Παγίδες κυβερνοασφάλειας σε λογισμικό ανοικτού κώδικα

Μια πτυχή των παγίδων που προκύπτουν για την ασφάλεια εμπορικών μυστικών και προσωπικών δεδομένων μέσα από «τρύπες» στο λογισμικό, αναδείχθηκαν στην εκδήλωση του ISACA Cyprus Chapter, την περασμένη Τετάρτη, 27 Οκτωβρίου 2021, στο Κτήριο Διοίκησης της Ελληνικής Τράπεζας στη Λευκωσία. Στην ίδια εκδήλωση, το ISACΑ Κύπρου απένειμε βραβεία σε πέντε Κύπριους φοιτητές που διέπρεψαν στον τομέα της πληροφορικής στη χώρα μας και διεθνώς.

Η «Σημερινή» ήταν παρούσα στην εκδήλωση και συνομίλησε με αξιωματούχους του Κυπριακού Ινστιτούτου Ελέγχου Συστημάτων Πληροφορικής για τις σύγχρονες προκλήσεις κυβερνοασφάλειας, αλλά και τις δυνατότητες ενίσχυσης της κυβερνοανθεκτικότητας του Κυπριακού Κράτους, στο πνεύμα της κυπριακής «Στρατηγικής Κυβερνοασφάλειας 2020».

Τρύπες σε «κομματάκια» ανοικτού κώδικα

Ο κύριος ομιλητής στην εκδήλωση του ISACA Κύπρου ήταν ο Γαλλο-Κύπριος ειδικός σε θέματα κυβερνοασφάλειας, Pierre Jourdan, με σπουδές στο Πανεπιστήμιο της Λιόν στη Γαλλία και στο Πανεπιστήμιο UCLan στη Λάρνακα. Διαθέτει μακρά εμπειρία στον τομέα Τεχνολογίας Πληροφοριών & Επικοινωνίας και τα τελευταία χρόνια εργάζεται στο τεχνικό τμήμα πολυεθνικής εταιρείας με γραφεία στην Κύπρο.

Ο Jourdan έδωσε με πολλές τεχνικές λεπτομέρειες ένα πραγματικό παράδειγμα τού πώς ο ίδιος χάκαρε το λογισμικό ενός συστήματος τηλεφωνίας, υπογραμμίζοντας έτσι τους δυνητικούς κινδύνους για τις εταιρείες και τους οργανισμούς που κάνουν χρήση παρόμοιων ψηφιακών προϊόντων. Ο τίτλος της παρουσίασής του, που έγινε στα αγγλικά, ήταν «Bug hunting and vulnerability searching in open source software».

«Για μένα είναι ένα πάθος η κυβερνοασφάλεια», ανέφερε χαρακτηριστικά ο κ. Jourdan μετά το πέρας της εκδήλωσης. Όπως εξήγησε στη «Σημερινή», το λογισμικό ανοικτού κώδικα (open source software) είναι διαθέσιμο στον καθένα, όμως δεν αντιλαμβάνονται όλοι πως μπορεί να το συνοδεύουν και κίνδυνοι: «Πολλοί άνθρωποι το χρησιμοποιούν και δεν ψάχνουν λίγο παραπάνω για το πώς δημιουργείται. Και μιλώ για open source software που χρησιμοποιούν και επαγγελματίες, αλλά και ένας απλός ιδιώτης χρήστης».

Ο κ. Jourdan εστίασε την παρουσίασή του στις τρωτότητες που υπάρχουν στα συστήματα τηλεφωνίας που χρησιμοποιούν εταιρείες, οργανισμοί και μη-κυβερνητικές οργανώσεις. Η χρήση αυτού του λογισμικού γίνεται ως επί το πλείστον από επαγγελματίες. Όπως εξήγησε: «Συνήθως προτιμούν λογισμικό ανοικτού κώδικα, διότι είναι δωρεάν ή διότι μπορείς να συνεισφέρεις ή να το προσαρμόσεις. Το πρόβλημα είναι πως όσο περισσότεροι άνθρωποι το αγγίζουν και δεν υπάρχει ένας κεντρικός επόπτης, τότε με αυτόν τον τρόπο μπορούν πολλοί να προσθέσουν ένα κομματάκι από κώδικα και αυτά τα κομματάκια κώδικα με την πάροδο του χρόνου, χωρίς την κατάλληλη συντήρηση, μπορούν να εξελιχθούν σε τρωτά σημεία που κανείς δεν μπορεί να φροντίσει».

