Σάββατο 6 Ιουνίου 2015

Τι θα συνέβαινε εάν οι λογαριασμοί της Google έμεναν απροστάτευτοι

Τι θα συνέβαινε εάν οι λογαριασμοί της Google έμεναν απροστάτευτοι
Οι λογαριασμοί όλων των χρηστών του Google μένουν ανοιχτοί για τον οποιοδήποτε γνωρίζει απλά το username τους!
Οι διευθύνσεις Gmail γίνονται προσβάσιμες χωρίς κωδικούς και έτσι κάθε λογαριασμός που έχουμε συνδέσει μαζί τους καθίσταται πρακτικά ανοικτός. Χρήστες Gmail και YouTube χάνουν αιφνιδίως όλη την αλληλογραφία τους και το υλικό που έχουν ανεβάσει.
Τα site μεγάλων εταιριών γίνονται στόχοι επίθεσης από χάκερς που τα «ρίχνουν» και διαγράφουν μόνιμα το περιεχόμενό τους, ενώ επιχειρηματικά και κρατικά μυστικά κλέβονται. Τα χρηματιστήρια σε ολόκληρο τον κόσμο καταρρέουν!




Πρόκειται για μια τρομακτική μέρα, που ευτυχώς… δεν έχει συμβεί ακόμη! Αποτελεί όμως ένα άκρως ενδιαφέρον σενάριο που επεξεργάστηκε και παρουσίασε ο Tom Scott. Συγγραφέας και παρουσιαστής τηλεοπτικών και διαδικτυακών εκπομπών, ο Tom Scott, μιλώντας στο συνέδριο GeekyConf, έπλασε και παρουσίασε ένα φανταστικό, αλλά αρκετά ρεαλιστικό σενάριο για τη μέρα όπου οι λογαριασμοί της Google έμειναν ανοιχτοί και δίχως προστασία, βορά στον οποιονδήποτε!

Το σενάριο του Tom Scott

Η υπόθεση εργασίας του Tom Scott ξεκινά από την ύπαρξη λιγοστών, απολύτως έμπιστων μηχανικών δικτύων της Google, οι οποίοι έχουν πρόσβαση και μπορούν να προχωρήσουν σε αλλαγές στο βασικό κώδικα της εταιρείας. Συγκεκριμένα, ο Scott αναφέρεται σε 5 έμπιστα πρόσωπα, τους οποίους αποκαλεί και «Trusted Five» (οι «Έμπιστοι Πέντε»). Ωστόσο, στο υποθετικό σενάριο, ένας από αυτούς τους μηχανικούς δικτύων, αποφασίζει να εκμεταλλευτεί την εμπιστοσύνη με την οποία τον περιβάλλει η Google και να κάνει μια μικρή, αλλά εξαιρετικά σημαντική αλλαγή στον κώδικα.

Για συγκεκριμένους λόγους, ο Scott τοποθετεί την επίμαχη μέρα στις 4 Ιουνίου, εθνική επέτειος και αργία για τους Αμερικάνους.

«Τέσσερις Ιουλίου. Στη Δυτική Ευρώπη, είναι απόγευμα Παρασκευής και οι εργαζόμενοι κοιτούν τα ρολόγια τους και προσπαθούν να δουν αν μπορούν να φύγουν νωρίτερα από το γραφείο τους», αφηγείται ο Scott. Την ίδια ώρα στην Αμερική, ετοιμάζονται για το τριήμερο! Στα κεντρικά γραφεία της Google στο Mount View επικρατεί σχεδόν ερημιά. Οι μηχανικοί είναι είτε στο σπίτι τους, περιμένοντας τα τηλέφωνά τους να χτυπήσουν εάν συμβεί κάτι, ή εκτελούν νυχτερινές βάρδιες. Στο γραφείο της δουλεύει μέχρι αργά μία εκ των ανώτερων μηχανικών που αποτελεί μέλος και των «Trusted Five», η Maria Christensen.



