Τα ανοιχτά συστήματα, τα ανοιχτά δεδομένα και τα λογισμικά ανοιχτού κώδικα συμβάλλουν στο να υπάρχει μεγαλύτερη διαφάνεια κι εμπιστοσύνη του κοινού καθώς και στη μεγαλύτερη κι ευκολότερη συμμετοχή των χρηστών. Ωστόσο, αυτά τα συστήματα μπορούν να τα εκμεταλλευτούν κακόβουλοι παράγοντες, γεγονός που εγκυμονεί πολλούς κινδύνους. Με άλλα λόγια, τα δημόσια συστήματα ασφαλείας που είναι ανοιχτά σε όλους, είναι επίσης ανοιχτά σε όσους επιθυμούν να τα χρησιμοποιήσουν για κακόβουλες δραστηριότητες.
Δεν είναι λίγες οι φορές που οικοσυστήματα ανοιχτού κώδικα όπως το GitHub και το npm έχουν χρησιμοποιηθεί για τη διάδοση κακόβουλου λογισμικού. Έχουμε επίσης δει πώς τα δημόσια WiFi hotspot μπορεί να προσελκύουν χάκερς. Ομοίως, τα δημόσια συστήματα ασφαλείας που έχουν σχεδιαστεί για να προστατεύουν τους πολίτες από τους κακόβουλους παράγοντες, έχουν χρησιμοποιηθεί από τους δεύτερους για την διενέργεια κακόβουλων δραστηριοτήτων.
Κάμερες παρακολούθησης και “ανοιχτά δεδομένα”
Σε μια πρόσφατη έκθεση, είχε αναφερθεί μία διαρροή δεδομένων που αφορούσε την αυτόματη αναγνώριση πινακίδων αριθμού κυκλοφορίας (ANPR) από έναν ηλεκτρονικό πίνακα ελέγχου που τροφοδοτεί κάμερες παρακολούθησης IoT. Αυτή η παραβίαση οφειλόταν στο γεγονός ότι μια βάση δεδομένων ήταν δημόσια εκτεθειμένη χωρίς κωδικό πρόσβασης. Στο Ηνωμένο Βασίλειο διαπιστώθηκε ότι οι κάμερες κυκλοφορίας και ορισμένες δημόσιες κάμερες ασφάλειας είναι ορατές σε οποιονδήποτε πολίτη. Αυτό οφείλεται κυρίως στις πρωτοβουλίες για ανοιχτά δεδομένα που απορρέουν από τη νομοθεσία περί απορρήτου και διαφάνειας. Το Ηνωμένο Βασίλειο παρέχει μεγαλύτερη προβολή στο δίκτυο καμερών κίνησης που βρίσκεται σε μεγάλες πόλεις όπως το Λονδίνο και σε εθνικές οδούς. Όσον αφορά τις ΗΠΑ, ανάλογα με την πολιτεία και την τοποθεσία, έχουν παρόμοιες κάμερες κυκλοφορίας που διαδίδουν ανοιχτά ζωντανές ροές σε οποιονδήποτε μέσω web. Για παράδειγμα, μπορεί κανείς να δει μια ζωντανή ροή της 42ης οδού της Νέας Υόρκης, της λεωφόρου του Madison και του ποταμού Hudson από κάμερες Skyline. Αυτές οι κάμερες καταγράφουν οδούς και διαφορετικές γωνίες της περιοχής.
Ο Mark Sangster, αντιπρόεδρος της eSentire, όταν ρωτήθηκε σχετικά με το τί μπορούν να πετύχουν οι κακόβουλοι παράγοντες με αυτά τα ανοιχτά δημόσια συστήματα ασφαλείας, δήλωσε πως οι εγκληματίες ή οι ηθοποιοί που χρηματοδοτούνται από το κράτος, θα μπορούσαν να χρησιμοποιήσουν μοτίβα κυκλοφορίας για να καθορίσουν υψηλά σημεία κίνησης και να προκαλέσουν τη μέγιστη δυνατή ζημιά. Θα μπορούσαν επίσης να μεγιστοποιήσουν τον αντίκτυπο μιας επίθεσης. Για παράδειγμα, σύμφωνα με μία έρευνα, οι δημόσια προσβάσιμες κάμερες που βρίσκονται γύρω από το Vauxhall Cross του Λονδίνου, παρέχουν ζωντανή προβολή σε περιοχές γύρω από το κτίριο της MI5. Κάμερες παρακολούθησης υπάρχουν επίσης γύρω από αξιοσημείωτα ορόσημα, φανάρια, γέφυρες και μνημεία.
