Τρίτη, 11 Φεβρουαρίου 2020

Πέτρος Ευσταθόπουλος στην «Κ»: Οι δωρεάν εφαρμογές θέλουν προσοχή

«Στην Ελλάδα διαθέτουμε καταρτισμένους επιστήμονες ικανούς να στελεχώσουν ομάδες αντιμετώπισης ψηφιακών απειλών», λέει ο δρ Πέτρος Ευσταθόπουλος, Global Head στo NortonLifeLock Research Group.

«Χάκερ υπέκλεψε πληροφορίες από το smartphone του ιδρυτή της Amazon Τζεφ Μπέζος». Στο άκουσμα της είδησης κοιτάζει κανείς τη συσκευή του και αντιλαμβάνεται ότι έχει σοβαρούς λόγους να ανησυχεί για τα προσωπικά του δεδομένα. Είναι στο χέρι του ωστόσο, όπως εξάλλου και το κινητό τηλέφωνο, η προστασία των πληροφοριών που επιθυμεί να μείνουν πραγματικά προσωπικές.
Πιο σύνθετη είναι η πρόκληση της κυβερνοασφάλειας σε επίπεδο χωρών και κυβερνήσεων. Στις μέρες μας υπολογίζεται ότι διαρρέουν 30.000 αρχεία ανά λεπτό. Το ρήγμα στα δεδομένα αντιστοιχεί σε μέσο κόστος 3,8 εκατ. ευρώ.
Η Ελλάδα κατατάσσεται 77η μεταξύ 175 χωρών και 40ή μεταξύ 46 ευρωπαϊκών χωρών με βάση το επίπεδο κυβερνοασφάλειας.
O δρ Πέτρος Ευσταθόπουλος είναι Global Head στo NortonLifeLock Research Group. Oπως έλεγε μιλώντας πρόσφατα στους Financial Times, «το γεγονός ότι οι άνθρωποι είναι περίεργοι ή τεμπέληδες συνιστά τον μεγαλύτερο παράγοντα απειλής… όχι εάν το software ή το hardware έχει τρωτά σημεία». Ειδικός σε θέματα κυβερνοασφάλειας, εξηγεί στην «Κ» ποια είναι τα κίνητρα και ποιες οι μέθοδοι της παράνομης αλλά και της νόμιμης άντλησης προσωπικών δεδομένων. Αναφέρεται δε στις δυνατότητες προστασίας και κυρίως στην ανάγκη της ατομικής περίσκεψης πριν από την αποδοχή των λεγόμενων «όρων χρήσης».

