλεκτρονική εποχή φυσικά αυτό μπορεί να γίνει πολύ πιο απλά, στέλνοντας ένα μήνυμα σε μια μαγειρική mailing list ή σε κάποιο message board με αντίστοιχο περιεχόμενο.

Αν πάντως το παραπάνω ενδεχόμενο σας φαίνεται αστείο, σας προτείνω να σκεφθείτε μια πιο τρομακτική εκδοχή, όπως την περίπτωση να παραποιήσει κάποιος τα στοιχεία του αρχείου μιας εφημερίδας στο web, παρουσιάζοντας εκεί τον εαυτό του με κολακευτικά λόγια για να σας πείσει να τον εμπιστευτείτε. (Το παράδειγμα αυτό δεν είναι τυχαίο. Σύμφωνα με το risks digest ανάλογη παραποίηση αρχείων συνέβη πρόσφατα σε site της NASA.)

Συμπεράσματα

Αφού βασίζονται σε "αδυναμίες" στον ανθρώπινο τρόπο σκέψης, οι κοινωνικές ή παράπλευρες επιθέσεις θα βρίσκονται μαζί μας όσο υπάρχουν άνθρωποι. Θα ήταν όμως μεγάλο λάθος να σκεφθεί κανείς ότι θα μπορούσαμε να απαλλαγούμε, αντικαθιστώντας τους ανθρώπους με κάποια μηχανήματα. Όπως διαπιστώθηκε κατά τη δυσφημιστική επίθεση εναντίον της Emulex που αναφέρθηκε παραπάνω, οι χρηματιστές με τις μεγαλύτερες απώλειες ήταν εκείνοι που χρησιμοποιούσαν αυτόματα προγράμματα αγοραπωλησιών και στερήθηκαν του κριτικού πνεύματος ενός ανθρώπινου διαχειριστή, ο οποίος θα μπορούσε να υποπτευθεί ότι κάτι πάει στραβά.

Επίσης, η παραποίηση μέρους του web site της NASA αποκαλύφθηκε επειδή ο εισβολέας χρησιμοποίησε αταίριαστη (παιδική σύμφωνα με μια εφημερίδα) γλώσσα και έγινε αμέσως αντιληπτός απ' όσους διάβασαν τα κείμενά του. Οι άνθρωποι λοιπόν βρίσκονται στην καρδιά κάθε προβλήματος ασφαλείας, αλλά είναι και εκείνοι που αποτελούν το κλειδί για την επίλυσή του. Αν λοιπόν θέλουμε να είμαστε πραγματικά ασφαλείς, το μόνο που πρέπει να κάνουμε είναι να επενδύσουμε στους ανθρώπους, εκπαιδεύοντας τόσο τον εαυτό μας όσο και τους άλλους να αναγνωρίζουν και να αντιμετωπίζουν αυτά τα φαινόμενα.

Γιώργος Επιτήδειος

Αποκτήστε μια δωρεάν συνδρομή στο InterBIZ

Επιστροφή στο Αρχείο ’ρθρων Παλαιών Τευχών
Επιστροφή στις Επιχειρηματικές Σελίδες

© 2005 Γιώργος Επιτήδειος
Υποδείξεις, Ερωτήσεις, Σχόλια στην διεύθυνση gepiti@gepiti.com