H Ευρώπη χωρίς ασπίδα προστασίας για τον... «ιό» της Microsoft

microsoft.jpg

Microsoft Τι κοινό είχαν τα θύματα της κυβερνο-επίθεσης που χτύπησε δεκάδες χιλιάδες υπολογιστές σε πάνω από 150 χώρες σε όλον τον κόσμο; | AP Photo/Swayne B. Hall

Το τρίτο μέρος της έρευνας Investigate Europe, στο οποίο φαίνεται ότι η Γηραιά Ηπειρος δεν είναι μόνο εγκλωβισμένη στα δίχτυα του πολυεθνικού τεχνολογικού κολοσσού αλλά και ότι αυτή της η εξάρτηση εκθέτει τις κυβερνήσεις και τη δημόσια διοίκησή της σε ένα πρωτοφανές ρίσκο ασφάλειας.

Στις προηγούμενες δύο συνέχειες, η έρευνα Investigate Europe - «Εφ.Συν.» έδειξε πως η Ευρώπη είναι εγκλωβισμένη στην τεχνολογία της Microsoft, καθώς επίσης και τους κινδύνους που δημιουργεί η «αθώα» διείσδυση της εταιρείας σε χιλιάδες ευρωπαϊκά σχολεία. Ο πιο σοβαρός όμως κίνδυνος είναι αλλού: η εξάρτηση από την αμερικανική εταιρεία εκθέτει την Ευρώπη -τις κυβερνήσεις της, τη δημόσια διοίκηση, αλλά κυρίως τις κρίσιμες υποδομές της- σε ένα πρωτοφανές ρίσκο ασφάλειας...

Τι κοινό είχαν τα θύματα της κυβερνο-επίθεσης που χτύπησε δεκάδες χιλιάδες υπολογιστές σε πάνω από 150 χώρες σε όλον τον κόσμο; Ολοι οι χρήστες, από απλούς ιδιώτες μέχρι τα δημόσια νοσοκομεία της Βρετανίας, χρησιμοποιούσαν Windows. Με άλλα λόγια οι χάκερ επέλεξαν σαν δούρειο ίππο για τις επιθέσεις τους το λειτουργικό σύστημα της Microsoft – και πιο συγκεκριμένα μια παλιότερη έκδοσή του.

Αντίθετα με την εικόνα που δίνουν αρκετά δυτικά μέσα, η συντριπτική πλειονότητα των κυβερνο-επιθέσεων που γνωρίζουμε ώς σήμερα εναντίον της Ευρώπης δεν έχουν γίνει από Ρώσους ή Κινέζους, αλλά από αμερικανικές υπηρεσίες, τις λεγόμενες «three letter agencies» («υπηρεσίες με τρία γράμματα»).

Και στις περισσότερες υπάρχει τεκμηριωμένη εμπλοκή της Microsoft, με ή χωρίς τη συναίνεσή της: άλλοτε επειδή οι επιτιθέμενοι εκμεταλλεύτηκαν κενά ασφάλειας στα προϊόντα της. Αλλοτε επειδή η ίδια η εταιρεία συνεργάστηκε με τις αμερικανικές αρχές δίνοντας σε αυτές πρόσβαση στα αρχεία των πελατών της.

Investigate Europe ΕΦ.ΣΥΝ.

Τα έγγραφα της NSA που έφερε στο φως ο Εντουαρντ Σνόουντεν απέδειξαν πως ορισμένα από τα πιο δημοφιλή προϊόντα της Microsoft (Outlook, SkyDrive, Skype, Office) έχουν παραβιαστεί από τις αμερικανικές υπηρεσίες, πάντα με τη συνεργασία της ίδιας της εταιρείας.

