Υποστηριξε το militaire
Άποψη
16/03/2020 | 06:01 (ενημερώθηκε 4 έτη πριν)
Militaire News

Η αρχιτεκτονική του internet και οι πρόσφατες κυβερνοεπιθέσεις της Τουρκίας

Η αρχιτεκτονική του internet και οι πρόσφατες κυβερνοεπιθέσεις της Τουρκίας

Γράφει ο

ΣΠΥΡΟΣ ΜΠΑΜΙΑΤΖΗΣ

Οι πρόσφατες κυβερνοεπιθέσεις της Τουρκίας σε νευραλγικές δημόσιες υπηρεσίες της χώρας, φανέρωσαν μια επιθετική πολιτική εκ μέρους της Τουρκίας που είναι εντός του ορισμού του κυβερνοπολέμου και όχι απλώς της κυβερνοασφάλειας. Στην περίπτωση της κυβερνοασφάλειας έχουμε ως επί το πλείστον χαρακτήρες που επιδιώκουν την άμεση πρόσβαση σε χρηματικά ποσά προς ιδίαν εκμετάλλευση. Στην περίπτωση του κυβερνοπολέμου έχουμε state-actors η proxy state actors οι οποίοι αναλαμβάνουν να κυβερνο- επιτεθούν στην χώρα κατόπιν υπόδειξης της κρατικής οντότητας που κατευθύνει το όλο παιχνίδι, στην προκειμένη περίπτωση της Τουρκίας. Οι χωρες που κρατούν τα σκήπτρα στον κυβερνοπόλεμο είναι οι ΗΠΑ, η Ρωσία, η Κίνα, το Ισραήλ, το Ηνωμένο Βασίλειο, η Β. Κορέα, και με ανεπτυγμένη ταχύτητα το Ιράν, το οποίο ακόμα ψάχνει να βρει έναν τρόπο «τιμωρίας» των ΗΠΑ για τον θάνατο του Σουλειμανί, χωρις να ανακαινίσει όλο το μένος των ΗΠΑ, κάτι το οποίο γνωρίζει ότι δεν θα το βγάλει κερδισμένο.

Η Τουρκία στις αρχές της περασμένης δεκαετίας δημιούργησε στην χώρα της την Διοίκηση Κυβερνοπολέμου. Αργότερα η Τουρκική κυβέρνηση εγκαινιάζει το Κέντρο Αντιμετώπισης Κυβερνοαπειλών. Άλλοι παράγοντες που έχουν συμβάλλει σε αυτή την προσπάθεια είναι η Υπηρεσία Πληροφοριών και Επικοινωνιακής Τεχνολογίας, το Γενικό Επιτελείο, η ηλεκτρονική εταιρεία Aselsan, η εταιρεία στρατιωτικού λογισμικού Havelsan και το κρατικό επιστημονικό ινστιτούτο έρευνας TÜBİTAK. Αν και η Τουρκία έχει επενδύσει σχετικά μεγάλα ποσά για να κάνει μια αξιοπρεπή υπηρεσία κυβερνοπολέμου, το καθεστώς λογοκρισίας και φοβίας που έχει εγκαθιδρύσει ο Ερντογάν δεν βοηθάει αυτήν τη προσπάθεια, καθώς η επιστήμη και η τεχνική του κυβερνοπολέμου προϋποθέτει μια νομενκλατούρα ελεύθερη από πολιτικο-κρατικές παρεμβάσεις για να μπορέσει να λειτουργήσει ελεύθερα το καινοτόμο πνεύμα. Ακριβώς γι αυτό δημιούργησε εντύπωση το γεγονός ότι μια χώρα που δεν διακρίνεται για το καινοτόμο της πνεύμα, μπόρεσε να διεισδύσει σε νευραλγικές υπηρεσίες μιας χώρας, όπως η Ελλάδα, που βρίσκεται σε περίοδο πολεμικής και διπλωματικής προετοιμασίας για να μπορέσει να αναχαιτίσει τα ιμπεριαλιστικά σχέδια της Τουρκίας.

