28.1 C
Athens
Τετάρτη, 10 Αυγούστου, 2022
ΑΠΟΨΕΙΣ ΑΝΑΓΝΩΣΤΩΝΤα διδάγματα της κοινωνικής μηχανικής ως μέσο διεξαγωγής πολέμου στον 21ο αιώνα...

Τα διδάγματα της κοινωνικής μηχανικής ως μέσο διεξαγωγής πολέμου στον 21ο αιώνα και τι πρέπει να γνωρίζουμε

- Advertisement -

Ο όρος “κοινωνική μηχανική” διατυπώθηκε για πρώτη φορά από τον Αμερικανό χάκερ Κέβιν Ντέιβιντ Μίτνικ, που πέτυχε να εισβάλει σε πολλά τηλεπικοινωνιακά δίκτυα, κλέβοντας δεδομένα από αυτά.

Η κοινωνική μηχανική στηρίζεται κυρίως στην ανθρώπινη περιέργεια, την απληστία, την έπαρση και την άγνοια. Αυτά τα ανθρώπινα “ελαττώματα”, επιτρέπουν την απόσπαση πολύτιμων πληροφοριών από επιτήδειους που γνωρίζουν πως να τους χειραγωγήσουν. Κοινώς, είναι μια κλασική τακτική κυβερνοεγκλήματος.

Για αυτό το λόγο, αρχίζει να επικρατεί η τάση απομάκρυνσης του ανθρώπινου παράγοντα από το cybersecurity, στο μέτρο βεβαίως που είναι αυτό δυνατό, και της αντικατάστασης με λογισμικά τεχνητής νοημοσύνης.

Η κοινωνική μηχανική ως όπλο στον 21ο αιώνα

Το χάκινγκ, η διαρροή πληροφοριών, ακόμη και η χρήση “τρολς”, χρησιμοποιούνται ήδη ως όπλο, με πιο χαρακτηριστικό παράδειγμα τη ρωσική επίθεση, στις αμερικανικές εκλογές του 2016, σε μια προσπάθεια επηρεασμού τους.

Σύμφωνα με τον Bill Gardner, του Marshall University, αυτές οι τακτικές έχουν ονομαστεί “τα όπλα του geek” από ορισμένους ερευνητές. Χρησιμοποιώντας χάκερ και ρωσικό κακόβουλο λογισμικό για να εισέλθει στα email της Εθνικής Επιτροπής του Δημοκρατικού Κόμματος (της Χίλαρι Κλίντον), προώθησαν στοιχεία στα WikiLeaks, για να τα δημοσιεύσει στο διαδίκτυο, σε μια απόπειρα επηρεασμού της κοινής γνώμης υπέρ του προτιμώμενου από το Κρεμλίνο υποψηφίου, δηλαδή του Ντόναλντ Τραμπ.

Οι κύριοι άξονες μιας επίθεσης μέσω κοινωνικής μηχανικής (spiceworks.com)

Το ζήτημα του κατά πόσο επηρεάστηκε η κοινή γνώμη υπέρ του Τραμπ, παραμένει αμφιλεγόμενο μέχρι τις μέρες μας. Το μόνο σίγουρο είναι πως συνέβη και θα συνεχίσει να συμβαίνει, στα πλαίσια αυτό που ονομάζεται είτε υβριδικός, είτε μη γραμμικός πόλεμος.

Γενικά, οι επιθέσεις κοινωνικής μηχανικής έχουν ως σκοπό την υπονόμευση μια επιχείρησης, ή ακόμη και μιας κρατικής οντότητας (πχ επίθεση κατά υποδομών, επηρεασμό κοινής γνώμης κτλ) που θα προκαλέσει ζημιές, κυρίως μέσω υποκλοπής πολύτιμων και κρίσιμων δεδομένων, ή ακόμη και φθοράς αυτών, οδηγώντας σε ζημιές που δύσκολα επιδιορθώνονται. Ακόμη και ο επηρεασμός της κοινής γνώμης, μπορεί να προκαλέσει αμφιβολίες πως τους θεσμούς ενός κράτους.

