Η ασφάλεια, οι ασφαλείς και οι ασφαλίτες...

Πρώτα απ’όλα θέλω να ξεκαθαρίσω ότι σε καμιά περίπτωση δεν παίρνω το μέρος των admin και sysop της περί ου ο λόγος σελίδας, ούτε με ενδιαφέρει και τόσο η απελευθέρωση τους. Προφανώς και την όλη επιχείρηση δεν την έστησαν ούτε για να εξυπηρετήσουν τον μέσο χρήστη ούτε για την ψυχή της μάνας τους αλλά για να βγάλουν λεφτά. Το όλο ζήτημα όμως μου δίνει πάτημα για να θίξω διάφορα θέματα που έχουν να κάνουν με την ασφάλεια επικοινωνιών και τον αντίκτυπο που έχει στον χώρο.

Είναι γεγονός ότι πλέον σε μεγάλο βαθμό την «δουλειά» της αφίσας, του flyer και του σταθερού τηλεφώνου των προηγούμενων δεκαετιών την έχουν αναλάβει τα blog, τα group στο facebook, τα email και το κινητό τηλέφωνο. Και αυτό είναι απολύτως λογικό διότι είναι πολύ πιο γρήγορα, πολύ πιο εύχρηστα και πολύ πιο μαζικά και ευέλικτα. Τα ηλεκτρονικά μέσα έχουν φέρει επανάσταση στον τρόπο με τον οποίο γίνονται σήμερα επαναστάσεις. Το τηλεοπτικό πραξικόπημα του 2002 στην Βενεζουέλα και το κλείσιμο του ίντερνετ στην Μιανμάρ κατά την διάρκεια των διαδηλώσεων το 2007 είναι μόνο μικρά παραδείγματα σε σχέση με αυτά που πρόκειται να έρθουν στο μέλλον. Πόσοι από εσάς μάθατε για της αρχικές συνελεύσεις των Δεκεμβριανών, μόλις ώρες αργότερα από την δολοφονία του Γρηγορόπουλου από τα κινητά σας τηλέφωνα; Πόσοι από εσάς μάθατε για της πρώτες πορείες από το indymedia;

Σε έναν κόσμο λοιπόν που ο μελλοντικός επαναστάτης μάλλον είναι υποχρεωμένος να χρησιμοποιήσει αυτά τα μέσα για να επιτύχει τον σκοπό του αξίζει να αναλυθεί η ασφάλεια των μέσων αυτών και ο τρόπος για να τα κάνουμε πιο ασφαλή.

Το gamato της υπόθεσης…

Πριν από μερικές ημέρες είδαμε το κλείσιμο του μεγαλύτερου ελληνικού tracker, την σύλληψη των admin, sysop και μερικών μελών του και την κατάσχεση των προσωπικών τους υπολογιστών. Είναι πάρα πολύ πιθανόν αυτοί οι υπολογιστές να περιέχουν τα credentials για την σύνδεση στον κεντρικό server όπου στεγάζετε ο tracker, το φόρουμ και το interface του tracker. Για να καταλάβουμε ακριβώς τι σημαίνει αυτό θα αναλύσω εν συντομία πως λειτουργεί ένας private torrent tracker.

