Η Mατωμένη Καρδιά του Διαδικτύου

Photo via Flickr user Kofahu

Από τα Wikileaks και τον Τζούλιαν Ασάνζ, μέχρι την NSA και τον Έντουαρντ Σνόουντεν, η πρόσφατη ψηφιακή μας ζωή έζησε με την ίδια «ένταση» την παγκόσμια ανάπτυξη της δικτύωση υπό το «Πρίσμα» μιας σειράς αποκαλύψεων στο επίκεντρο των οποίων σεβάσμια θέση καταλάμβαναν οι απανταχού «Μεγάλοι Αδερφοί». Λίγοι όμως ήταν εκείνοι που εν μέσω αυτού του κυκεώνα εξελίξεων περίμεναν να ζήσουν το μαζικότερο κενό ασφαλείας στην ιστορία του διαδικτύου. Το αποκαλούμενο Heartbleed «χτύπησε» τα δύο τρίτα των sites παγκοσμίως, και μάλιστα εκεί που πονάνε περισσότερο. Στις κρυπτογραφημένες επικοινωνίες.

«Η τεχνική περιγραφή του κενού ασφαλείας με την ονομασία Heartbleed είναι «Memory Disclosure vulnerability» (Ευπάθεια Αποκάλυψης της Μνήμης). Αυτό σημαίνει ότι κάθε απομακρυσμένος και μη εξουσιοδοτημένος χρήστης μπορεί να διαβάσει κομμάτια της μνήμης. Αυτές οι ευπάθειες μπορεί μερικές φορές να είναι τελείως άχρηστες, αλλά στην περίπτωση της επίθεσης του Heartbleed, οι επιπτώσεις είναι εξαιρετικά σημαντικές. Ένας απομακρυσμένος χρήστης μπορεί να «διαβάσει» το κομμάτι της μνήμης που περιέχει εξαιρετικά ευαίσθητες πληροφορίες», περιγράφει ο David Jacoby, Επικεφαλής Ερευνητής Ασφαλείας της Kaspersky Lab.

Το Heartbleed είναι ένας συνδυασμός απροσεξίας, αλλά κι έλλειψης ελέγχων από τους κατάλληλους ανθρώπους. Η πρόσφατη ανακάλυψή του έκρυβε μια σημαντική αλλά άκρως ανησυχητική λεπτομέρεια. Το πρόβλημα ήταν εκεί για τουλάχιστον δύο χρόνια και οι επιπτώσεις στους χρήστες, τις επιχειρήσεις αλλά και τις ίδιες τις κυβερνήσεις, δεν μπορούν ακόμη να υπολογιστούν. «Με μια ευπάθεια σαν αυτή, και ειδικά στην υποδομή που αφορά την κρυπτογράφηση της επικοινωνίας μεταξύ ενός χρήστη και του site ή της υπηρεσίας, το ρίσκο για την εμπιστευτικότητα των συναλλαγών και την ιδιωτικότητα των χρηστών ή των υπηρεσιών είναι τεράστια», παραδέχεται ο Χρήστος Βεντούρης, Ειδικός στην Ασφάλεια Πληροφορικών Συστημάτων.

Το εν λόγω πρόβλημα εντοπίστηκε στο OpenSSL, μια βιβλιοθήκη ανοιχτού κώδικα, η οποία εφαρμόζει τα πρωτόκολλα SSL (Secure Sockets Layer) και TLS (Transport Layer Security) για την κρυπτογράφηση της επικοινωνίας που πραγματοποιείται ανάμεσα σε εφαρμογές μέσω διαδικτύου (πχ web, mail, instant messaging, VPNs κ.λπ.). Σε απλά «ελληνικά», είναι το μέσο που θα εξασφαλίσει πως όταν εμείς θα συναλλασσόμαστε σε κρυπτογραφημένο περιβάλλον με μια ιστοσελίδα (πχ τράπεζας) τη στιγμή που περνάμε τους κωδικούς για να μπούμε στο λογαριασμό μας ή άλλα ευαίσθητα δεδομένα, θα έχουμε μια έξτρα δικλείδα ασφαλείας για να μη πέσουμε θύματα υποκλοπής.