Συνομιλίες, e-mails και έγγραφα, όλα ήταν εν δυνάμει προσβάσιμα από τις υπηρεσίες. Οι συντάκτες των αναφορών της NSA αποκαλούν χαριτολογώντας τη σχέση αυτή «ομαδικό σπορ» («team sport»). Αναλόγως βέβαια πράττουν και οι άλλες αμερικανικές εταιρείες λογισμικού, αναλόγως και οι αντίστοιχες ευρωπαϊκές, αντιμέτωπες με αιτήματα των δικών τους εθνικών αρχών.

Αυτό όμως που διακρίνει τη Microsoft είναι ο υπερβάλλων ζήλος: όπως δείχνουν τα έγγραφα της NSA, η Microsoft ήταν η πρώτη που συνεργάστηκε με τις αμερικανικές υπηρεσίες και μάλιστα πριν καν υποχρεωθεί να κάνει κάτι τέτοιο.

Το Investigate Europe προσπάθησε επανειλημμένα να επικοινωνήσει με τη Microsoft ζητώντας την άποψή της, αλλά η απάντηση ήταν αρνητική. Θα αρκεστούμε λοιπόν σε όσα η εταιρεία έχει δημόσια αναφέρει.

Κερκόπορτες στο «σύννεφο»

Η εταιρεία απαντάει ότι τα περιθώριά της, από νομικής πλευράς, είναι περιορισμένα. Μιλώντας σε επιτροπή του Ευρωκοινοβουλίου (11.11.2013) η αντιπρόεδρος της Microsoft, Ντοροτέ Μπελτς (μετέπειτα στέλεχος του CSU στη Γερμανία), ερωτώμενη για το αν υπάρχουν κερκόπορτες [backdoors] στα προγράμματα της Microsoft, απάντησε:«Δεν υπάρχουν». Ερώτηση: «Αν υπήρχαν, θα μας το λέγατε;». Απάντηση: «Δεν θα μου επιτρεπόταν να σας πω».

Το σημείο καμπής ήταν η επικράτηση μιας νέας τεχνολογίας, του λεγόμενου cloud computing ή «υπολογιστικού νέφους». Παραδόξως την καλύτερη περιγραφή της εξέλιξης αυτής την έχει κάνει η ίδια η Microsoft, σε δικόγραφό της το 2016 εναντίον του αμερικανικού Δημοσίου:

«Πριν από την ψηφιακή επαφή άτομα και εταιρείες αποθήκευαν την πιο ευαίσθητη αλληλογραφία τους και άλλα έγγραφά τους σε αρχεία ή συρτάρια γραφείου. Με την επικράτηση των υπολογιστών οι χρήστες μετέφεραν το υλικό τους σε τοπικούς υπολογιστές και σέρβερ [εξυπηρετητές], διατηρώντας και πάλι τη φυσική κυριότητα και τον έλεγχο. [...] Το υπολογιστικό νέφος [cloud] επέφερε μια βαθιά αλλαγή στην αποθήκευση των προσωπικών πληροφοριών. [...]

»Καθώς τόσο οι ιδιώτες όσο και οι εταιρείες μετέφεραν τις πιο ευαίσθητες πληροφορίες τους στο cloud, η κυβέρνηση όλο και περισσότερο καταφεύγει στην τακτική της απόκτησης των προσωπικών ψηφιακών εγγράφων όσων χρησιμοποιούν το cloud όχι από τους ίδιους, αλλά μέσω νομικών διαδικασιών που απευθύνονται σε ονλάιν παρόχους όπως η Microsoft.

»Την ίδια ώρα η κυβέρνηση [των ΗΠΑ] εκδίδει μυστικές διατάξεις ώστε να μην επιτρέψει στη Microsoft να ενημερώσει τους πελάτες της (και όποιον άλλον) σχετικά με τις διαταγές της κυβέρνησης».

Αντιμέτωπη με τη δημόσια κατακραυγή, η Microoft άλλαξε ρότα. Ανακοίνωσε μια νέα πολιτική αυστηρής προστασίας των δεδομένων των πελατών της στην Ευρώπη, ξεκινώντας από τη Γερμανία με το λανσάρισμα της υπηρεσίας cloud «MS Azure Germany».

