Τον Σεπτέμβριο του 2015 πηγή του FBI ενημέρωση την Επιτροπή Δημοκρατικών ότι ένας από τους υπολογιστές του δικτύου της είχε παραβιαστεί από χάκερς που εργάζονται για τη ρωσική κυβέρνηση. Ωστόσο, μετά από αυτή την ενημέρωση τίποτα το ιδιαίτερο δεν συνέβη σύμφωνα και με μακροσκελή αναφορά που παραδόθηκε στα μέλη της Εθνικής Επιτροπής στις 13 Δεκεμβρίου του ίδιου έτους.
Εκείνο που συνέβη, ήταν ότι μέχρι τότε οι εργαζόμενοι στο τεχνικό κομμάτι της Επιτροπής Δημοκρατικών είχαν διαπράξει μία σειρά από γκάφες: χρησιμοποιώντας πρακτικές και τεχνολογία που αγνοούσε ακόμη και τους βασικούς κανόνες διαδικτυακής ασφάλειας. Και φυσικά αυτές οι γκάφες, ήταν που επέτρεψαν περαιτέρω διείσδυση στους χάκερς: ο κεντρικός σέρβερ της Επιτροπής παραβιάστηκε ολοκληρωτικά, χιλιάδες ιδιωτικά emails δημοσιεύθηκαν τελικά στο Wikileaks, με τα γνωστά σε όλους αποτελέσματα. Από ένα σημείο και μετά, ήταν απολύτως αδύνατο να διαπιστωθεί, αν η παραβίαση σχετιζόταν με τις αποκαλύψεις που δημιούργησαν το προεκλογικό σκάνδαλο της Χίλαρι Κλίντον.
Πλέον, εικάζεται ότι Ρώσοι χάκερς βρίσκονταν πίσω από το συγκεκριμένο χτύπημα και είτε πρόκειται περί εικασίας με βάσεις στην πραγματικότητα είτε για τεχνολογικά παραφουσκωμένα σενάρια, το μόνο σίγουρο είναι ότι κανένας λογαριασμός ανθρώπου στη Επιτροπή Δημοκρατικών -από το mail του μέχρι τον λογαριασμό του στο LinkedIn- δεν θεωρείται πλέον ασφαλής. Υπάρχουν, όμως, τρόποι προστασίας και σύμφωνα πλέον με στέλεχος της Επιτροπής τα βήματα είναι απλά (και κοινά εναντίον όλων των χάκερς, παγκοσμίως).
Το ηθικό δίδαγμα απ' όλο αυτό είναι ότι όταν πραγματικά συμβαίνει κάτι τέτοιο και ένα μήνυμα από τη Google φτάνει στο ηλεκτρονικό μας ταχυδρομείο, σίγουρα δεν μας καλεί απροκάλυπτα να αλλάξουμε κωδικό. Εκείνο που όντως συμβαίνει είναι ότι μας ενημερώνει για κάποιου είδους παραβίαση ή απόπειρα
Ο τρόπος με τον οποίο οι χάκερς απέκτησαν πρόσβαση στο δίκτυο υπολογιστών της Επιτροπής Δημοκρατικών ήταν απλούστατος και αποτελεί το συνηθέστερο όπλο τους: "ψάρεμα". Για παράδειγμα, φαίνεται ότι το πρόβλημα με τα emails της Κλίντον ξεκίνησε όταν ένας αξιωματούχος της καμπάνιας έλαβε ένα email, δήθεν από τη Google με τη συνήθη προειδοποίηση ότι κάποιος έχει σπάσει τον κωδικό ασφαλείας του.
Κατά το ίδιο μήνυμα, κάποιος από ηλεκτρονικό υπολογιστή κάπου στην Ουκρανία είχε επιχειρήσει να παραβιάσει τον κωδικό του. Ο συγκεκριμένος υπάλληλος τότε πάτησε ένα λινκ που τον καλούσε να αλλάξει τον κωδικό του και αυτό και έκανε. Στην πραγματικότητα, όμως, το λινκ οδηγούσε σε έναν σέρβερ που έλεγχαν οι χάκερς και φυσικά με αυτό που έκανε τους επέτρεπε να μπουν στην ηλεκτρονική του αλληλογραφία.
Εκείνη τη μέρα -και τις επόμενες- πολλοί εργαζόμενοι στο επιτελείο της Χίλαρι θα λάμβαναν ένα τέτοιο μήνυμα και θα λειτουργούσαν αναλόγως. Το ηθικό δίδαγμα απ' όλο αυτό είναι ότι όταν πραγματικά συμβαίνει κάτι τέτοιο και ένα μήνυμα από τη Google φτάνει στο ηλεκτρονικό μας ταχυδρομείο, σίγουρα δεν μας καλεί απροκάλυπτα να αλλάξουμε κωδικό. Εκείνο που όντως συμβαίνει είναι ότι μας ενημερώνει για κάποιου είδους παραβίαση ή απόπειρα, αναλόγως την περίπτωση, και εν συνεχεία μας καθοδηγεί σε διάφορα βήματα μεταξύ των οποίων να διαβάσουμε τους όρους χρήσης και τους τρόπους με τους οποίους μπορούμε όντως να επιλύσουμε το ζήτημα. Σίγουρα, πάντως, δεν μας κατευθύνει σε λινκ που ζητά νέο κωδικό... Και να πώς μοιάζει ένα τέτοιο παραπλανητικό μήνυμα.