Η δολιοφθορά

Η Maria Christensen, λοιπόν, σε αντίθεση με τα όσα προβλέπει η πολιτική της εταιρείας, προχωρά σε μια αλλαγή στο βασικό κώδικα της Google. Όπως εξηγεί ο Scott, η μηχανικός αλλάζει μόνο ένα μικρό τμήμα του κώδικα: το πρώτο μέρος του κωδικού εισόδου για τα Google Apps.



«Αυτό θα έπρεπε να είναι μια απίστευτα σύνθετη λειτουργία», σημειώνει ο Scott, εξηγώντας όλους τους επιπλέον μηχανισμούς ασφαλείας που εμπλέκονται εκεί. Ωστόσο, η Christensen αλλάζει μόνο μία γραμμή του κώδικα («return true;»), αγνοώντας όλα τα μηνύματα του λογισμικού για τα επικίνδυνα αποτελέσματα αυτής της ενέργειας.

Άμεσα, τα συστήματα της Google ενημερώνουν τις βάσεις δεδομένων σε όλον τον κόσμο για την αλλαγή: Από τη Βόρεια Αμερική, στο Δουβλίνο και έπειτα στη Μέση Ανατολή και στη Νότια Αμερική. Χρειάζονται μόλις 3 λεπτά και το αποτέλεσμα της ενέργειας είναι πως όποιον κωδικό κι αν βάλεις σε κάποιον λογαριασμό Google, θα θεωρηθεί σωστός! Έτσι, ουσιαστικά πλέον καταργούνται οι κωδικοί. Αρκεί να βάλεις ένα username και μπαίνεις!



Το περιστατικό με το Dropbox
Στο σημείο αυτό, ο Scott υπενθυμίζει ότι όσο απίθανο κι αν φαντάζει ένα τέτοιο σενάριο, στην πραγματικότητα κάτι αντίστοιχο είχε συμβεί στην εφαρμογή αποθηκευτικού νέφους Dropbox, όπου εκατομμύρια άνθρωποι αποθηκεύουν τα αρχεία τους.

Στις 20 Ιουνίου 2011, για κάποιες ώρες, η υπηρεσία επέτρεπε στους χρήστες να μπαίνουν στο λογαριασμό οποιουδήποτε δίχως να χρειάζεται να βάζουν κωδικό, απλά και μόνο χρησιμοποιώντας τη διεύθυνση email. Χρειάστηκαν περίπου 4 ώρες, μέχρι το σφάλμα να διορθωθεί και να σταματήσει η δίχως προστασία πρόσβαση σε λογαριασμούς!

Η διασπορά της είδησης και οι άμεσες συνέπειες
Σε αντίθεση όμως με το Dropbox που ο άνθρωπος ο οποίος ανακάλυψε το σφάλμα έσπευσε να ενημερώσει την εταιρεία και κράτησε κρυφό το γεγονός, τα κίνητρα της Maria Christensen, στο σενάριο που εξετάζουμε, είναι διαφορετικά. Η Christensen επιθυμεί να γίνει γνωστή η ευπάθεια της Google σε ολόκληρο τον κόσμο, ώστε να σπεύσουν να την εκμεταλλευτούν όσοι περισσότεροι γίνεται: Στέλνει email σε δεκάδες ενημερωτικούς ιστότοπους και τεχνολογικά forums και κατόπιν πάει στο αεροδρόμιο προκειμένου να διαφύγει από τη χώρα.



Μάλιστα, η ίδια σπεύδει να μπει στους λογαριασμούς των υπολοίπων μηχανικών που θα λάμβαναν ειδοποίηση για την αλλαγή που έγινε στον κώδικα και να αναφέρει τα κινητά τους ως κλεμμένα, ώστε όλα τα δεδομένα να σβηστούν και έτσι να καθυστερήσει η ενημέρωση τους για τα καθέκαστα.