Μια τέτοια εξέλιξη αποτρέπει από το υπάρχει συστηματικός έλεγχος και αυτός αναπόφευκτα εναπόκειται στους ίδιους που συνεισφέρουν στη δημιουργία του. «Κάποιοι ξέρουν τι κάνουν, κάποιοι άλλοι είναι πρωτάρηδες», είπε ο κ. Jourdan και πρόσθεσε: «Δεν υπάρχει συνολική αξιολόγηση πριν από την κυκλοφορία. Δεν είναι όπως το εμπορικό λογισμικό, για παράδειγμα αυτό της Apple ή της Microsoft, όπου ο προμηθευτής θα εποπτεύσει και θα δοκιμάσει το προϊόν».

Στην παρουσίασή του έφερε επίσης ένα άλλο παράδειγμα λογισμικού τηλεφωνίας, την περίπτωση των «PBX Hacks» τον Νοέμβριο του 2020, που αποκάλυψε η Check Point Research. Εκεί αποκαλύφθηκε ένα ζήτημα, «αυτό που αποκαλούμε “authentication bypass”, δηλαδή κάποιος ανακάλυψε έναν τρόπο να παρακάμψει την επαλήθευση χρήστη και να αποκτήσει πρόσβαση στο administration. Έτσι, έκλεψαν τα credentials των λογαριασμών τηλεπικοινωνίας και μπορούσαν να διενεργήσουν κλήσεις με premium αριθμούς».

Από τις τρωτότητες στο χακάρισμα

Χρησιμοποιώντας την περίπτωση με τις τρωτότητες στα συστήματα τηλεφωνίας που ανέπτυξε στην παρουσίασή του, με τεχνικά παραδείγματα μεθόδων διείσδυσης και ανάλυσης (π.χ. «SQL injections», «Session Initiation Protocol» κ.λπ), ο κ. Jourdan προσπάθησε να επιστήσει την προσοχή σε ένα ζήτημα, το οποίο μπορεί να γενικευτεί και σε άλλους τομείς:

«Πράγματι αυτό το θέμα επηρεάζει όλα τα λογισμικά που βασίζονται σε ανοιχτό κώδικα. Εστίασα βασικά στο front-end, που ήταν μια διαδικτυακή εφαρμογή, όπου διαχειρίζεσαι το λογισμικό και μπορείς να το ρυθμίσεις. Και προστατεύεται από κωδικό και έχει διάφορα επίπεδα πρόσβασης χρηστών. Καθώς σκαλίζεις τον κώδικα, μπορείς να ψάξεις για ζητήματα ή πράγματα που ξέχασαν οι εκάστοτε προγραμματιστές. Ξέχασαν, ας πούμε, να προστατέψουν την εισαγωγή χρήστη. Αν, για παράδειγμα, ένα κακοπροαίρετο άτομο εντοπίσει τέτοιου τύπου “τρύπες”, μπορεί να τις εκμεταλλευτεί και να θέσει σε κίνδυνο την εταιρεία που το χρησιμοποιεί. Οπότε το ρίσκο είναι ότι παίρνεις τον έλεγχο του διαμετακομιστή τους. Και μετά μπορείς να κλέψεις πληροφορίες από την εταιρεία ή να υποκλέψεις τηλεφωνήματα ή να αντικαταστήσεις τηλεφωνήματα εκ μέρους τους. Με οτιδήποτε μπορεί να σημαίνει αυτό».

Η πιο πάνω περίπτωση δείχνει ότι «αυτό μπορεί να γίνει με κάθε είδους ατελές λογισμικό», τόνισε. «Στην παρουσίαση έδωσα μια μελέτη περίπτωσης των τρωτοτήτων που βρήκα σε βασικά εργαλεία τηλεφωνίας που είναι διαθέσιμα στο διαδίκτυο. Και χωρίς να σκαλίσω για πολλές ώρες βρήκα πράγματι πολλά ζητήματα. Και αυτό ήταν πολύ ανησυχητικό. Και δεν είμαι καν ειδικός σε τέτοιου είδους λογισμικό! Τέτοια προγράμματα χρησιμοποιούνται από πολλές μικρές εταιρείες που δεν έχουν την οικονομική δυνατότητα να αγοράσουν εμπορικό λογισμικό που είναι πιο καλά συντηρημένο. Το πρόβλημα είναι ότι πολλές φορές θα εκθέσουν αυτό το σημείο επαφής στο διαδίκτυο, για να μπορούν, ας πούμε, να έχουν πρόσβαση από το σπίτι. Και τώρα το πρόβλημα είναι πως αν δεν το προστατέψουν καλά και αν δεν το συντηρούν επαρκώς, ή αν δεν ήλεγξαν οι ίδιοι τον κώδικα, μπορεί να έχουν τρωτότητες και να μην το ξέρουν. Και αύριο μπορεί να χακαριστούν!».