Ο Χρήστος Βεντούρης εξηγεί μέσω ενός χαρακτηριστικού γραφικού για το πώς λειτουργεί το Heartbleed περιγράφοντας τη διαδικασία γνωστή κι ως Heartbeat – κι από την οποία προήλθε το όνομα του bug.

Photo via Wikipedia

«Όταν κάποιος browser ή το κινητό μας επισκέπτεται ένα site που είναι https -δηλαδή ασφαλές- τότε υπάρχει η δυνατότητα ο client να στέλνει κάποιους χαρακτήρες στον server ώστε να κρατήσει τη σύνδεση ανοιχτή. Στη συγκεκριμένη περίπτωση με το σκίτσο από το xkcd.com ο client λέει ότι «θα στείλει έξι χαρακτήρες» που θα σχηματίσουν τη λέξη «potato». Ο server απαντά έχοντας πάρει ως δεδομένα τα «potato» και «έξι χαρακτήρες» κι απαντά αναλόγως. Όλα καλά έως εδώ, αλλά κι ως την επόμενη περίπτωση με τη λέξη «bird», όπου η σύνδεσή μας εξακολουθεί να παραμένει ανοιχτή. Στο τέλος ο client στέλνει τη λέξη «hat», όμως δεν ζητά πίσω τους «τρεις χαρακτήρες» όπως θα έπρεπε, αλλά «500». Σε αυτήν την περίπτωση ο server απαντά επιστρέφοντας το «hat», αλλά επειδή έπρεπε να γεμίσει με κάτι τους υπόλοιπους 497 χαρακτήρες που του ζητήθηκαν, δίνει δεδομένα από το κομμάτι της μνήμης μέσα στο οποίο τρέχει». Με αυτόν τον τρόπο, η δουλειά που θα έπρεπε να γίνει σε αυτήν την κρυπτογραφημένη επικοινωνία με τη βοήθεια του OpenSSL (το οποίο αναλαμβάνει και την κρυπτογράφηση και την αποκρυπτογράφηση) έπεσε έξω.

Τι σημαίνει όμως αυτό για εμάς; «Ένας επιτιθέμενος θα μπορούσε πιθανότατα να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες, usernames, passwords, SSNs, οικονομικά αρχεία, ακόμα και σε κρυπτογραφικά κλειδιά που είναι υπεύθυνα για την κρυπτογράφηση των στοιχείων που ανταλλάσσουν οι τελικοί χρήστες με servers», εξηγεί ο David Jacoby.

Το Heartbleed ανακαλύφθηκε και «βαφτίστηκε» από την Φινλανδική εταιρεία ασφάλειας δικτύων Codenomicon. Σχεδόν ταυτόχρονα χρονικά, ένας ερευνητής της Google ανακάλυψε κι εκείνος το ίδιο κενό, το οποίο δεν ήταν ακριβώς και τόσο άγνωστο στην «πιάτσα». «Η ευπάθεια παρουσιάστηκε πριν από δύο χρόνια στον κώδικα OpenSSL και συγκεκριμένα στην υποστήριξη του TLS πρωτοκόλλου Heartbeat Extension», μου λέει ο David, ενώ το ίδιο ακριβώς περιγράφει και ο Χρήστος Βεντούρης: «Το bug ήταν ήδη γνωστό ως μια μη σωστή εξακρίβωση στοιχείων που στέλνει ο browser από το OpenSSL».

