|
|
 |
Ανομες διασυνδέσεις
|
|
|
|
|
|
|
Στο τραπέζι, μπροστά μου, βρίσκεται το κινητό μου τηλέφωνο. Στην οθόνη του αναβοσβήνει για λίγες φορές η λέξη «Σύνδεση», και μετά επιστρέφει στην κατάσταση ηρεμίας που βρισκόταν και πιο πριν. Ο Adam Laurie σηκώνει τα μάτια του από τον φορητό του υπολογιστή και με ρωτάει:
« Έχεις μήπως στον τηλεφωνικό κατάλογο του κινητού σου μια καταχώριση στο όνομα “marca03”;» Ναι έχω...
Ο Laurie, ειδικός σε θέματα ασφάλειας υπολογιστών, συνδιοργανωτής του ετήσιου συνεδρίου «Defcon» για τους χάκερ και διευθυντής της αγγλικής εταιρείας ασφάλειας δεδομένων «AL Digital» έχει μόλις «παραβιάσει» το κινητό μου. Το κατάφερε μέσω της ασύρματης τεχνολογίας Bluetooth, προκειμένου να μου αποδείξει ότι μπορεί να έχει πρόσβαση στα δεδομένα που βρίσκονται αποθηκευμένα στο κινητό μου τηλέφωνο, χωρίς εγώ να το γνωρίζω ή να το έχω εγκρίνει. Αυτό το «παράθυρο» υπάρχει στις τηλεφωνικές συσκευές πολλών κατασκευαστών που εφαρμόζουν το πρωτόκολλο Bluetooth και αποτελεί έναν διαρκώς αυξανόμενο κίνδυνο, ιδιαίτερα αφού τα κινητά τηλέφωνα χρησιμοποιούνται πλέον και για πληρωμές ή άλλες τραπεζικές συναλλαγές.
Το Bluetooth είναι ένα προσωπικό πρωτόκολλο δικτύωσης το οποίο επιτρέπει σε συσκευές που βρίσκονται σε κοντινή απόσταση να επικοινωνούν μεταξύ τους. Αντικαθιστά τα καλώδια σύνδεσης ή τις υπέρυθρες θύρες που συνήθως χρησιμοποιούνται για τη διασύνδεση υπολογιστών, κινητών τηλεφώνων, πληκτρολογίων, εκτυπωτών κ.λπ. Το Bluetooth δεν θα πρέπει να συγχέεται με το πρωτόκολλο 802.11, γνωστό και ως Wi-Fi, το οποίο εξυπηρετεί την ασύρματη επικοινωνία μεταξύ υπολογιστών ή και υπολογιστών με το Διαδίκτυο.
Οι σχεδιαστές τού Bluetooth, έχοντας λάβει υπόψη τους το θέμα της ασφαλούς αποστολής δεδομένων, φρόντισαν ώστε αυτά να μεταδίδονται κρυπτογραφημένα. Ανάλογα με τον προγραμματισμό της, κάθε συσκευή Bluetooth μπορεί να ρυθμιστεί ώστε να επικοινωνεί με συγκεκριμένους αποδέκτες και να αναγνωρίζεται μόνο από αυτούς. Το μειονέκτημα έγκειται στο ότι αυτή η ρύθμιση ασφάλειας δεν είναι πάντα διαθέσιμη ή εύκολη στην ενεργοποίησή της. Όπως και τα οικιακά δίκτυα Wi-Fi, πολλές συσκευές Bluetooth παραμένουν μονίμως ενεργοποιημένες χωρίς καμία προστασία από εξωτερικές «επιθέσεις».
