Κάθε μέρα προκύπτουν όλο και πιο πολλά στοιχεία για την ύπαρξη του Μεγάλου Αδερφού, φυσικά περισσότερο για κακό σκοπό και λιγότερο για καλό για τον μέσο χρήστη του του κυβερνοχώρου. Είναι πλέον γνωστό πως η τεχνολογία έχει αναπτυχθεί σε τέτοιο σημείο, που καθιστά απόλυτα εφικτή την καταγραφή όλων των πληροφοριών που διακινούνται με ηλεκτρονικά μέσα σε όλη την υφήλιο.
Πολλοί επαναπαύονται και ισχυρίζονται πως οι υποκλοπές αποτελούν πρόβλημα μόνο για όσους έχουν κάτι να κρύψουν και πως οι ”τίμιοι” άνθρωποι δε θα έπρεπε να ανησυχούν. Προφανώς, οι θιασώτες αυτής της άποψης ούτε έχουν στείλει ποτέ καρτ-ποστάλ από τις διακοπές τους μέσα σε φάκελο, ούτε έχει ποτέ τύχει να χαμηλώσουν τη φωνή τους για να πουν κάτι, ούτε θα τους ενοχλούσε εάν έβρισκαν όλη τους την αλληλογραφία ανοιγμένη ή εάν μια κάμερα τους ακολουθούσε παντού συνεχώς…
Επειδή, όμως, οι πιο πολλοί από εμάς θεωρούμε σημαντική κατάκτηση το σεβασμό της ιδιωτικής μας ζωής, έχουμε κάθε λόγο να προσπαθήσουμε όσο μπορούμε να προστατέψουμε τον εαυτό μας.
Η νομική προστασία της ηλεκτρονικής αλληλογραφίας στην Ελλάδα είναι ακόμη μηδενική. Το άρθρο 19 του Συντάγματος ορίζει πως: ”Το απόρρητο των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας με οποιονδήποτε άλλο τρόπο είναι απόλυτα απαραβίαστο. Νόμος ορίζει τις εγγυήσεις υπό τις οποίες η δικαστική αρχή δεν δεσμεύεται από το απόρρητο για λόγους εθνικής ασφάλειας ή για διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων.”
Ο ποινικός κώδικας (άρθρο 370Γ-2) αναφέρει ότι: ” Οποιος αποκτά πρόσβαση σε στοιχεία που έχουν εισαχθεί σε ηλεκτρονικό υπολογιστή ή σε περιφερειακή μνήμη υπολογιστή ή μεταδίδονται με συστήματα τηλεπικοινωνιών, εφόσον οι πράξεις αυτές έγιναν χωρίς δικαίωμα, ιδίως με παραβίαση απαγορεύσεων ή μέτρων ασφαλείας που είχε λάβει ο νόμιμος κάτοχος τους, τιμωρείται με φυλάκιση μέχρι τρεις μήνες.” Στην περίπτωση της ηλεκτρονικής αλληλογραφίας, η διάταξη αυτή συνδυάζεται με τα άρθρα 370 και 370Α περί παραβίασης του απορρήτου των επιστολών και τηλεφωνημάτων, τα οποία προβλέπουν και άλλες βαρύτερες ποινές.
Επειδή όμως ”οι νόμοι έχουν φτιαχτεί για να καταπατώνται”, ο κάθε ένας που θέλει να διαφυλάξει τα δεδομένα του, πρέπει να το κάνει ιδίαις χερσί.
Το πρώτο και πιο σημαντικό πράγμα που πρέπει να έχει καθείς στο νου του είναι ότι το ηλεκτρονικό ταχυδρομείο είναι απόλυτα αναξιόπιστο όσον αφορά το θέμα των υποκλοπών. Εάν τα δεδομένα σας είναι σημαντικά, αποφύγετε να τα μεταφέρετε με ηλεκτρονικά μέσα.
Όπως είπαμε και στην αρχή, το σημαντικότερο ίσως επίτευγμα των ηλεκτρονικών κατασκόπων είναι ότι η υποκλοπή δεν είναι δυνατόν να γίνει αντιληπτή από το στόχο. Με απλά λόγια, είναι αδύνατον να είναι κανείς 100% βέβαιος για το εάν υποκλέπτονται τα δεδομένα που διακινούνται από και προς τον υπολογιστή του. Ο πιο πολύς κόσμος παραμένει ανυποψίαστος και δεν μεταβάλλει τις επικοινωνιακές του συνήθειες, διευκολύνοντας έτσι τον εκάστοτε υποκλοπέα.
