Τι αποκαλύφθηκε στο σεμινάριο του ΚΕΔΙΣΑ με θέμα τα Παράνομα Λογισμικά παρακολούθησης

To Κέντρο Διεθνών Στρατηγικών Αναλύσεων-ΚΕΔΙΣΑ διοργάνωσε με μεγάλη επιτυχία την Δευτέρα 15 Μαΐου 2023 διαδικτυακή εκδήλωση (webinar) με θέμα: « Παράνομα Λογισμικά Παρακολούθησης: Προκλήσεις για την ασφάλεια της ΕΕ και της Ελλάδας». Συντονιστής του webinar ήταν ο Γενικός Γραμματέας του ΚΕΔΙΣΑ κ. Βασίλης Παπαγεωργίου.

Ομιλητές ήταν οι:

Δρ. Βασίλης Βλάχος (Αναπληρωτής Καθηγητής του Τμήματος Οικονομικών Επιστημών Πανεπιστημίου Θεσσαλίας, Ειδικός σε θέματα κυβερνοασφάλειας)

– Κωνσταντίνος Παπαδάκης (Αξιωματικός του Πολεμικού Ναυτικού, Αναλυτής Επιχειρήσεων Κυβερνοχώρου, Σύμβουλος Κυβερνοάμυνας-Κυβερνοασφάλειας, Αναλυτής ΚΕΔΙΣΑ)

– Νίκος Γκατζούλης (Πτυχιούχος Επιστήμης Υπολογιστών Πανεπιστημίου του Έσσεξ, μεταπτυχιακός ερευνητής σε θέματα Τεχνητής Νοημοσύνης και κυβερνοασφάλειας Πανεπιστημίου του Έσσεξ)

Ο Ιδρυτής και Πρόεδρος του ΚΕΔΙΣΑ, Δρ. Ανδρέας Γ. Μπανούτσος, απηύθυνε σύντομο χαιρετισμό στους ομιλητές και στους συμμετέχοντες στο webinar. Στην εισαγωγική του ομιλία ανέφερε ότι η θεματική του webinar που διοργάνωσε το ΚΕΔΙΣΑ είναι πιο επίκαιρη από ποτέ καθώς αποτελεί μεταξύ άλλων και σημείο της προεκλογικής αντιπαράθεσης μεταξύ των κομμάτων με αφορμή το σκάνδαλο των παρακολουθήσεων με το παράνομο λογισμικό Predator. Ανέφερε επίσης ότι το Predator δεν είναι το μοναδικό λογισμικό παρακολούθησης που υπάρχει στην αγορά. Επίσης γνωστό είναι το Ισραηλινής κατασκευής Pegasus και λιγότερο γνωστό είναι το λογισμικό Hermit το οποίο κατασκευάζει η Ιταλική εταιρεία RCS Lab. Όλα αυτά τα λογισμικά παράνομων παρακολουθήσεων αποτελούν πρόκληση για την εθνική ασφάλεια των κρατών αλλά και για την ιδιωτικότητα και την προστασία των προσωπικών δεδομένων εκατομμυρίων χρηστών συσκευών κινητής τηλεφωνίας. Η ΕΕ και οι ευρωπαϊκές κυβερνήσεις οφείλουν να θωρακίσουν με θεσμικές και άλλες παρεμβάσεις το απόρρητο των επικοινωνιών για τους πολίτες τους και όχι να εκμεταλλεύονται τη χρήση των παρανόμων αυτών λογισμικών για πολιτικούς λόγους και εν τέλει να υπονομεύουν την ίδια την δημοκρατία.

Στη συνέχεια τον λόγο πήρε ο Δρ. Βασίλης Βλάχος, Αναπληρωτής Καθηγητής του Τμήματος Οικονομικών Επιστημών Πανεπιστημίου Θεσσαλίας, Ειδικός σε θέματα κυβερνοασφάλειας.