– Με ποιους τρόπους αντλεί κανείς σήμερα προσωπικές πληροφορίες από ένα κινητό τηλέφωνο;
– Τα κινητά τηλέφωνα έχουν πλέον μεγάλη υπολογιστική ισχύ. Τα αποκαλούμε «έξυπνα τηλέφωνα» (smartphones) λόγω της πληθώρας δυνατοτήτων που έχουν και των εφαρμογών που μπορούν να τρέξουν. Η «εξυπνάδα» αυτών των εφαρμογών και η συνολική δυνατότητα των συσκευών προέρχεται κυρίως από τρεις παράγοντες: 1) τα έχουμε σχεδόν πάντα μαζί μας, 2) έχουν σχεδόν διαρκή σύνδεση με το Ιντερνετ, και 3) μπορούν να συλλέγουν πληροφορίες (αισθητήρες, αρχεία, κ.λπ.) τις οποίες και χρησιμοποιούν για να διευκολύνουν τον χρήστη. Σε μια εποχή κατά την οποία το οικονομικό μοντέλο του Ιντερνετ βασίζεται εξ ολοκλήρου στη στοχευμένη διαφήμιση μέσω της εμπορευματοποίησης δεδομένων, οι παραπάνω τρεις παράγοντες καθιστούν τα κινητά μια πλατφόρμα ικανή να συλλέξει δεδομένα τεράστιας εμπορικής αξίας. Κάθε εφαρμογή σε ένα κινητό μπορεί να συλλέξει πληροφορίες που στη συνέχεια μπορεί δυνητικά να εκμεταλλευθεί εμπορικά. Το μοντέλο εμπορευματοποίησης δωρεάν εφαρμογών συχνά περιλαμβάνει και την προβολή διαφημίσεων από την ίδια την εφαρμογή. Αν δε η εφαρμογή προέρχεται από πηγή με κακόβουλες προθέσεις, οι συνέπειες μπορεί να είναι σοβαρές για την ασφάλεια και την ιδιωτικότητα του χρήστη. Συνεπώς, το μεγαλύτερο μέρος συλλογής πληροφοριών από κινητά γίνεται σε καθημερινή βάση, πολλές φορές με τη συναίνεση των χρηστών (π.χ. έπειτα από αποδοχή των «όρων χρήσης») χωρίς απαραίτητα να έχει προηγηθεί κάποια κακόβουλη επίθεση («hack») προς τον χρήστη. Θα μπορούσε κανείς να πει μεταξύ αστείου και σοβαρού ότι τίποτα σε αυτό το οικοσύστημα δεν είναι δωρεάν – πολλές από τις εφαρμογές και τις υπηρεσίες που προσφέρονται «δωρεάν» βασίζουν τα έσοδά τους σε κάποιο είδος μοντέλου εμπορικής εκμετάλλευσης δεδομένων. Ως εδώ μιλάμε για συλλογή πληροφοριών που θεωρείται «νόμιμη», αν δεν παραβιάζει τους όρους της υπάρχουσας νομοθεσίας (όπως το GDPR, e-Privacy ή το CCPA στην Καλιφόρνια).
Σε δεύτερο επίπεδο έρχεται η ξεκάθαρα παράνομη συλλογή δεδομένων μέσω κακόβουλου λογισμικού. Οταν κάποιος χρήστης πέφτει θύμα τέτοιας επίθεσης (π.χ. ιοί, «malware», επιθέσεις μέσω ψευδών email) η συλλογή πληροφοριών γίνεται σε μεγαλύτερη κλίμακα και με απώτερο σκοπό την κλοπή προσωπικών πληροφοριών μεγαλύτερης αξίας, που θα πολλαπλασιάσουν –παράνομα– τα κέρδη του επιτιθέμενου (π.χ. κλοπή αριθμών πιστωτικών καρτών, κλοπή της ταυτότητας του χρήστη, κλοπή προσωπικών δεδομένων, επιθέσεις εκβιασμού - ransomware).
Τέλος, παρατηρούνται και φαινόμενα απόλυτα στοχευμένης κλοπής δεδομένων. Αυτού του τύπου οι επιθέσεις στοχεύουν σε συγκεκριμένα άτομα υψηλής –οικονομικής, πολιτικής– αξίας, χρησιμοποιούν εξαιρετικά εξειδικευμένες μεθόδους και υποστηρίζονται από άτομα ή οργανισμούς με πολλούς πόρους. Λεπτομέρειες για αυτές τις περιπτώσεις συλλογής πληροφοριών συχνά δεν έρχονται στο φως της δημοσιότητας καθώς αποτελούν αντικείμενο ερευνών ευαίσθητου χαρακτήρα.

– Ποια είναι συνήθως τα κίνητρα των επιθέσεων;
– Τα κίνητρα των επιθέσεων είναι σχεδόν πάντα οικονομικά, εξαιρουμένων κάποιων στοχευμένων επιθέσεων με πολιτικά κίνητρα. Οι πιο συνήθεις περιπτώσεις αφορούν στην κλοπή αριθμού πιστωτικής κάρτας είτε για τη χρήση της, είτε για μεταπώληση στον «σκοτεινό ιστό» (dark web). Τα στοιχεία μιας πιστωτικής ή χρεωστικής κάρτας πωλούνται κατά μέσον όρο για 17 δολάρια, που σημαίνει ότι τα στοιχεία χιλίων πιστωτικών καρτών αποφέρουν περίπου 17.000 δολ. στην αγορά του dark web.
Επιθέσεις χάκερ και συμφέροντα
– Υπάρχει ένας στοιχειώδης οδικός χάρτης που μπορεί να ακολουθεί κανείς στην καθημερινότητα; Ποιος είναι τελικά ο καλύτερος τρόπος ώστε να προστατεύει κανείς τα προσωπικά δεδομένα του;
– Τα κινητά τηλέφωνα έχουν πλέον εξελιχθεί σε μια αρκετά περίπλοκη και πολυάριθμη πλατφόρμα. Ο ισχυρισμός ότι δεν έχουν ανάγκη από προϊόντα ασφαλείας θα ήταν λάθος. Προϊόντα όπως αυτά που προσφέρει η NortonLifeLock προσφέρουν προστασία από πολλές απειλές και κακόβουλες εφαρμογές. Αυτό αποτελεί μια σημαντική άμυνα ενάντια στις επιθέσεις. Πέραν αυτού όμως θα πρέπει να αναλογιστούμε τον τρόπο με τον οποίο έχει αλλάξει η οικονομία του Ιντερνετ και ως εκ τούτου οι απειλές για την ασφάλεια και ιδιωτικότητα των χρηστών. Υπάρχει ένα σύνολο «προτεινόμενης συμπεριφοράς» στο Ιντερνετ και θα πρέπει όλοι να αντιληφθούμε πως μόνο με κατάλληλες επιλογές μπορούμε να προστατεύσουμε αποτελεσματικά τα προσωπικά μας δεδομένα. Παρατηρούμε συχνά το φαινόμενο ανθρώπων που δηλώνουν πως νοιάζονται για την ιδιωτικότητά τους, ενώ ταυτόχρονα μοιράζονται πλήθος προσωπικών δεδομένων στα μέσα κοινωνικής δικτύωσης ή μέσω μη ασφαλούς ηλεκτρονικού ταχυδρομείου. Την επόμενη φορά που μια εφαρμογή θα ζητήσει πρόσβαση στον κατάλογο με τις επαφές μας στο κινητό ή στις φωτογραφίες μας, καλό θα ήταν να δώσουμε λίγη προσοχή και να αναλογιστούμε γιατί συμβαίνει αυτό.
Πολλές φορές ρωτάω τους ανθρώπους γύρω μου ποιο πιστεύουν ότι είναι το προϊόν της τάδε εταιρείας αναζήτησης ή του δείνα ιστότοπου κοινωνικής δικτύωσης, δεδομένου ότι οι υπηρεσίες τους προσφέρονται δωρεάν. Τις περισσότερες φορές αντιλαμβάνομαι πως οι απλοί χρήστες δεν αντιλαμβάνονται πως το προϊόν είναι οι ίδιοι. Τα δεδομένα τους για την ακρίβεια, τα οποία συλλέγονται από τις «δωρεάν» υπηρεσίες και εμπορευματοποιούνται στον χώρο της διαφήμισης.