Προτού όμως επιλέξουμε κάποια μέθοδο προστασίας των προσωπικών δεδομένων από τις πολλές που είναι διαθέσιμες, πρέπει να θέσουμε στον εαυτό μας το ερώτημα, ”Πόσο πολύ εμπιστεύομαι την εταιρεία, που μου παρέχει την τάδε λύση; Τι ξέρω γι΄ αυτήν και για το προϊόν της;”.
Από τη στιγμή που η ασφάλεια των προσωπικών μας στοιχείων στηρίζεται σε κάποιον τρίτο, η απάντηση που θα δώσουμε στον εαυτό μας, καθορίζει και το πόσο σίγουροι μπορούμε να νιώσουμε τόσο για την ασφάλεια των δεδομένων όσο και για τη διατήρηση της ανωνυμίας μας.
Σε κάθε περίπτωση, πάντως, πρέπει να έχουμε στο μυαλό μας ότι ο αγώνας ανάμεσα στις δύο πλευρές είναι αέναος και ότι, στις μάχες αυτές, οι νικητές και οι ηττημένοι πολλές φορές εναλλάσσονται χωρίς να το γνωρίζουν καν οι ίδιοι.
Τα μέτρα που είναι δυνατόν να ληφθούν για την προστασία της ανωνυμίας και των δεδομένων κάποιου, είναι πολλά και διάφορα. Οι πρακτικές που αναφέρονται στη συνέχεια, δεν αφορούν όλους τους χρήστες υπολογιστών ή του Internet και σε καμία περίπτωση δεν αποτελούν προτάσεις ή συμβουλές που θα έπρεπε να ακολουθήσει ο καθένας.
Τα μέτρα αυτά παρατίθενται με μόνο σκοπό να γίνει αντιληπτή η πολυπλοκότητα που παρουσιάζει το φαινόμενο της παρακολούθησης/υποκλοπής των ηλεκτρονικά διακινούμενων πληροφοριών, καθώς και η δυσκολία αντιμετώπισής του. Αυτό όμως που ποτέ και για κανένα λόγο δεν πρέπει να χαθεί, είναι η αίσθηση του μέτρου. Η προστασία είναι απαραίτητη, αλλά μόνο όπου και όταν χρειάζεται…
Διατήρηση ανωνυμίας
Η επιθυμία διατήρησης της ανωνυμίας, μέσα στα πλαίσια της νομιμότητας, αποτελεί αναφαίρετο δικαίωμα και επειδή όταν τα δικαιώματα δεν διεκδικούνται, χάνονται, είναι υποχρέωση όλων μας να το προστατέψουμε όσο μπορούμε.
Η διατήρηση της ανωνυμίας είναι σχετικά εύκολη υπόθεση, αρκεί να προσεχθούν μερικά απλά σημεία:
- Αγοράστε ένα πακέτο πρόσβασης στο Internet από ένα κατάστημα μιας άλλης χώρας που δεν σας γνωρίζουν, πληρώνοντας μετρητοίς (και όχι με πιστωτική κάρτα) και αποφύγετε να δώσετε τα στοιχεία σας κατά την εγγραφή. Με αυτόν τον τρόπο κανείς δεν θα γνωρίζει ότι ο συγκεκριμένος κωδικός πρόσβασης ανήκει σε εσάς. Σε περίπτωση που επιλέγετε εσείς τον κωδικό πρόσβασης στον ISP σας, αυτονόητο είναι ότι ο κωδικός πρόσβασης που θα επιλέξετε, δεν πρέπει να έχει καμία σχέση με τα πραγματικά στοιχεία σας.
- Επιλέξτε για ISP σας την εταιρεία εκείνη που σας δίνει τα περισσότερα εχέγγυα για την προστασία των δεδομένων σας. Διαβάστε τα ”ψιλά γράμματα” της σύμβασης που υπογράφετε με τον παροχέα, και μην διστάσετε να διατυπώσετε οποιαδήποτε απορία ή ερώτηση έχετε.
- Όταν εγκαθιστάτε τα Windows ή διάφορα άλλα προγράμματα, μην εισάγετε τα πραγματικά σας στοιχεία όπου σας ζητείται, αφού αρκετές φορές υπήρξαν περιπτώσεις που αυτά υποκλάπηκαν από τρίτους.
- Εάν είναι δυνατόν, χρησιμοποιήστε περισσότερους του ενός κωδικούς πρόσβασης σε διαφορετικούς ISP και εναλλάσσετέ τους τακτικά.
- Ποτέ μην χρησιμοποιείτε τη διεύθυνση e-mail που σας παρέχει ο ISP σας, αλλά χρησιμοποιήστε ένα από τα δωρεάν e-mails που παρέχονται από τρίτες εταιρείες (π.χ. https://mail.google.com)
- Μια εναλλακτική επιλογή είναι τα Internet καφέ που μπορείτε να χρησιμοποιείτε, όταν θέλετε να έχετε εξασφαλισμένη την ανωνυμία σας.