Ο κ. Καθηγητής έκανε μια σύντομη ιστορική αναδρομή στις υποκλοπές στην Ελλάδα δίνοντας έμφαση στο γνωστό σκάνδαλο υποκλοπών της Vodafone (2004) και στην πολυπλοκότητα της συγκεκριμένης υπόθεσης (μπορείτε να διαβάσετε περισσότερα αναφορικά με την συγκεκριμένη υπόθεση σε σχετική ανάλυση που έχει δημοσιευθεί στο ΚΕΔΙΣΑ). Στη συνέχεια έκανε επίσης μια σύντομη ιστορική αναδρομή στην κινητή τηλεφωνία και στα δίκτυα επικοινωνιών ξεκινώντας από την πρώτη γενιά (1G) έως και την πέμπτη γενιά (5G) καθώς και στον τρόπο πραγματοποίησης υποκλοπών και κυβερνοεπιθέσεων σε παλαιότερες γενιές.

Σημείο καμπής σύμφωνα με τον κ. Καθηγητή αποτέλεσε η κυκλοφορία των έξυπνων κινητών τηλεφώνων τα οποία διεύρυναν την επιφάνεια επίθεσης δημιουργώντας περισσότερους διαδρόμους επιθέσεων για επίδοξους κακόβουλους δρώντες, καθώς τα έξυπνα κινητά υποστηρίζουν πλέον λειτουργίες όπως Bluetooth, Wifi κ.α. Καθώς η «πολυπλοκότητα είναι εχθρός της ασφάλειας» η διασφάλιση των περιουσιακών στοιχείων (assets) γίνεται ένα δυσκολότερο εγχείρημα. Η πολυπλοκότητα αυτή μεταφράζεται σε πολυπλοκότητα στο υλικό (hardware) και σε πιθανούς κινδύνους που πηγάζουν από την εφοδιαστική αλυσίδα καθώς και σε πολυπλοκότητα στο λογισμικό (software) και σε πιθανά κενά ασφάλειας και ευπάθειες (vulnerabilities) η εκμετάλλευση των οποίων σήμερα καθίσταται ευκολότερη μέσω της προσφοράς σχετικών υπηρεσιών η οποία απευθύνεται κυρίως σε μεγάλους οργανισμούς ή οντότητες που έχουν την οικονομική δυνατότητα να αποκτήσουν τέτοιες πληροφορίες. Μεταξύ άλλων, πελάτες αποτελούν μυστικές υπηρεσίες αλλά και κάποιες εταιρείες οι οποίες παράγουν κακόβουλο λογισμικό, θεωρητικά μόνο για κυβερνήσεις οι οποίες καταπολεμούν την τρομοκρατία και το οργανωμένο έγκλημα. Φυσικά το τελευταίο είναι πρακτικά, δύσκολο να ελεγχθεί αναφορικά με το ποιος αποτελεί τον τελικό χρήστη τέτοιων προϊόντων.

Πιο συγκεκριμένα αναφορικά με το λογισμικό κατασκοπείας (spyware), αυτό αποτελεί πλέον ένα λογισμικό το οποίο μπορεί να αποκτήσει ο καθένας για διαφορετικούς σκοπούς, οι τεχνικές δυνατότητες του οποίου κυμαίνονται ανάλογα με την τιμή.  Ένα τέτοιο κανάλι μπορεί να βρεθεί και στο βαθύ δίκτυο (Deep Web) όπου η συγκεκριμένη υπηρεσία προσφέρεται στον τελικό-χρήστη/καταναλωτή (spyware as a service).

Υπάρχουν κάποιες μέθοδοι ως μέτρα προστασίας για να προστατευθεί ο χρήστης και περιλαμβάνουν τη χρήση συγκεκριμένων συσκευών ή πρωτοκόλλων επικοινωνιών που έχουν σχεδιαστεί με έμφαση την ασφάλεια, η θωράκιση του κινητού μέσω παραμετροποίησης για μέγιστη ασφάλεια, η χρήση πλήρως επικαιροποιημένου λογισμικού καθώς και η χρήση συσκευών χωρίς πολλά πρόσθετα χαρακτηριστικά.