Ο κύκλος της επιτυχούς χρήσης της κοινωνικής μηχανικής, ακολουθεί ένα μοτίβο. Έρευνα ευάλωτων στόχων, “ψάρεμα”, χειρισμός τους, και έξοδος αφού ο στόχος έχει επιτευχθεί.

spiceworks.com

Η κοινωνική μηχανική στον τομέα της εθνικής ασφάλειας

Όπως προαναφέρθηκε, μεγάλο ρόλο στην επιτυχία μιας τέτοια επιχείρησης, παίζει ο ανθρώπινος παράγοντας και τα “ελαττώματά” του. Δεν είναι λίγες οι φορές που κάποιοι που κατέχουν κρίσιμες θέσεις, για παράδειγμα στις Ένοπλες Δυνάμεις, θα αποκαλύψουν άθελά τους κρίσιμες πληροφορίες, κυρίως εξαιτίας άγνοιας κινδύνου. Ένα (φανταστικό) σενάριο, είναι κάποιος αξιωματικός, στα πλαίσια μιας αθώας κατά τα άλλα συζήτησης, να αποκαλύψει πως η υπηρεσία του, χρησιμοποιεί Windows XP, με δωρεάν λογισμικό antivirus. Ο κακόβουλος συνομιλητής, θα αποκτήσει την κρίσιμη πληροφορία ενός σοβαρού κενού ασφαλείας, το οποίο μπορεί εύκολα να εκμεταλλευτεί.

Spear phising

Το πρόβλημα βεβαίως δεν είναι τόσο απλό. Μια εχθρική επιχείρηση κοινωνικής μηχανικής, θα φτάσει ακόμη και στο σημείο να ερευνήσει τη δραστηριότητα ατόμων στα κοινωνικά δίκτυα, να εντοπίσει μοτίβα, πληροφορίες, όπως για παράδειγμα τοποθεσίες, ακόμη και δεδομένα “προσωπικής” φύσεως, που θα χρησιμοποιήσει ως μοχλό, είτε αφανώς, είτε ακόμη και εκβιαστικά, για να αποσπάσει πληροφορίες. Δεν είναι λίγες οι φορές που έχουμε γράψει πως τα στελέχη των Ενόπλων Δυνάμεων, θα πρέπει να προσέχουν ιδιαιτέρως τι μοιράζονται δημόσια, αλλά και “προσωπικά” με γνωστούς ή αγνώστους στα κοινωνικά δίκτυα. Ακόμη και οι μεταθέσεις για παράδειγμα, ή τα “check-in” σε διάφορες τοποθεσίες, που θα κάνει ένα στέλεχος, μπορεί να αποκαλύψουν λεπτομέρειες για ασκήσεις, ή ακόμη και για τοποθετήσεις σε νευραλγικές θέσεις. Επί παραδείγματι, η “αθώα” πληροφορία πως “ο τάδε αισθάνεται ευτυχισμένος στην τοποθεσία τάδε“, μπορεί να αποκαλύψει κρίσιμα μυστικά. Η άντληση πληροφοριών από μεμονωμένα άτομα, ονομάζεται spear phising.

Συνοπτικά, άλλες μέθοδοι υποκλοπής πληροφοριών μέσω κοινωνικής μηχανικής, που αφορούν και την εθνική ασφάλεια, περιλαμβάνουν:

Τη χρήση ενός “δολώματος”, για παράδειγμα ενός μολυσμένου με κακόβουλο λογισμό USB stick, που το θύμα θα βάλει στον υπολογιστή του.

Phising, δηλαδή email με λινκς που παραπέμπουν σε ιστότοπους με σκοπό την υποκλοπή κωδικών και άλλων πληροφοριών. Παρόμοια email μπορεί να περιέχουν “αθώα” αρχεία, όπως για παράδειγμα ένα απλό excel, μολυσμένο με λογισμικό υποκλοπής στοιχείων, ή αχρήστευσης του υπολογιστή.

Vishing, δηλαδή την υποκλοπή πληροφοριών μέσω προφορικής συνομιλίας, για παράδειγμα μέσω τηλεφώνου. Πχ, ένα αθώο “λάθος” τηλέφωνο σε κάποιον που βρίσκεται σε νευραλγική θέση, που θα απαντήσει πως λέγεται, σε ποια περιοχή μένει, ίσως και που δουλεύει ακριβώς.

Η εξαιρετικά επικίνδυνη μέθοδος του Scareware. Ο θύτης θα εκβιάσει το θύμα να αποκαλύψει ευαίσθητες πληροφορίες, υποστηρίζοντας πως έχει μολύνει τον υπολογιστή του. Μια άλλη επικίνδυνη μέθοδος, είναι ο θύτης να έχει αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα, όπως φωτογραφίες και βίντεο σε προσωπικές στιγμές, γνώση για τις σεξουαλικές συνήθειες ή προτιμήσεις ενός ατόμου κτλ. Ο εκβιαζόμενος, υπό τον φόβο δημοσιοποίησης αυτών των προσωπικών δεδομένων, συχνά θα επιλέξει να “συνεργαστεί” με τον εκβιαστή.