Ας υποθέσουμε ότι ένας χρήστης θέλει να κατεβάσει ένα αρχείο. Αυτό το αρχείο το έχουν άλλοι χρήστες αποθηκευμένο στον υπολογιστή τους και το μοιράζονται μέσω ενός προγράμματος torrent client (π.χ. μtorrent, bitTorrent, transmission κτλ). Η δουλειά του tracker είναι να κρατάει μια λίστα με όλους τους χρήστες που έχουν το συγκεκριμένο αρχείο. Ο χρήστης λοιπόν πρέπει να κατεβάσει ένα μικρό αρχείο (.torrent file) που παρέχει την διεύθυνση του tracker που έχει την λίστα με τα άτομα τα οποία έχουν το αρχείο που χρειάζεται ο χρήστης και να συνδεθεί σε αυτόν. Ο tracker με την σειρά του θα συνδέσει τον χρήστη με τους υπόλοιπους χρήστες και θα γίνει η ανταλλαγή*. Έτσι λειτουργούν οι public trackers όπως τα γνωστά piratebay και isohunt. Πρόβλημα όμως προκύπτει όταν χρήστες απλά κατεβάζουν δεδομένα χωρίς να αφήσουν άλλους χρήστες να ανεβάσουν από αυτούς. Για αυτόν τον λόγο δημιουργήθηκαν οι private trackers. Σε έναν private tracker πρέπει πρώτα να μπεις σε μια σελίδα στον ίντερνετ και να δημιουργήσεις έναν λογαριασμό. Αυτή η σελίδα θα διασταυρώσει τον λογαριασμό σου με την ip του υπολογιστή σου. Έτσι μετρώντας πόσο έχεις κατεβάσει και πόσο έχεις ανεβάσει θα «ξέρει» κατά πόσο συνεισφέρεις στην ανταλλαγή των αρχείων και αν δεν συνεισφέρεις αρκετά δεν θα σε αφήσει να κατεβάζεις άλλο.

Αυτό που είναι σημαντικό και πρέπει να θυμάστε στην συγκεκριμένη περίπτωση είναι ότι κάπου στους server του gamato υπάρχουν αποθηκευμένα το username και το password σας (αν φυσικά ήσασταν ένα από τα 800.000 μέλη του). Προφανώς τα password δεν βρίσκονται εκεί σε plaintext μορφή, αν το password σας είναι «1234» δεν εμφανίζετε κάπου ως «1234». Το password σας περνά μέσα από έναν αλγόριθμο hash. Αυτός είναι ένας αλγόριθμος ο οποίος με λίγα λόγια μετατρέπει το password σας σε μια αλληλουχία χαρακτήρων η οποία είναι πολύ δύσκολο να έρθει στην αρχική της μορφή. Για να φέρω ένα ρεαλιστικό παράδειγμα, οι εκδόσεις mySQL (της οποίες κατά πάσα πιθανότητα χρησιμοποιούσε το gamato στης βάσεις δεδομένων του) το password «1234» το κωδικοποιούν ως «a4b6157319038724e3560894f7f932c8886ebfcf». Σε ένα θεωρητικό επίπεδο ένα hash είναι όντος πολύ δύσκολο (σχεδόν πρακτικά αδύνατον) να έρθει στην αρχική του μορφή, αλλά αυτό ισχύει μόνο υπό προϋποθέσεις.

1^ον Ότι το password είναι μια σειρά από πολλούς και τυχαίους χαρακτήρες και

2^ον Ότι το αλγόριθμος δεν έχει κάποια «πίσω» πόρτα για την ποιο εύκολη αποκωδικοποίηση του.

Η πρώτη προϋπόθεση δεν ισχύει για σχεδόν κανένα password το οποίο είναι γραμμένο από άνθρωπο. Πάρτε για παράδειγμα το δικό σας password. Συνήθως είναι μια ή δυο λέξεις μαζί με κάποιον αριθμό ή κάτι παρόμοιο. Είναι γεγονός ότι το ανθρώπινο μυαλό αποτυχαίνει παταγωδώς να δημιουργήσει ασφαλή password γιατί είναι εκπαιδευμένο να λειτουργεί με λέξεις που βγάζουν νόημα και όχι με τυχαίους χαρακτήρες. Αν περαστεί η λίστα που περιέχει τα hash από κάποιο πρόγραμμα ειδικευμένο σε αυτήν την δουλειά (όπως το jacktheripper η ο rainbowcracker) κατά την άποψη μου θα μπορέσει εύκολα να αποκωδικοποιήσει το 10% από αυτά (και μάλλον είμαι συντηρητικός με αυτό το νούμερο). Σκεφτείτε ότι το 10% του 800.000 είναι 80.000 (ο συνολικός πληθυσμός της πόλης του Βόλου και περίπου το 1% του πληθυσμού της χώρας!). Αν επί αυτού τυχαίνει τα hash να είναι κωδικοποιημένα μέσω κάποιου ισχνού αλγορίθμου το ποσοστό ανεβαίνει δραματικά, σε εφιαλτικού μεγέθους, αριθμούς.