Ομως το Investigate Europe εξέτασε τη νέα πολιτική απορρήτου της εταιρείας και διαπίστωσε ότι ακόμα και τώρα η Microsoft παραδίδει όλο το περιεχόμενο των πελατών της στις αμερικανικές υπηρεσίες αν αυτές της το ζητήσουν, ενώ είναι παράλληλα υποχρεωμένη να τηρεί σιγή ιχθύος για αυτά τα αιτήματα.

«Πρόωρη εκκίνηση»

Με άλλα λόγια, η συνέργεια με υπηρεσίες όπως η CIA, το FBI, η NSA εξακολουθεί. Αυτό ενδεχομένως συνέβη και στην πρόσφατη κυβερνο-επίθεση, στην υπόθεση WannaCry. Σύμφωνα με την επιθεώρηση The Register, η αμερικανική εταιρεία είχε εντοπίσει τα κενά ασφάλειας στο λογισμικό της αρκετούς μήνες πριν ενημερώσει το κοινό για αυτά.

Πάντως το 2013 ο εκπρόσωπος της Microsoft, Φρανκ Σο, επιβεβαίωσε πως η εταιρεία ορισμένες φορές, όταν ανακαλύπτει ένα κενό ασφάλειας στο λογισμικό της, προτού το διορθώσει, ενημερώνει τις υπηρεσίες πληροφοριών ώστε αυτές να έχουν ένα παράθυρο ευκαιρίας να εκμεταλλευτούν την τρύπα εναντίον δικών τους στόχων.

Ο εκπρόσωπος της Microsoft αποκάλεσε την πρακτική αυτή «πρόωρη εκκίνηση»...

Κρίσιμες υποδομές

Οσα αναφέραμε ώς τώρα αφορούν το «πολιτικό» ρίσκο, την υποχρέωση δηλαδή της Microsoft να συμμορφώνεται με τις ορέξεις της αμερικανικής κυβέρνησης. Υπάρχει όμως και το τεχνικό ρίσκο: τα προβλήματα ασφάλειας που αφορούν το λογισμικό της εταιρείας.

Το 2012 διέρρευσε έγγραφο του γερμανικού BSI (Ομοσπονδιακό Γραφείο Ασφάλειας των Πληροφοριών) σύμφωνα με το οποίο η χρήση Windows 8 είναι «απαράδεκτη για την Ομοσπονδιακή Διοίκηση και τους λειτουργούς κρίσιμων υποδομών».

Διότι δημόσιος τομέας δεν σημαίνει απλώς δημόσιοι υπάλληλοι που γράφουν αναφορές στο Word. Σημαίνει κυρίως κρίσιμες υποδομές: στην ενέργεια, στην ύδρευση, στα δίκτυα μεταφορών, στις τηλεπικοινωνίες - και ο κατάλογος όσο μεγαλώνει τόσο γίνεται απειλητικότερος. Iδίως αν ανατρέξει κανείς στην υπόθεση Stuxnet.

Το 2009 σημειώθηκαν απανωτές εκρήξεις σε φυγοκεντρητές στο Ιράν. Το πυρηνικό πρόγραμμα πήγε πίσω αρκετούς μήνες, με τους Ιρανούς μηχανικούς να ψάχνουν απεγνωσμένα για εξήγηση. Σχεδόν ταυτόχρονα ο ιός Stuxnet, όπως ονομάστηκε, άρχισε να χτυπάει υπολογιστές σε όλον τον κόσμο, για να αποδειχτεί τελικά πως επρόκειτο για ένα κυβερνο-όπλο, καρπό της συνεργασίας ΗΠΑ (επί Ομπάμα) και Ισραήλ.

Οχημα για τη διείσδυση του Stuxnet ήταν αδυναμίες στο λειτουργικό σύστημα των Windows (στο οποίο «έτρεχαν» οι ιρανικές εγκαταστάσεις) και των βιομηχανικών συστημάτων ελέγχου (PLC) της Siemens, τα οποία χρησιμοποιούσε το Ιράν.

