Τα ανθρώπινα λάθη στην ασφάλεια υπολογιστών

Οι κυβερνοεγκληματίες χρησιμοποιούν μια ευρεία γκάμα απειλών για να επιτεθούν στους υπολογιστές των χρηστών και να βγάλουν χρήματα με παράνομο τρόπο.

Οι απειλές περιλαμβάνουν διαφόρων ειδών Trojans, worms, ιούς και κακόβουλους κώδικες , που είναι σχεδιασμένες να επιτρέπουν στο κακόβουλο λογισμικό να εκμεταλλεύεται αδυναμίες του λειτουργικού συστήματος ή των εφαρμογών. Με καθαρά τεχνικούς όρους, είναι εύκολο κανείς να δει το πρόβλημα του κυβεερνοεγκλήματος, και να βρει λύσεις γι’ αυτό, αλλά είναι επίσης ουσιώδες να ασχοληθεί με την ανθρώπινη διάσταση του διαδικτυακού εγκλήματος.

Άνθρωποι: ο πιο αδύναμος κρίκος στην αλυσίδα της ασφάλειας
Παρά την τεχνική εξειδίκευση του σημερινού κακόβουλου λογισμικού, οι κυβερνοεγκληματίες συχνά προσπαθούν να εκμεταλλευτούν τις ανθρώπινες αδυναμίες για να διασπείρουν τα προγράμματά τους. Αυτό δεν θα έπρεπε να σας εκπλήσσει και τόσο. Οι άνθρωποι είναι σταθερά ο πιο αδύναμος κρίκος σε οποιοδήποτε σύστημα ασφαλείας. Οι εγκληματίες του Διαδικτύου συνεχίζουν να χρησιμοποιούν εκτεταμένα το social engineering, δηλαδή προσπαθούν να ξεγελάσουν έναν άνθρωπο κάνοντας κάτι που θέτει σε κίνδυνο την διαδικτυακή του/ της ασφάλεια. Γι’ αυτό το λόγο, είναι πολύ σημαντικό να αναπτύξουμε ομαδικά μια «κοινή λογική στο Διαδίκτυο», όπως έχουμε κάνει και στον πραγματικό κόσμο.

Απάτες Phishing
Οι απάτες phishing είναι σχεδιασμένες για να προσελκύουν κόσμο σε έναν ψεύτικο ιστότοπο προκειμένου να αποσπάσουν τα προσωπικά τους δεδομένα, όπως για παράδειγμα usernames, passwords, αριθμούν ΡΙΝ και ό,τι άλλη πληροφορία μπορούν να χρησιμοποιήσουν οι κυβερνοεγκληματίες. Η κλασσική απάτη phishing παίρνει τη μορφή ενός κερδοσκοπικού email το οποίο στέλνεται ως spam σε εκατομμύρια διευθύνσεις με την ελπίδα ότι αρκετοί θα ξεγελαστούν από την απάτη και θα κλικάρουν το σύνδεσμο που περιέχεται στο μήνυμα.

Κίνδυνοι στα Sites Κοινωνικής Δικτύωσης
Ωστόσο, όπως ακριβώς και οι πορτοφολάδες, οι διαδικτυακοί απατεώνες ακολουθούν τα πλήθη. Με δεδομένο τον ολοένα και αυξανόμενο αριθμό ανθρώπων που χρησιμοποιούν υπηρεσίες όπως το Facebook, MySpace, LinkedIn, Twitter και άλλους ιστότοπους κοινωνικής δικτύωσης, δεν είναι τυχαίο που οι κυβερνοεγκληματίες στοχεύουν ολοένα και περισσότερο σ’ αυτές τις υπηρεσίες. Μπορεί να χρησιμοποιήσουν hacked λογαριασμούς Facebook για να στείλουν μηνύματα που περιέχουν συνδέσμους οι οποίοι σε κατευθύνουν σε κακόβουλα προγράμματα ή να στείλουν ‘tweets’ που περιέχουν συνδέσμους, κρύβοντας όμως τον πραγματικό προορισμό χρησιμοποιώντας μια υπηρεσία συντόμευσης URL. Ή ακόμα μπορούν απλά να προσποιηθούν ότι είναι ένας φίλος σας που βρίσκεται απομονωμένος σε μια μακρινή χώρα και χρειάζεται απελπισμένα χρήματα για να γυρίσει σπίτι.

Scareware
Η δημοτικότητα του social engineering φαίνεται επίσης και από την αύξηση των προγραμμάτων ‘scareware’. Τέτοιου είδους απάτες ξεκινούν με ένα pop-up μήνυμα σε μια ιστοσελίδα, το οποίο λέει ότι ο υπολογιστής έχει προσβληθεί και ότι πρέπει να κατεβάσετε ένα δωρεάν πρόγραμμα anti-virus για να απομακρύνετε το κακόβουλο λογισμικό που υποτίθεται ότι έχει εντοπιστεί. Αλλά μόλις κατεβάσετε και τρέξετε το πρόγραμμα, σας λέει ότι χρειάζεστε την «πλήρη» έκδοση για να απολυμάνετε τον υπολογιστή σας – και πρέπει να πληρώσετε γι’ αυτό. Φυσικά, οι εγκληματίες του διαδικτύου ενδεχομένως να κερδίζουν διπλά με αυτή την απάτη: όχι μόνο έχουν πάρει τα χρήματά σας με ψευδή στοιχεία, αλλά τώρα έχουν και τα στοιχεία της πιστωτικής σας κάρτας.