– Πέρα από τα κινητά τηλέφωνα, στην Ελλάδα υπήρξαν πρόσφατα επιθέσεις από χάκερ σε επίσημες ιστοσελίδες του κράτους, σε μια περίοδο υψηλής γεωπολιτικής έντασης. Πόσο συχνά είναι αντίστοιχα φαινόμενα σε διεθνές επίπεδο και ποια είναι πρακτικά η πρόκληση για τις κυβερνήσεις;
– Οι συγκεκριμένες επιθέσεις είναι σχεδόν καθημερινό φαινόμενο παγκοσμίως. Δεν είναι απαραίτητα ανησυχητικές, τουλάχιστον όχι για θεσμούς με μια επαρκή πολιτική ψηφιακής ασφάλειας. Στην πλειονότητα των περιπτώσεων αποτελούν ενέργειες μεμονωμένων ομάδων με συγκεκριμένες ιδεολογίες, οι οποίες συχνά χρησιμοποιούν σχετικά διαδεδομένες –και συνεπώς αντιμετωπίσιμες– επιθετικές τεχνικές.
Αν, όμως, δούμε την ευρύτερη εικόνα θα μπορούσε να πει κανείς ότι αυτές οι επιθέσεις είναι μικρές ενδείξεις της ευρύτερης χρήσης ψηφιακών μέσων για γεωπολιτικές και στρατιωτικές επιχειρήσεις. Υπάρχουν αρκετά παραδείγματα περιστατικών όπου έγινε χρήση εξαιρετικά εξειδικευμένων ψηφιακών μέσων προκειμένου να επιτευχθούν γεωπολιτικά συμφέροντα ή να πληγούν στόχοι υψηλής αξίας.
Εδώ θα μπορούσε να πει κανείς ως παράδειγμα ότι είναι πολύ πιο επικίνδυνες οι καμπάνιες παραπληροφόρησης που διεξάγονται παγκοσμίως προκειμένου να χειραγωγηθεί η κοινή γνώμη ή να επηρεαστούν εκλογικά αποτελέσματα.
Τέτοιες ενέργειες παρατηρούνται σε μεγάλη κλίμακα, είναι δυσκολότερο να αντιμετωπιστούν και μπορεί να έχουν σημαντικά αποτελέσματα σε βάθος χρόνου. Θεωρώ ότι οι κυβερνήσεις έχουν πλέον αντιληφθεί τις ψηφιακές απειλές και θα πρέπει να δουλέψουν συστηματικά ώστε να καταρτίσουν όλο και μεγαλύτερες ομάδες ικανές να αντιμετωπίσουν τις αυξανόμενες απειλές.
Το ευχάριστο για την Ελλάδα είναι ότι διαθέτουμε εξαιρετικά καταρτισμένους επιστήμονες ικανούς να στελεχώσουν τέτοιες ομάδες, τουλάχιστον στον βαθμό που τους επιτρέπουν οι οικονομικές συνθήκες.
Οι μέθοδοι προστασίας
– Τι μεθόδους χρησιμοποιεί σε γενικές γραμμές μια επιχείρηση που παρέχει υπηρεσίες κυβερνοασφάλειας; Με ποιον τρόπο προστατεύει πρακτικά το κινητό τηλέφωνο και με τι ποσοστά επιτυχίας;
– Σε ό,τι αφορά τα ζητήματα ασφάλειας, τα λειτουργικά συστήματα των σύγχρονων κινητών τηλεφώνων εισήγαγαν σημαντικές βελτιώσεις σε σύγκριση με τους προσωπικούς υπολογιστές. Ως εκ τούτου, πολλές από τις συνήθεις επιθέσεις δεν είναι εφαρμόσιμες ή έχουν περιορισμένες συνέπειες.
Παρ’ όλα αυτά, όπως κάθε λογισμικό που έχει παραχθεί ποτέ, όλες οι πλατφόρμες και οι εφαρμογές τους έχουν κάποια κενά ασφαλείας τα οποία εταιρείες όπως η NortonLifeLock φροντίζουν να ανακαλύπτουν, ώστε να προσφέρουν τη σχετική προστασία στους χρήστες με τα ανάλογα προϊόντα. Στη συνέχεια, προκειμένου να αντιμετωπίσουμε τις σύγχρονες απειλές, φροντίζουμε να απευθύνουμε την προσοχή και την ερευνητική μας δραστηριότητα και σε δύο άλλα αντικείμενα. Πρώτον, θα πρέπει να παρέχουμε νέες πρωτοπόρες μεθόδους προστασίας της ιδιωτικότητας του χρήστη. Αυτό περιλαμβάνει τεχνικές λύσεις –π.χ. εφαρμογές βασισμένες στη μηχανική μάθηση (machine learning)– ικανές να διακρίνουν περιπτώσεις κατάχρησης των προσωπικών δεδομένων από κάποια εφαρμογή ή ξεκάθαρης επίθεσης από κακόβουλο λογισμικό.
Οι σύγχρονες μέθοδοι προστασίας βασισμένες σε αυτές τις τεχνικές μάς επιτρέπουν να αναλύσουμε δεδομένα και εξαγάγουμε συμπεράσματα για την ασφάλεια του χρήστη με τρόπο που έως πριν από λίγα χρόνια δεν ήταν δυνατός.
Δεύτερον, και ίσως πιο σημαντικό, πρέπει να βοηθήσουμε τους χρήστες να έχουν μια πιο συνετή συμπεριφορά απέναντι στα νέα δεδομένα. Αυτό περιλαμβάνει μεθόδους βοήθειας στην κατανόηση των απειλών, κατανόησης των δεδομένων που συλλέγουν οι εφαρμογές και συμβουλές για διαχείριση απειλών.
Η διαφήµιση ως εισβολή στα κινητά µας