Τι θα γίνει αν ένας αντίπαλος της Δύσης (Ρωσία, Ιράν, Βόρεια Κορέα κ.λπ.) χρησιμοποιήσει ένα κυβερνο-όπλο τύπου Stuxnet; Και ποιος μπορεί να αποκλείσει οι ίδιες οι ΗΠΑ να κάνουν κάτι τέτοιο; Το έχουν άλλωστε ήδη κάνει στο πρόσφατο παρελθόν (με σκοπό την κατασκοπία και όχι το σαμποτάζ) και μάλιστα εναντίον ευρωπαϊκών στόχων!

(AP Photo Ted S. Warren, File)

Μεταξύ του 2011 και του 2013 αποκαλύφθηκαν τρεις τέτοιες σημαντικές κυβερνο-επιθέσεις. Ο ιός Regin, όπως ονομάστηκε, είχε θύματα την Ευρωπαϊκή Επιτροπή και το Ευρωπαϊκό Συμβούλιο, τη Belgacom (η μεγαλύτερη βελγική εταιρεία τηλεπικοινωνιών) και έναν κορυφαίο Βέλγο κρυπτογράφο.

Δυτικά ΜΜΕ (αμερικανικά και ευρωπαϊκά) μετέδωσαν πως πίσω από την επίθεση ήταν οι Κινέζοι, μέχρι που αποδείχτηκε (έγγραφα και δήλωση Σνόουντεν) πως κι αυτές οι επιθέσεις οργανώθηκαν από την NSA, πιθανότατα με τη συνδρομή των βρετανικών υπηρεσιών (The Intercept, 13.12.2014). Οσο για το όχημα που χρησιμοποιήθηκε, ήταν ένας ιός με την ικανότητα να μεταμφιέζεται σε λογισμικό Microsoft.

Αλλά δεν είναι μόνο η NSA. Τον περασμένο Μάρτιο τα Wikileaks διοχέτευσαν σειρά εγγράφων, με τίτλο Vault 7, από τα οποία προκύπτει πως «η CIA επίσης καταβάλλει μεγάλες προσπάθειες να μολύνει και να ελέγξει τους χρήστες Windows με τα προγράμματα κακόβουλου λογισμικού».

Κλειστό εναντίον ανοιχτού

Είναι όμως πράγματι τα προϊόντα Microsoft (με λογισμικό κλειστό/ιδιόκτητο) πιο ευάλωτα σε επιθέσεις; Ο καθηγητής Διομήδης Σπινέλλης, γνωστός από τη θητεία του ως γενικού γραμματέα Πληροφοριακών Συστημάτων του υπουργείου Οικονομικών, δεν κρύβει την προτίμησή του στον ανοιχτό κώδικα. Σήμερα πρόεδρος του Οργανισμού Ανοιχτών Τεχνολογιών (ΕΛΛΑΚ), έγραψε το πρώτο του πρόγραμμα σε ανοιχτό κώδικα τη δεκαετία του... ’80.

«Το ανοιχτό λογισμικό έχει πλεονεκτήματα που δεν τα έχει το κλειστό/ιδιόκτητο λογισμικό. Μπορούμε να δούμε πώς είναι φτιαγμένο. Να το αναλύσουμε και αν έχει κάποιο πρόβλημα να το διορθώσουμε εμείς ή να πούμε σε κάποιον άλλο “να ο κώδικας, διόρθωσέ το”. Δεν εξαρτιόμαστε αποκλειστικά από τον προμηθευτή. Για αυτό άλλωστε οι πιο μεγάλες εταιρείες στο διαδίκτυο (Facebook, Amazon, Google) βασίζουν την τεχνολογία τους σε λογισμικό ανοιχτού κώδικα».