Στη συνέχεια τον λόγο πήρε ο κ.Κωνσταντίνος Παπαδάκης (Αξιωματικός του Πολεμικού Ναυτικού, Αναλυτής Επιχειρήσεων Κυβερνοχώρου, Σύμβουλος Κυβερνοάμυνας-Κυβερνοασφάλειας και Αναλυτής ΚΕΔΙΣΑ)

Ο κ. Κωνσταντίνος Παπαδάκης έκανε μια σύντομη παρουσίαση των σχετικών τεχνικών όρων καθώς και του τρόπου πραγματοποίησης σχετικών επιθέσεων ενώ αναφέρθηκε στους διαφορετικούς τύπους παρακολούθησης και στην παρουσίαση του λογισμικού κατασκοπείας, των διαφορετικών ειδών του και του τρόπου διάδοσής του. Μέσω τέτοιων λογισμικών επιτρέπεται η διάχυτη μυστική παρακολούθηση, η οποία παραβιάζει μια σειρά από ανθρώπινες αξίες και δικαιώματα όπως η ιδιωτική ζωή, η προστασία των (προσωπικών) δεδομένων, τα ατομικά δικαιώματα των ανθρώπων κ.α. Τέτοια λογισμικά αποτελούν ενδεικτικά το Predator, το Pegasus, το QuaDream, και το Candiru-Karkadann.

Στη συνέχεια παρουσίασε τους βασικούς τρόπους διείσδυσης στο κινητό (smartphone) ενός χρήστη και υποκλοπής πληροφοριών ενώ παρουσίασε ακόμα κάποιες ενδείξεις όπου θα μπορούσαν να κάνουν τον χρήστη να υποψιαστεί ότι δέχεται κάποια επίθεση, ωστόσο διευκρίνισε πως αυτές οι ενδείξεις δεν είναι απαραίτητο να πραγματωθούν κατά την διάρκεια μιας επίθεσης, ούτε η παρουσία τους συνεπάγεται την ύπαρξη και χρήση τέτοιου λογισμικού. Παράλληλα, παρουσίασε κάποιες βέλτιστες πρακτικές οι οποίες θα μπορούσαν να αυξήσουν το επίπεδο ασφαλείας του κινητού και του τελικού χρήστη.

Στη συνέχεια ο κ.Παπαδάκης παρουσίασε την περίπτωση του Pegasus ως σχετικού λογισμικού παρουσιάζοντας τον τρόπο λειτουργίας και τον μηχανισμό εξάπλωσης του συγκεκριμένου spyware. Το συγκεκριμένο λογισμικό έχει χρησιμοποιηθεί εκτεταμένα και συνεχίζεται να χρησιμοποιείται έχοντας ως στόχο κυρίως συνδικαλιστικούς και κυβερνητικούς αξιωματούχους και δημοσιογράφους. Σημαντικά πρόσωπα και ο περίγυρος αυτών αποτελούν θελκτικό στόχο για επίδοξους κακόβουλους δρώντες.

Μολονότι το συγκεκριμένο λογισμικό χρησιμοποιείται για την εθνική ασφάλεια ενός κράτους και την καταπολέμηση της τρομοκρατίας και του οργανωμένου εγκλήματος, η διευρυμένη έννοια της εθνικής ασφάλειας εγείρει ηθικά ερωτήματα και πρέπει να χρησιμοποιείται με προσοχή και να εφαρμόζεται με τρόπο ευαίσθητο προς το εκάστοτε πλαίσιο καθώς και πάντα σύμφωνα με τις απαραίτητες προϋποθέσεις για την επίκλησή της. Όσον αφορά την Ευρωπαϊκή Ένωση, η χρήση τέτοιου λογισμικού παρακολούθησης είναι σαφές πως συνιστά απειλή για τα θεμελιώδη δικαιώματα και τις βασικές αρχές του δικαίου της ΕΕ, ενώ σχετική νομοθεσία της ΕΕ διευκρινίζει πως πρακτικές παρακολούθησης που εφαρμόζουν τα κράτη θέτουν σε κίνδυνο τα ανθρώπινα δικαιώματα. Στην Ελλάδα, μετά τα πρόσφατα γεγονότα, υπάρχει πλέον καινούργιος νόμος, ο Ν. 5002/2022, ο οποίος προστατεύει και θέτει περισσότερους παράγοντες για την διαδικασία άρσης του απορρήτου των επικοινωνιών. Οι αρχές για άρση τηλεφωνικού απορρήτου στην Ελλάδα είναι μόνο η ΕΥΠ και η Διεύθυνση Αντιμετώπισης Ειδικών Εγκλημάτων βίας της Ελληνικής Αστυνομίας, και για την άρση αυτού απαιτείται ουσιαστικά εισαγγελική έγκριση.

