Μια αθέμιτη απειλή ορίζεται ως ένας κίνδυνος ασφάλειας που προέρχεται από έναν οργανισμό, και με το συνολικό κόστος κατά μέσο όρο 11,45 εκατομμύρια δολάρια, είναι σημαντικό οι οργανισμοί να αντιμετωπίσουν αυτό το ζήτημα. Συχνά, ο κίνδυνος αποδίδεται σε κακόβουλους ή αμελείς εργαζομένους, καθώς και σε άλλους που βρίσκονται κοντά στον οργανισμό, όπως εργολάβους και επιχειρηματικούς συνεργάτες. Όμως οι εταιρείες και οι οργανισμοί πιστεύουν ότι το λογισμικό ασφαλείας θα αποτρέψει τις απειλές. Ωστόσο, αυτή η κατανόηση των αθέμιτων απειλών μεταφέρει την ευθύνη στον ανθρώπινο παράγοντα, με άλλα λόγια, τους εκθέτει ως αποδιοπομπαίους τράγους.
Ενώ υπάρχουν άνθρωποι που επιδιώκουν ενεργά να βλάψουν έναν οργανισμό, σύμφωνα με την έκθεση του Ινστιτούτου Ponemon που ονομάζεται «Έκθεση απειλών για το κόστος του εσωτερικού του 2020», μόνο το 23% αποτελούν οι εσωτερικές απειλές.
Αντί να κατηγορούμε τους ανθρώπους τότε, γιατί δεν στρέφουμε την προσοχή μας στη ρίζα του προβλήματος; Δηλαδή, το λογισμικό ασφαλείας.
Είτε έχει ενσωματωθεί σε τρωτά σημεία, έχει καταστραφεί από τις κυβερνήσεις, είτε χρησιμοποιείται ως κανάλι για τη συλλογή δεδομένων για κέρδος, η χρήση του λογισμικού ασφαλείας είναι επί του παρόντος είναι γεμάτη με προβλήματα.
Διπλοί πράκτορες στην ασφάλεια
Ένας από τους μεγαλύτερους και πιο συχνά χρησιμοποιούμενους παρόχους λογισμικού ασφάλειας είναι η τσεχική εταιρεία Avast antivirus με περισσότερους από 435 εκατομμύρια ενεργούς χρήστες σε 59 χώρες που χρησιμοποιούν το antivirus. Ωστόσο, μέχρι τα τέλη Ιανουαρίου του 2020, η Avast σύλλεγε τα δεδομένα των χρηστών και του πωλούσε σε τρίτους πελάτες μέσω της θυγατρικής τους Jumpstart. Υπό την έννοια αυτή, εργάζονται ως διπλοί πράκτορες εναντίον των ίδιων των ανθρώπων που τους είχαν αναθέσει την ασφάλεια τους στο διαδίκτυο και, ειδικότερα, την ιδιωτικότητά τους.
Σε πολλές περιπτώσεις, το ίδιο το λογισμικό είναι ελαττωματικό. Σύμφωνα με την έκθεση Veracode SOSS Vol. 10 που δημοσιεύθηκε πέρυσι, βρέθηκαν περίπου 10 εκατομμύρια αδυναμίες σε 85.000 αιτήσεις και το 83% αυτών των εφαρμογών είχε τουλάχιστον ένα ελάττωμα στην αρχική σάρωση. Από αυτές τις αδυναμίες, το 20% χαρακτηρίστηκε ως «υψηλής» ή «πολύ υψηλής» σοβαρότητας. Μέσω της εκμετάλλευσης αυτών των τρωτών σημείων, οι hackers είναι σε θέση να διεισδύσουν σε έναν οργανισμό και να έχουν πρόσβαση στα δεδομένα του.
Συμπληρώνοντας τα πράγματα περαιτέρω, η τεράστια κλίμακα και η πολυπλοκότητα των τρωτών σημείων καθιστούν πολύ πιο δύσκολο να εξακριβωθεί εάν ένα σύστημα έχει ή δεν έχει διορθωθεί. Πράγματι, η πλειονότητα των παραβιάσεων δεδομένων (60%) συμβαίνουν επειδή τα τρωτά σημεία του λογισμικού αφέθηκαν αμετάβλητα. Η παραβίαση δεδομένων του Equifax του 2017 και η παραβίαση του Marriott το 2018 είναι δύο παραδείγματα αυτού του τύπου, εκθέτοντας συλλογικά πάνω από 640 εκατομμύρια records.