Honey trap, δηλαδή η επιστράτευση ενός ευπαρουσίαστου προσώπου, που θα παγιδεύσει κάποιον/α που μπορεί να είναι παντρεμένος/η, εκβιάζοντας για πληροφορίες προκειμένου να μην το αποκαλύψει.

Το Whaling είναι η στοχοποίηση υψηλόβαθμων αξιωματούχων, με τις προαναφερθείσες μεθόδους.

Παραδείγματα επιτυχούς επιχείρησης κοινωνικής μηχανικής

Το πιο γνωστό παράδειγμα είναι η χρήση του κακόβουλου λογισμικού Stuxnet, που προκάλεσε σοβαρές ζημιές στο πυρηνικό πρόγραμμα του Ιράν το 2009-10 και φέρεται να αναπτύχθηκε από κοινού από το Ισραήλ και τις Ηνωμένες Πολιτείες. Το δίκτυο υπολογιστών του πυρηνικού προγράμματος, δεν ήταν συνδεδεμένο στο διαδίκτυο για προφανείς λόγους. Εικάζεται πως κατά την επιχείρηση, άγνωστα άτομα προσέγγισαν έναν Ιρανό επιστήμονα που εργαζόταν στο πρόγραμμα και πέτυχαν να μολύνουν το λάπτοπ του. Κατόπιν, ο επιστήμονας, όταν επέστρεψε στην εργασία του, συνέδεσε όπως συνήθιζε τον υπολογιστή του με το δίκτυο, προκαλώντας μεγάλες ζημιές στις φυγόκεντρους των εγκαταστάσεων.

Ένα λιγότερο γνωστό παράδειγμα έλαβε χώρα το 2013, όταν Σύριοι χάκερ του καθεστώτος Άσαντ, πέτυχαν μέσω αληθοφανούς email που στάλθηκε σε δεκάδες υπαλλήλους του Associated Press, να εγκαταστήσουν κακόβουλο λογισμικό και να αποκτήσουν πρόσβαση στον επίσημο λογαριασμό Twitter του πρακτορείου. Μπόρεσαν να δημοσιεύσουν ένα tweet, που ανέφερε πως δήθεν σημειώθηκαν δυο εκρήξεις στον Λευκό Οίκο και ο τότε πρόεδρος Μπάρακ Ομπάμα τραυματίστηκε. Ως αποτέλεσμα, μέσα σε πέντε λεπτά, ο δείκτης Dow Jones, υποχώρησε κατά 150 μονάδες.

Γίνεται σαφές από τα ανωτέρω, πως η κοινωνική μηχανική είναι ένα πολύτιμο εργαλείο υβριδικού πολέμου, με απτά παραδείγματα επιτυχίας.

Η αντιμετώπιση τέτοιον απειλών, ξεκινά από την ενδελεχή ενημέρωση του προσωπικού. Συχνοί έλεγχοι για κακόβουλο λογισμικό και χρήση ενημερωμένων antivirus και antimalware προγραμμάτων, θα πρέπει να θεωρείται δεδομένη. Ομοίως, οι κωδικοί θα πρέπει να διαθέτουν τουλάχιστον 16 χαρακτήρες (γράμματα, αριθμούς σύμβολα) και να αλλάζονται σε τακτικά διαστήματα. Τα υπολογιστικά δίκτυα θα πρέπει να ελέγχονται τακτικά από εμπειρογνώμονες, για τυχόν κενά ασφαλείας και κακόβουλο λογισμικό. Θα πρέπει να αποφεύγεται η σύνδεση υπολογιστών με κρίσιμα δεδομένα στο διαδίκτυο. Δεν είναι λίγες οι περιπτώσεις που στελέχη, χρησιμοποιούν υπηρεσιακούς υπολογιστές για να συνδέονται στα κοινωνικά δίκτυα. Οπωσδήποτε χρήση μεθόδου επαλήθευσης μέσω δυο παραγόντων. Για παράδειγμα, ισχυρός κωδικός και επιβεβαίωση σύνδεσης μέσω SMS, ή ανάλογου τρόπου. Σε καμία περίπτωση να μη γίνονται συζητήσεις που αφορούν ευαίσθητες υπηρεσιακές πληροφορίες με γνωστούς και φίλους. Ο κανόνας είναι πως “μυστικό που το ξέρουν δυο, δεν είναι μυστικό”. Τέλος, μεγάλη προσοχή στα δεδομένα που μοιραζόμαστε στο διαδίκτυο και κυρίως στα κοινωνικά δίκτυα.