Στη συνέχεια τον λόγο πήρε ο κ. Νίκος Γκατζούλης (Πτυχιούχος Επιστήμης Υπολογιστών Πανεπιστημίου του Έσσεξ, μεταπτυχιακός ερευνητής σε θέματα Τεχνητής Νοημοσύνης και κυβερνοασφάλειας Πανεπιστημίου του Έσσεξ)

Ο κ. Νίκος Γκατζούλης αναφέρθηκε στη χρήση του λογισμικού Pegasus, τον τρόπο λειτουργίας του σε τεχνικό επίπεδο καθώς και τα πολιτικά προβλήματα που προκύπτουν από τη χρήση του. Ανέφερε πως το συγκεκριμένο ζήτημα δεν είναι απλά ένα ζήτημα το οποίο άπτεται αποκλειστικά της ιδιωτικής ζωής, αλλά και της εθνικής ασφάλειας και διατήρησης των δημοκρατικών αρχών. Πρόσφατες αναφορές στα ΜΜΕ έχουν ρίξει φως στην κατάχρηση του Pegasus από ορισμένων κυβερνήσεις με στόχο την παρακολούθηση συγκεκριμένων ανθρώπων. Στην περίπτωση του Τζαμάλ Κασόγκι, όπου ο Σαουδάραβας δημοσιογράφος δολοφονήθηκε βάναυσα στο προξενείο της Σαουδικής Αραβίας στην Κωνσταντινούπολη το 2018, αποκαλύφθηκε ότι χρησιμοποιήθηκε το λογισμικό Pegasus για να τον στοχεύσει και να παρακολουθήσει τις επικοινωνίες του.

Η λογοδοσία και η εποπτεία αποτελούν δύο ακόμα σημαντικές παραμέτρους που πρέπει να ληφθούν υπόψη, καθώς οι κυβερνήσεις χρειάζονται να θεσπίσουν αυστηρά νομικά πλαίσια για να τεθεί υπό έλεγχο. Η διαφάνεια είναι πρωταρχικής σημασίας σε αυτό το πλαίσιο. Στο Αμερικανικό δίκαιο υπάρχουν συγκεκριμένες ρήτρες για να μπορέσει ένα κράτος να παρακολουθήσει κάποιον ιδιώτη αφού θα πρέπει να διαθέτει ένταλμα. Σε κάποιες τρίτες χώρες όμως, τέτοιες δικλείδες ασφαλείας δεν υφίστανται.

Σε ευρύτερο πλαίσιο η κυβερνοασφάλεια σε όλες τις εκφάνσεις της, από τις πρακτικές παρακολούθησης μέχρι τις πιθανές επιθέσεις σε κρίσιμες υποδομές ενός κράτους, αποτελεί πλέον προτεραιότητα για τα κράτη αλλά και για τους ίδιους τους πολίτες. Οι κυβερνήσεις θα πρέπει να επενδύσουν στην Έρευνα & Ανάπτυξη σε αυτόν τον τομέα, με το Ισραήλ να αποτελεί χαρακτηριστικό παράδειγμα κράτους του οποίο επενδύει πολλούς πόρους στον συγκεκριμένο τομέα και αποτελεί θελκτικό προορισμό σχετικών επενδύσεων.