Ποιος όμως θα μπορούσε να εκμεταλλευτεί το Heartbleed και για ποιους σκοπούς; Όπως σχολιάζει ο David Jacoby, «η απάντηση σε αυτό το ερώτημα εξαρτάται από τους στόχους και τα κίνητρα που κρύβονται πίσω από κάθε επίθεση. Για τους ψηφιακούς εγκληματίες, στόχος είναι πάντα το χρήμα και κυρίως το εύκολο χρήμα, ειδικά για όσο καιρό τα τρωτά σημεία των δημοφιλέστερων ιστοσελίδων δεν επιδιορθώνονται. Για τους «παίκτες» που δρουν με κρατική υποστήριξη, η απόσπαση πληροφοριών είναι αναμφίβολα υπερπολύτιμη.  Και στις δύο περιπτώσεις, μπορεί να προκληθούν μεγάλες ζημιές. Το χειρότερο που μπορεί να συμβεί στους τελικούς χρήστες είναι να χάσουν χρήματα. Για τους σημαντικούς οργανισμούς ή τις κυβερνήσεις, το χειρότερο είναι να χάσουν εμπιστευτικές πληροφορίες. Ο κίνδυνος είναι ιδιαίτερα μεγάλος και για τα ηλεκτρονικά τραπεζικά συστήματα καθώς και για τα συστήματα online πληρωμών».

Οι μεγάλες εταιρείες όπου καθημερινά περνάμε πολλές ώρες στις σελίδες τους, όπως οι Google, Facebook, Yahoo! κ.λπ, προχώρησαν σε αλλαγές των εκδόσεων OpenSSL, αντικαθιστώντας -όπου ήταν απαραίτητο- την ευπαθή έκδοση 1.0.1f με την ασφαλή 1.0.1g. Η ιστοσελίδα Mashable ήρθε σε επαφή με τις περισσότερες από αυτές, παρουσιάζοντας ποιες επηρεάστηκαν και πώς αντέδρασαν μετά τη δημοσιοποίηση του Heartbleed. Ωστόσο, ο David τονίζει μια σημαντική λεπτομέρεια πέρα από την κλασσική κι αυτονόητη μέθοδο τού να αλλάξουμε τους κωδικούς πρόσβασής μας για να προστατευτούμε αλλά και να αποδεχθούμε ότι μια αναβάθμιση από πλευράς των servers που εμπιστευόμαστε είναι αρκετή:

«Το ζήτημα της ευπάθειας Heartbleed δεν είναι τόσο απλό ώστε να επιλυθεί με την απλή αντικατάσταση μια κακής «βιβλιοθήκης» από μια καλή. Οι ιδιοκτήτες διαδικτυακών υπηρεσιών πρέπει να αντικαταστήσουν όλα τα κλειδιά κρυπτογράφησης που χρησιμοποιούσαν πριν την αποκάλυψη της ευπάθειας. Δεν μπορεί να παραλειφθεί αυτή η χρονοβόρα διαδικασία, καθώς αν συνεχιστεί η χρήση κλειδιών που έχουν τεθεί σε κίνδυνο, τότε όλα τα δεδομένα που κρυπτογραφούνται από τη συγκεκριμένη υπηρεσία θα μπορούσαν εύκολα να αποκρυπτογραφηθούν. Δεν έχει σημασία αν έχει αναβαθμισθεί η βιβλιοθήκη OpenSSL. Κάτι τέτοιο θα μπορούσε να επιτρέψει στους ψηφιακούς εγκληματίες να εξαπολύσουν τις λεγόμενες επιθέσεις Man-in-the-Middle (δες εδώ), με τις οποίες θα έχουν τη δυνατότητα να παρεμποδίσουν και να τροποποιήσουν τα δεδομένα που έχουν μεταφερθεί μεταξύ των θυμάτων».