- Εγκαταστήστε ένα λειτουργικό σύστημα που προσφέρει ασφαλές σύστημα διαχείρισης αρχείων (file system) και ενημερώνετέ το συνεχώς με updates και patches.
- Αποφύγετε με κάθε τρόπο να δώσετε τα προσωπικά σας στοιχεία εάν δεν είναι απολύτως απαραίτητο.
- Σε περίπτωση που χρειάζεται να στείλετε ένα πολύ σημαντικό μήνυμα μέσω ηλεκτρονικού ταχυδρομείου, ”σπάστε” το σε δύο ή περισσότερα μέρη και στείλτε τα από διαφορετικούς κωδικούς.
Προστασία από υποκλοπή
Αντίθετα από τη διατήρηση της ανωνυμίας, η προστασία των δεδομένων από υποκλοπές είναι πάρα πολύ δύσκολη. Το επιθυμητό επίπεδο προστασίας ποικίλλει ανάλογα με το είδος και τη σημασία της συγκεκριμένης πληροφορίας.
Καθημερινή χρήση
Για έναν απλό χρήστη που συνδέεται από το σπίτι του στο διαδίκτυο, για παράδειγμα, ένας σημαντικός εχθρός είναι αυτοί που προσπαθούν να υποκλέψουν είτε τα διάφορα passwords, είτε χρήσιμα προσωπικά στοιχεία (από αριθμούς πιστωτικών καρτών έως αγοραστικές συνήθειες). Σε αυτήν την περίπτωση, η καλύτερη προστασία είναι η κρυπτογράφηση των δεδομένων, αν και πάλι δεν υπάρχει 100% ασφάλεια.
Οι διάφοροι Web browsers, όπως το Netscape και ο Internet Explorer, δίνουν τη δυνατότητα κρυπτογράφησης των δεδομένων για μεταφορές δεδομένων μέσω SSL (Secure Sockets Layer).
Από την επιλογή Help>About μπορείτε να δείτε πόσο ισχυρή είναι η κρυπτογράφηση που προσφέρουν, δηλαδή πόσα bits έχουν χρησιμοποιηθεί για την κρυπτογράφηση. Παλαιότερα χρησιμοποιούνταν 40 και 64 bits, ενώ τώρα πλέον η πιο συνηθισμένη τιμή είναι τα 128bits. Προσοχή όμως! Η κρυπτογράφηση μπορεί να ενεργοποιηθεί ΜΟΝΟ από το site που επισκέπτεστε και όχι από εσάς.
Η χρήση κρυπτογράφησης (SSL) από τη σελίδα στην οποία βρίσκεστε, συνήθως επισημαίνεται είτε από το URL (π.χ. https://), είτε με κάποιο προειδοποιητικό παράθυρο, είτε με ένα σύμβολο (π.χ. μια κλειδαριά) στο status bar του browser. Εάν η ασφάλεια έχει σημασία για εσάς, πρέπει να θεωρείτε δεδομένο πάντα πως τα στοιχεία που μεταφέρονται σε σελίδες που δεν χρησιμοποιούν SSL, μπορούν να υποκλαπούν με μικρό κόπο από οποιονδήποτε το θελήσει.
Είναι προφανές πως σε καμία περίπτωση δεν πρέπει να εισάγετε ευαίσθητα στοιχεία (τον αριθμό της πιστωτικής σας κάρτας, κωδικούς κ.τ.λ.) σε sites (σελίδες) που δεν χρησιμοποιούν SSL. Ο αγώνας ανάμεσα σε όσους προσπαθούν να κλέψουν τα δεδομένα και σε αυτούς που δημιουργούν τρόπους άμυνας, όμως, είναι ασταμάτητος.
Αυτό έχει ως αποτέλεσμα να μην μπορεί ποτέ να είναι κανείς βέβαιος για την ασφάλεια των δεδομένων του. Η καλύτερη λύση για την ασφάλεια των ευαίσθητων δεδομένων, όπως το ονοματεπώνυμο, οι αριθμοί πιστωτικών καρτών, τα passwords κ.τ.λ., είναι να μην αποθηκεύονται ποτέ στον υπολογιστή που χρησιμοποιείται για πρόσβαση στο Internet.
