Cyborg
Cyborg #09 - 06/2017

#09 - 06/2017

όταν τα όπλα του κυβερνο-πολέμου “χτυπάνε στο ψαχνό”...

Cyborg #09

Μία κατά τα άλλα συνηθισμένη Παρασκευή, η καθημερινή λειτουργία δημόσιων και ιδιωτικών υπηρεσιών ανά τον κόσμο διακόπτεται απρόοπτα. Η εθνική υπηρεσία υγείας της Βρετανίας  ενημερώνει τους ασθενείς να μην επισκέπτονται τα τοπικά νοσοκομεία, εκτός εάν πρόκειται για κάποιο επείγον περιστατικό. Τα ασθενοφόρα βρίσκονται σε σύγχυση. Προγραμματισμένες εγχειρήσεις και χημειοθεραπείες ακυρώνονται. Στην Ρωσία τα τηλεφωνικά κέντρα και ορισμένα σημεία πωλήσεων μίας από της μεγαλύτερες εταιρίες τηλεπικοινωνιών σταματούν να λειτουργούν για αρκετές ώρες. Σε διάφορες περιοχές της Ρωσίας, η αστυνομία αδυνατεί να εκδώσει διπλώματα οδήγησης. Σε σταθμούς της δημόσιας επιχείρησης σιδηροδρόμων στην Φρανκφούρτη, στις φωτεινές οθόνες, οι πληροφορίες των δρομολογίων επικαλύπτονται από ένα περίεργο μήνυμα.

Για το γενικό χάος ευθύνεται ένας κυβερνο-ιός, ο οποίος μέσα σε 48 ώρες πετυχαίνει να “μολύνει” 200 χιλιάδες μηχανήματα σε 150 χώρες. Δημόσιες υπηρεσίες, εταιρίες τηλεπικοινωνιών και ταχυμεταφορών, εργοστάσια, τράπεζες, υπουργεία, σχολεία, πανεπιστήμια και οικιακοί χρήστες ταχύτατα πέφτουν θύματα της κυβερνο-επίθεσης. Ο ιός κρυπτογραφεί αρχεία που εντοπίζει στα συστήματα που μολύνει και τα κρατάει σε “ομηρία”, ζητώντας λύτρα τα οποία θα πρέπει να καταβληθούν μέσα σε καθορισμένες ώρες, σε ψηφιακό νόμισμα, προκειμένου να παραχωρηθεί το κλειδί αποκρυπτογράφησης και να παραδοθούν ακέραια τα αρχεία. Οι κυβερνο-εγκληματίες απειλούν ότι εάν παρέλθει η προθεσμία για την καταβολή των λύτρων, το τίμημα θα αυξηθεί και στην συνέχεια τα αρχεία δεν θα είναι ανακτήσιμα.

Κρατικές υπηρεσίες δημόσιας ασφάλειας και εταιρίες υπηρεσιών κυβερνο-ασφάλειας έχουν βάλει τους υπαλλήλους τους να δουλεύουν πυρετωδώς για την αντιμετώπιση του ιού, ο οποίος έχει γίνει ήδη πρώτο θέμα σε διεθνή και τοπική ειδησεογραφία. Την ίδια στιγμή, ένας μοναχικός ερευνητής ανακαλύπτει ότι ο ιός προσπαθεί να επικοινωνήσει με μία μη καταχωρημένη διαδικτυακή  διεύθυνση. Καταχωρώντας την διεύθυνση αυτή, ο νεαρός ερευνητής γίνεται κατά λάθος ήρωας, καθώς διαπιστώνει ότι η διεύθυνση λειτουργεί σαν ένας διακόπτης διαφυγής που ανακόπτει για κάποιο διάστημα την επέλαση της κυβερνο-απειλής. Σύντομα, στην ιστορία φαίνεται ότι εμπλέκεται μία συλλογικότητα χάκερς που γράφει τα δημόσια κείμενά της, μάλλον για λόγους στιλ, σε επιτηδευμένα σπαστά αγγλικά. Οι χάκερς έχουν δημοσιοποιήσει – αφού προηγουμένως δοκίμασαν να δημοπρατήσουν στο δίκτυο - μία ευπάθεια λογισμικού πάνω στην οποία στηρίχτηκε η εξάπλωση του κυβερνο-ιού. Σύμφωνα με ισχυρισμούς των ίδιων των χάκερς, αλλά και επίσημων πηγών, έκλεψαν την ευπάθεια αυτή από αμερικανικές μυστικές υπηρεσίες που την χρησιμοποιούσαν για τους δικούς τους σκοπούς.

