Skewed Reality

Πίσω στον χρόνο, τις 7 Μαΐου φέτος, η TSA, η οργάνωση υπεύθυνη για την ασφάλεια των αερομεταφορών στις ΗΠΑ, έχασε έναν σκληρό δίσκο με τα προσωπικά στοιχεία 100.000 περίπου υπαλλήλων της. Το σίγουρο είναι ότι αυτές οι πληροφορίες, στα χέρια των τρομοκρατών, θα ήταν πολύ χρήσιμες. Όταν γνωρίζεις τα στοιχεία των ελεγκτών στο σημείου ελέγχου ασφαλείας του αεροδρομίου δεν είναι δύσκολο να εκβιάσεις ή τουλάχιστον να επηρεάσεις την αποτελεσματικότητα αυτών των ανθρώπων.

Η TSA έκανε την ανακοίνωση το βράδι της Παρασκευής, ελπίζοντας ότι δεν θα δοθεί και πολλή σημασία αλλά… άνθρακες ο θησαυρός. Βούηξε ο τόπος και τελικά αναγκάστηκαν να δημιουργήσουν ολόκληρη ειδική περιοχή στον ιστοτόπο τους για να πληροφορήσουν τους 100.000 υπαλλήλους τους για την τύχη των προσωπικών τους δεδομένων. Εκεί λοιπόν διακρίνω υπηρεσίες για την προστασία των υπαλλήλων από απάτες με αιχμή δωρεάν ελέγχους του credit τους (οι απατεώνες μπορούν να κάνουν αγορές και δάνεια με βάση τα κλεμένα στοιχεία). Περίεργο όμως που μια υπηρεσία που κόπτεται τα μάλα για την «τρομοκρατική απειλή» και ταλαιπωρεί τόσο κόσμο δεν ανησυχεί καθόλου για την χρήση των πληροφοριών αυτών για την παράκαμψη των ελέγχων στα αεροδρόμια ή αλλού… Ούτε έναν καθησυχαστικό λόγο δεν βρήκα.

Ακόμα πιο σημαντικό και μάλλον περισσότερο επί της ουσίας είναι το θέμα του δίσκου που χάθηκε. Ενώ υπάρχει εντολή της υπηρεσίας να κρυπτογραφούνται όλες οι συσκευές αποθήκευσης δεδομένων που μετακινούνται από υπαλλήλους, ο δίσκος δεν είχε κρυπτογραφηθεί. Ξεχνάμε συχνά να αναλογιστούμε το κόστος μιας απώλειας υλικού.

Τι θα κοστίσει σε μια εταιρεία η κλοπή του ηλεκτρονικού υπολογιστή της γραμματείας, ή της υποδοχής ενός ξενοδοχείου; Σε μια εποχή όπου η Ελλάδα έχει πια ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων, δεν αρκούν πια αυτές οι ερωτήσεις. Πρέπει να αναρωτηθεί κανείς τι κόστος θα έχουν οι πελάτες του στις παραπάνω περιπτώσεις καθώς και κατά πόσον εκτίθεται νομικά σε μηνύσεις ή πρόστιμα από την Αρχή.

Δεν αρκεί λοιπόν να κρατά κανείς αντίγραφα ασφαλείας, πρέπει να φροντίζει, για την δική του προστασία, να κρυπτογραφεί τα δεδομένα σε κάθε υπολογιστικό σύστημα ή βάση δεδομένων, ειδικά αυτές που αποθηκεύονται διαδικτυακά (όπως είναι συχνή τακτική σήμερα). Αναρωτηθήκατε ποτέ σε πόσους εμπιστεύεστε τα προσωπικά σας δεδομένα καθημερινά και τι κάνουν αυτοί για να τα προστατέψουν;

Πολλά και διάφορα νέα από την Αμερική. TSA x 2, κάμερες ασφαλείας και διάφανα σακίδια στα σχολεία. Κάτω η τρομοκρατία… ζήτω η τάξις, η πειθαρχεία κι η ασφάλεια! Κι αν αναρωτιέστε γιατί ασχολούμαι με αυτούς, κοιτάξτε γύρω σας και μάθετε τι ψηφίζεται στην Ευρώπη τελευταία για την ασφάλειά μας.

Αρχίζουμε με την TSA, τον οργανισμό ελέγχου επιβατών των Ηνωμένων Πολιτειών… με την οποία είχα την τιμή να συναντηθώ πέρσι σε κάποιο αεροδρόμιο της Ουάσινγκτον. Πρώτα, μας προειδοποιούν ότι οι τρομοκράτες κάνουν δοκιμές στα σημεία ελέγχου των αεροδρομίων… Μετά, βγαίνει στην επιφάνεια ότι η δήθεν «διαρροή» ήταν θέατρο (για να μας πείσουν ότι κάτι κάνουν;). Ουπς…

Στη συνέχεια, σχολεία απαιτούν την χρήση διάφανων σακκών από τους μαθητές για να βελτιωθεί η ασφάλεια. Ευτυχώς που τα παιδιά δεν θα έχουν τσέπες… ή μπουφάν για να κρύβουν τους σουγιάδες, το C4 και τα Uzi… Εννοείται ότι ο κάθε φύλακας σχολείου θα σταμάταγε παιδί με Uzi αντί να καλυφθεί. [ξεχείλισα ειρωνία απόψε]