Εκτός, όμως, από τις περιπτώσεις που κάποιος προσπαθεί να υποκλέψει τα στοιχεία κατά τη διάρκεια της μεταφοράς, αρκετά διαδεδομένη είναι και η άμεση επίθεση ή τα προγράμματα τύπου Trojan. Τα Trojans είναι προγράμματα, τα οποία μεταφέρονται στον υπολογιστή μας ενώ εμείς κάνουμε αμέριμνοι τις βόλτες μας σε διάφορα (πονηρού συνήθως περιεχομένου) sites. Κάποιοι σχεδιαστές αυτών των sites έχουν τοποθετήσει στις σελίδες τους ρουτίνες με σκοπό να εντοπίσουν και να μεταφέρουν τα μυστικά μας κάτω από τη μύτη μας.
Μια μικρή εικόνα του πόσο απροστάτευτοι μπορεί να είναι οι υπολογιστές όταν συνδέονται στο Internet, μπορείτε να αποκτήσετε με μια επίσκεψη στο site του κ. Steve Gibson ή στη διεύθυνση www.privacy.net/anonymizer/, μέσω των οποίων μπορείτε να δείτε αν υπάρχουν ανοικτά ports στον υπολογιστή σας ή ποια στοιχεία μπορεί να γνωρίζει οποιοσδήποτε, ανά πάσα στιγμή, για τον υπολογιστή σας.
Προστασία εναντίον αυτού του είδους τον κίνδυνο προσφέρουν τα διάφορα προγράμματα Firewall, όπως το BlackIce Defender, το ZoneAlarm και το Norton Internet Security, τα οποία προσπαθούν να προστατέψουν τον υπολογιστή μας από όσους επιχειρούν να βάλουν χέρι στα δεδομένα μας.
Μια ακόμη μέθοδος λαθραίας απόκτησης δεδομένων από τον υπολογιστή μας είναι μέσω των διαφημιστικών ρουτινών που περιέχουν διάφορα προγράμματα όπως αυτά της Realnetworks, Netscape και NetZip, που είναι γνωστά πλέον με την ονομασία spyware.
Σύμφωνα με την καταγγελία του κ. Gibson, τα προγράμματα των παραπάνω εταιρειών παρακολουθούν τις κινήσεις του χρήστη και στέλνουν αναφορά για κάθε αρχείο που μεταφέρεται από και προς τον υπολογιστή που είναι εγκατεστημένα, χωρίς φυσικά να το γνωρίζει ο χρήστης. Στο ίδιο site μπορείτε να βρείτε επίσης ένα πρόγραμμα που εντοπίζει και απενεργοποιεί τα προγράμματα αυτά ή τουλάχιστον αυτά των οποίων η δράση είναι γνωστή.
Τα παραπάνω, όμως, είναι ελάχιστα από τα προβλήματα που μπορεί κανείς να έχει ενόσω είναι online, και σίγουρα δεν αφορούν περιπτώσεις στις οποίες υπάρχει κάποιος ιδιαίτερος λόγος να προστατευθούν τα δεδομένα μας.
Ευαίσθητα δεδομένα
Οταν τα δεδομένα που θα μεταφερθούν είναι ευαίσθητα, είναι απαραίτητη η λήψη ιδιαίτερων μέτρων είτε για την προστασία τους από υποκλοπές, είτε για τη διασφάλιση της ανωνυμίας του ενδιαφερομένου.
Οσον αφορά τη διατήρηση της ανωνυμίας κάποιου κατά τις περιηγήσεις του στα διάφορα sites στο Internet, η πλέον προσφιλής λύση είναι οι διάφοροι ‘'anonymizers”. Οι anonymizers ουσιαστικά δρουν ως ”πύλες” μέσω των οποίων γίνεται η μεταφορά των δεδομένων από και προς τον υπολογιστή μας, και χωρίζονται σε δύο βασικές κατηγορίες: τους Web anonymizers και τους anonymous proxy servers.
Η πρώτη κατηγορία, οι Web anonymizers, είναι ιδιαίτερα εύκολοι στη χρήση τους. Ο χρήστης πρέπει απλώς να επισκεφθεί το site της εταιρείας (π.χ. http://www.idzap.com ή http://www.safeweb.com/) και να εισάγει τη διεύθυνση (URL) του site που θέλει να επισκεφθεί. Το Kέντρο Δημοκρατίας και Τεχνολογίας των Η.Π.Α. φιλοξενεί στις σελίδες του έναν εκτενή κατάλογο με τους απανταχού Web anonymizers.