Θετικά & αρνητικά ανοικτού κώδικα

Από την άλλη, όπως εξηγεί, τα προγράμματα και οι εφαρμογές ανοικτού κώδικα αποτελούν και εξαιρετικά εργαλεία. Αυτό κρίνεται από την κάθε περίπτωση ξεχωριστά, και συνήθως τα καλύτερα είναι όταν υπάρχει μεγάλη κοινότητα από πίσω που να διασφαλίζει τον καλό έλεγχο. Ένα τέτοιο παράδειγμα είναι τα Linux, των οποίων είναι και ο ίδιος χρήστης.

«Αν υπάρχει καλή συντήρηση, εντάξει, δεν υπάρχει ρίσκο και είμαι πολύ χαρούμενος στο να χρησιμοποιώ τέτοιο λογισμικό. Αν όμως είναι κάτι που έχει μια μικρή μόνο κοινότητα πίσω του ή καθόλου προϋπολογισμό, χωρίς ένα μεγάλο οργανισμό να μεριμνά για τη συντήρησή του, τότε μπορεί να αποτελέσει ρίσκο για την εταιρεία που το χρησιμοποιεί. Και οι άνθρωποι δεν φαίνεται να το αντιλαμβάνονται αυτό», δήλωσε ο κ. Jourdan.

Κυβερνοασφάλεια - Κυβερνοέγκλημα - Κυβερνοπόλεμος

Μιλώντας στη «Σημερινή» ο Διευθυντής Κυβερνητικών Σχέσεων & Πολιτικών Υποθέσεων και μέλος του Δ.Σ. του ISACA Κύπρου, κ. Μιχάλης Σ. Κασίνης, ανέφερε πως «σε παγκόσμιο επίπεδο, η κυβερνοασφάλεια παραμένει μια προτεραιότητα για να αντιμετωπιστεί η αύξηση του κυβερνοεγκλήματος και, σε ορισμένες περιπτώσεις, του κυβερνοπολέμου».

Σύμφωνα με τον κ. Κασίνη, οι παράγοντες που συμβάλλουν στην ανάγκη για βελτίωση της ασφάλειας στον κυβερνοχώρο «περιλαμβάνουν τις πανταχού παρούσες ευρυζωνικές επιχειρήσεις και βιομηχανίες που έχουν ως επίκεντρο την τεχνολογία πληροφοριών και την κοινωνική διαστρωμάτωση δεξιοτήτων στην ασφάλεια πληροφοριών και κυβερνοχώρου. Για τη βελτίωση της κυβερνοασφάλειας, πολλές κυβερνήσεις και θεσμοί αναλαμβάνουν πρωτοβουλίες που κυμαίνονται από καθοδήγηση έως τυποποίηση μέχρι ένα συνολικό νομοθετικό και ρυθμιστικό πλαίσιο».

«Σε όλον τον κόσμο», πρόσθεσε ο κ. Κασίνης, «υπάρχει σημαντική έλλειψη εξειδικευμένων επαγγελματιών κυβερνοασφάλειας, και η Κύπρος δεν αποτελεί εξαίρεση. Η ζήτηση κατά την επόμενη δεκαετία για επαγγελματίες κυβερνοασφάλειας αναμένεται να αυξηθεί. Οι δεξιότητες που απαιτούνται γι’ αυτές τις θέσεις είναι ποικίλες και συνεχίζουν να εξελίσσονται».

«Σε σχέση με το πιο πάνω πρόβλημα, το ISACA κάνει μια ισχυρή δέσμευση για την προληπτική αντιμετώπιση της κρίσης δεξιοτήτων που ενδεχομένως να προκύψει και να προσφέρει στους επαγγελματίες κυβερνοασφάλειας όσα έχει επιτύχει για εποπτεία, έλεγχο και διακυβέρνηση», πρόσθεσε. «Η βράβευση των αρίστων από το ISACA είναι ένα απτό παράδειγμα αυτής της δέσμευσης», τόνισε.