Η διαφύλαξη απόρρητων μυστικών, ξεκινά από την προσωπική πειθαρχεία σε θέματα συμπεριφοράς στον εικονικό και ψηφιακό κόσμο, ειδικά στις πληροφορίες που μοιραζόμαστε και καταλήγει σε αυστηρά μέτρα προφύλαξης των πληροφοριών που διακινούνται στα ανώτατα κλιμάκια της διοίκησης.

 

 

Τα άρθρα που δημοσιεύονται στο ptisidiastima.com εκφράζουν τους συντάκτες τους
κι όχι απαραίτητα τον ιστότοπο. Απαγορεύεται η αναδημοσίευση χωρίς γραπτή
έγκριση. Σε αντίθετη περίπτωση θα λαμβάνονται νομικά μέτρα. Ο ιστότοπος
διατηρεί το δικαίωμα ελέγχου των σχολίων, τα οποία εκφράζουν μόνο το συγγραφέα
τους.

- Advertisement -
- Advertisement -

7 ΣΧΟΛΙΑ

Subscribe
Notify of
7 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
- Advertisement -

Το Σχόλιο της Ημέρας

Γιατί το Πολεμικό Ναυτικό απέρριψε τις 2 αυστραλιανές φρεγάτες Adelaide; Παρότι τις είχαμε ανάγκη;

Σήμερα, μετά από προτροπή αναγνωστών μας, ανοίγουμε ένα θέμα που ποτέ δεν "έκλεισε" για εμάς. Το θέμα της μη αγοράς των 2 εκσυγχρονισμένων φρεγατών...

Το τεύχος μας που κυκλοφορεί

- Advertisement -

Κύριο Άρθρο

ΑΝΑΛΥΣΗ: To Αμερικανικό Ναυτικό κάνει τα ελικοπτεροφόρα του μίνι-αεροπλανοφόρα με F-35B

40
Των Φαίδωνα Γ. Καραϊωσιφίδη και Brian Schofield - aerospace & defense analystH STOVL έκδοση του JSF αποτελεί ένα τεράστιο άλμα για τη Ναυτική Αεροπορία...
- Advertisement -
- Advertisement -

Σαν σήμερα

ΣΑΝ ΣΗΜΕΡΑ – 9 Αυγούστου 1945: Δεύτερος ατομικός βομβαρδισμός στο Ναγκασάκι

0
Η αμερικανική αεροπορία βομβαρδίζει το Ναγκασάκι, έδρα της βαριάς βιομηχανίας Mitsubishi με τη δεύτερη ατομική βόμβα, τον "χοντρό" (“Fat Man”).Ο πρώτος ατομικός βομβαρδισμός είχε...
- Advertisement -
Card image

July #026 ΠΤΗΣΗ 2022

Αγορά 4.49
- Advertisement -
Card image

June #025 ΠΤΗΣΗ 2022

Αγορά 4.49

Related News

ΕΕ: Χίλιοι Ουκρανοί ασθενείς και τραυματίες περιθάλπονται στην Ευρώπη

Η ΕΕ έχει συντονίσει με επιτυχία τη μεταφορά 1.000 Ουκρανών ασθενών μέσω του Μηχανισμού Πολιτικής Προστασίας της για να τους παρέχει εξειδικευμένη υγειονομική περίθαλψη...

Διακοπές για 600 παιδιά από την Ουκρανία σε ελληνικές κατασκηνώσεις

Περίπου 600 παιδιά από την Ουκρανία θα έρθουν στην Ελλάδα για διακοπές και θα φιλοξενηθούν σε κατασκηνώσεις σε όλη τη χώρα, έπειτα από προσφορά...

ΑΝΑΛΥΣΗ: To Αμερικανικό Ναυτικό κάνει τα ελικοπτεροφόρα του μίνι-αεροπλανοφόρα με F-35B

Των Φαίδωνα Γ. Καραϊωσιφίδη και Brian Schofield - aerospace & defense analystH STOVL έκδοση του JSF αποτελεί ένα τεράστιο άλμα για τη Ναυτική Αεροπορία...