Οι υποψήφιοι χρήστες των Web anonymizers πρέπει να γνωρίζουν πως η υπηρεσία που προσφέρεται δωρεάν, είναι συνήθως μόνο αυτή της διασφάλισης της ανωνυμίας. Στην περίπτωση αυτή, τα δεδομένα από τον υπολογιστή μέχρι τον ISP μεταφέρονται χωρίς κρυπτογράφηση, με αποτέλεσμα ο ISP (καθώς και οποιοσδήποτε μπορεί να παρεμβληθεί ανάμεσα στον υπολογιστή μας και τον ISP) να έχει πλήρη πρόσβαση σε όλες τις κινήσεις μας και τα δεδομένα που μεταφέρονται. Για την παροχή προστασίας από υποκλοπές, η οποία γίνεται μέσω SSL, συνήθως υπάρχει έξτρα χρέωση.
Το κυριότερο, όμως, πρόβλημα των Web anonymizers βρίσκεται στο γεγονός ότι, ακόμη και αν όλη η επικοινωνία προστατεύεται από τρίτους, η εταιρεία που παρέχει την υπηρεσία της κρυπτογράφησης, έχει στη διάθεσή της όλα τα στοιχεία για τις κινήσεις των χρηστών της.
Το πρόβλημα αυτό εξαλείφεται με τη χρήση των anonymizers που ανήκουν στη δεύτερη κατηγορία, τους anonymous proxy servers σε συνδυασμό με προγράμματα όπως το Multiproxy, ή το Anonymity 4 Proxy. Το σημαντικότερο προσόν των παραπάνω προγραμμάτων είναι ότι δίνουν τη δυνατότητα της αυτόματης εναλλαγής ανάμεσα σε διαφορετικούς proxy servers.
Με αυτόν τον τρόπο τα δεδομένα ανάμεσα στον υπολογιστή μας και στο site, το οποίο επισκεπτόμαστε, αλλάζουν συνεχώς διαδρομή, έτσι ώστε να μην έχει κάποιος πρόσβαση στο σύνολο των δεδομένων που διακινούμε. Και σε αυτήν την περίπτωση όμως, το τμήμα ανάμεσα σε εμάς και τον proxy server (δηλαδή ο ISP) θα μπορεί να έχει πλήρη πρόσβαση σε όλες τις κινήσεις μας και τα δεδομένα που μεταφέρονται. Καλό είναι λοιπόν και εδώ να έχουμε ήδη μεριμνήσει για τη διαφύλαξη της ανωνυμίας μας σε σχέση με τον ISP.
Οι παραπάνω λύσεις, οι anonymizers και τα proxies, αφορούν τη μεταφορά δεδομένων μέσω HTTP και HTTPS, αν και μερικοί υποστηρίζουν και το πρωτόκολλο μεταφοράς αρχείων FTP. Οσον αφορά το ηλεκτρονικό ταχυδρομείο (εκτός από τις υπηρεσίες μέσω Web όπως το Hotmail που υπάγεται στις παραπάνω λύσεις), υπάρχουν ειδικές υπηρεσίες, γνωστές και ως remailers, μέσω των οποίων είναι δυνατή η αποστολή e-mails με υψηλότερες πιθανότητες ανωνυμίας.
Όμως, όπως και στην προηγούμενη περίπτωση, έτσι και με τους διάφορους remailers, είτε type-1 (cyberpunk), είτε type-2 (mixmaster), πρέπει να καταστεί σαφές πως η παρεχόμενη ασφάλεια δεν είναι πλήρης. Εναλλακτικά μπορείτε να χρησιμοποιήσετε υπηρεσίες Web based e-mail όπως τα Hushmail και MailVault, γνωρίζοντας και πάλι ότι η εταιρεία που σας παρέχει την υπηρεσία, έχει πλήρη πρόσβαση στις πληροφορίες που ανταλλάσσετε. Τέλος, η εταιρεία PrivateMailPlus υπόσχεται αντίστοιχη ασφάλεια χωρίς να πρέπει να αλλάξετε το αγαπημένο σας πρόγραμμα e-mail.
Εάν όμως εκτός από e-mails σκοπεύετε να στείλετε αρχεία (κείμενα, φωτογραφίες κ.τ.λ.), καλό θα ήταν να τα προστατέψετε με κωδικό είτε μέσω των εφαρμογών (π.χ. Microsoft Word) είτε μέσω συμπιεστικών προγραμμάτων όπως τα WinZip, WinARJ, WinRAR.
Όπως και στις προηγούμενες περιπτώσεις, είναι απαραίτητο να τονίσουμε και πάλι ότι η παρεχόμενη ασφάλεια δεν είναι πλήρης, καθώς με ελάχιστο κόστος (30 δολάρια) οποιοσδήποτε μπορεί να προμηθευτεί προγράμματα όπως το Advanced Password Recovery. Με τη χρήση ενός σύγχρονου Pentium, το Advanced Password Recovery έχει τη δυνατότητα να υπολογίζει 10 εκατομμύρια passwords το δευτερόλεπτο και μπορεί να βρει ένα password μήκους 7 χαρακτήρων μέσα σε λίγες μέρες.