Κυβερνοανθεκτικότητα & Κυπριακή Στρατηγική Κυβερνοασφάλειας 2020

Τον Ιούνιο του 2020 η Αρχή Ψηφιακής Ασφάλειας, που υπάγεται στο Υφυπουργείο Έρευνας, Καινοτομίας & Ψηφιακής Πολιτικής, κυκλοφόρησε το Έγγραφο Πολιτικής με τίτλο: «Στρατηγική Κυβερνοασφάλειας της Κυπριακής Δημοκρατίας 2020: Ασφάλεια Δικτύων και Πληροφοριών και Προστασία Κρίσιμων Υποδομών Πληροφοριών».

Ερωτηθείς από τη «Σημερινή» για το πώς μπορεί το Κυπριακό Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής να συμβάλει στην ενίσχυση της κυπριακής στρατηγικής κυβερνοασφάλειας, ο κ. Κασίνης δήλωσε ότι μπορεί η εν λόγω κοινότητα να παράσχει βοήθεια στο Κράτος να οικοδομήσει τη Στρατηγική Κυβερνοασφάλειας με τους πιο κάτω τρόπους:

1. Υποστήριξη στις προσπάθειες της Κυβέρνησης για την αντιμετώπιση των αναγκών κυβερνοασφάλειας της Κύπρου, δεξιότητες ελέγχου και διακυβέρνησης για επαγγελματίες ασφάλειας, μη-επαγγελματίες αλλά και καταναλωτές.
2. Διανομή αποδεδειγμένης καθοδήγησης σε θέματα διακυβέρνησης πληροφοριών και τεχνολογίας με τον κυπριακό δημόσιο και ιδιωτικό τομέα, με στόχο τη βελτίωση της κυβερνοασφάλειας αρχικά σε οργανωτικό επίπεδο και μετέπειτα σε επίπεδο οικοσυστήματος.
3. Κοιτάζοντας στο μέλλον της κυβερνοασφάλειας, ιδιαίτερα στο πλαίσιο των αναδυόμενων τεχνολογιών, στην αξιολόγηση κινδύνου, στην παροχή συμβουλών, εκπαίδευσης και έρευνας σχετικά με τον τρόπο αύξησης της συνολικής κυβερνοανθεκτικότητας (cyber resilience) της Κύπρου.

Το ISACA, εξήγησε ο κ. Κασίνης, «πιστεύει ότι η βοήθεια στα παραπάνω σημεία θα επιτρέπει στην Κυβέρνηση να προστατεύσει καλύτερα την Κύπρο, συμπεριλαμβανομένων των κρίσιμων υποδομών, όπως επίσης και άλλων υποδομών που μπορεί να καταστούν κρίσιμες στο μέλλον. Η κοινότητα του ISACA στην Κύπρο μπορεί να παρέχει συμβουλές και καθοδήγηση σχετικά με τις τεχνολογικές και άλλες εξελίξεις και να στηρίξει τις προσπάθειες του Κράτους να καταστεί ηγέτης της κυβερνοασφάλειας διεθνώς».

Τέλος, ανέφερε ότι «το ISACA πιστεύει ότι η ανάπτυξη της “Στρατηγικής Κυβερνοασφάλειας της Κυπριακής Δημοκρατίας 2020” αποτελεί άλλο ένα κρίσιμο βήμα στην πορεία της Κυβέρνησης για ενίσχυση της εμπιστοσύνης και της αξίας των πληροφοριακών συστημάτων του ευρύτερου δημόσιου και ιδιωτικού τομέα. Το ISACA παραμένει έτοιμο να προσφέρει το παγκόσμιο δίκτυο έμπειρων και πιστοποιημένων εθελοντών -υποστηριζόμενων από επαγγελματικό προσωπικό- για να βοηθήσει το Κράτος σε όλες τις σχετικές μελλοντικές προσπάθειες, συμπεριλαμβανομένης της συνεργασίας με τα ακαδημαϊκά ιδρύματα της χώρας και τους παρόχους εκπαίδευσης, ούτως ώστε να προσφέρουν τεχνογνωσία κυβερνοασφάλειας, καθώς και των σχετικών πιστοποιήσεων και έρευνας».

ISACA διεθνώς και στην Κύπρο

Το ISACA Cyprus Chapter, μέλος του ISACA International, είναι ένας ανεξάρτητος, μη-κερδοσκοπικός οργανισμός και σκοπός του είναι να βοηθήσει τους επαγγελματίες και τις επιχειρήσεις τους. Το Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής δραστηριοποιείται στην ανάπτυξη, υιοθέτηση και χρήση παγκοσμίως αποδεκτών πρακτικών για πληροφοριακά συστήματα, στην ενημέρωση και στην επαγγελματική εκπαίδευση των μελών του.

