Peter Dazeley, Getty Images

STATI UNITI

Ζούμε στην εποχή της ανασφάλειας

Zeynep Tufeksi The Atlantic, ΗΠΑ

Το περασμένο Σαββατοκύριακο στη Βόρεια Καρολίνα, την πολιτεία όπου ζω, μόνο το ένα τρίτο των αντλιών αερίου είχε διαθέσιμα καύσιμα. Μια κυβερνοεπίθεση  – που πραγματοποιήθηκε μέσω ransomware – είχε ως αποτέλεσμα το κλείσιμο του αποικιακού αγωγού, ενός μεγάλου αγωγού που προμηθεύει διανομείς σε μεγάλο μέρος της ανατολικής ακτής. Θα πρέπει να είναι ένα κάλεσμα αφύπνισης για να αποφευχθεί μια μελλοντική καταστροφή. Αλλά μάλλον δεν θα συμβεί αυτό.

Πριν από την πανδημία ασχολήθηκα με την ψηφιακή ασφάλεια, ή μάλλον με την απουσία ψηφιακής ασφάλειας. Σύγκρινα την ευπάθεια του τομέα της τεχνολογίας με την «κατασκευή αυτοσχέδιων ουρανοξύστες σε μια σεισμική ζώνη». Δεν έχουν αλλάξει και πολλά από τότε. Από την άλλη, οι κλυδωνισμούς αρχίζουν να γίνονται πιο πολυάριθμοι. Η κατάσταση στον κόσμο της ψηφιακής ασφάλειας είναι παρόμοια με εκείνη στην οποία βρισκόταν η παγκόσμια υγεία πριν από την πανδημία.

Η σειρά Battlestar Galactica μας βοηθά να κατανοήσουμε μια από τις πιο σημαντικές ομοιότητες. Τα δικτυωμένα συστήματα είναι ευάλωτα. Η υπόθεση της σειράς είναι ότι το Γκαλάκτικα είναι το μόνο πλοίο στον ανθρώπινο στόλο που επέζησε από επίθεση των Κυλώνων (ανθρωποειδή ρομπότ), απλώς και μόνο επειδή ήταν παλιό και ετοιμαζόταν να γίνει μουσείο, και για το λόγο αυτό δεν είχε συνδεθεί ποτέ με το δίκτυο. Σε όρους πανδημίας, το Γκαλάκτικα είναι ένα νησί που κανείς δεν μπορεί να φτάσει.

Η ψηφιακή μας υποδομή δεν χτίζεται με την ασφάλεια στα δικά της δικαιώματα. Αυτό οφείλεται στο γεγονός ότι μεγάλο μέρος του συστήματος εξαρτάται από παλιά εξαρτήματα, αλλά και επειδή υπήρξε έλλειψη κινήτρων για την ιεράρχηση της ασφάλειας. Θα ήταν δυνατή η κατασκευή λειτουργικών συστημάτων από την αρχή με εργαλεία 12μόνο σε ασφαλή περιοχή (το sandbox) όπου κανείς άλλος δεν μπορεί να εισέλθει. Εάν το πρόγραμμα έχει μολυνθεί, μπορεί μόνο να βλάψει το sandbox  του.  Μια παρόμοια αρχή βασίζεται στο κενό αέρα, στο οποίο κρίσιμα στοιχεία ενός δικτύου αποσυνδέονται από τη γενική υποδομή. Είναι πολύ δύσκολο να βελτιωθεί η σταθερότητα ενός συστήματος που έχει ήδη ολοκληρωθεί και έχει κατασκευαστεί χωρίς να λαμβάνεται υπόψη η ασφάλεια. Περιτριγυριζόμαστε επίσης από «τεχνικό χρέος», προγράμματα που λειτουργούν αλλά δημιουργήθηκαν βιαστικά, συχνά πριν από δεκαετίες, και δεν έπρεπε ποτέ να λειτουργήσουν στα επίπεδα στα οποία λειτουργούν.

Κολλητική ταινία
Δεν τροποποιούμε αυτά τα ασταθή στοιχεία επειδή θα ήταν πολύ ακριβό και δύσκολο και υπάρχει κίνδυνος να γκρεμιστούν τα πάντα. Αυτό σημαίνει ότι στον κώδικά μας υπάρχει πολλή κολλητική ταινία που συγκρατεί διαφορετικά προγράμματα και τα συστατικά τους. Τα προγράμματα συχνά εκτελούν καθήκοντα για τα οποία δεν έχουν σχεδιαστεί. Το παγκόσμιο δίκτυό μας δεν έχει κατασκευαστεί με την ψηφιακή ασφάλεια στα δικά του δικαιώματα. Όπως έγραψα το 2018, η πρώτη έκδοση του διαδικτύου υποτίθεται ότι θα συνέδεε ανθρώπους που είχαν ήδη κάποια αμοιβαία εμπιστοσύνη, όπως οι πανεπιστημιακοί ερευνητές και ο στρατός. Το δίκτυο δεν είχε ποτέ τη σταθερότητα που χρειάζεται σήμερα. Ενώ οι χρήστες του διαδικτύου έχουν περάσει από μερικές χιλιάδες σε περισσότερα από τρία δισεκατομμύρια, οι προσπάθειες βελτίωσης της ασφάλειας έχουν παρεμποδιστεί από το κόστος, την έλλειψη προνοητικότητας και τα αντικρουόμενα συμφέροντα.