Russia-linked #phishing campaign behind the DNC breach also hit Podesta, Powell https://t.co/LcwxZapKny via @arstechnica pic.twitter.com/LHYXWqIqkJ
— Network Box USA, Inc (@NetworkBoxUSA) October 21, 2016
Ακολουθεί ένα αυθεντικό μήνυμα της Google:
Είναι πολύ εύκολο να μπερδευτεί κανείς με ένα τέτοιο email, όμως πάντα ο πιο απλός και ασφαλής τρόπος για να ελεγχθεί η γνησιότητα του είναι πρώτα να βεβαιωθεί ότι στο μήνυμα που έλαβε δεν υπάρχει κάποιο λινκ: αν υπάρχει, μην περάσετε το ποντίκι σας από πάνω του, μην το πατήσετε, ούτε από κομπιούτερ ούτε από κινητό. Κι όταν διαβάζετε τις διευθύνσεις εισερχομένων σας, διαβάστε καλά, γίνετε παρατηρητικοί. Πολύ συχνά οι χάκερς "πειράζουν" τα πραγματικά ονόματα υπαρκτών εταιρειών για να φαίνεται ότι λάβατε mail από την Apple ή τη Google, ενώ πρακτικά αυτό που έφτασε στο ηλεκτρονικό ταχυδρομείο σας γράφει goog1e.com ή app1e.com, κοινώς, το url είναι πειραγμένο, ακριβώς για να σας ξεγελάσει, λόγω κεκτημένης ταχύτητας.
Στην περίπτωση των ιδιωτών -και όχι οργανισμών του βεληνεκούς της Επιτροπής Δημοκρατικών- τα βήματα προστασίας μοιάζουν πιο απλά:
- Χρησιμοποιήστε ασφάλεια δύο επιπέδων. Εφαρμογές όπως το Gmail και το Facebook συχνά σας ζητούν το τηλέφωνο σας ή ένα εναλλακτικό email σε περίπτωση που πέσετε θύμα phishing. Γι' αυτό, όταν συνδέεστε από μία νέα συσκευή ή ακόμη περισσότερο από άλλη χώρα, σας ζητούν έναν έξτρα κωδικό ασφαλείας. Κάπως έτσι, ακόμη κι αν κλέψουν το τηλέφωνο σας, τα πράγματα δεν θα είναι τόσο εύκολα για έναν χάκερ.
- Μην υποτιμάτε τον password manager. Τα ειδικά sites που δημιουργούν κωδικούς για εσάς, ειδικά αν διαχειρίζεστε πολλούς λογαριασμούς ταυτόχρονα. Ναι, η απομνημόνευση τους είναι δύσκολη, μπορείτε, όμως, να σημειώνετε τον κωδικό και να δημιουργείτε ισχυρά passwords, αδιαπέραστα για τους εκάστοτε κακοπροαίρετους. Αξιόπιστοι password managers θεωρούνται τα 1Password.com ή το LastPass.com.
- Χρησιμοποιήστε πιο ασφαλή τρόπο γραπτής επικοινωνίας από τα e-mails. Λόγου χάριν, κι αν πλέον έχετε φτάσει σε τέτοιο σημείο να πιστεύετε ότι τα μηνύματα σας παρακολουθούνται, υπάρχει το SpiderOak, το οποίο το εμπιστεύεται και το συνιστά ο Edward Snowden: το συγκεκριμένο είναι γεμάτο από εργαλεία κρυπτογράφησης με βάση συναλλαγής που θυμίζει πολύ την πλατφόρμα του Dropbox, αλλά ακόμη πιο ασφαλές. Στο ίδιο ανήκει και το Signal, μία εφαρμογή που μοιάζει με τον τρόπο ανταλλαγής μηνυμάτων του WhatsApp, αλλά ακόμη πιο εξελιγμένη.
- Να θυμάστε ότι τις πολύ προσωπικές / σημαντικές συζητήσεις καλό είναι να τις κάνετε πρόσωπο με πρόσωπο ή έστω τηλεφωνικά. Αν κάτι διδακτικό προκύπτει από το φιάσκο των Δημοκρατικών -πέρα από το πώς η διαρροή επηρέασε το αμερικανικό εκλογικό αποτέλεσμα- είναι όλα αυτά τα ντροπιαστικά emails που ήρθαν στο φως και μαρτυρούσαν τα πραγματικά αισθήματα και τις προθέσεις ανθρώπων που υποτίθεται δούλευαν μαζί, για κοινό σκοπό...
Με στοιχεία από το Qz.com
σχόλια