Επίσης ας μην ξεχνάμε ότι σε έναν private tracker το username, το password και η ip είναι συνδεδεμένες μεταξύ τους. Από την ip μπορείς να βρεις το ονοματεπώνυμο του ανθρώπου που χρησιμοποιεί αυτήν την σύνδεση. Ο ISP σας κρατάει μια λίστα με όλες τις ip που σας έχει δώσει (από ανέκαθεν) και με ένα απλό ψάξιμο στης βάσεις δεδομένων μπορεί να βρει εύκολα το όνομα σας και πια ip έχετε χρησιμοποιήσει. Αυτό σημαίνει ότι δεν χρειάζεται καν να ψαχθούν όλα τα username του gamato. Μόνο αυτά τα οποία κρίνονται άξια ενδιαφέροντος. Και μετά με τα password αυτά μπορούν να χρησιμοποιηθούν για να ελέγχουν αλλά μέσα όπως το email ή τον messenger, δεδομένου ότι χρησιμοποιείται παντού το ίδιο password, κάτι πολύ κοινό.

Γίνετε προφανές ότι αυτός ο τεράστιος αριθμός password είναι το όνειρο του κάθε ανθρώπου ή οργανισμού που θέλει να καταχραστεί προσωπικά δεδομένα των ελλήνων χρηστών. Δεν μιλάμε για μια οποιαδήποτε σελίδα. Ελάχιστοι «στόχοι» ήταν πιο δελεαστική από το gamato όσο αναφορά την user list τους. Θα ήταν νομίζω σοφό, τουλάχιστον για άτομα τα οποία είναι πιο «ευαίσθητα» ως προς την ασφάλεια των επικοινωνιών τους, να αλλάξουν εγκαίρως τα password τους σε όλους τους υπόλοιπους λογαριασμούς τους αν είχαν λογαριασμό στο gamato.

SMS, GMS και GPS

Η χρήση κινητού τηλεφώνου είναι σχεδόν δεύτερη φύση για την συντριπτική πλειοψηφία, τουλάχιστον των νέων παγκοσμίως (ακόμα και σε μέρη όπως η Σομαλία και το Νεπάλ). Είναι λοιπόν λογικό το κράτος να προσπαθεί να ελέγχει της κινήσεις και τις επικοινωνίες των ανθρώπων που τα κατέχουν. Το κακό με τα κινητά τηλεφωνά είναι το γεγονός ότι είναι... κινητά. Σε ένα αστικό περιβάλλον μπορούν να εκτιμήσουν με σχετική ακρίβεια την θέση στην οποία βρίσκονται (σε πολλά μοντέλα, ακόμη και αν είναι κλειστά). Αν δε το κινητό έχει και λειτουργιά GPS ο κατασκευαστής είναι υποχρεωμένος δια νόμου να συμπεριλάβει σύστημα που να εκπέμπει το στίγμα του κινητού. Το σύστημα αυτό υποτίθεται ότι ενεργοποιείτε μόνο αν γίνει κάποια κλήση στο 112. Επίσης όλες οι χώρες τις Ε.Ε. υποχρεώνουν όλες τις εταιρίες κινητής τηλεφωνίας να κρατούν μια βάση δεδομένων για της κινήσεις και τις κλήσεις των συνδρομητών τους για τουλάχιστον 2 χρόνια. Από το καλοκαίρι έχουν καταργηθεί και οι ανώνυμες κάρτες, σημάδι ότι και η Ελληνική κυβέρνηση άρχισε σοβαρά να ενδιαφέρεται για το τι λέμε, σε ποιον και απο που μιλαμε στο κινητο μας.

Όσο για την υποκλοπή συνομιλιων δεν χρειάζεται να ειπωθούν πολλά. Χαρακτηριστικό παράδειγμα το σκάνδαλο του 2004-2005. Επί τις ευκαιρίας θέλω να αναφερθώ σε κάτι σχετικό.