Πιο συγκεκριμένα, αναφορικά με το λογισμικό Pegasus, αυτό αναπτύχθηκε από την Ισραηλινή εταιρεία γνωστή ως NSO group. Σχεδιάστηκε για να διεισδύει και να ελέγχει από αποστάσεις κινητές συσκευές όπως τα smartphones επιτρέποντας την εξαγωγή ενός μεγάλου φάσματος δεδομένων. Αυτό μπορεί να πραγματοποιηθεί απλά μέσω της εκμετάλλευσης “μηδενικού κλικ” (zero-click), η οποία σημαίνει πως δεν χρειάζεται καμία ενέργεια από τον τελικό χρήστη για να ενεργοποιηθεί το συγκεκριμένο λογισμικό στη συσκευή του. Ο κ. Γκατζούλης παρουσίασε επίσης τον τρόπο λειτουργίας και τον μηχανισμό εξάπλωσης του συγκεκριμένου spyware αναφέροντας πιθανούς κινδύνους και τρόπους μόλυνσης καθώς και το είδος των δεδομένων τα οποία μπορεί να υποκλέψει. Έκλεισε την ομιλία του αναφέροντας τον σημαντικό ρόλο της ευαισθητοποίησης του κοινού αναφορικά με αυτό το ζήτημα και υπογράμμισε τον ρόλο της ψηφιακής παιδείας που χρειάζεται να καλλιεργηθεί στο ευρύ κοινό.

Στη συνέχεια ακολούθησε συζήτηση μεταξύ των ομιλητών και των παρευρισκόμενων με τους τελευταίους να έχουν την δυνατότητα να θέσουν ερωτήσεις στους ομιλητές.

Webinar ΚΕΔΙΣΑ: Παράνομα Λογισμικά Παρακολούθησης: Προκλήσεις για την ασφάλεια-15/05/2023 – YouTube

Την πρώτη ερώτηση κατέθεσε ο Ιδρυτής και Πρόεδρος του ΚΕΔΙΣΑ, Δρ. Ανδρέας Γ. Μπανούτσος, η οποία αφορούσε το αν υπάρχουν κάποιες θεσμικές δικλείδες ασφαλείας σε ευρωπαϊκό επίπεδο ή σε επίπεδο κρατών-μελών της ΕΕ, αναφορικά με την εμπορία τέτοιου είδους υλικού, ειδικά αν αυτό προέρχεται από κάποιο κράτος-μέλος όπως για παράδειγμα με το κακόβουλο λογισμικό Hermit της Ιταλικής εταιρείας RCS Lab. Ο Καθηγητής κ. Βλάχος, ανέφερε πως τέτοια θέματα είχαν έρθει στο προσκήνιο στο παρελθόν, καθώς διάφορες ευρωπαϊκές χώρες είχαν διερωτηθεί για το κατά πόσο αυτά τα λογισμικά μπορούν και πρέπει να χρησιμοποιούνται από τις διάφορες υπηρεσίες και από κρατικές αρχές. Η χρήση αυτών των λογισμικών δεν έχει εφαρμογή μόνο στα δεδομένα που αφορούν την επικοινωνία μέσω τηλέφωνου μεταξύ δύο ανθρώπων, αλλά σε έναν μεγάλο και ευρύ φάσμα δεδομένων, καθώς ένα σύγχρονο κινητό τηλέφωνο μπορεί να συλλέξει πολλά διαφορετικά είδη δεδομένων μέσω της κάμεράς του, του μικροφώνου του, κλπ. Ωστόσο ποτέ δεν δόθηκε μια αρνητική απάντηση σε θεσμικό επίπεδο αναφορικά με τη χρήση τέτοιων λογισμικών. Επίσης, η πρακτική έχει δείξει ότι πελάτες που χρησιμοποιηθούν τέτοια λογισμικά δεν είναι μόνο κράτη τα οποία χρησιμοποιούν το λογισμικό αυτό για τους νόμιμους λόγους που προαναφέραμε (πχ. εθνική ασφάλεια) αλλά και άλλοι δρώντες και αυτό δεν μπορεί εύκολα να ελεγχθεί. Θα πρέπει τέλος να διερωτηθούμε αναφορικά με τα ηθικά ζητήματα που εγείρονται αναφορικά με την χρήση τέτοιων λογισμικών. Το δίλλημα είναι πως είτε χρησιμοποιούμε αυτά τα κακόβουλα λογισμικά και αντιλαμβανόμαστε ότι θα υπάρχουν

παρεκτροπές είτε δεν τα χρησιμοποιούμε καθόλου. Όποιος έχει αυτήν την απόλυτη δύναμη στα χέρια του είναι δυστυχώς δύσκολο να περιοριστεί αναφορικά με την χρήση της.