Ο πρώην εκτελεστικός διευθυντής της CIA, Marcus Fowler, ο οποίος είναι σήμερα διευθυντής στρατηγικής απειλής στην εταιρεία ασφάλειας “Darktrace”, ανέφερε στο BleepingComputer λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσης των δημοσίων συστημάτων ασφάλειας κλειστού κώδικα. Ενδεικτικά, ανέφερε πως μια στρατηγική επίθεση στα φανάρια θα μπορούσε να προκαλέσει αναστάτωση σε μια ολόκληρη πόλη. Για παράδειγμα, τα φανάρια θα μπορούσαν να αποτελέσουν στόχο την ημέρα των εκλογών για να προκαλέσουν κυκλοφοριακή συμφόρηση και να καθυστερήσουν τους ανθρώπους που πηγαίνουν να ψηφίσουν. Μια ομάδα ερευνητών από το Πανεπιστήμιο του Μίσιγκαν μπόρεσε να ελέγξει περισσότερα από 100 φανάρια στο Μίσιγκαν με ένα φορητό υπολογιστή και έναν πομπό ραδιοφώνου.
Καθώς πρόσφατες κυβερνοεπιθέσεις είχαν ως στόχο τη βιομηχανία υγειονομικής περίθαλψης, ο Fowler εξέφρασε ανησυχίες για το πώς κακόβουλοι παράγοντες θα μπορούσαν να διαταράξουν και τα συστήματα αντιμετώπισης έκτακτης ανάγκης. Ειδικότερα, επεσήμανε πως σημειώθηκε μία ανησυχητική αύξηση των επιθέσεων κατά της βιομηχανίας υγειονομικής περίθαλψης κατά τη διάρκεια της πανδημίας του COVID-19, γεγονός που σημαίνει ότι οι κακόβουλοι παράγοντες θα μπορούσαν να επεκτείνουν τις επιθέσεις σε συστήματα αντιμετώπισης έκτακτης ανάγκης. Εάν οι επιτιθέμενοι καταφέρουν να αποκτήσουν πρόσβαση και να ελέγξουν αυτά τα συστήματα, θα μπορούσαν να προκαλέσουν χάος σε μία ολόκληρη χώρα και να θέσουν σε κίνδυνο τις ζωές των ασθενών.
Ο Fowler πρόσθεσε ακόμη πως οι επιτιθέμενοι στοχεύουν όλο και περισσότερο λιμενικές εγκαταστάσεις, εκμεταλλευόμενοι την αυξανόμενη εξάρτηση του κοινού από τις παραδόσεις αγαθών και την πίεση που δέχονται οι αλυσίδες εφοδιασμού από την πανδημία. Εάν οι υπολογιστές σε μία λιμενική εγκατάσταση σταματήσουν να λειτουργούν λόγω επίθεσης, προμήθειες όπως τρόφιμα και ιατρικός εξοπλισμός ενδέχεται να μην φτάνουν στους προορισμούς τους.
IoT συσκευές, drones και “έξυπνα” οχήματα
Με τις τεχνολογίες επιτήρησης να εντείνονται ολοένα και περισσότερο με τη μορφή αυτόνομων συστημάτων όπως drones, αυτοκινούμενα οχήματα και ρομπότ, υπάρχουν ορισμένοι κίνδυνοι ασφαλείας.
Σύμφωνα με τον Stephen Cobb, έναν ερευνητή ασφαλείας με έδρα το Ηνωμένο Βασίλειο, η αυξανόμενη χρήση τηλεχειριζόμενων και αυτόνομων οχημάτων, ανοίγει το δρόμο σε κακόβουλους παράγοντες για εγκληματικές δράσεις. O Cobb επινόησε πριν λίγα χρόνια τον όρο “jackware” για να περιγράψει επιθέσεις που βασίζονται σε κακόβουλο λογισμικό και περιλαμβάνουν hijacking αυτοκινούμενων οχημάτων, τονίζοντας πως κάτι τέτοιο θα μπορούσε να εφαρμοστεί και σε αυτόνομα οχήματα ή οχήματα που ελέγχονται απομακρυσμένα, είτε στον αέρα είτε στην ξηρά. Επεσήμανε επίσης πως η χρήση αυτόνομων ή τηλεχειριζόμενων οχημάτων για τη δημόσια ασφάλεια μπορεί εύκολα να αποτελέσει αντικείμενο εκμετάλλευσης από έναν κακόβουλο παράγοντα.