Σίγουρα θα έχετε πληροφορηθεί αυτά τα νέα, επομένως θα γνωρίζετε ότι δεν πρόκειται για ένα σενάριο που μιμείται κάποιο κυβερνοπάνκ μυθιστόρημα του Γουίλιαμ Γκίμπσον, αλλά για την ιστορία του ιού WannaCrypt ή αλλιώς WannaCry που έγινε πρώτο θέμα στα μήντια παγκοσμίως από τις 12 Μαΐου του 2017 και για μερικές ημέρες. Ο ιός δημιούργησε έναν γενικό πανικό σε κρατικούς οργανισμούς, ιδιωτικές επιχειρήσεις και σε πολίτες σχεδόν σε όλο τον πλανήτη.

Ο λόγος που προκλήθηκε αυτός ο πανικός είναι ότι, χωρίς προειδοποίηση, υπήρξε μία ανεξέλεγκτη διατάραξη σε κάποιες προγραμματισμένες καθημερινές δραστηριότητες και ότι τελικά -λόγω της προσβολής από τον ιό – πολλοί αναγκάστηκαν να χάσουν τα αρχεία τους ή και να πληρώσουν λύτρα. Πρόκειται λοιπόν για μία φανερή επίθεση ενός κυβερνο-όπλου που δημιούργησε σε κάποιες περιπτώσεις σοβαρά προβλήματα σε αθώους πολίτες. Η ιστορία όμως του WannaCrypt θα πρέπει να μας υπενθυμίζει με έντονο τρόπο, ορισμένα πράγματα που ήδη θα έπρεπε να γνωρίζουμε όσο κυκλοφορούμε στον δικτυακό και τον πραγματικό κόσμο.
Ας πάρουμε τα πράγματα με την σειρά.

WannaCrypt

Ένα ransomware είναι ένα “κακόβουλο” λογισμικό που έχει ως στόχο του να ζητήσει λύτρα από τα θύματά του. Ο ιός WannaCrypt είναι ένα ransomware, που θα μπορούσαμε να πούμε ότι αποτελείται από δύο βασικά κομμάτια. Το ένα από αυτά είναι ένα exploit – δηλαδή ένα πρόγραμμα που εκμεταλλεύεται κάποιο κενό ασφαλείας ή ελάττωμα του λογισμικού στο οποίο επιτίθεται, αποκτώντας έτσι πρόσβαση σε πόρους του συστήματος ή πληροφορίες. Το δεύτερο κομμάτι του ιού είναι ένα πρόγραμμα κρυπτογράφησης που εγκαθίσταται σε ένα υπολογιστικό σύστημα αφού αυτό μολυνθεί.

Η διαφορά του συγκεκριμένου ransomware από τα περισσότερα αντίστοιχα προγράμματα που εφαρμόζουν κρυπτογράφηση, βρίσκεται στην χρήση ενός exploit που αφορά μία ευπάθεια στο πρωτόκολλο SMB (Server Message Block). Το SMB κυρίως χρησιμοποιείται για να δίνει κοινόχρηστη πρόσβαση σε αρχεία, εκτυπωτές και διάφορους τρόπους επικοινωνίας μεταξύ των υπολογιστικών συστημάτων που είναι συνδεδεμένα σε ένα δίκτυο. Εκμεταλλευόμενος αυτή την ευπάθεια, ο ιός WannaCrypt μπορεί να μολύνει μηχανήματα με ανοικτές θύρες SMB, αποκτώντας απομακρυσμένη πρόσβαση και εγκαθιστώντας το πρόγραμμα κρυπτογράφησης, χωρίς να χρειάζεται κάποια ενέργεια από τον χρήστη του υπολογιστή που δέχεται την επίθεση. Αυτό το χαρακτηριστικό του WannaCrypt, οδήγησε στην ταχύτατη διάδοσή του στα λειτουργικά συστήματα windows που έχουν αυτή την ευπάθεια.