Στην περίπτωσή μου, ο Laurie έπεισε το τηλέφωνό μου ότι ήταν συνδεδεμένο με τον φορητό υπολογιστή του, παρόλο που ο τελευταίος δεν είχε συμπεριληφθεί στη λίστα με τις αποδεκτές προς σύνδεση συσκευές. Για να το επιτύχει αυτό, βασίστηκε στο ότι οι συσκευές Bluetooth χρησιμοποιούν ένα κοινό πρότυπο. Το Bluetooth αποτελεί το μέσο για τη μεταφορά δεδομένων ―όπως φωνή, αρχεία, εκτυπώσεις κ.λπ.― και βασίζεται σε ένα εξατομικευμένο σύνολο από πρωτόκολλα. O Laurie δεν μου εξήγησε πώς ακριβώς τα χρησιμοποιεί, απλώς ανέφερε ότι εκμεταλλεύεται κάποια λάθη των κατασκευαστών στην υλοποίησή τους. Πρόσθεσε επίσης ότι το μεγαλύτερο μέρος του απαραίτητου λογισμικού για αυτές τις υποκλοπές υπάρχει ήδη διαθέσιμο στο Διαδίκτυο, διότι προγράμματα αυτού του είδους έχουν και νόμιμο λόγο ύπαρξης ―όπως αποστολή σύντομων γραπτών μηνυμάτων (SMS) ή εφαρμογές για αποθήκευση δεδομένων.
Για τον περισσότερο κόσμο, η εν λόγω υποκλοπή δεν φαίνεται αρκετά επικίνδυνη, τουλάχιστον κατ’ αρχάς. Όπως ο Laurie αναφέρει σχετικά, «οι περισσότεροι πιστεύουν ότι δεν είναι σημαντικό κάποιος τρίτος να έχει πρόσβαση στον τηλεφωνικό τους κατάλογο, έως ότου συνειδητοποιούν ότι έχουν κάποιες καταχωρίσεις που δεν θα ήθελαν να κοινοποιηθούν». Αυτό θα γίνεται ολοένα και πιο σοβαρό, καθώς τόσο οι διαθέσιμες εφαρμογές όσο και ο αποθηκευτικός χώρος μεγαλώνουν για να περιλαμβάνουν πια και φωτογραφίες, μαγνητοφωνήσεις ή άλλου τύπου δεδομένα.
Προσπαθώντας να επαναλάβει την εργασία τού Laurie, ο Martin Herfurt, ερευνητής στη Salzburg Research στο Σάλτζμπουργκ της Αυστρίας, ανακάλυψε τυχαία κάτι ακόμα πιο σημαντικό: την «πειρατεία» (Βlue-bugging). Με τη μέθοδο αυτή εκμεταλλεύεται τα ίδια «παράθυρα» στην ασφάλεια του λογισμικού προκειμένου να αποκτήσει πρόσβαση στη σειραϊκή θύρα που χρησιμοποιούν συνήθως και τα μόντεμ. Έτσι, στέλνοντας τις κατάλληλες εντολές μπορεί να αναλάβει τον πλήρη έλεγχο της συσκευής, ενώ με απλές εφαρμογές έχει τη δυνατότητα να αναγκάσει το τηλέφωνο να πραγματοποιήσει κλήσεις υψηλής χρέωσης, να στείλει γραπτά μηνύματα (που επίσης μπορεί να έχουν υψηλή χρέωση) ή να συνδεθεί με το Διαδίκτυο. Μπορεί ακόμα κάποιος να ρυθμίσει ένα κινητό τηλέφωνο να τον καλέσει, και έτσι να κρυφακούσει τις συνομιλίες που γίνονται κοντά στη συσκευή.
Οι περισσότεροι από τους κατασκευαστές τηλεφώνων έχουν προνοήσει στο λογισμικό γι’ αυτό το πρόβλημα. Ταυτόχρονα, ο Laurie συνεργάζεται με τους σχεδιαστές τού Bluetooth προκειμένου να βελτιώσουν την ασφάλεια στην επόμενη γενιά προτύπων. Ωστόσο, η κατάσταση αποτελεί και μια πολύ καλή υπενθύμιση ενός βασικού προβλήματος: το ότι η χρήση ασύρματων διασυνδέσεων αντί για καλωδιακών έχει προσθέσει ένα ακόμα αόρατο επίπεδο κινδύνου.
|
|
|
|
|
|