Η πιθανότητα να πάρει κάποιος τα «κλειδιά» μιας σελίδας για να τα χρησιμοποιήσει εναντίον μας παρουσιάζοντας μια ψεύτικη σελίδα τράπεζας στις οθόνες μας για να του προσφέρουμε ανυποψίαστοι τους κωδικούς μας δίχως να το πάρουμε χαμπάρι, είναι μεγάλη. Το ίδιο όμως επικίνδυνη είναι και η εκμετάλλευση της σκόνης που σήκωσε αυτή η ιστορία. Ο Χρήστος Βεντούρης τονίζει ότι «πέρα από τις αλλαγές των κωδικών μας, θα πρέπει να παρακολουθούμε στενά για ένα εύλογο χρονικό διάστημα το web banking μας, να τσεκάρουμε για ειδοποιήσεις και email από τα site που είμαστε γραμμένοι, αλλά να προσέχουμε πάρα πολύ τα περίεργα μηνύματα που μπορεί να μας ζητούν τους κωδικούς μας. Είναι πάρα πολύς κόσμος εκεί έξω που θα προσπαθήσει να «ψαρέψει» θύματα για να τραβήξει πληροφορίες (ξαναδές εδώ πώς μπορεί να γίνει αυτό).

Πέρα από το κομμάτι της αυτογνωσίας, οι δύο ειδικοί σχολιάζουν τα νέα δεδομένα που ξανοίχτηκαν μετά από αυτό το (κατά τεκμήριο) σοκ της ψηφιακής κοινότητας. Ο David Jacoby παραδέχεται ότι «το μάθημα που πήραμε αυτή τη φορά είναι ότι δεν μπορούμε να εμπιστευτούμε τίποτα, ακόμα και τις αξιόπιστες κατά τα άλλα συνδέσεις, από τη στιγμή που οτιδήποτε θα μπορούσε να εμπεριέχει τρωτά σημεία. Το κλειδί εδώ βρίσκεται στον έλεγχο και την αξιολόγηση, καθώς και στο λεγόμενο pentesting (δηλαδή σε ελεγχόμενες, «δοκιμαστικές» επιθέσεις εναντίον συστημάτων που έχουν ως στόχο να αποκαλύψουν έγκαιρα πιθανά προβλήματα). Ωστόσο, αυτό απαιτεί χρόνο και χρήμα για τους ανθρώπινους πόρους που θα αξιοποιηθούν. Δεν αρκεί, όμως, να βασιζόμαστε στην καλή θέληση. Πρέπει να δοθεί έμφαση στις επενδύσεις και στο κατάλληλο ανθρώπινο δυναμικό».

Ο Χρήστος Βεντούρης σχολιάζει την πρόσφατη έρευνα που δημοσίευσε η Symantec, σύμφωνα με την οποία οι αριθμοί των κυβερνοεπιθέσεων του 2013 αυξήθηκαν κατά 63% ενώ τους δύο τελευταίους μήνες του έτους σημειώθηκαν τα μεγαλύτερα mega-breaches στην ιστορία (mega-breach: διαρροή πάνω από 10 εκατ. εγγραφών): «Με το Heartbleed να αποκαλύπτεται τόσο πρόσφατα, κανείς δεν μπορεί να ξέρει κατά πόσο θα παρατηρηθεί αύξηση του αριθμού των κυβερνοεπιθέσεων. Είναι πολύ πιθανό σε μια επόμενη έρευνα να δούμε κι άλλα πράγματα. Πιστεύω ότι πολύς κόσμος ψάχνει ήδη τις σελίδες όπου δεν έχουν προχωρήσει ακόμη σε συντήρηση για να εκμεταλλευτούν το Heartbleed. Σε έναν χρόνο από τώρα, κανείς δεν ξέρει πόσο θα έχει διογκωθεί το κυβερνοέγκλημα».

Όσοι πάντως θέλουν να τεστάρουν τις σελίδες τους, καλό είναι να ανατρέξουν στο https://filippo.io/Heartbleed/ και να δουν αν έχουν επηρεαστεί από το bug, ενώ Chrome και Firefox διαθέτουν ήδη αρκετά add-ons που προειδοποιούν για τυχόν κενά ασφαλείας εξαιτίας του Heartbleed. Όμως πριν επιλέξετε το κατάλληλο, κάντε πρώτα μια καλή «έρευνα αγοράς» για να εγκαταστήσετε αυτό που σας ταιριάζει.

Ακολουθήστε το VICE στο Twitter, Facebook και Instagram