Ακόμη και αφήνοντας κατά μέρος την ασφάλεια των δικτύων μας, το γεγονός παραμένει ότι οι συσκευές που χρησιμοποιούμε καθημερινά πωλούνται με κωδικούς πρόσβασης που επιλέγονται από μια προκαθορισμένη λίστα, για παράδειγμα κωδικό πρόσβασης, 1234 και προεπιλογή.  Το 2019 εξήγησα γιατί όλα αυτά μας καθιστούν ευάλωτους, λαμβάνοντας το παράδειγμα του τρόπου με τον οποίο οι οθόνες μωρών – οι συσκευές που χρησιμοποιούνται για την απομακρυσμένη παρακολούθηση των δραστηριοτήτων των νεογνών – χρησιμοποιούνται για να χτυπήσουν υποδομές (για παράδειγμα διακόπτοντας τις επικοινωνίες κινητής τηλεφωνίας στη Λιβερία) ή για να λογοκρίνουν τους δημοσιογράφους: «Οι περισσότερες συσκευές μας εξαρτώνται από το γενικό υλικό, που παράγεται ειδικά στην Κίνα και χρησιμοποιείται σε προϊόντα που πωλούνται σε όλο τον κόσμο. Για να κάνουν τη δουλειά τους, αυτές οι συσκευές εκτελούν προγράμματα και περιέχουν προφίλ χρηστών για ρύθμιση παραμέτρων. Δυστυχώς, πολλοί κατασκευαστές αποφάσισαν να εισάγουν δημοφιλείς κωδικούς πρόσβασης όπως κωδικό πρόσβασης,   1234, διαχειριστής,   προεπιλογή ή επισκέπτης.  Σε μια τόσο απλή αλλά καταστροφική επίθεση, κάποιος έβαλε μαζί 61 συνδυασμούς ονόματος χρήστη-κωδικού πρόσβασης και δημιούργησε ένα πρόγραμμα που κοσκινίζει μέσω του διαδικτύου αναζητώντας προϊόντα που τα χρησιμοποιούν. Μόλις εντοπιστούν οι συσκευές, το πρόγραμμα αυτο-εγκαθιστάται και διαγράφει οποιοδήποτε άλλο κακόβουλο λογισμικό που μπορεί να υπάρχει, έτσι ώστε να είναι το μόνο παράσιτο. Το κακόβουλο πρόγραμμα, που ονομάζεται Mirai, συνδυάζει εκατομμύρια ευάλωτες συσκευές σε ένα botnet, ένα δίκτυο μολυσμένων υπολογιστών. Όταν τόσες πολλές οθόνες μωρών, εκτυπωτές και κάμερες στοχεύουν ταυτόχρονα ένα θύμα, ο στόχος κατακλύζεται και γίνεται απρόσιτος, εκτός αν είναι εξοπλισμένος με πολύ ακριβή προστασία.»

Τα προβλήματα αυτού του είδους συχνά δεν επιλύονται, λόγω αυτού που οι οικονομολόγοι αποκαλούν «αρνητικές εξωτερικές επιπτώσεις»: η διάθεση τέτοιων προγραμμάτων ή συσκευών στην αγορά είναι δωρεάν, ενώ η σύνδεση οπών είναι πολύ ακριβή. Επίσης, η επιλογή της πιο δαπανηρής διαδρομής δεν φέρνει άμεσα οφέλη. Είναι σαν να ζητάμε από τα εργοστάσια να επιλέξουν μεταξύ ελεύθερα ρυπογόνων αποβλήτων ρίχνοντας απόβλητα στην ατμόσφαιρα ή σε έναν ποταμό ή εγκαθιστώντας ένα ακριβό σύστημα φιλτραρίσματος, σε ένα πλαίσιο όπου η ρύπανση θα εξακολουθούσε να είναι ανεπαίσθητη και αόρατη. Μπορείτε να φανταστείτε ποια επιλογή γίνεται σήμερα: οι εταιρείες δεν ενδιαφέρονται επειδή δεν χρειάζεται να το πράξουν.