Για να μπορέσουμε να καταλάβουμε πώς έγινε η Τουρκική επίθεση καλό είναι να ξέρουμε πώς λειτουργεί το σύστημα της σύνδεσης με το ιντερνέτ από τεχνικής άποψης. Δεν θα παραθέσουμε βέβαια μια λεπτομερή τεχνική ανάλυση του συστήματος. Αυτό δεν είναι το θέμα αυτού του άρθρου. Τα τεχνικά στοιχεία όμως που θα δώσουμε ίσως βοηθήσουν το ευρύτερο κοινό να εννοήσει απλά τί είναι και πώς λειτουργεί το Διαδίκτυο, πώς γίνονται οι επιθέσεις και ποιό σημείο του Διαδικτύου μπορεί να είναι πιο ευάλωτο. Από την αρχή πρέπει να κατανοήσουμε κάτι. Το Διαδίκτυο είναι ευάλωτο. Οι επιθέσεις αυξάνονται και σε ποσότητα και σε ποιότητα. Στις μέρες μας δεν χρειάζεται κάποιος να είναι προγραμματιστής ή να έχει βαθιές γνώσεις Πληροφορικής Τεχνολογίας. Μπορεί άνετα να τα προμηθευτεί όλα αυτά από το Dark Web, την πιο τέλεια αγορά υπαρκτού καπιταλισμού, όπου μπορείς να προμηθευτείς από ναρκωτικά, χάκερς, ταινίες παιδοφιλίας, όπλα, πιστωτικές κάρτες, η ενοικίαση υπηρεσιών με πληρωμή σε bitcoin ανά ώρα, ή ανάλογα με το πρότζεκτ. Μπορεί, για παράδειγμα να προσληφθείς για να κατασκοπεύσεις μια αντίπαλο εταιρεια, για cyber espionage ή ότι άλλο μπορεί να φταντασθείς αρκεί να έχεις τα χρήματα.

ΣΗΜ. (Θα κρατήσουμε την Αγγλική ορολογία, γιατί ορισμένες έννοιες είναι μάλλον δύσκολο να μεταφραστούν και να αποδώσουν την σωστή τους έννοια). Η τεχνική παρουσίαση που ακολουθεί το μήνυμα που στέλνουμε μέσω διαδικτύου είναι η ακόλουθη. Ο πρώτος σταθμός του μηνύματος είναι το αυτό που ονομάζουμε switch. Κατευθύνεται προς το διαδίκτυο? Προς τον εκτυπωτή? Στην προκειμένη περίπτωση κατευθύνεται προς το διαδίκτυο. (Θα παρουσιάσουμε το μοντέλο OSI, Open System Interconnection Model, το οποίο δημιουργήθηκε από την Διεθνή Οργάνωση Στάνταρντς, international Organization for Standardization). Το δεύτερο σημείο επαφής, καθώς το μήνυμα εισέρχεται στο διαδίκτυο είναι το Multilayer Switch. Το multilayer switch διαχωρίζεται σε 7 διαφορετικά layers, τα οποία εξυπηρετούν και διαφορετικό σκοπό και έχουν και διαφορετική κατεύθυνση, από το Layer 1 προς τα πάνω όταν το μήνυμα στέλνεται και από το Layer 7 προς τα κάτω όταν το πακέτο τύχει απάντησης. Το παρακάτω σχεδιάγραμμα δίνει μια περιγραφή των διαφορετικών layers του multilayer switch, καθώς και την περιγραφή του κάθε layer.

Θα κάνουμε μια σύντομη απεικόνιση της κίνησης του μηνύματος μεταξύ αυτών των 7 layers. Πχ ο A στέλνει ένα e-mail στoν B.

Ο A γραφει το e-mail του στο laptop και το «στέλνει».

Η εφαρμογή του e-mail του θα περάσει στο Application layer (7), και θα προσαρτηθεί ένα πρωτόκολλο SMTP Simple Mail Transfer Protocol, το οποίο απλά στέλνει το e-mail στους δύο servers.

