«Ένα απλό usb στικάκι είναι, τι κακό μπορεί να πάθω;»

Από τον Γεώργιο Χαριστό,

Φανταστείτε, ότι βρίσκεστε στον διάδρομο της εργασίας σας, φορτισμένος από την καθημερινή ρουτίνα, τις υποχρεώσεις και τα deadlines . Περπατάτε, ενώ εκείνη την στιγμή γίνεται πόλεμος στον ανθρώπινο εγκέφαλο από σκέψεις, συνειδητές και υποσυνείδητες. Κάποια στιγμή βλέπετε στο πάτωμα ένα usb στικάκι και τριγύρω κανέναν που να το αναζητεί. Η υποσυνείδητη πράξη που έχουμε καλλιεργήσει από μικρή ηλικία, είναι η περιέργεια που σχηματίζεται όταν βλέπουμε κάτι μη γνώριμο και μη οικείο. Οπότε, σκύβετε, παίρνετε το usb στικάκι και τρέχετε στον ηλεκτρονικό σας υπολογιστή για να ανακαλύψετε τι περιεχόμενο έχει και ποιος είναι ο πιθανός ιδιοκτήτης του.

O διάσημος χάκερ παγκοσμίου εμβέλειας Kevin Mitnick αναφέρει, “Companies spend millions of dollars on firewalls, encryption, and secure access devices, and its money wasted; none of these measures address the weakest link in the security chain.”. Αυτό που θέλει να τονίσει ο Kevin Mitnick, είναι ότι οι εταιρείες μπορεί να επενδύουν χρήματα στην Ασφάλεια των Πληροφοριακών τους Συστημάτων, όμως δεν συνυπολογίζουν τον πιο αδύναμο κρίκο της αλυσίδας, που φυσικά δεν είναι κανένας άλλος από τον ανθρώπινο παράγοντα. Ο ανθρώπινος παράγοντας είναι απρόβλεπτος και πολλές φορές αφελής.

Ένα usb στικάκι μπορεί να φαίνεται «αθώο», πολλές φορές όμως μπορεί να λειτουργήσει ως μέσο κακόβουλων ανθρώπων, οι οποίοι προσπαθούν να αποσπάσουν το πιο σημαντικό πράγμα στην σημερινή εποχή, την πληροφορία. Αν μιλάμε για προσωπικό υπολογιστή, τότε ο κακόβουλος χρήστης μπορεί να αποσπάσει προσωπικές πληροφορίες του ατόμου που έκανε την επίθεση. Φανταστείτε, την ποσότητα πληροφορίας που μπορεί να αποσπάσει από έναν εταιρικό υπολογιστή, και πόση ζημιά μπορεί να κάνει σε αυτή την εταιρεία. Προσωπικά δεδομένα πελατών, εταιρικό αρχείο με λογιστικές καταχωρήσεις, χρονοδιάγραμμα εργασιών, είναι ελάχιστα από αυτά που μπορεί να αποσπάσει ένας χάκερ.

Αυτή η επίθεση, μπορεί να γίνει με ένα απλό πάτημα σε ένα εκτελέσιμο αρχείο exe, ένα αρχείο pdf, ένα αρχείο word, που βρίσκεται στο usb στικάκι. Αν υπάρχει διαρκής και σωστή ενημέρωση των Πολιτικών Ασφαλείας του Πληροφοριακού Συστήματος της Εταιρείας, τότε μόλις εισαχθεί το usb στικάκι στην υποδοχή του εταιρικού υπολογιστή, πρέπει η ίδια πολιτική ασφαλείας να προστατεύει τον χρήστη και την Eταιρεία. Ωστόσο, ο βασικός στόχος των επιτιθέμενων είναι το πιο ευάλωτο σημείο της εταιρείας, ο ανθρώπινος παράγοντας. Το βασικό στάδιο μίας κυβερνοεπίθεσης, είναι η διείσδυση στο Πληροφοριακό Σύστημα. Με την εκτέλεση του αρχείου που βρίσκεται στο usb στικάκι, ο επιτιθέμενος  μπορεί να αποκτήσει απομακρυσμένη πρόσβαση σε στοιχεία της Εταιρείας, σαν να βρίσκεται στο εσωτερικό της.

Η επίθεση, μπορεί να γίνει από παλαιό εργαζόμενο της Εταιρείας που απολύθηκε, από άτομο που δοκιμάζει της δεξιότητες του ως χάκερ, από άτομο που προσλήφθηκε από αντίπαλη εταιρεία με στόχο την υποβάθμιση της ή από άτομο που δεν έχει καμία σχέση με την εταιρεία, όμως έχει κάποια πιστεύω που έρχονται σε αντίθεση με αυτά που αντιπροσωπεύει η εταιρεία ή ο οργανισμός.

Η εταιρεία ή ο οργανισμός πρέπει να επενδύει σε Τεχνικές Ασφαλείας των Πληροφοριακών της Συστημάτων, όμως δεν πρέπει να ξεχνά ότι τα ευάλωτα σημεία δεν είναι πάντα σύνθετα και πολύπλοκα. Πρέπει ο ανθρώπινος παράγοντας να εκπαιδεύεται στις απειλές που εμφανίζονται καθημερινά και τις Πολιτικές Ασφαλείας της εταιρείας ή του οργανισμού, έτσι ώστε η αφέλεια να μετατραπεί σε τροφή για σκέψη για τις ενέργειες που εκτελεί και τις επιπτώσεις τους. Η συνεχής ενημέρωση και πρακτική άσκηση του ανθρώπου, θα δημιουργήσει τα θεμέλια για ένα πιο ασφαλές περιβάλλον, χωρίς βέβαια να φτάνει την απόλυτη ασφάλεια.

Τελικά, ένα απλό usb στικάκι, το οποίο βρίσκεται στο πάτωμα και σου «φωνάζει» να το πάρεις και να το ερευνήσεις, είναι τόσο «αθώο» όσο δείχνει; Mήπως να το σκεφτείς καλύτερα και να το παραδώσεις στο αρμόδιο τμήμα της εταιρείας ή του οργανισμού και η παρόρμηση να μετατραπεί σε μία σωστή πράξη ενός εργαζομένου που τηρεί την Πολιτική Ασφαλείας;

Ο καθένας ξεχωριστά ας σκεφτεί όλα τα παραπάνω και τι θα έκανε αν βρισκόταν σε αυτή την θέση μαζί με κάτι που είπε ο William Shakespeare, “Security is the chief enemy of mortals.”, δηλαδή η ασφάλεια είναι ο κύριος εχθρός των θνητών.

 

 

 

2019-09-11T09:14:18+00:00