Το «χακάρισμα» του WhatsApp και το στοίχημα της κυβερνοασφάλειας

Του Γιάννη Παλιούρη

Πριν από μόλις μία δεκαετία το κινητό τηλέφωνο ήταν ακριβώς αυτό που έλεγε το όνομά του: μια συσκευή που μπορούσες να έχεις παντού μαζί σου για να πραγματοποιείς τηλεφωνικές κλήσεις. Σήμερα, όμως, είναι ο βασικός υπολογιστής για δισεκατομμύρια ανθρώπους σε όλο τον κόσμο. Είναι ο τρόπος με τον οποίο πραγματοποιούμε τις πιο ιδιωτικές συνομιλίες μας και όπου αποθηκεύουμε τις πιο ευαίσθητες πληροφορίες μας. Όχι μόνο σε ιδιωτικό επίπεδο, αλλά και σε επίπεδο κυβερνητικών υπηρεσιών και επιχειρήσεων. Η προστασία της ιδιωτικότητας, λοιπόν, δεν είναι απλά μια «ηθική» ανάγκη αλλά προϋπόθεση εύρυθμης λειτουργίας κρίσιμων τομέων του κράτους, της οικονομίας και τελικά του άγραφου κοινωνικού συμβολαίου για εμπιστοσύνη.

Τελευταίο πλήγμα στην εμπιστοσύνη αυτή, η είδηση ότι στρατιωτικοί και κυβερνητικοί αξιωματούχοι έγιναν στόχος υποκλοπών μέσω της δημοφιλούς εφαρμογής WhatsApp. Εφαρμογή, η οποία σημειωτέον, θεωρούνταν μέχρι πριν λίγο καιρό η πλέον ασφαλής. Το θέμα ανέδειξε το Reuters και πληροφορίες αναφέρουν ότι σημαντική μερίδα των αξιωματούχων που έπεσαν θύματα είναι υψηλόβαθμα στελέχη κυβερνήσεων και στρατιωτικοί σε τουλάχιστον είκοσι χώρες από πέντε ηπείρους. Η WhatsApp αν και δεν επιβεβαίωσε επίσημα το ρεπορτάζ, μήνυσε την περασμένη Τρίτη την ισραηλινή εταιρεία κυβερνοασφάλειας NSO, υποστηρίζοντας ότι δικό της λογισμικό εκμεταλλεύθηκε ένα κενό ασφαλείας στους servers της WhatsApp προκειμένου να διευκολύνει τη διείσδυση στα κινητά τουλάχιστον 1.400 χρηστών κινητών τηλεφώνων, μεταξύ του διαστήματος 29 Απριλίου-10 Μαΐου 2019.

Δεν είναι η πρώτη φορά που τα φώτα της δημοσιότητα πέφτουν στο «δίδυμο» WhatsApp –  NSO. Τον περασμένο Μάιο πρώτοι οι Financial Times αποκάλυψαν ότι κακόβουλο λογισμικό της NSO Group εκμεταλλεύτηκε ένα ευάλωτο σημείο της εφαρμογής, «ανοίγοντας» τις επικοινωνίες των στόχων του. Αν και η NSO διέψευσε, τότε, το δημοσίευμα των FT, η βρετανική εφημερίδα επανήλθε, υποστηρίζοντας ότι το λογισμικό της ισραηλινής εταιρείας δεν χτυπά μόνο συσκευές αλλά μπορεί να υποκλέψει δεδομένα από τους διακομιστές των Apple, Google, Facebook, Amazon και Microsoft. Η διάψευση ήρθε και πάλι τόσο γρήγορα όσο το δημοσίευμα. Τόσο από την NSO, όσο και από τις εταιρείες που θεωρητικά πιάστηκαν στην αρπάγη του λογισμικού της. Ανεξάρτητα, όμως, από την ακρίβεια του ρεπορτάζ των FT ή την ειλικρίνεια των εταιρικών ανακοινώσεων, το γεγονός είναι ένα: η εποχή της ψηφιακής αθωότητας – αν ποτέ υπήρξε – έχει περάσει ανεπιστρεπτί.