Οι System Administrators ενός εταιρικού τοπικού δικτύου που θέλουν να διασφαλίσουν ότι κανένας υπάλληλος, χωρίς ειδικές γνώσεις τουλάχιστον, δεν θα μπορεί να κατασκοπεύσει συναδέλφους του, πρέπει πρώτα απ΄ όλα να αντικαταστήσουν όλα τα hubs με switches. Η αντικατάσταση των hubs με switches κρίνεται πλέον απαραίτητη, καθώς ο διαφορετικός σχεδιασμός τους που έχει γίνει με σκοπό την καλύτερη διαχείριση του bandwidth, έχει την ευεργετική παρενέργεια της αυξημένης ασφάλειας.
Για την προστασία της επαγγελματικής ηλεκτρονικής αλληλογραφίας υπάρχουν εργαλεία όπως το plug-in InterosaMail της Interosa, Inc. το οποίο προσφέρει τη δυνατότητα για κρυπτογράφηση και για καθορισμό των περιοριστικών μέτρων (χρονικών, παραλήπτη) στα μηνύματα που αποστέλλονται.
Οι υπάλληλοι μιας εταιρείας που έχουν πρόσβαση στο Internet και τις σχετικές υπηρεσίες μέσω του τοπικού δικτύου της εταιρείας και θέλουν να διασφαλίσουν το απόρρητο των επικοινωνιών τους, μπορούν να χρησιμοποιήσουν μια υπηρεσία όπως αυτή που προσφέρει έναντι συνδρομής η Idzap.
Φυσικά όσοι δεν θεωρούν πως οι κινήσεις τους μπορεί να ενδιαφέρουν τη CIA ή τις υπόλοιπες μυστικές αμερικάνικες υπηρεσίες, μπορούν να χρησιμοποιήσουν τις δωρεάν υπηρεσίες της Safeweb.
Αν και, όπως προαναφέραμε, τα προγράμματα packet-sniffing είναι θεωρητικά αδύνατον να εντοπιστούν, στην πράξη υπάρχουν μερικές περιπτώσεις που ο ενδιαφερόμενος μπορεί να ανιχνεύσει την ύπαρξή τους.
Για σοβαρή δουλειά είναι απαραίτητη η χρήση ενός υπολογιστή με λειτουργικό σύστημα UNIX, καθώς εκεί μπορεί να βρει κανείς τη μεγαλύτερη συλλογή από σχετικά utilities όπως τα ifstatus, neped, CPM, sentinel κ.ά. Παλαιότερα, ο εντοπισμός των packet sniffers ήταν δυνατός ακόμη και με απλά προγράμματα (ping, arp κ.τ.λ.) αλλά τώρα πλέον απαιτείται συχνά η χρήση εξειδικευμένων προγραμμάτων όπως το L0pht AntiSniff, ένα αρκετά ισχυρό εργαλείο που δίνει τη δυνατότητα διενέργειας τριών ειδών ελέγχων: έλεγχο σχετικά με το λειτουργικό σύστημα, με το DNS, και με το χρόνο αντίδρασης (latency time) του δικτύου.
Η L0pht Heavy Industries αποτελεί μια από τις πλέον διαβόητες ομάδες hackers, η οποία έχει κατά καιρούς απασχολήσει το χώρο είτε με τη δράση της, είτε με τα προγράμματα που έχει φέρει στο φως της δημοσιότητας. Στο site της Security Software Technologies, Inc., που έχει αναλάβει την εμπορική διάθεση του L0pht AntiSniff, υπάρχει μια εκτενής περιγραφή των αρχών λειτουργίας του προγράμματος.
Προσοχή όμως! Οπως κάθε πρόγραμμα, έτσι και το AntiSniff έχει ατέλειες. Κατ΄ αρχάς το AntiSniff είναι ανίσχυρο μπροστά σε έναν υπολογιστή που έχει περιορισμούς μόνο για λήψη σε επίπεδο hardware, ενώ στο παρελθόν έχουν εντοπιστεί bugs τα οποία επιτρέπουν σε κάποιον κακόβουλο να ”επιτεθεί” στον υπολογιστή που τρέχει το AntiSniff, και να τον αναγκάσει να εκτελέσει κώδικα, ένα μικρό πρόγραμμα δηλαδή, κατά βούληση.
Η L0pht Heavy Industries, πάντως, είναι μία μόνο από τις πολλές ομάδες hackers που παρέχουν και υπηρεσίες αντι-hacking.