Υπάρχει όμως και η αντίθετη συλλογιστική, εκ πρώτης όψεως αρκετά πειστική: αφού τα Windows κυριαρχούν κατά κράτος στην αγορά επιτραπέζιων υπολογιστών (τα χρησιμοποιούν 1,2 δισεκατομμύρια άνθρωποι), μοιραία οι χάκερ (ή οι υπηρεσίες) επιτίθενται σε αυτά και όχι, για παράδειγμα, στο πολύ λιγότερο διαδεδομένο Linux.

Το επιχείρημα αυτό αντιστρέφει ο Σπινέλλης. Σε τελική ανάλυση, λέει, δεν έχει σημασία ποιος είναι ο πιο ασφαλής. «Μα οι λόγοι που είναι πιο ευάλωτα τα Windows δεν μας ενδιαφέρουν. Εγώ, ως δημόσιος φορέας που χειρίζεται μια κρίσιμη υποδομή, θα βάλω Linux επειδή το χρησιμοποιούν λιγότεροι και συνεπώς με αυτό είμαι λιγότερο ευάλωτος. Και αν κάποια μέρα γίνει κι αυτό ευάλωτο, τότε ενδεχομένως θα βάλω κάποιο άλλο!»

Χάος στα γαλλικά Rafale

Ακολουθώντας ουσιαστικά το σκεπτικό ειδικών όπως ο Σπινέλλης, το Ευρωκοινοβούλιο προχώρησε σε δύο αυστηρότατα ψηφίσματα (2013 και 2014) με τα οποία καλεί την Κομισιόν να απαγκιστρωθεί από τις τεχνολογίες κλειστού λογισμικού και να ερευνήσει τις συμβάσεις με εταιρείες που εμπλέκονταν στις αποκαλύψεις Σνόουντεν.

Ομως η Κομισιόν δεν έκανε ούτε το ένα ούτε το άλλο. Την ίδια απροθυμία δείχνουν και εθνικές κυβερνήσεις σε όλη την Ευρώπη, με τελευταίο και πιο χαρακτηριστικό παράδειγμα τη Γαλλία.

Microsoft AP Photo/Michel Euler, File

Το 2009 ο ιός Conficker, ο οποίος κι αυτός μεταδιδόταν μέσω Windows, εξουδετέρωσε μέρος των συστημάτων πληροφορικής της αεροπορίας και του ναυτικού στις γαλλικές ενόπλες δυνάμεις. Πηγή που έζησε τα γεγονότα ως αυτόπτης μάρτυρας λέει στο Investigate Europe:

«Επικράτησε χάος! 45.000 υπολογιστές εκτός λειτουργίας. Τα Rafale [γαλλικά μαχητικά] δεν μπορούσαν να κατεβάσουν τα σχέδια πτήσης και να απογειωθούν. Τα πλοία μας κατάφεραν να αποκαταστήσουν τις επικοινωνίες χρησιμοποιώντας τον... τηλέγραφο. Μόνο ταξιδιωτικά περιστέρια που δεν επιστρατεύσαμε...»

Οχτώ χρόνια μετά το γαλλικό κράτος δεν δείχνει να έχει βάλει μυαλό. Σύμφωνα με εσωτερικό έγγραφο, που βρίσκεται στη διάθεση του Investigate Europe, το υπουργείο Αμυνας σχεδιάζει να υπογράψει νέα σύμβασή με τη Microsoft έναντι 120 εκατ. ευρώ.

Πώς Κίνα, Ρωσία και NSA απέδρασαν από τον... Gates

Αυτό που δεν κάνει η Ευρώπη, το προσπαθούν όσες χώρες έχουν λόγους να ανησυχούν για την «ψηφιακή τους κυριαρχία». Κίνα, Ινδία, Ρωσία, Ιράν, Βόρεια Κορέα, ακόμα και η Τουρκία έχουν αναπτύξει δικά τους «εθνικά» λειτουργικά συστήματα («national operating systems»), βασισμένα κυρίως στο Linux, με σκοπό να διαφυλάξουν την εθνική τους ασφάλεια.