Τι μπορείτε να κάνετε;
Πρέπει ως κοινωνία να βρούμε τρόπους να ευαισθητοποιήσουμε το κοινό σχετικά με τα ρίσκα που ενέχει η διαδικτυακή δραστηριότητα, και να αναπτύξουμε αποτελεσματικές μεθόδους ελαχιστοποίησης αυτών.

Χρησιμοποιείστε δυνατά passwords
Καμιά φορά οι άνθρωποι απλοποιούν τις διαδικασίες για να κάνουν τη ζωή τους πιο εύκολη και δεν καταλαβαίνουν τις συνέπειες για την ασφάλεια. Ένα καλό παράδειγμα είναι οι κωδικοί πρόσβασης. Υπάρχει πλοένα και περισσότερη επιχειρηματική δραστηριότητα στο διαδίκτυο: ψώνια, τραπεζικά θέματα, πληρωμές λογαριασμών, επαγγελματική δικτύωση, κλπ. Είναι σύνηθες κανείς να έχει 10, 20 ή και παραπάνω διαδικτυακούς λογαριασμούς, έτσι ώστε είναι δύσκολο κανείς να θυμάται (ή ακόμα και να διαλέγει) μοναδικό password για κάθε λογαριασμό. Άλλη μια συνηθισμένη προσέγγιση είναι η ανακύκλωση των passwords, για παράδειγμα χρησιμοποιώντας «τοόνομάμου1», «τοόνομάμου2», «τοόνομάμου3» και ούτω καθεξής για διαδοχικούς λογαριασμούς. Χρησιμοποιώντας οποιαδήποτε από αυτές τις πρακτικές αυξάνει την πιθανότητα ένας κυβερνοεγκληματίας να μαντέψει το password ή αν ένας λογαριασμός τεθεί σε κίνδυνο, να αποκτήσει εύκολη πρόσβαση και σε άλλους λογαριασμούς.

Είναι πολύ καλό για να είναι αληθινό;
Ένα από τα προβλήματα με επιθέσεις που βασίζονται στο social engineering είναι ότι δημιουργούν έναν κινούμενο στόχο: οι διαδοχικές απάτες δεν είναι ποτέ ακριβώς ίδιες. Έτσι είναι δύσκολο τα άτομα να ξέρουν τι είναι ασφαλές και τι όχι. Φυσικά, οι άνθρωποι δεν είναι ευπαθείς μόνο από έλλειψη ενημέρωσης. Καμιά φορά το δέλεαρ δωρεάν περιεχομένου ήχου ή video, ή γυμνές φωτογραφίες ενός δημοφιλούς celebrity, μπορούν να οδηγήσουν τους χρήστες να πατήσουν ένα σύνδεσμο που κανονικά θα αγνοούσαν. Η κοινή λογική συχνά προτρέπει πώς αν κάτι μοιάζει πολύ καλό για να είναι αληθινό, μάλλον είναι. Ωστόσο, η ίδια κοινή λογική μπορεί να μην επιφέρει την κατανόηση ότι η δράση –σε αυτή την περίπτωση, κλικάροντας ένα σύνδεσμο- μπορεί να είναι επιβλαβής.

Προσοχή! Οι κακοί δεν κοιμούνται ποτέ…
Σύνδεσμοι σε ψεύτικους ιστότοπους, απάτες μέσω SMS, διαδικτυακές λοταρίες, χρηματοοικονομικές πυραμίδες και απομιμήσεις προγραμμάτων antivirus είναι στην κορυφή της λίστας όταν πρόκειται για απάτες του Internet. Με το να έχετε πολλή εμπιστοσύνη όταν κάνετε περιήγηση στο διαδίκτυο και να αγνοείτε τα βασικά της ασφάλειας πληροφορικής, μπορείτε εύκολα να βρείτε τον εαυτό σας στο έλεος των κυβερνοεγκληματιών, οι οποίοι με πολύ αληθινούς όρους, θα σας κάνουν να πληρώσετε πολύ ακριβά για τα λάθη σας.

Μελλοντικές προοπτικές
Το έγκλημα στον κυβερνοχώρο ήρθε για να μείνει: είναι ένα προϊόν της εποχής του Internet καθώς και μέρος του γενικού τοπίου του εγκλήματος. Έτσι, πιστεύω πως θα ήταν ρεαλιστικό να σκεφτόμαστε πως θα νικήσουμε τον πόλεμο». Ή μάλλον, να βρούμε τρόπους να ελαχιστοποιήσουμε το ρίσκο.

Η νομοθεσία και οι πρωτοβουλίες εφαρμογής των νόμων είναι σχεδιασμένες για να μεγιστοποιούν το ρίσκο που δημιουργούν οι εγκληματίες του κυβερνοχώρου. Ο στόχος της τεχνολογίας και της εκπαίδευσης είναι να ελαχιστοποιήσει το ρίσκο προς την κοινωνία. Καθώς πολλές από τις σημερινές επιθέσεις του κυβερνοχώρου στοχεύουν στην πιθανότητα οι χρήστες να παραπλανόνται, είναι ουσιώδες να βρούμε τρόπους να διορθώσουμε αυτές τις ανθρώπινες αδυναμίες όπως ακριβώς προσπαθούμε να ασφαλίσουμε τους υπολογιστές.