Μόλις οι πρώτοι δημοσιογράφοι επιβεβαιώνουν το σφάλμα που έχει παρουσιαστεί, η είδηση μεταδίδεται με αστραπιαία ταχύτητα! Τα πράγματα χειροτερεύουν καθώς οι περισσότεροι συνειδητοποιούν ότι εάν αποκτήσεις πρόσβαση στο λογαριασμό ηλεκτρονικού ταχυδρομείου κάποιου, αυτόματα αποκτάς πρόσβαση και σε κάθε ηλεκτρονική υπηρεσία που χρησιμοποιεί! Αυτό συμβαίνει καθώς όλες οι ιστοσελίδες διαθέτουν δυνατότητα «επαναφοράς του κωδικού» (πχ. σε περίπτωση που τον ξεχάσουμε), που λειτουργεί με την αποστολή email στην ηλεκτρονική διεύθυνση που έχει δηλωθεί κατά την εγγραφή.




Οι αντιδράσεις

Ο Tom Scott περιγράφει τρεις κατηγορίες ανθρώπων, που χωρίζονται ανάλογα με τον τρόπο που θα ενεργήσουν στο άκουσμα της είδησης ότι οι λογαριασμοί Google έχουν μείνει απροστάτευτοι.

Στην πρώτη κατηγορία εντάσσονται αυτοί που θα προσπαθήσουν να προστατευτούν. «Απεγνωσμένα προσπαθούν να κλειδώσουν τους λογαριασμούς τους, απεγνωσμένα προσπαθούν να διαγράψουν οτιδήποτε ενοχοποιητικό και να αποτρέψουν την παραβίαση και των υπόλοιπων λογαριασμών (με τον τρόπο που είδαμε παραπάνω)», περιγράφει ο Tom Scott. Η επιτυχία των ανθρώπων της κατηγορίας αυτής, εξαρτάται από το πόσο σωστά θα εκτελέσουν την «απο-συσχέτιση» των υπόλοιπων λογαριασμών από την προσβεβλημένη διεύθυνση emai.

Το προσωρινό κλείσιμο του Facebook
Ο Scott προβλέπει ότι σε ένα τέτοιο σενάριο, οι κολοσσοί του διαδικτύου θα αντιδρούσαν μάλλον γρήγορα, έχοντας εκπονήσει από πριν σχέδια για μια έκτακτη κατάσταση. Για παράδειγμα το Facebook, σε ελάχιστα λεπτά, θα έκλεινε την υπηρεσία «επαναφοράς κωδικού», ίσως ακόμη και τη δυνατότητα εισόδου στην υπηρεσία, υποθέτοντας ότι πλήθος χρηστών τους θα είχαν πέσει θύματα του προβλήματος της Google. Έτσι, πρόσβαση θα είχαν μόνο όσοι είχαν ήδη κάνει «log-in», πράγμα που θα καθιστούσε το Facebook τον ασφαλέστερο τρόπο επικοινωνίας εκείνη τη στιγμή.



Τη δεύτερη κατηγορία ανθρώπων, ο Scott την ονομάζει «ντεντέκτιβ»: Ερασιτέχνες που ίσως υποπτεύονταν ότι το έτερον ήμισυ τους απατούσε, θα έσπευδαν να μπουν στα email τους προκειμένου να συλλέξουν τυχόν πειστήρια. Περίεργοι που θα θέλαν να μάθουν πόσο πληρώνονται οι συνάδελφοί τους, θα έσπευδαν να μπουν στα email τους.

Επιπλέον, στις περισσότερες περιπτώσεις όταν αποκτάς πρόσβαση στο λογαριασμό κάποιου μπορείς εύκολα να δεις και το ιστορικό των αναζητήσεών του στον Ιστό, καθώς οι περισσότεροι δεν έχουν απενεργοποιήσει τη σχετική λειτουργία. Έτσι, πλήθος προσωπικών δεδομένων θα γίνονταν ορατά στον οποιονδήποτε.