Επιχειρήσεις μαϊμού στην κυβέρνηση
Σε ορισμένες περιπτώσεις, η κυβέρνηση συμμετέχει και όχι με τρόπο που να επιλύει παραβιάσεις των δικαιωμάτων απορρήτου ή συλλαμβάνοντας τους εγκληματίες που βρίσκονται πίσω από τις επιθέσεις. Αντίθετα, οι ίδιοι είναι ο δράστες. Οι επιθέσεις που διεξάγονται από το APT5, γνωστό και ως Manganese, σε VPN servers υψηλής τεχνολογίας είναι ένα σαφές παράδειγμα.
Από τον Αύγουστο του 2019, αποκαλύφθηκε ότι οι κινέζοι hackers που υποστηρίζονται από το κράτος πραγματοποίησαν διαδικτυακές σαρώσεις σε αναζήτηση VPN server Fortinet και Pulse Secure. Στη συνέχεια προσπάθησαν να εκμεταλλευτούν δύο ευπάθειες σε αυτούς τους VPN servers για να αποκτήσουν πρόσβαση σε αρχεία χωρίς την ανάγκη για έλεγχο ταυτότητας. Με αυτόν τον τρόπο, επέτρεψαν στους hackers να αποκτήσουν πρόσβαση σε κωδικούς πρόσβασης και session data VPN από ευάλωτες συσκευές. Οι Ιρανοί πάλι δεν πάνε πίσω. Μια έκθεση της εταιρείας ClearSky για την ασφάλεια στον κυβερνοχώρο αποκάλυψε ότι οι ιρανικές μονάδες hacking που υποστηρίχθηκαν από την κυβέρνηση είχαν ως προτεραιότητα να εκμεταλλεύονται τα σφάλματα VPN αμέσως μόλις δημοσιεύονταν.
Οι VPN servers Fortinet και Pulse Secure χρησιμοποιούνται ευρέως, με εκατοντάδες χιλιάδες πελάτες. Πιο συγκεκριμένα, η Pulse Secure είναι δημοφιλής μεταξύ των πολυάριθμων εταιρειών Fortune 500, συμπεριλαμβανομένων μερικών από τις μεγαλύτερες εταιρείες τεχνολογίας και κυβερνητικών οργανισμών. Η χρήση ενός VPN server είναι, κυρίως, για την προστασία των εσωτερικών server τους από μη εξουσιοδοτημένη πρόσβαση. Ωστόσο, αν δεν το κάνουν, πώς μπορούμε να γυρίσουμε και να κατηγορήσουμε τους υπαλλήλους όταν συμβαίνει παραβίαση;
Phishing για έναν αποδιοπομπαίο τράγο
Τέλος, υπάρχει scareware. Όπως υπονοείται από το όνομα, το scareware είναι μια μορφή phishing που ποντάρει στον φόβο και την αντίληψή σας για μια επικείμενη απειλή. Μέσα από μια αναδυόμενη διαφήμιση, οι κυβερνοεγκληματίες στέλνουν προειδοποιήσεις που υποδηλώνουν ότι ο υπολογιστής σας έχει μολυνθεί από malware ή ότι “τρέχει αργά”. Στη συνέχεια αξιοποιούν την ανησυχία σας και την πανικοβλημένη αντίδραση σας για να δώσουν μια «λύση».
Ωστόσο, η “λύση”, που φυσικά είναι ψεύτικη, επιτρέπει στον κακό hacker να έχει πρόσβαση στα δεδομένα σας και να εγκαθιστά malware στον υπολογιστή σας, ίσως ακόμη και ransomware. Σε αυτό το είδος σεναρίου, είναι εύκολο να δείξετε με το δάκτυλο το άτομο που έκανε κλικ στη διαφήμιση, αλλά τι γίνεται με τους παρόχους λογισμικού ασφαλείας που θα το επιτρέψουν; Δεν είναι ευθύνη των προγραμμάτων λογισμικού ασφάλειας να εντοπίζουν κακόβουλες διαφημίσεις και να εμποδίζουν την εμφάνισή τους στην οθόνη;
Η αληθινή απειλή
Στο τέλος, ας αφήσουμε να αναρωτηθούμε ποια είναι η αληθινή απειλή. Πολλές φορές, οι άνθρωποι χαρακτιρίζονται ως ο πιο αδύναμος κρίκος και ότι είναι υπεύθυνοι για την έκθεση των οργανισμών σε κακόβουλες απειλές. Ωστόσο, εξετάζοντας τα αποδεικτικά στοιχεία, τα προβλήματα φαίνεται να πηγάζουν από το λογισμικό ασφάλειας και τους παρόχους τους. Θεωρώντας ότι είναι αυτοί που υποτίθεται ότι μας προστατεύουν, τόσο ως άτομα όσο και ως οργανισμούς, από μια κυβερνοεπίθεση, είναι μάλλον ειρωνικό ότι στην πραγματικότητα είναι εκείνοι το πρόβλημα.