Το Presentation layer(6) συμπιέζει(compress) το e-mail, και μεταβιβάζει το συμπιεσμένο e-mail στο Session Layer(5) το οποίο και θα ξεκινήσει τις διαδικασίες για την επικοινωνία(communication) του e-mail.

To e-mail θα μεταβεί στο Transportation Layer(4) όπου θα κατακερματιστει(segmented).

Ο κατακερματισμός αυτός θα δημιουργήσει μικρά πακέτα(packets) στο Network Layer(3) και αυτά τα μικρά πακέτα θα δημιουργήσουν ακόμα μικρότερα, που λέγονται πλαίσια (frames), στο Data Link Layer(2). Από εκεί τα πλαίσια μεταβαίνουν στο τελευταίο layer, το Physical Link Layer(1), το οποίο και θα μετατρέψει τα μηνύματα σε μια σειρά από 1 και 0, και θα τα στείλει μέσα από τις καλωδιακές ενώσεις στον παραλήπτη, δηλαδή στoν B. O B θα λάβει το μήνυμα στο δικό του multilayer switch, το οποίο και θα μετατρέψει τα 1 και τα 0 στο αρχικό e-mail που έστειλε ο Α. Γιατί η μετατροπή στο 1 και 0? Γιατί τα κομπιούτερς δεν γνωρίζουν καμία άλλη γλώσσα παρά μόνο 1 και 0. Κάναμε μια πάρα πολύ περιληπτική και σύντομη παρουσίαση του πώς μεταδίδονται και διακινούνται τα μηνύματα στο ίντερνετ. Τώρα ας αναλύσουμε την ίδια την επίθεση.

ΑΝΑΛΥΣΗ ΤΗΣ ΤΟΥΡΚΙΚΗΣ ΚΥΒΕΡΝΟΕΠΙΘΕΣΗΣ.

Οι κυβερνοαναλυτές όταν κάνουν την ανάλυση μιας επίθεσης, το πρώτο που προσπαθούν να πιστοποιήσουν είναι

1) πώς εισήλθε ο ιός στο διαδίκτυο

2) μέσω ποιάς «αδυναμίας», vulnerability, εισεχώρησε ο ιός στο σύστημα,

3) ποιά είναι τα χαρακτηριστικά του ιού,

4) πώς μπορεί να σταματήσει η εισβολή.

Στην προκειμένη περίπτωση, σύμφωνα με τις αναλύσεις, η επίθεση ονομάζεται DDoS, Distributed Denial of Service, και έγινε από πολλούς τερματικούς σταθμούς κατά των ιστοσελίδων των Υπουργείων Εξωτερικών και Οικονομικών, της ΕΥΠ, της Ελληνικής Βουλής και του Χρηματιστηρίου.