Στην πραγματικότητα, αν σκεφτείτε πόσο διαδεδομένα είναι αυτά τα προβλήματα, είναι εκπληκτικό το γεγονός ότι οι κυβερνοεπιθέσεις είναι τόσο σπάνιες. Όπως και με την πανδημία, η ψηφιακή μας αδυναμία έχει τις ρίζες της σε ένα διασυνδεδεμένο δίκτυο που χαρακτηρίζεται από συνδυασμένες ευπάθειες. Όπως και οι βιολογικοί ιοί που μας ακολουθούν στα ταξίδια μας, το κακόβουλο λογισμικό και οι ψηφιακοί ιοί μπορούν να κινηθούν μέσω διασυνδεδεμένων δικτύων (που βρίσκονται παντού σήμερα, καθώς το λογισμικό παίρνει τον έλεγχο του κόσμου). Σε ένα τέτοιο σύστημα, όταν προκύπτει ένα πρόβλημα, συνήθως δημιουργεί διαδοχικά προβλήματα.

Είναι αναμφισβήτητο ότι τα bitcoins τροφοδοτούν τον πειρασμό να δοκιμάσουν παράνομες συναλλαγές, τουλάχιστον για μικρά ποσά

Πριν από τη γέννηση κρυπτονομισμάτων όπως το bitcoin δεν υπήρχε τρόπος να προκύψουν έσοδα από αυτές τις ψηφιακές αδικίες. Παρά την εμφάνιση αχαλίνωτης ελευθερίας, ο παγκόσμιος χρηματοπιστωτικός τομέας ρυθμίζεται σωστά. Ορισμένοι ξεγελιούνται από την ευκολία με την οποία μεταφέρονται χρήματα στο σύστημα, αλλά η αλήθεια είναι ότι το ξέπλυμα μεγάλων ποσών δεν είναι τόσο εύκολο, ειδικά εάν οι αρχές είναι αποφασισμένες να σταματήσουν αυτές τις δραστηριότητες. Φυσικά, υπάρχει ξέπλυμα χρήματος, ειδικά από τα μεγάλα καρτέλ ναρκωτικών, αλλά πρόκειται για πολύπλοκες επιχειρήσεις που απαιτούν μεγάλη προσπάθεια.

Τα Bitcoins αλλάζουν την κατάσταση ή τουλάχιστον δημιουργούν κίνητρα για να προσπαθήσουν να διαπράξουν εγκλήματα. Η χρήση bitcoins για τη μεταφορά μεγάλων χρηματικών ποσών από το σύστημα (για την αγορά προϊόντων ή τη μετατροπή τους σε μετρητά) δεν είναι τόσο εύκολη όσο νομίζετε. Τα μικρά ποσά δεν αποτελούν πρόβλημα, αλλά εκείνα που θα καθιστούν ελκυστική την απάτη μεγάλης κλίμακας δύσκολα θα παρέμεναν κρυμμένα. Σε κάθε περίπτωση, είναι αναμφισβήτητο ότι τα bitcoins τροφοδοτούν τον πειρασμό να δοκιμάσουν παράνομες συναλλαγές, τουλάχιστον για μικρά ποσά. Πολλές επιθέσεις μέσω ransomware (κακόβουλου λογισμικού) δεν στοχεύουν σε μεγάλα κέρδη και αυτό σημαίνει ότι το bitcoin και ο κόσμος των κρυπτονομισμάτων έχουν προσφέρει στο ransomware ένα προσαρμόσιμο επιχειρηματικό μοντέλο, τουλάχιστον στις ιδέες των «επιχειρηματιών» του κλάδου.

Η επίλυση αυτού του προβλήματος είναι εξαιρετικά δαπανηρή. Μια λύση θα απαιτούσε αλλαγή στις προτεραιότητες της κυβέρνησης των «ΠΑ. Θα χρειαζόμασταν ένα ρυθμιστικό σύστημα που θα ενθάρρυνε καλύτερες πρακτικές καθώς και αύξηση των ειδικών πόρων. Τα προγράμματα θα πρέπει να είναι πιο αξιόπιστα, οι κρίσιμες λειτουργίες θα πρέπει να απομονωθούν και οι εξωτερικοί έλεγχοι θα πρέπει να γίνουν ο κανόνας. Ορισμένα από τα μέτρα που πρέπει να ληφθούν στο οικονομικό μέτωπο – προσδιορίζοντας τους μηχανισμούς με τους οποίους οι άνθρωποι μπορούν να ξεπλένουν χρήματα χρησιμοποιώντας κρυπτονομίσματα που λαμβάνονται μέσω παράνομων δραστηριοτήτων – μπορεί να είναι εύκολα από πρακτική άποψη, αλλά θα έθετε επίσης πολλά ευαίσθητα ερωτήματα. Θα είχαμε επιτέλους ρύθμιση κρυπτονομισμάτων; Θα αποκάλυπτε επίσης το γεγονός ότι τα κρυπτονομίσματα έχουν γίνει ένα κερδοσκοπικό εργαλείο; Αυτό θα έθετε ένα ακόμη πιο σημαντικό ζήτημα, το οποίο αφορά τον τρόπο με τον οποίο η παγκόσμια οικονομία συνεχίζει να παράγει φυσαλίδες και τεράστια κερδοσκοπικά κύματα, όπως αυτό που οδήγησε στη χρηματοπιστωτική κρίση του 2008.