Τα λογισµικά προβολής διαφηµίσεων, γνωστά ως Adware, δεν είναι εξ ορισµού κακόβουλα. Παρουσιάζουν όµως παρεµβατικές συµπεριφορές και θέτουν σε κίνδυνο την ασφάλεια ενός smartphone. Τα λογισμικά αυτά, όπως και άλλες δυνητικά ανεπιθύµητες εφαρµογές, εγείρουν ζήτηµα για την ιδιωτικότητα του χρήστη.
1. Κατακλύζουν τους χρήστες µε διαφηµίσεις διαφόρων µορφών µέσα σε εφαρµογές (in-app ads), σε όλη την οθόνη (full-screen ads) ή ακόµη και στις ρυθµίσεις του κινητού.
2. Συλλέγουν πληροφορίες όπως η τοποθεσία του χρήστη (συντεταγµένες GPS), το µοντέλο του κινητού, ο σειριακός αριθµός της SIM κάρτας, αλλά και στοιχεία για όλες τις εγκατεστηµένες εφαρµογές και ρυθµίσεις του κινητού.
3. Αντλούν στοιχεία µοναδικά για την κάθε συσκευή, που δεν µπορούν να αλλαχθούν κατά τη διάρκεια ζωής ενός κινητού τηλεφώνου, όπως το International Mobile Station Equipment Identity (IMEI) και το International Mobile Subscriber Identity (IMSI).
4. Συγκεντρώνουν πληροφορίες συχνά µε µη ασφαλή µέσα, χωρίς τη χρήση κρυπτογραφίας, επιτρέποντας την εν δυνάµει διαρροή και σε τρίτους.
kathimerini