Πως μπορεί να συνδέονται οι κυβερνήσεις με τον χώρο των startup και τους hackers? Αλήθεια έχετε αναρωτηθεί ποτέ τι μπορεί να συμβαίνει στην σκοτεινή πλευρά του διαδικτύου; Έχετε ακούσει ποτέ τις λέξεις κυβερνο-πόλεμος (cyber-war fair) και κυβερνο-κατασκοπεία (cyber-espionage); Η σκέψη που μου δημιουργήθηκε διαβάζοντας ένα άρθρο των New York Times είναι ότι ο 3ος Παγκόσμιος θα λάβει χώρα στο διαδίκτυο και θα προσπαθήσω να σας εξηγήσω τα ερεθίσματα που συνδέονται με αυτήν την σκέψη, τα σχόλια δικά σας και ευπρόσδεκτα.
Στο χώρο των υπολογιστών, εδώ και περίπου 40 χρόνια, υπάρχουν άνθρωποι που έχουν βαθιά γνώση, εμπειρία και αντίληψη του κώδικα, της γλώσσας των υπολογιστών. Οι περισσότεροι από αυτούς συνήθως ακλουθούν το φυσιολογικό ‘μονοπάτι’ που οδηγεί σε μια επαγγελματική καριέρα στο χώρο ανάπτυξης λογισμικού.
Μάλιστα ορισμένοι είναι παγκόσμια αναγνωρίσιμοι για την επιτυχία τους, όπως για παράδειγμα ένας από τους πρώτους που οραματίστηκε, στην αυγή της βιομηχανίας των υπολογιστών, την ανάπτυξη που θα μπορούσε να είχε μια τέτοια εταιρεία, ο γνωστός σε όλους Bill Gates, ο δημιουργός την Microsoft.
Υπάρχει όμως και ένα άλλο ‘μονοπάτι’ το οποίο κάποιος, που έχει βαθιά γνώση στον χώρο του λογισμικού υπολογιστών, μπορεί να ακολουθήσει. Δεν είναι ακριβώς παράνομο, αλλά εκείνοι που το επιλέγουν λειτουργούν στο παρασκήνιο, σε μια βιομηχανία παράλληλα αναπτυσσόμενη με εκείνη των υπολογιστών. Φυσικά δε μιλάμε για άλλους από τους γνωστούς σε όλους μας hackers.
Ο τρόπος που λειτουργούν είναι πολύ εύκολο να κατανοηθεί, αλλά φυσικά πολύ δύσκολο να υλοποιηθεί. Αυτό που κάνουν λοιπόν οι επαγγελματίες του χώρου είναι να βρίσκουν κενά ασφαλείας στο λογισμικό των υπολογιστικών συστημάτων. Τα κενά ασφαλείας ή ‘τρύπες λογισμικού’ είναι γνωστά στην κοινότητα των hackers σαν zero-day. Το όνομα αυτού προέρχεται από το γεγονός ότι ο δημιουργός του λογισμικού είχε ΄μηδέν μέρες΄για να φτιάξει το κενό ασφαλείας αφού οι hackers τον πρόλαβαν.
Οι εταιρείες που κατασκευάζουν προγράμματα προτίθενται να πληρώσουν αρκετές χιλιάδες δολάρια, ανάλογα πάντα με το πόσο σοβαρό είναι, ώστε να αγοράσουν ένα zero-day. Για την ακρίβεια, πολλές εξ’αυτών τρέχουν προγράμματα, γνωστά στις κοινότητες των hackers, στα οποία δίνουν συγκεκριμένα ποσά σε όποιον ανακαλύπτει ελαττώματα. Συγκεκριμένα η Google μέχρι και πριν ένα μήνα έδινε περίπου $3.000 για αναφορά προβλημάτων στο λογισμικό του Chrome browser.
Το ποσό αυτό πλέον αγγίζει τα 20.000$ και αφορά μεγάλη γκάμα προϊόντων της. Το Facebook από το 2011 τρέχει ένα αντίστοιχο πρόγραμμα και έχει πληρώσει μέχρι στιγμής περίπου 1 εκατομμύριο δολάρια με μέγιστη πληρωμή τα $20.000 για ένα bug.