Από την ψηφιακή ανάλυση των δεδομένων (digital forensics) επίσης έγινε φανερό, ότι η Τουρκική ομάδα των χάκερς, είχε μεγάλη βοήθεια από το Τουρκικό κράτος, λόγω του μεγέθους της επίθεσης. H επίθεση με DDoS θεωρείται brute force attack. Εν συντομία η brute force attack είναι η συνεχής προσπάθεια επίθεσης με διαφορετικούς συνδυασμούς, μέχρι να βρεθεί ο σωστός συνδυασμός που μπορεί να «αντιγράψει» τα διάφορα «passwords» και έτσι να εισχωρήσει ο εισβολέας στο σύστημα. Από αυτή την κερκόπορτα μπορεί να εισέλθει ο ιός στο σύστημα. Είναι όπως όταν προσπαθεί κάποιος να ανοίξει μια κλειδαριά με διαφορετικούς. Τελικά θα βρεθεί ο κατάλληλος συνδυασμός και η πόρτα θα ανοίξει. Σε μια τέτοια brute force, ο Τούρκος χάκερ ασκεί έλεγχο από το δικό του τερματικό και επιτίθεται με εκατοντάδες χιλιάδες ή εκατομμύρια ρομποτάκια τα οποία λέγονται botnets (από την σύνθετη ονομασία ro-bot and net-work, bot and net) τα οποία κατευθύνει με τηλεχειριστήριο. Όταν το botnet έχει καταγράψει την «διεύθυνση» του κομπιούτερ του θύματος το οποίο λέγεται IP (Internet Protocol), address, ο Τούρκος τηλεχειριστής που ελέγχει τα botnets, στέλνει την «διεύθυνση» του θύματος, σε χιλιάδες ή και εκατομμύρια άλλα botnets με τη εντολή να στείλει κάθε ένα από τα botnets διάφορα «νόμιμα αιτήματα». Αποτέλεσμα αυτής της ακατάσχετης εισροής των «αιτημάτων» είναι το σύστημα του «θύματος» να μην μπορεί να προωθήσει αυτά τα αιτήματα και να σταματήσει την σύνδεση του με το ίντερνετ. Επειδή κάθε botnet είναι ένα «νόμιμο» εργαλειο του ίντερνετ, (δεν ζήτησε το botnet ούτε κάτι παράνομο ούτε κάτι απαγορευμένο), ο διαχωρισμός της επίθεσης από την κανονική κίνηση του ίντερνετ είναι κάτι που εκ πρώτης όψεως είναι πολύ δύσκολο.

Η Τουρκική επίθεση κατά πάσα πιθανότητα έκανε την επίθεση στα εξής layers: Layer 7, Application Layer στο μοντέλο OSI, γιατί εκεί δημιουργούνται οι σελίδες του ίντερνετ σε απάντηση στα αιτήματα που γίνονται στο ΗΤΤP/HTTPS (Hyper Text Transfer Protocol/Safe), το κατ εξοχήν πρωτόκολλο δημιουργίας ιστοσελίδων στο WEB. Να διευκολύνουμε τον αναγνώστη που μπορεί να δει αυτές τις πληροφορίες, την επόμενη φορά που θα ανοίξετε το GOOGLE, κοιτάξτε την μπάρα που γράφετε τί θέλετε να κάνετε/ζητήσετε και θα δείτε μια κλειδαριά. Αυτή η κλειδαριά σημαίνει ότι το GOOGLE έχει πιστοποιητικό ότι είναι ένα ασφαλές site. Εάν πατήσετε την «κλειδαριά» θα σας δείξει το «πιστοποιητικό» της ασφαλούς σελίδας. Layer 3 και 4, Αυτά τα δύο layers επίσης είναι ευάλωτα σε επιθέσεις DDoS. Όταν η επίθεση γίνεται από το Cloud, το οποίο διαθέτει πολύ περισσότερους πόρους αυξάνεται η αποτελεσματικότητα της επίθεσης. Αυτού του είδους οι επιθέσεις έχουν σκοπό να αλλοιώσουν την αληθινή IP address, καλύπτονται κάτω από τον μανδύα της παραγνώρισης ή μετάλλαξης (spoofing) και βάζουν την ταυτότητα του Τούρκου χάκερ, την οποία ο νόμιμος χρήστης της ιστοσελίδας δεν αντιλαμβάνεται, «ανταλλάσσει νόμιμη ηλεκτρονική χειραψία» (synchronize-acknowledge) και έτσι γίνεται η αρχική επαφή μεταξύ του χρήστη και του ίντερνετ.

Αυτή η επαφή γίνεται σε τρία στάδια: 1) ο χρήστης στέλνει μήνυμα επαφής(SYN) σε αλλο κομπιουτερ. Ο Τούρκος χάκερ κλέβει την διεύθυνσή του, κατά την διάρκεια της διαδρομής την μεταλλάζει(spoofing) και την στέλνει στον server, 2) ο server μη έχοντας ιδέα ότι η πραγματική διεύθυνση έχει εν τω μεταξύ αλλάξει, λαμβάνει την αλλαγμένη διεύθυνση σαν σωστή και ειδοποιεί (ACKNOWLEDGE) τον χρήστη ότι όλα είναι εντάξει. Η ανταλλαγή/συναλλαγή μπαίνει σε λειτουργία μαζί βέβαια και η είσοδος του ιού DDoS με τα γνωστά αποτελέσματα.

ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΠΡΟΣΦΟΡΑ ΑΝΤΙΜΕΤΡΩΝ ΠΡΟΣΤΑΣΙΑΣ

Δεν υπάρχει 100% αποτελεσματικός τρόπος να αποτραπεί μια επίθεση DDoS λόγω του χαρακτήρα του ιου να μεταλλάσσεται, να υποκρύπτεται και να προσκολλάται σε νόμιμες συνομιλίες στο ίντερνετ. Και επειδή έχει την ιδιότητα να μένει κρυμμένος στο λογισμικό του νόμιμου χρήστη και να ενεργοποιείται με τηλεκοντρολ από άλλο τερματικό παραμένει ένας από τους πιο επικίνδυνους ιούς (malware). Αυτό δεν σημαίνει ότι είμαστε εντελώς απροστάτευτοι και στο έλεος του. Αλλά οι μέθοδοι προστασίας υπόκεινται αποκλειστικά στην μείωση(mitigation) και στην έγκαιρη προειδοποίηση η οποία όμως δεν αποτελεί πανάκεια , και οι χάκερς διαρκώς προσπαθούν να βρουν καινούργιους τρόπους πρόσβασης.
To παρακάτω σχεδιάγραμμα είναι ένα από τα mitigation σχέδια: Α) Το WAF( Web Application Firewall) είναι ένας πολύ αποτελεσματικός «τοίχος» (firewall) που σκοπός του είναι να επιβλέπει 1) την κίνηση στο διαδίκτυο, 2) να αναλύει και να εξουδετερώνει συγκεκριμένα μοντέλα επίθεσης. Επίσης σε κάποιες περιπτώσεις τα WAF ενεργούν και ως «πληρεξούσιοι» (proxy) στην παροχή επιπρόσθετου τοίχου (firewall) προστασίας. Β) Καλό επίσης είναι να βρούμε τρόπους ανάλυσης της ποσότητας των δεδομένων που εισέρχονται στο τερματικό του χρήστη. Καθώς είπαμε όταν αναλύσαμε τον ιό DDoS, η παράλυση του συστήματος συμβαίνει λόγω αυξημένης υποβολής “αιτημάτων”. Το WAF μπορεί να χρησιμοποιήσει τις τεράστιες δυνατότητες που προσφέρονται στο Cloud,να αυξομειώσει αυτήν την ποσότητα που προσβάλλει το σύστημα και να την επιβραδύνει σε τέτοιο σημείο, που τελικά να την σταματήσει. C) Η εξουδετέρωση μιας DDoS επίθεσης από το WAF είναι πολύ δύσκολο να επιτευχθεί.Για να έχει πιθανότητες επιτυχίας θα πρέπει να υπάρχουν πολλές πληροφορίες (intelligence) για τον ιό πριν ακόμα αρχίσει η επίθεσή του, όπως για παράδειγμα διαχωρισμός των διευθύνσεων από όπου προέρχονται τα μηνύματα σε “καλές” και “κακές”, έτσι ώστε το WAF να κάνει τις ανάλογες επιλογές και να αποκλείει ό,τι μπορεί να βλάψει τον χρήστη. D) Επίσης οι προγραμματιστές μπορούν μόνοι τους να προσθέσουν στον προγραμματισμό τους ανώτατο όριο «αιτημάτων» (rate limit). Στο διαδίκτυο rate limit χρησιμοποιούνται για να περιορίσουν τα «αιτήματα» rate of requests που λαμβάνει ο νόμιμος χρήστης και να αποτρέψουν επιθέσεις σε στυλ DDoS. E) H χρήση τέλος του λογισμικού CAPTCHA χρησιμοποιείται ως μέσο κυβερνοασφάλειας με την «ερώτηση-απάντηση», η οποία κάνει την διαφοροποίηση μεταξύ ανθρώπου και ρομπότ και με αυτόν τον τρόπο αποτρέπει χάκερς να χρησιμοποιούν νόμιμα «αιτήματα» χρηστών για να εισάγουν malicious code στο τερματικό του νόμιμου χρήστη. Τα παραπάνω συμπεράσματα και μέτρα προστασίας δεν εξαντλούν ούτε τις επιθέσεις του DDoS ούτε τα αντίμετρα που μπορούν να προστατέψουν νόμιμα δεδομένα και τερματικούς σταθμούς. Ο λόγος είναι ότι οι επιθέσεις αυτές γίνονται είτε από χάκερς, που ρίχνουν το ηλεκτρονικό τους δηλητήριο για κερδοσκοπικούς λόγους, είτε χρησιμοποιούνται από states (κρατη) καλυπτόμενα από καθεστώς ανωνυμίας, όπως η Τουρκία, που χρησιμοποιούν τρίτα πρόσωπα (state-actors) για να κάνουν κυβερνοπόλεμο (cyber warfare) όπως οι πρόσφατες DDoS επιθέσεις εναντίον της Ελλάδας.