Την ίδια στιγμή, εταιρείες που χρησιμοποιούν Gmail, ευλόγα θα μπορούσαν να υποθέσουν ότι τα επαγγελματικά τους μυστικά έχουν διαρρεύσει! Τα χρόνια που θα ακολουθήσουν, δικηγόροι πατέντων θα έκαναν περιουσία καθώς κατηγορίες για κλοπή θα εκτοξεύονταν από τη μία στην άλλη εταιρεία, εξηγεί ο Scott, προσθέτοντας λογικά ότι τα ακόμη ανοιχτά χρηματιστήρια στην Ευρώπη θα κατέρρεαν, ενώ το ίδιο θα συνέβαινε στα Αμερικανικά και Ασιατικά την προσεχή Δευτέρα.



Η τρίτη και ίσως πιο πολυάριθμη κατηγορία καλείται «καταστροφείς». Σε αυτήν εντάσσονται όσοι θα διέλυαν ό,τι και όσα περισσότερα μπορούσαν. Άνθρωποι με διαδικτυακή παρουσία θα έβλεπαν τους λογαριασμούς τους κυριολεκτικά να διαλύονται και να καταστρέφονται, σε ελάχιστα λεπτά. Για παράδειγμα, δημοφιλείς παραγωγοί βίντεο στο YouTube θα έβλεπαν το κανάλι τους να έχει αδειάσει, καθώς άνθρωποι που τους αντιπαθούν θα ορμούσαν σβήνοντας και βανδαλίζοντας όλο το περιεχόμενο.



Ακόμη και αν το Google διατηρεί αντίγραφα ασφαλείας που θα χρησιμοποιούνταν για την επαναφορά των αρχείων, αυτό δεν ισχύει για τις περισσότερες ιστοσελίδες που θα έπεφταν θύματα κακόβουλων χρηστών. Για παράδειγμα, αρκεί να κλαπεί ο λογαριασμός ενός διαχειριστή ιστοσελίδας από κάποιον επιτήδειο και το αποτέλεσμα θα ήταν η ολοκληρωτική καταστροφή του συνολικού περιεχομένου, δίχως ελπίδες επανάκτησής του!

Η αντίδραση της Google


Ο Scott προβλέπει ότι μέσα σε μόλις 30 λεπτά, ορισμένοι τουλάχιστον από τους μηχανικούς της Google θα είχαν καταλάβει τι συμβαίνει κι ακόμη κι αν δεν μπορούσαν να επέμβουν και να αλλάξουν τον κώδικα, θα έσπευδαν να κλείσουν τα κέντρα δεδομένων προκειμένου να περιορίσουν τις συνέπειες. Ίσως, για πρώτη φορά μετά από πολλά χρόνια, η σελίδα της Google να «έπεφτε». Τελικά, μετά από το πολύ 2 ώρες κάποιος θα διόρθωνε τον κώδικα. Αλλά το κακό θα είχε ήδη συμβεί!



Το κίνητρο της δολιοφθοράς και η αποτυχία
Σύμφωνα με τον Tom Scott, η Maria Christensen θα μπορούσε να πραγματοποιήσει αυτήν τη δολιοφθορά, με κίνητρο ίσως να γίνει ο επόμενος Τζούλιαν Ασάνζ και Έντουαρντ Σνόουντεν, επιτρέποντας σε χιλιάδες ανθρώπους να κλέψουν και να αποκαλύψουν καλά κρυμμένα μυστικά. Αυτό θα ήταν και το μανιφέστο της: «Βγείτε έξω. Βρείτε πράγματα που πρέπει να διαρρεύσουν, μπείτε στα αρχεία εταιρειών και κυβερνήσεων που καταστρέφουν τον κόσμο μας. Εκθέστε τους στο φως της ημέρας».

Κι αν ορισμένοι υποθέσουν ότι υπάρχει μεγάλη απόσταση που χωρίζει το σφάλμα της Google και την απόσπαση κυβερνητικών μυστικών, ο Scott μάς υπενθυμίζει τη μεταβατική κυβερνητική ομάδα του Ομπάμα η οποία μετά τις εκλογές του 2008, χρησιμοποιούσε για ένα διάστημα το Gmail μέχρι να πάρουν τις επίσημες διευθύνσεις email του Λευκού Οίκου.