Η Microsoft, η οποία πάντα αντιστεκόταν σε τέτοια προγράμματα, τον περασμένο μήνα ανακοίνωσε ότι θα δώσει μέχρι και 150.000$ σε όποιον βρει κάποιο σοβαρό zero-day, υπό την προϋπόθεση να παρέχει μαζί με το πρόβλημα και τη λύση. Από την λίστα δε θα μπορούσε να λείπει η Apple, η οποία ήταν πάντα αντίθετη με αυτές τις πρακτικές, όμως φέρεται να έχει δώσει για ένα zero-day στο λογισμικό της το ποσό των $500.000.
Όλα αυτά μέχρι να δημιουργηθεί ο Stuxnet. Ο Stuxnet πρόκειται για έναν από τους πιο εξελιγμένους ιούς τύπου ‘worm’. Τα προγράμματα αυτού του τύπου έχουν την ικανότητα να διεισδύουν σε υπολογιστικά συστήματα μέσω κενών ασφαλείας και να αναπαράγονται μέσα από αυτούς σε γειτονικούς υπολογιστές με διάφορους τρόπους, όπως για παράδειγμα μέσω του δικτύου. Η διαδικασία της αναπαραγωγής επαναλαμβανεται μέχρι να φθάσουν στον υπολογιστή στόχο. Έπειτα αυτά τα λογισμικά είναι ικανά να προγραμματιστούν ώστε να εκτελέσουν μια συγκεκριμένη εντολή.
Για παράδειγμα ο Stuxnet είχε την δυνατότητα να αλλάξει την πίεση μέσα σε έναν πυρηνικό αντιδραστήρα ή να κλείσει κάποιον αγωγό πετρελαίου, ενώ ταυτόχρονα έδειχνε στους διαχειριστές των συστημάτων ότι όλα είναι φυσιολογικά. Ο Stuxnet ήταν το πρώτο όπλο κατασκευασμένο εξολοκλήρου από κώδικα. Δεν υπάρχουν αποδείξεις για το ποιος το κατασκεύασε αλλά οι φήμες όπως ίσως ήδη μαντεύετε αναφέρουν την ΗΠΑ και το Ισραήλ. Το θέμα έθιξε μέχρι και τη Siemens το λογισμικό της οποίας εκμεταλλεύτηκε ο Stuxnet ώστε να διεισδύσει στο πυρηνικό εργοστάσιο του Ιράν.
Οι κυβερνήσεις πλέον έχουν επανδρώσει ολόκληρες ομάδες προγραμματιστών οι οποίες έχουν την ικανότητα να βρίσκουν zeroday σε κυβερνητικά συστήματα αντίπαλων κρατών. Αυτό δεν αρκεί και έτσι οι κανόνες του παιχνιδιού άλλαξαν και πλέον οι καλοπληρωτές για τα zeroday από εταιρείες έγιναν κράτη, και οι hackers από ανώνυμοι κυνηγημένοι έγιναν επιχειρηματίες δημιουργώντας startup σε διάφορα σημεία του κόσμου όπως η Vupen στο Μονπελιέ της Γαλλίας, η Exodus Intelligence στο Όστιν του Τέξας και η ReVuln στη Μάλτα, εταιρείες οι οποίες διαφημίζουν ελεύθερα ότι εμπορεύονται γνώση πάνω σε σφάλματα υπολογιστών και σε κάποιες περιπτώσεις κυβερνο-όπλα.
Ένα παράδειγμα τέτοιου start-up βρίσκεται έξω από την Ουάσινγκτον, ονομαζόμενο Endgame, στο οποίο ένας πρώην διευθυντής της NSA παίζει σημαντικό ρολό, έχει αναπτύξει αρκετά εργαλεία τα οποία πουλάει στη κυβέρνηση της Αμερικής. Τα εργαλεία αυτά είναι ικανά να ανακαλύπτουν ευπαθή σημεία σε λογισμικά και χρησιμοποιούνται για κυβερνο-κατασκοπεία και για αμυντικούς σκοπούς.
Όπως αναφέρει και ο κ.Σμιντ «Αν κάποιος έρθει με ένα σφάλμα το όποιο θα μπορούσε να επηρεάσει εκατομμύρια συσκευές και σου πει ‘θα είσαι ο μόνος που θα έχει αυτό το σφάλμα αν πληρώσεις την αμοιβή μου’ τότε πάντα θα βρίσκεται κάποιος πρόθυμος να την πληρώσει». «Δυστυχώς το να χορεύεις με τον διάβολο στον κυβερνοχώρο έχει γίνει κάτι κοινό» προσθέτει. Όπως καταλάβατε μπορεί στην αρχή ο τίτλος να σας ‘έπεσε’ βαρύς αλλά μήπως το ξανασκέφτεστε;
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.