Αυτό που θέλω να τονίσω ως επίλογο είναι ότι η υπόθεση επιθέσεων, είτε από κυβερνήσεις είτε από μεμονωμένα άτομα, ΔΕΝ είναι το τι δεδομένα πήραν, έκλεψαν, δημοσίευσαν ή πούλησαν. Η ουσία είναι ότι μπόρεσαν και διάσπασαν τις ασφαλιστικές δικλείδες των ηλεκτρονικών συστημάτων υπουργείων που ασχολούνται με την ασφάλεια και την εξωτερική πολιτική της χώρας και οργανισμών που ασχολούνται με την οικονομική ασφάλεια της χώρας. Είμαι τελείως αντίθετος, καθετα και οριζοντια, στις αρχικές «καθησυχαστικές» μα τελείως ανεύθυνες δηλώσεις «ειδικών», γιατί δίνουν εσφαλμένες εντυπώσεις και παραλείπουν να αναφέρουν σημαντικά κενά. Όπως, για παράδειγμα, η συνεχής, και χωρίς εκπτώσεις παρακολούθηση των policies AND systems κυβερνοασφάλειας, στοιχείων(resources) και προπαντός εκπαίδευσης επαγγελματικού προσωπικού της χώρας. Όλες αυτές οι κατευθυντήριες γραμμές έχουν σκοπό την δημιουργία ενός πραγματικού προγράμματος, με πολιτικές που αποβλέπουν στη προάσπιση, υπεράσπιση και ανανέωση γνώσεων, τεχνικών και μεθόδων cyberattacks και counter-cyberattacks στα ηλεκτρονικά μέσα που χρησιμοποιούνται για την ασφάλεια της χώρας. Το Υπουργείο Άμυνας κάνει την πιο καλή δουλειά, αλλά είναι μόνο για συστήματα ασφαλείας οπλικών συστημάτων. Ξεφεύγει της αποστολής του όταν προσπαθεί να διασφαλίσει συστήματα τραπεζών, υπουργείων και υπηρεσιών, ή την προστασία αστυνομικών υπηρεσιών που ασχολούνται με την προστασία της χώρας. Ας ελπίσουμε ότι οι ειδήμονες ήδη άρχισαν μια εκ βαθέων έρευνα ανάλυσης/διόρθωσης/εφαρμογής/εξέτασης αποτελεσμάτων/ για την όσο κατά το δυνατόν μεγαλύτερη ηλεκτρονική προστασία της χώρας.

Μοιραστείτε αυτό το άρθρο Facebook Twitter LinkedIn Email Pinterest
booksandtoys

Δείτε επίσης