Ωστόσο, ο Scott σημειώνει εύστοχα πως παρά τα ανιδιοτελή και ρομαντικά κίνητρα της Christensen και την κλοπή και δημοσίευση σημαντικών μυστικών, τελικά ίσως ο στόχος της να μην εκπληρωνόταν ποτέ: «Στη συγκεκριμένη υπόθεση, το θέμα ήταν η διαδικασία κι όχι οι πληροφορίες. Η οπτική γωνία που όλα τα ΜΜΕ προέβαλαν είναι πως τα email ήταν μη ασφαλή, πως βρισκόσουν σε κίνδυνο, πως ιστοσελίδες καταστρέφονταν και πως «αυτός είναι ο τρόπος για να προστατευτείς», προβλέπει ο Scott. Εξηγεί ότι λογικά σε ένα τέτοιο ενδεχόμενο, όλοι θα κοιτούσαν την υπόθεση με την Google και πώς να προστατευτούν κι όχι τις επιμέρους αποκαλύψεις που μπορεί και να γίνονταν.



Ο επίλογος
Αφού λοιπόν οι αποκαλύψεις μένουν εκτός των μεγάλων ΜΜΕ και η «τρύπα» στον κώδικα της Google κλείνει, μένει να δούμε τον επίλογο του σεναρίου. Σύμφωνα λοιπόν με τον Scott, οι περισσότεροι χρήστες δεν αντιμετώπισαν σοβαρές μακροπρόθεσμες συνέπειες. Ακόμη κι αν υπήρχαν περιστατικά χρηστών που αντιμετώπισαν πράγματι σοβαρά προβλήματα, στατιστικά οι περισσότεροι έμειναν ως επί το πλείστον ανεπηρέαστοι. Οι περισσότερες μικρές επιχειρήσεις δεν επηρεάστηκαν κι οι μεγαλύτερες που μπορεί και να δέχτηκαν πλήγματα, τελικά ορθοπόδησαν. «Η οικονομία ανέκαμψε σιγά-σιγά, μην έχοντας πληγεί περισσότερο απ’ ό,τι θα είχε από μια φυσική καταστροφή», περιγράφει ο Scott.

Όσο για το Gmail, ένα χρόνο μετά, θα εξακολουθούσε να έχει τον ίδιο αριθμό χρηστών, καθώς οι περισσότεροι θα σκεφτόντουσαν «ποιες είναι οι πιθανότητες να συμβεί ξανά κάτι τέτοιο;» και επιπλέον θα βαριόντουσαν να αλλάξουν πάροχο ηλεκτρονικού ταχυδρομείου.

«Είναι εντυπωσιακά πόσο πολύ εμπιστευόμαστε τα “μοναδικά σημεία αποτυχία”. Και παρόλο που αυτό είναι το χειρότερο δυνατό σενάριο, όλοι εδώ θα έχουν τον κεντρικό τους στυλοβάτη από όπου όλη τους η ζωή -τουλάχιστον η ψηφιακή- κρέμεται. Τα backup που δεν έχετε κάνει. Η διεύθυνση του email που ξεχάσατε ότι δίνει πρόσβαση σε όλα. Ή τον κωδικό που ο/η πρώην σας γνωρίζει», περιγράφει ο Scott και συνεχίζει:

«Ακόμη όμως και αντιμετωπίζοντας αυτήν τη φαινομενική καταστροφή, όταν ο κόσμος θα καταρρέει γύρω σας, θα θυμάστε ότι κι αυτό θα περάσει. Διότι χρειάζεται κάτι περισσότερο από ένα “μοναδικό σημείο αποτυχία” για να αλλάξει ο κόσμος».

Όσο για τη Maria Christensen, το σενάριο του Scott, τη θέλει να συλλαμβάνεται τελικά στο αεροδρόμιο, αφού η πτήση της είχε καθυστέρηση, καθώς η αεροπορική εταιρεία χρησιμοποιούσε Google Apps!

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Αρχειοθήκη ιστολογίου