Ποιος ευθύνεται γι' αυτό; Προφανώς οι επιτιθέμενοι, οι οποίοι εκμεταλλεύονται «κενά» ασφαλείας σε συσκευές και λειτουργικά συστήματα, αλλά και οι τεχνολογικοί πάροχοι που έχουν αφήσει αυτά τα «κενά». Ωστόσο τις περισσότερες φορές ο τελικός χρήστης έχει το δικό του μερίδιο ευθύνης. Συνήθως η κρυπτογράφηση δεν σπάει – ή τουλάχιστον δεν σπάει τόσο εύκολα – αλλά παρακάμπτεται από δικαιώματα που δίνουμε σε φαινομενικά αθώες εφαρμογές. Γενικά η αντίληψη που έχει εδραιωθεί ότι το Διαδίκτυο και οι εφαρμογές που το συνοδεύουν είναι «δωρεάν» δεν είναι απολύτως ακριβής. Γιατί το «δωρεάν» δεν θα μπορούσε να δώσει δισεκατομμύρια έσοδα και κέρδη στους διαδικτυακούς κολοσσούς. Στην πραγματικότητα, οι ίδιες οι εταιρείες που παρέχουν υπηρεσίες και εφαρμογές κερδίζουν τα προς το… ζην από διαφημίσεις, μέσω προσωπικών δεδομένων που εμείς παραχωρούμε.

Σύμφωνα με την Canalys, εξειδικευμένη εταιρεία τεχνολογικών ερευνών, οι επιχειρήσεις δαπάνησαν το 2018 περίπου 37 δισεκατομμύρια δολάρια για την ασφάλεια στον κυβερνοχώρο, ποσό αυξημένο κατά 9% σε σχέση με το προηγούμενο έτος.



Την ίδια στιγμή, όμως,  έκθεση της ForgeRock, διαπίστωσε ότι οι επιθέσεις στον κυβερνοχώρο εξέθεσαν 2,8 δισεκατομμύρια αρχεία χρηστών το 2018, κοστίζοντας μόνο τις αμερικανικές επιχειρήσεις 654 δισεκατομμύρια δολάρια. Δηλαδή περίπου τρεις φορές το ΑΕΠ της Ελλάδας. Και αυτό είναι ένα μόνο μέρος των απωλειών, αφού κάθε κυβερνοεπίθεση συνοδεύεται από μακροπρόθεσμες, μη μετρήσιμες επιπτώσεις, όπως η απώλεια φήμης, η μειωμένη εμπιστοσύνη των πελατών κ.λπ.



Ενώ πριν από 10 ή 20 χρόνια η κυβερνοασφάλεια ήταν ένα «σπορ» που απασχολούσε λίγους, μυημένους και ψηφιακά ενημερωμένους πλέον αυτή η πολυτέλεια έχει χαθεί. Oικοδομούμε τις κοινωνίες μας, τις πόλεις μας, τις υπηρεσίες υγείας, τις μεταφορές και την ενέργεια αποκλειστικά πάνω σε ψηφιακές υποδομές. Καθώς η τεχνολογική πρόοδος και η παγκόσμια διασύνδεση θα επιταχυνθούν εκθετικά στην Τέταρτη Βιομηχανική Επανάσταση, οι πρωτοφανείς συστημικοί κίνδυνοι και απειλές για την ασφάλεια υπονομεύουν την εμπιστοσύνη και την ανάπτυξη.

Με απλά λόγια το μοντέλο του ευάλωτου Διαδικτύου και των κενών ασφαλείας σε εφαρμογές και υπηρεσίες δεν μπορεί να συνεχιστεί αφού χτυπά τη σχέση των πολιτών με την τεχνολογία. Απόδειξη, η σχετική έκθεση του Παγκόσμιου Οικονομικού Φόρουμ σύμφωνα με την οποία οι κίνδυνοι στον κυβερνοχώρο κατατάσσονται στις πέντε κορυφαίες απειλές για την οικονομία, τις επιχειρήσεις, την εθνική ασφάλεια, την ιδιωτικότητα, τις ευκαιρίες απασχόλησης και τελικά τη διεθνή σταθερότητα...