Σε διαφορετική περίπτωση, για να μολυνθεί ένας υπολογιστής, ο χρήστης του πρέπει να κάνει κάποιο “λάθος”, όπως να κατεβάσει ένα συνημμένο αρχείο από κάποιο “κακόβουλο” e-mail ή να επισκεφθεί κάποιο ύποπτο link και έτσι να οδηγηθεί στην λήψη λογισμικού που έχει ως σκοπό να προσβάλει τον υπολογιστή. Παρόλο που ο ιός WannaCrypt έχει την δυνατότητα να μεταδίδεται χωρίς να χρειάζεται ένα τέτοιο “λάθος”, είναι δυνατόν να μολύνει ένα μηχάνημα επίσης με αυτόν τον τρόπο, δηλαδή μπορεί να εγκατασταθεί από κάποια ενέργεια του χρήστη, ακόμα και εάν δεν υπάρχει η ευπάθεια του πρωτοκόλλου SMB.  

Ο ιός WannaCrypt λειτουργεί επίσης σαν worm - “υπολογιστικό σκουλήκι” θα μπορούσαμε να μεταφράσουμε - που σημαίνει ότι αφού χακάρει επιτυχώς έναν υπολογιστή, δοκιμάζει να επεκταθεί και σε άλλους ευάλωτους υπολογιστές που είναι συνδεδεμένοι στο ίδιο τοπικό δίκτυο, ελέγχοντας εάν υπάρχει σε αυτούς ανοικτή η θύρα SMB. Αυτός είναι ο λόγος που προκλήθηκαν σημαντικές ζημιές, κυρίως σε μεγάλες επιχειρήσεις και οργανισμούς.
Η ευπάθεια του πρωτοκόλλου SMB, που φάνηκε τόσο χρήσιμη για την γρήγορη διάδοση του ιού, έγινε γνωστή, μήνες πριν την εμφάνιση του WannaCrypt, ως το EternalBlue exploit που δημοσιοποιήθηκε από μία ομάδα χάκερς ή ίσως μία/έναν χάκερ με το όνομα the shadow brokers.

Cyborg #09

the shadow brokers

Τον Αύγουστο του 2016 οι άγνωστοι ως τότε shadow brokers υποστήριξαν ότι χάκαραν το equation group, μία ομάδα κυβερνο-επιθέσεων που φέρεται ότι συνδέεται με την NSA (την υπηρεσία εθνικής ασφάλειας των ηπα). Οι shadow brokers ξεκίνησαν μία δημοπρασία για τα καλύτερα κυβερνο-όπλα που, όπως δήλωναν, έκλεψαν από την NSA, ζητώντας αρχικά ένα εκατομμύριο στο ψηφιακό νόμισμα bitcoin (περίπου 568 εκατομμύρια δολάρια). Η δημοπρασία δεν ευδοκίμησε και μερικούς μήνες μετά την αποτυχία, οι shadow brokers, δοκίμασαν να βγάλουν τα εργαλεία του κυβερνο-οπλοστασίου σε απευθείας πώληση -ένα προς ένα- σε κάποιο underground website, ρίχνοντας τις τιμές: κάθε εργαλείο στοίχιζε από 1 έως 100 bitcoins (δηλαδή από 780 έως 78 χιλιάδες δολάρια).

[...]

...η συνέχεια στο έντυπο τεύχος του Cyborg.
[ σημεία διακίνησης ]

Shelley Dee

κορυφή