Ο, υπεράνω νόμου, αδελφός μας

Το ότι κάτι είναι παράνομο δεν σημαίνει ότι δεν συμβαίνει κιόλας. Κανένας νόμος δεν πρόκειται να κλείσει τα μάτια του Μεγάλου Αδελφού. Πολλά από τα άτομα που θα διαβάσουν αυτό το άρθρο θα έχουν κατεβεί σε πορείες. Πόσες φορές η αστυνομία συμπεριφέρθηκε νόμιμα; Ήταν νόμιμος ο ξυλοδαρμός «ζαρντινιέρα» έξω από το ABC; Τα ληγμένα δακρυγόνα; Η αναίτιες προφυλακίσεις; Οι ασφαλίτες στης συνελεύσεις; Πρέπει όλοι να καταλάβουμε ότι, όπως σε μια πορεία το κράτος δεν σέβεται τους νόμους έτσι γίνετε σε κάθε περίπτωση. Ανέφερα πριν την πιθανότητα η δίωξη ηλεκτρονικού εγκλήματος να συνδέσει τις ip του gamato με ονόματα. Αυτό, προφανώς, νομικά χρειάζεται εντολή εισαγγελέα. Μην νομίζετε ότι αν βρει άκρη δεν θα την τραβήξει. Στην βάση δεδομένων της OTEnet δουλεύουν άνθρωποι. Άνθρωποι που ίσως να δωροδοκούνται, ίσως να μπήκαν εκεί με μέσον ή ίσως να έχουν θείο μπάτσο. Το κράτος θα κάνει ότι περνά από το χέρι του για να επιτύχει τους σκοπούς του. Και πιστέψτε με, πολλά περνάν από το χέρι του.

Ο κουτσομπόλης ταχυδρόμος

Το μεγαλύτερο μέρος τον επικοινωνιών μας μέσω ίντερνετ γίνετε φυσικά μέσω των γνωστών instant messenger (WLM, Yahoo, Facebook). Το τρομακτικό όσον αναφορά αυτά τα προγράμματα είναι ότι, με ελάχιστες εξαιρέσεις, δεν είναι καθόλου ασφαλή. Το χειρότερο από όλα φέρεται να είναι το Facebook και δυστυχώς είναι το πλέων ανερχόμενο μέσω για chat. Το Facebook έχει μια μακρά ιστορία χαμηλών στάνταρτ όσον αναφορά την ασφάλεια και την συνεργασημότητα του με τις κρατικές αρχές. Προσωπική μου άποψη είναι να μην θεωρείτε καμιά συνομιλία σας ασφαλή όταν χρησιμοποιείτε αυτού του είδους τα πρόγραμμα εκτός και αν έχετε πάρει μέτρα και κρυπτογραφείτε με manual τρόπο την συνομιλία. Ακόμα και ένας απλός εισβολέας στο wifi σας θα μπορούσε να δει θεωρητικά τα πάντα από όσα λέγονται μέσα από αυτά τα προγράμματα. Το ίδιο ανασφαλή είναι και τα email αν δεν χρησιμοποιηθεί κάποιος τρόπος κωδικοποίησης

Το πιο ασφαλές μέσω (σε ένα κάποιο πρακτικό επίπεδο) φαίνεται να είναι το Skype. Με την στάνταρ κρυπτογράφηση και την peer 2 peer αρχιτεκτονική του είναι πολύ δύσκολο κάποιος να υποκλέψει συνομιλίες από αυτό. Αλλά όπως και με όλα τα υπόλοιπα μέσα στο ίντερνετ, τίποτα δεν πρέπει να θεωρείτε απολύτως ασφαλές.