Η γνωστότερη ίσως από όλες τις ομάδες που πέρασαν στην απέναντι πλευρά και ”άλλαξαν στρατόπεδο” παρέχοντας, έναντι αδρής αμοιβής, υπηρεσίες προστασίας από πιθανό hacking είναι η ομάδα LoD (Legion Of Doom), η οποία υπήρξε και από τις πρώτες διδάξασες. Αντίθετα, όμως, με ό,τι πιστεύεται γενικώς, σπανίως οι ”επιτυχημένοι” hackers έχουν βρει μια αντίστοιχη θέση στην άλλη όχθη, είτε στον κρατικό, είτε στον ιδιωτικό τομέα.
Απόρρητα δεδομένα
Το πραγματικό ζήτημα στο οποίο πρέπει να επικεντρωθούμε και να το απαντήσουμε ως κοινωνία κάποια στιγμή, είναι εάν η κρυπτογράφηση αποτελεί θεμελιώδες ανθρώπινο δικαίωμα. Έχει το δικαίωμα η κυβέρνηση να περιεργάζεται τα δεδομένα μας;
- Robert Graham (CTO, Network ICE)
Η αξία των δεδομένων καθορίζει και το κόστος των επενδύσεων που απαιτούνται για την διασφάλισή τους.
Σε ένα περιβάλλον όπου απαιτείται ασφάλεια, η ευρεία χρήση μεθόδων όπως η στεγανογραφία ή η κρυπτογράφηση πρέπει να θεωρείται δεδομένη.
Μια λύση που αποκτά καθημερινά όλο και περισσότερους θιασώτες, λόγω της ευκολίας της για τον απλό χρήστη, είναι η χρήση VPN (Virtual Private Network, Εικονικό Ιδιωτικό Δίκτυο). Τα VPN επιτρέπουν στους χρήστες να επικοινωνούν με άλλους χρήστες, με αυξημένη ασφάλεια μέσω ήδη υπαρχόντων δικτύων, όπως το Internet, όντας ουσιαστικά δίκτυα μέσα σε δίκτυα.
Προγράμματα όπως το PGP (Pretty Good Privacy) της Network Associates, Inc. υπόσχονται ”υψηλού επιπέδου” κρυπτογράφηση για τις ευαίσθητες πληροφορίες. Οπως με όλα τα συστήματα ασφάλειας και κρυπτογράφησης, κανείς δεν πρέπει να επαναπαύεται στην προστασία που προσφέρει το PGP. Αλλωστε, αν υπήρχε κάποιο σύστημα, το οποίο είναι 100% ασφαλές, ο κατασκευαστής του για να αποδείξει (και να διαφημίσει) την αξιοπιστία του, θα προσέφερε μερικά εκατομμύρια δολάρια αμοιβή σε όποιον κατάφερνε να σπάσει τον κώδικα.
Η προστασία που προσφέρει το PGP, όπως και κάθε σύστημα κρυπτογράφησης, στηρίζεται αφενός στο γεγονός ότι δεν υπάρχει τόση υπολογιστική ισχύς, όση απαιτείται για το ”σπάσιμο” του κώδικα σε εύλογο χρονικό διάστημα, και αφετέρου στο γεγονός ότι δεν έχει υπάρξει κάποια επαναστατική νέα ανακάλυψη στις τεχνικές που χρησιμοποιούνται για την αποκωδικοποίηση των κρυπτογραφημένων πληροφοριών.
Επιπλέον, το PGP, όπως και κάθε άλλο λογισμικό, είναι πιθανόν να έχει λάθη. Οσο το εν λόγω πρόγραμμα μεγαλώνει σε όγκο και πολυπλοκότητα, τόσο περισσότερο αυξάνονται και οι πιθανότητες για σημαντικά λάθη.
Tον περσινό Αύγουστο, ο Γερμανός ερευνητής Ralf Senderek εντόπισε ένα σημαντικότατο πρόβλημα ασφάλειας το οποίο επέτρεπε σε οποιονδήποτε να διαβάσει τα ηλεκτρονικά μηνύματα που είχαν κρυπτογραφηθεί με το PGP, ενώ μόλις πρόσφατα δύο τσεχοσλοβάκοι ερευνητές, ο Vlastimil Klima και ο Tomas Rosa, ανακάλυψαν άλλη μια ευπάθεια στην ανοικτή έκδοση του PGP, γνωστή ως OpenPGP, η οποία επιτρέπει σε κάποιον κακόβουλο να αποκρυπτογραφήσει το προσωπικό κλειδί (private key) ενός χρήστη του προγράμματος.
Μια εναλλακτική λύση θα μπορούσαν να αποτελούν τα προϊόντα της Hush Communications, της εταιρείας στην οποία μεταπήδησε ο γνωστός κ. Phil Zimmerman, δημιουργός του προγράμματος PGP.