Στη συνέχεια ο συντονιστής του webinar και Γενικός Γραμματέας του ΚΕΔΙΣΑ κ. Βασίλης Παπαγεωργίου, απεύθυνε ερώτηση στους ομιλητές αναφορικά με την αύξηση των κυβερνοαπειλών στην εποχή μας δεδομένου της πληθώρας εργαλείων που είναι διαθέσιμα σε κακόβουλους δρώντες και πως αυτές οι απειλές μπορούν να επηρεάσουν τους τελικούς χρήστες καθώς και σε τι βαθμό μπορούν να προστατευτούν επαρκώς;

Την ερώτηση απάντησε ο κ. Παπαδάκης ο οποίος υπογράμμισε πως, όταν αναφερόμαστε σε τέτοια λογισμικά, θα πρέπει να διαφοροποιήσουμε τους απλούς χρήστες με τους χρήστες των οποίων η στόχευση έχει όφελος για τον επιτιθέμενο, όπως πολιτικοί, δημοσιογράφοι κλπ. Οι πρώτοι είναι πολύ δύσκολο να αποτελέσουν σχετικό στόχο εκτός και αν βρίσκονται στον περίγυρο κάποιου προσώπου ενδιαφέροντος. Υπάρχουν επίσης και άλλα λογισμικά τα οποία είναι παράνομα και τα οποία δεν γνωρίζουμε και αυτό εγείρει αρκετά ερωτήματα αναφορικά με την ασφάλεια των πολιτών. Τέλος αναφορικά με τον απλό χρήστη, αυτός μπορεί να προστατευθεί μέχρι ενός βαθμού, καθώς οι χρήστες θα πρέπει να γνωρίζουν πλέον τους κινδύνους που εγκυμονούν στη χρήση των σημερινών συσκευών ενώ και οι αρμόδιες αρχές θα πρέπει να στηρίξουν έμπρακτα τον πολίτη.

Στην ερώτηση που κατέθεσε ο Ιδρυτής και Πρόεδρος του ΚΕΔΙΣΑ, Δρ. Ανδρέας Γ. Μπανούτσος, αναφορικά με το για ποιον λόγο τα κράτη τα οποία διαθέτουν εξειδικευμένους οργανισμούς παρακολούθησης όπως η NSA, θα πρέπει να απευθύνονται σε αυτές τις εταιρείες για να αγοράσουν αυτά τα κακόβουλα λογισμικά από ιδιωτικές εταιρείας που τα πουλάνε στην ελεύθερη αγορά απάντησε ο Καθηγητής κ.Βλάχος αναφέροντας πως δεν αγοράζουν όλα τα κράτη τέτοιες υπηρεσίες. Αυτό εξαρτάται από το πόσο αναπτυγμένο είναι ένα κράτος σε αυτόν τον τομέα καθώς και τι υποδομές και προσωπικό διαθέτει. Μικρότερες χώρες ενδεχομένως να μην έχουν σχετικές δυνατότητες άρα να ενδιαφέρονται περισσότερο για την απόκτηση τέτοιων προϊόντων. Επίσης μια χώρα η οποία θέλει να επιτεθεί σε μια άλλη χώρα θα μπορούσε να χρησιμοποιήσει ένα τέτοιο προϊόν καθώς η λίστα πελατών είναι πολύ μεγαλύτερη και άρα είναι πολύ δύσκολο να βρεθεί το από που ξεκίνησε μια επίθεση και να κατηγορηθεί για αυτό η συγκεκριμένη χώρα. Τέλος ο κ. Παπαδάκης αναφέρθηκε στην περίπτωση της Κίνας που χρησιμοποιεί απεριόριστους οικονομικούς πόρους για την χρηματοδότηση της έρευνας σε αυτό τον τομέα, ενώ παράλληλα μικρότερες χώρες χρησιμοποιούν τέτοια εργαλεία στον κυβερνοχώρο ως πολλαπλασιαστές ισχύος.

Photo by ThisisEngineering RAEng/ unsplash.com

 

new-economy.gr