Δεν είναι όμως μόνο οι «εχθροί» της Δύσης. Ακόμα και η κατ’ εξοχήν αμερικανική υπηρεσία ασφάλειας είναι χειραφετημένη από τη Microsoft. Η NSA ανέπτυξε το «SELinux» («Security Enhanced Linux» / «Linux με ενισχυμένη ασφάλεια») και το διανέμει δωρεάν στο κοινό, εξυμνώντας παράλληλα τις αρετές του open software.

Η ειρωνεία είναι πως, όπως αποκάλυψε η ιστοσελίδα The Intercept (2/7/2015), μερικά από τα πιο γνωστά προγράμματα παρακολούθησης, με τα οποία η NSA παραβιάζει την ασφάλεια των προϊόντων της Microsoft και έτσι κατασκοπεύει εκατομμύρια ανθρώπους σε όλη τη Γη, τρέχουν πάνω σε λογισμικό ανοιχτού κώδικα....

Την έρευνα έκαναν για το Investigate Europe οι Ινγκεμποργκ Ελίασεν (Νορβηγία), Ελίσα Ζιμάντκε (Γερμανία), Νικόλας Λεοντόπουλος (Ελλάδα), Μαρία Ματζόρε (Ιταλία), Λεϊλά Μινιάνο (Γαλλία), Κρίνα Μπόρος (Ρουμανία / Βρετανία), Πάουλο   Πένια (Πορτογαλία), Χάραλντ Σούμαν (Γερμανία), Βόιτσεκ Τσίεζλα (Πολωνία).

Εκτός από την «Εφημερίδα των Συντακτών», η έρευνα δημοσιεύεται παράλληλα από τους εταίρους τού Investigate Europe σε όλη την Ευρώπη: Der Tagesspiegel (Γερμανία), Marianne (Γαλλία), Computer Weekly (Βρετανία), Il Fatto Quotidiano (Ιταλία), Publico (Πορτογαλία), EU Observer (Βέλγιο), Aftenbladet και Bergens Tidende (Νορβηγία), Newsweek Polska (Πολωνία), De Standaard (Βέλγιο), Falter (Αυστρία), Handelszeitung (Ελβετία), Investigace.cz (Τσεχία).

Η efsyn.gr θεωρεί αυτονόητο ότι οι αναγνώστες της έχουν το δικαίωμα του σχολιασμού, της κριτικής και της ελεύθερης έκφρασης και επιδιώκει την αμφίδρομη επικοινωνία μαζί τους.

Διευκρινίζουμε όμως ότι δεν θέλουμε ο χώρος σχολιασμού της ιστοσελίδας να μετατραπεί σε μια αρένα απαξίωσης και κανιβαλισμού προσώπων και θεσμών. Για τον λόγο αυτόν δεν δημοσιεύουμε σχόλια ρατσιστικού, υβριστικού, προσβλητικού ή σεξιστικού περιεχομένου. Επίσης, και σύμφωνα με τις αρχές της Εφημερίδας των Συντακτών, διατηρούμε ανοιχτό το μέτωπο απέναντι στον φασισμό και τις ποικίλες εκφράσεις του. Έτσι, επιφυλασσόμαστε του δικαιώματός μας να μην δημοσιεύουμε ανάλογα σχόλια.

Σε όσες περιπτώσεις κρίνουμε αναγκαίο, απαντάμε στα σχόλιά σας, επιδιώκοντας έναν ειλικρινή και καλόπιστο διάλογο.

Η efsyn.gr δεν δημοσιεύει σχόλια γραμμένα σε Greeklish.

Τέλος, τα ενυπόγραφα άρθρα εκφράζουν το συντάκτη τους και δε συμπίπτουν κατ' ανάγκην με την άποψη της εφημερίδας

Μέλος της
ΕΝΕΔ