Εκτός όμως από τα bugs που μπορεί να περιέχουν τα διάφορα προγράμματα, ένα σημαντικό ζήτημα που τίθεται σε αυτές τις περιπτώσεις, είναι και αυτό της αξιοπιστίας της εταιρείας που παρέχει τα συστήματα ασφαλείας.
Το παρελθόν και μόνο του προέδρου της Network Associates κ. Leslie G. Denend είναι αρκετό για να μην εμπιστευθεί κανείς τα προγράμματα του ομίλου των εταιρειών του, όταν κρίνει ότι η αμερικάνικη κυβέρνηση μπορεί να ενδιαφέρεται για το περιεχόμενο των πληροφοριών που πρόκειται να κρυπτογραφηθούν.
Σε τέτοιες περιπτώσεις, όταν δηλαδή υπάρχουν δεδομένα που μπορεί να ενδιαφέρουν ολόκληρες κυβερνήσεις, ο ενδιαφερόμενος συνήθως έχει φροντίσει να έχει στη διάθεσή του μια ομάδα από ειδικούς που έχουν αναλάβει την προστασία των πολύτιμων στοιχείων.
Οι ειδικοί αυτοί, αναλαμβάνουν μια πληθώρα εργασιών όπως:
- Tον έλεγχο των ήδη χρησιμοποιούμενων τεχνικών (π.χ. επαληθεύουν τον κώδικα του PGP και να κάνουν compile τη δική τους έκδοση)
- Tη συνεχή έρευνα και ενημέρωση για τις τελευταίες εξελίξεις σε θέματα ασφάλειας
- Tην ανάπτυξη νέων τεχνικών άμυνας και παραπλάνησης κ.ά
Προφανώς, το μέγεθος των ομάδων αυτών, ανάλογα με την αξία των πληροφοριών, μπορεί να κυμαίνεται από έναν μόνο άνθρωπο μέχρι μια ολόκληρη οργάνωση, όπως στην περίπτωση της NSA που δημιουργήθηκε για να καλύψει αυτόν ακριβώς τον τομέα για λογαριασμό της αμερικάνικης κυβέρνησης.
Υπάρχει λύση;
Τελικά υπάρχει λύση; Είναι δυνατόν να προστατευτεί κανείς από τους διάφορους μικρούς και ”μεγάλους αδερφούς” ή κάθε προσπάθεια είναι μάταιη;
Η απάντηση είναι δυστυχώς απλή: Καμία ηλεκτρονική μεταφορά δεδομένων δεν μπορεί να είναι 100% εγγυημένη. Αυτό που καθορίζει, ή τουλάχιστον έτσι θα έπρεπε, τις επιλογές του καθενός σε σχέση με την ασφάλεια των πληροφοριών του είναι η αξία τους.
Για τις καθημερινές μας ανάγκες, οι περισσότεροι από εμάς δεν έχουν την ανάγκη ενός προγράμματος όπως το PGP ή anonymous proxy server. Φυσικά, όσοι επιθυμούν να κάνουν τη ζωή των μυστικών υπηρεσιών πιο δύσκολη, μπορούν να χρησιμοποιούν κάθε δυνατή μέθοδο κρυπτογράφησης, έτσι ώστε να απασχολούν όσο το δυνατόν περισσότερη υπολογιστική ισχύ από τα συστήματα που απαρτίζουν το Echelon.
Πληροφορίες που θέλουμε να κρατήσουμε μακριά από τα μάτια διαφόρων συναδέλφων, εργοδοτών, γνωστών κ.τ.λ. μπορούν να προστατευθούν με τη χρήση εφαρμογών όπως το PGP ή υπηρεσιών όπως το Hushmail ή το Safeweb.
Για δεδομένα μεγάλης αξίας, όμως, η χρήση εμπορικών προγραμμάτων και υπηρεσιών θα έπρεπε να είναι απαγορευμένη, εκτός και αν ο ενδιαφερόμενος έχει στη διάθεση είτε το σύνολο του κώδικα της εφαρμογής, είτε την απαραίτητη υποδομή για να ελεγχθεί εξονυχιστικά η ασφάλεια του εκάστοτε συστήματος.
Τέλος, όταν πρόκειται για πάρα πολύ σημαντικές εμπιστευτικές πληροφορίες, η συμβουλή παραμένει μία:
Μην χρησιμοποιείτε ποτέ το διαδίκτυο και τις τηλεπικοινωνίες, όπου έμπρακτα μπορεί κάποιος τρίτος να σας παρακολουθεί, ακόμη κι αν έχετε τη μέγιστη δυνατή προστασία.