Σχολιάζοντας την κατάσταση που επικρατεί τις τελευταίες δύο δεκαετίες, ο Cobb σημείωσε πως συνήθως δεν εφαρμόζονται τα κατάλληλα μέτρα και επίπεδα προστασίας, παρά μόνο όταν εντοπιστεί μία κακόβουλη δραστηριότητα σε μεγάλη κλίμακα.
Έγγραφα δημόσιας πολιτικής και social engineering
Συχνά οι κυβερνητικοί ιστότοποι δημοσιοποιούν κατά λάθος εγχειρίδια επιβολής του νόμου. Εάν ένας κακόβουλος ηθοποιός μπορέσει να αποκτήσει έναν ειδικά εξουσιοδοτημένο αριθμό βοήθειας “μόνο για χρήση γραφείου” από αυτά τα εγχειρίδια και να “πλαστογραφήσει” έναν από τους υπαλλήλους του, όπως έναν αστυνομικό ντετέκτιβ, είναι πολύ πιθανό να αποσπάσει ευαίσθητες κι εμπιστευτικές πληροφορίες σχετικά με άτομα και αρχεία υποθέσεων.
Για παράδειγμα, κακόβουλοι παράγοντες θα μπορούσαν να κατασκοπεύσουν τα οικονομικά στοιχεία ενός πλούσιου ατόμου εάν γνωρίζουν τον αριθμό κοινωνικής ασφάλισής (SSN) του. Αυτό θα μπορούσαν να το πετύχουν “πλαστογραφώντας” το υποψήφιο θύμα και καλώντας την υπηρεσία εσωτερικών εσόδων (IRS) για να ζητήσουν πληροφορίες για την φορολογική δήλωση του στόχου.
Επιπλέον, λόγω της πρόσφατης εισβολής στο BlueLeaks, κατά την οποία διέρρευσαν ευαίσθητες πληροφορίες, υπάρχει ανησυχία ότι οι χάκερς που χρηματοδοτούνται από το κράτος μπορούν να καταχραστούν τα δεδομένα με πολλούς τρόπους. Σε αυτήν την περίπτωση, η ομάδα που προέβη στην παραβίαση, ισχυρίστηκε ότι είχε ως στόχο την καταπολέμηση της αστυνομικής βίας. Ωστόσο, ταυτόχρονα δημοσίευσε χιλιάδες αριθμούς τραπεζικών λογαριασμών, διευθύνσεις, ονόματα θυμάτων εγκλημάτων και ύποπτους εγκληματίες που δεν κατηγορήθηκαν ποτέ, δήλωσε ο Alexander M. Kehoe, συνιδρυτής και διευθυντής επιχειρήσεων της Caveni.
Πρόσθεσε ακόμη πως η συλλογή αυτών των πληροφοριών θα μπορούσε να αποδειχθεί εξαιρετικά χρήσιμη για κακόβουλους ξένους ηθοποιούς ή συνδικάτα οργανωμένου εγκλήματος. Και οι δύο αυτές ομάδες θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες για κακόβουλους σκοπούς, χάρη στις ανταλλαγές πληροφοριών που προορίζονται για την αστυνομία.
Συμπερασματικά, η τεχνολογία παρέχει καινοτόμα μέσα στις κυβερνήσεις για τη διασφάλιση της ασφάλειας των πολιτών αλλά και της εθνικής ασφάλειας. Ωστόσο, πρέπει να εφαρμοστούν πολιτικές, ώστε αυτές οι πρωτοβουλίες που αφορούν, μεταξύ άλλων, τα δημόσια συστήματα ασφαλείας να μην αποτελέσουν αντικείμενο εκμετάλλευσης από κακόβουλους παράγοντες.