Το Κυπριακό Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής (ISACA Cyprus Chapter) είναι ο αρμόδιος φορέας εκπροσώπησης πιστοποιημένων επαγγελματιών ελέγχου πληροφορικής στη χώρα μας.

Σήμερα, το ISACA International εξυπηρετεί περισσότερους από 165.000 επαγγελματίες σε 180+ χώρες, οι οποίοι καλύπτουν ένα ευρύ φάσμα επαγγελματικών θέσεων που σχετίζονται με πληροφοριακά συστήματα, όπως ελεγκτές πληροφορικής, εσωτερικούς ελεγκτές, επαγγελματίες διακυβέρνησης, επαγγελματίες διαχείρισης κινδύνου που απορρέουν από πληροφοριακά συστήματα, συμβούλους και διοικητικά στελέχη οργανισμών.

Στη δική του παρουσίαση, ο Πρόεδρος του ISACA Cyprus Chapter, κ. Δήμος Δήμου, παρουσίασε τις πιστοποιήσεις που παρέχει ο οργανισμός και περιέγραψε τις προκλήσεις για την κυβερνοασφάλεια που παρατηρούνται διεθνώς για το 2021, με έμφαση στις τάσεις που αναδύονται για τη ζήτηση σε επιστήμονες δεδομένων (data scientists) και συστημάτων επιτήρησης και ανάλυσης που βασίζονται σε τεχνολογία Τεχνητής Νοημοσύνης (AI).

Με βάση τα πορίσματα της ετήσιας αναφοράς «State of Cybersecurity 2021» της ISACA, ο κ. Δήμου ανέφερε πως οι μεγαλύτερες προκλήσεις κυβερνοασφάλειας είναι η επίδραση στην υπόληψη ενός οργανισμού (78%), η πρόκληση φυσικής ή οικονομικής βλάβης από την παραβίαση δεδομένων (69%), η αναστάτωση στην εφοδιαστική αλυσίδα (49%), η διαρροή εμπορικών μυστικών (32%) και η επίδραση στην προσωπική υπόληψη των ίδιων των επαγγελματιών (29%).

Το κατασκοπευτικό μάθημα από τη SolarWinds

Η SolarWinds μέχρι τον περσινό Δεκέμβριο ήταν μια άγνωστη μικρή εταιρεία πληροφορικής με έδρα το Όστιν του Τέξας. Ξαφνικά, όμως, έγινε πασίγνωστή καθώς βρέθηκε «στην καρδιά ενός από τα μεγαλύτερα και πιο τρομακτικά χακαρίσματα της σύγχρονης ιστορίας, με τον αντίκτυπο να εκτείνεται στους τομείς της γεωπολιτικής, της κατασκοπίας και της εθνικής ασφάλειας», όπως έγραφαν οι «Financial Times» (18/12/2020).

Για 9 μήνες, οι χάκερ εκμεταλλεύτηκαν μια τρύπα σε λογισμικό της SolarWinds, προωθώντας malware για κατασκοπία σε κυβερνητικά και επιχειρηματικά δίκτυα σε όλον το κόσμο, συμπεριλαμβανομένων των ΗΠΑ, της Βρετανίας, του Ισραήλ και του Καναδά. Είχαν αποκτήσει πρόσβαση σε e-mails και υποδύονταν τους υπαλλήλους, υποκλέπτοντας εμπιστευτικές πληροφορίες που βρίσκονταν αποθηκευμένες στο cloud.

Η επίθεση αποδόθηκε στη ρωσική ομάδα χάκινγκ «Nobelium», με την υποψία πως πίσω από αυτήν κρύβεται η SVR (Υπηρεσία Πληροφοριών Εξωτερικού). Μεταξύ των θυμάτων του πρωτοφανούς χακαρίσματος ήταν πάνω από 70 πελάτες της SolarWinds. Μεταξύ αυτών η Microsoft, η εταιρεία κυβερνοασφάλειας FireEye και πολλές κυβερνητικές υπηρεσίες των ΗΠΑ, περιλαμβανομένων του Υπουργείου Ενέργειας, του Υπουργείου Εσωτερικής Ασφάλειας και της Υπηρεσίας Κυβερνοασφάλειας & Υποδομών (ZDNet, 25/10/2021, Forbes, 27/10/2021).

(δημοσιεύθηκε στη «Σημερινή της Κυριακής», 31/10/2021, στήλη «Άμυνας & Ασφάλειας Αφηγήματα»)