Είναι ένα πρόβλημα που συνδέεται με τη συγκέντρωση του παγκόσμιου πλούτου και την έλλειψη αποτελεσματικών ελέγχων των συνεπειών του. Όλα αυτά για να πούμε ότι, όπως και με το τεχνικό χρέος, οι αυτοσχέδιες λύσεις για την επίλυση μιας άμεσης κρίσης δεν επιλύουν τα βασικά προβλήματα. » εξεύρεση λύσης για την ψηφιακή ανασφάλεια θα σήμαινε επίσης τη δημιουργία καλύτερων κανόνων στον τομέα της τεχνολογίας, ούτως ώστε οι αρνητικές εξωτερικές επιπτώσεις να καταστούν εσωτερικά προβλήματα διαφορετικών εταιρειών, οι οποίες θα είναι υπεύθυνες για την εξεύρεση λύσεων στα προβλήματα που έχουν δημιουργήσει.

ΤΟ ΆΡΘΡΟ ΣΥΝΕΧΊΖΕΤΑΙ ΜΕΤΆ ΤΗ ΔΙΑΦΉΜΙΣΗ

Το πιο πιθανό σενάριο είναι ότι θα υπάρξουν αλλαγές στο οικονομικό μέτωπο (θα είναι πιο δύσκολο να ξεπλύνετε μεγάλα ποσά από κρυπτονομίσματα στο νομικό χρηματοπιστωτικό σύστημα) και στην κυβέρνηση (μπορείτε να πείσετε μια άλλη κυβέρνηση να μην επιτεθεί στις υποδομές σας, αλλά το να το κάνετε με μη κυβερνητικές οργανώσεις είναι πολύ πιο περίπλοκο). Ορισμένες επιθέσεις ransomware υψηλού επιπέδου θα μπορούσαν να παρέχουν την ευκαιρία να γίνει ένα είδος προειδοποίησης, εντοπίζοντας τους υπεύθυνους και τιμωρώντας τους με υποδειγματικές καταδίκες. Δεν είναι τόσο δύσκολο όσο ακούγεται, αλλά χρειάζεστε πόρους.

Ωστόσο, εάν οι επιθέσεις ransomware πολλαπλασιαστούν, οι τιμωρίες δεν θα είναι πλέον ένας αποτελεσματικός αποτρεπτικός αποτρεπτικός μέσος, επειδή οι περισσότεροι από τους υπεύθυνους θα εξακολουθούν να διαφεύγουν της δικαιοσύνης. Αυτό θα δημιουργούσε μια καταστροφική λοταρία για τους χρήστες ransomware– οι περισσότεροι θα τηγλύτωναν, ενώ οι λίγοι που θα συλληφθούν θα λάμβαναν σκληρές τιμωρίες.

Αυτό μου θυμίζει επίσης την εποχή πριν από την πανδημία, όταν γνωρίζαμε ότι υπήρχε σοβαρή απειλή και ότι οι υποδομές μας δεν ήταν σε θέση να την αντιμετωπίσουν. Μεταξύ του 2014 και του 2016 υπήρξε η κρίση του Έμπολα, στην οποία ανησυχήσαμε περισσότερο για τους κινδύνους για τους (περιορισμένους) Αμερικανούς παρά για την ανάγκη ενίσχυσης της παγκόσμιας αντίδρασης. Το 2003 υπήρξε η επιδημία sars, η οποία σχεδόν δεν έγινε πανδημία. Ακόμη και πριν από αυτό, στη δεκαετία του 1980, είχε σημειωθεί μια καταστροφή που συνδέεται με την εξάπλωση του HIV/AIDS, η οποία χαρακτηρίστηκε από αδικαιολόγητη καθυστέρηση στην παγκόσμια διαθεσιμότητα προσβάσιμων φαρμάκων. Έχουμε κάνει κάτι για να αντιμετωπίσουμε τις ελλείψεις που επισημάνθηκαν από αυτές τις εμπειρίες; Φυσικά και όχι. Εν τω μεταξύ, στο Honda Civic μου υπάρχει ακόμα βενζίνη, οπότε προς το παρόν όλα είναι μια χαρά. Αλλά όταν σκέφτομαι το μέλλον του διασυνδεδεμένου κόσμου μας, δεν είμαι καθόλου ήσυχος.