Ως «υπολογιστόβοιος» με κάποια (λίγα) χρόνια στον χώρο και γενικά άνθρωπος που τον ενδιαφέρει η τεχνολογία, έχω δει απλούς ανθρώπους να χρησιμοποιούν τέτοιου είδους τεχνάσματα και πρακτικές για εκπαιδευτικούς λόγους ή προσωπικό όφελος. Αν ξέρεις που να ψάξεις δεν είναι ούτε δύσκολο ούτε δαπανηρό ούτε χρονοβόρο. Είναι απλά παράνομο. Το κράτος έχει και το ανθρώπινο και το υλικό δυναμικό για να τα πραγματοποιήσει. Το ερώτημα είναι αν αξίζει τον κόπο να το πραγματοποιήσει σε εσένα.

Πολέμα το σήμερα, σήμερα…

Η τεχνολογία έχει κάνει τρομακτικά άλματα τα τελευταία 200 χρόνια. Θα ήμασταν τουλάχιστον αφελείς ως χώρος αν νομίζαμε ότι το κράτος δεν πρόκειται να χρησιμοποιήσει αυτήν την τεχνολογία εις βάρος μας στον μεγαλύτερο δυνατό βαθμό. Υπάρχει σύστημα το οποίο μέσω μιας ακτίνας laser να μπορεί και μετράει τις ηχητικές δονήσεις σε ένα αντικείμενο και μέσω αυτού «ακούει» τι λέγετε μέσα σε κάποιο δωμάτιο από τεράστια απόσταση. Κάμερες μπορούν να δουν πίσω από κουκούλες και δορυφόροι μπορούν να δουν πινακίδες αυτοκινήτων από το διάστημα, οπουδήποτε στον πλανήτη, σε οποιαδήποτε στιγμή. Δεν ζούμε στον κόσμο που ζούσαν οι πατεράδες μας. Δεν πρόκειται να επαναστατήσουμε όπως (ελπίζω) σχεδίαζαν οι πατεράδες μας να επαναστατήσουν (ή τουλάχιστον κάποιοι από αυτούς).

Μάθετε λοιπόν να χρησιμοποιείτε την τεχνολογία με ασφαλή τρόπο. Συν αυτού, η ασφάλεια δεν είναι μόνο κάτι που το διεκδικείς. Είναι και κάτι που το δημιουργείς ο ίδιος. Το indymedia είναι ένα πάρα πολύ καλό παράδειγμα. Είναι ένας ασφαλής τόπος ο οποίος ελέγχεται, συντηρείται και αναπτύσσεται από άτομα του χώρου. Δημιουργήστε και άλλους τέτοιους τόπους και μάθετε να τους χρησιμοποιείτε σωστά και αποτελεσματικά.

Μπορεί όλα αυτά να ακούγονται κάπως παρανοϊκά και υπερβολικά για τους περισσότερους (και ίσως προς το παρών να είναι έτσι). Αλλά μην ξεχνάτε τα εξής:

Αν κατέχετε ή επικοινωνείτε πληροφορίες που ενδιαφέρουν το κράτος, το κράτος θα προσπαθήσει να τις μάθει. Το πόσο θα προσπαθήσει εξαρτάτε από τις πληροφορίες.

Ότι η τεχνολογία σήμερα επιτρέπει το κράτος να εφαρμόζει τεχνικές, που παλιά εφάρμοζε σε λίγα «συνήθεις ύποπτα» άτομα, σε πολύ μεγαλύτερη μάζα ατόμων. Τα συστήματα τύπου Echelon είναι εκεί έξω εδώ και χρόνια και έχουν γίνει πολύ ισχυρά. Η Ελλάδα από το 2004 είναι άλλη χώρα σε αυτόν τον τομέα (C4I, τρομονόμος κτλ). Αν τώρα αυτά που λέω σας φαίνονται υπερβολικά, σε κάποια στιγμή στο μέλλον μάλλον θα είναι πιο χρήσιμα από όσο νομίζετε.

* Αυτός είναι και ο λόγος για τον οποίο οι tracker βρίσκονται σε ένα νομικό κενό. Δεν υπάρχουν (παράνομα ή μη) δεδομένα στον ίδιο τον tracker, μόνο πληροφορίες για το που θα τα βρεις.