Μετά, ο αγαπημένος μας ειδικός ασφαλείας Bruce Schneier παίρνει αποκλειστική συνέντευξη από τον διαχειριστή της TSA και του κάνει τις δύσκολες ερωτήσεις που κανείς δημοσιογράφος δεν θα τολμούσε να κάνει. Διαβάστε οπωσδήποτε την πλήρη συνέντευξη και βγάλτε τα συμπεράσματά σας ή αν έχετε δυσκολία να διακρίνετε την παλαβομάρα μερικών από τα επιχειρήματα του Kip Hawley, διαβάστε τα σχόλια των αναγνωστών μαζί με την συνέντευξη τμηματικά:
πρώτο μέρος, δεύτερο μέρος, τρίτο μέρος, τέταρτο μέρος
πέμπτο μέρος.

Τέλος, Η Νέα Υόρκη βάζει κάμερες ενώ ταυτόχρονα έμπειρος βρετανός αξιωματικός αστυνομικός του Λονδίνου όπου τις έχουν χρόνια, χειριστής καμερών, δηλώνει ότι δεν έχουν κανένα αποτέλεσμα στην πρόληψη του εγκλήματος ή της τρομοκρατίας (ιδίως της τρομοκρατίας, δηλώνει ότι οι τρομοκράτες «δεν ασχολούνται με τις κάμερες»)…. Ιδού και το αρχικό άρθρο

.. και όχι δημοσιογράφων, επικοινωνιολόγων, δικηγόρων και πολιτικών. Αυτοί μας τα κάνανε μαντάρα γενικώς με το όλο ζήτημα και τελικά εκτεθήκαμε διεθνώς και ποιος ξέρει τι υλικό κατάφεραν να συλλέξουν οι υποκλοπείς κατά την διάρκεια τόσων μηνών…

Την προηγούμενη εβδομάδα λοιπόν δύο ειδικοί της επιστήμης υπολογιστών έγραψανγια το ΙΕΕΕ (Institute of Electrical and Electronics Engineers, Inc. – Ινστιτούτο ηλεκτρολόγων μηχανικών) στο περιοδικό του ένα εκτενές post-mortem της υποκλοπής. Οι ευθύνες δεν είχαν τόσο μεγάλη σημασία (βαρύνουν κυρίως την Vodafone) αλλά η διεθνής κοινότητα λαμβάνει ένα σκληρό μάθημα. Οι ειδικοί ασχολήθηκαν με το σύστημα και τις αντιλήψεις που οδήγησαν στις υποκλοπές και όχι σε ρητορική περί ευθυνών και συνομωσιών.

Μερικοί ειδικοί ασφαλεία δικτύων με δημοφιλέστατα blogs στον χώρο έγραψαν:

Ένα σύστημα για να επιτρέπει στην αστυνομία να κρυφακούει σε συζητήσεις χρησιμοποιήθηκε παράνομα (τι έκπληξη) — Bruce Schneier
Ποιός επιβλέπει τους επιβλέποντες;

Δύο μαθήματα πρέπει να μάθουμε από αυτό το συμβάν. Πρώτα, η τήρηση αρχείων και των διαδικασιών είναι πολύ σημαντικά. Όλοι όσοι εμπλέκονται στον σχεδιασμό ή στην λειτουργία συστημάτων πρέπει να προσέξουν αυτό το τμήμα του άρθρου. Λέω “όλοι” και όχι “όλοι όσοι ασχολούνται με την ασφάλεια” γιατί τα αρχεία δεν έχουν απαραίτητα στόχο την ασφάλεια. — Steve Bellovin
Η αρχειοθέτηση είναι ουσιώδης πάντοτε ακόμα κι αν δεν φαίνεται αρχικά να έχει καμία σχέση με την ασφάλεια. Η Vodafone έσβηνε τα αρχεία κάθε τρεις μήνες οπότε χάθηκαν όλα για την εξοικονόμηση αποθηκευτικού χώρου (ένα μηδαμινό κόστος).

Για κάποιον λόγο, οι διεπαφές καταγραφής δεν φαίνεται να υπόκεινται και σε μεγάλη τεχνική εξέταση, και αρχίζουμε να βλέπουμε πόσο εύκολο μπορεί να είναι να χρησιμοποιηθούν για κακούς σκοπούς. Αδυναμίες εδώ μπορεί να είναι δίκοπο μαχαίρι, επίσης, μερικές φορές κάνοντάς πιο εύκολη την αποφυγή νόμιμης επίβλεψης για τους εγκληματίες. — Matt Blaze
Εγκαθιστώντας συστήματα υποκλοπής είναι αναμενόμενο ότι πρέπει να δίνεται ιδιαίτερη προσοχή στην χρήση τους και στην σωστή και νόμιμή τους λειτουργία.

Πράγματα αυτονόητα αλλά σίγουρα όχι κατανοητά από τις διοικήσεις των εταιρειών σύμφωνα με τους παραπάνω.