Η INTRACOM ΞΕΡΕΙ ΓΙΑ ΤΙΣ ΥΠΟΚΛΟΠΕΣ
Τα θύματα ήταν πελάτες της Vodafone-Panafon στην Αθήνα, γνωστής ως Vodafone Ελλάδος, της μεγαλύτερης εταιρείας παροχής κινητής τηλεφωνίας της χώρας. Ο Τσαλικίδης ήταν ο υπεύθυνος προγραμματισμού του δικτύου της εταιρείας. Η σύνδεση ήταν προφανής. Λαμβάνοντας υπʼ όψιν τον κατάλογο ανθρώπων και των θέσεών τους κατά τη διάρκεια της υποκλοπής, αυτό που μπορούμε να φανταστούμε είναι ευαίσθητες συζητήσεις πολιτικών και διπλωματικών θεμάτων, επιχειρησιακές διαπραγματεύσεις υψηλής σημασίας ή ακόμη και συζυγικές αδιακρισίες που κρυφακούστηκαν και πολύ πιθανόν καταγράφηκαν.
Ακόμη και πριν από τον θάνατο του Τσαλικίδη οι ανακριτές είχαν βρει λογισμικό απατεώνων εγκατεστημένο στο τηλεφωνικό δίκτυο της Vodafone Ελλάδος, από άγνωστη πηγή. Κάποιοι εξαιρετικά πεπειραμένοι και ιδιαίτερα καλοί γνώστες είτε διαπέρασαν το δίκτυο από έξω είτε το υπονόμευσαν από μέσα, βοηθούμενοι από κάποιον πράκτορα. Η άλλη περίπτωση που οι ανακριτές ανακάλυψαν αργότερα ήταν ότι το λογισμικό στην καρδιά του τηλεφωνικού συστήματος είχε επαναπρογραμματιστεί με τρομερή επιδεξιότητα, κάτι που σπάνια, σχεδόν ποτέ,δεν είχαν ξαναδεί στο παρελθόν ή μέχρι τότε.
Μια μελέτη της «υπόθεσης της Αθήνας», που είναι σίγουρα το πιο παράξενο και δυσάρεστο σκάνδαλο που έγινε ποτέ, ικανό να καταπιεί έναν σημαντικό φορέα παροχής υπηρεσιών κινητής τηλεφωνίας, ρίχνει άπλετο φως στα μέτρα που αφορούν τα δίκτυα κινητής τηλεφωνίας και που μια εταιρεία οφείλει και πρέπει να πάρει προκειμένου να μειώσει την ευπάθειά τους απέναντι σε χάκερ ή πράκτορες.
Πρόκειται επίσης για μια σπάνια ευκαιρία να πάρει κανείς μια ιδέα περί εγκλημάτων στον κυβερνοχώρο που έχουν την ικανότητα να παραμένουν ατιμώρητα.
Είναι εξαιρετικά ασυνήθιστη η οποιαδήποτε είδους παρέμβαση σε μεγάλα δίκτυα, αλλά στην περίπτωση που αυτό συμβεί είναι δύσκολο να το κάνει κάποιος και εξίσου δύσκολο να διερευνηθεί.
Ακόμη και μεταξύ των σημαντικότερων εγκληματικών παρεμβολών (διεισδύσεων σε δίκτυο) η «υπόθεση της Αθήνας» ξεχωρίζει γιατί προφανώς ενέπλεξε μυστικά του κράτους στοχεύοντας ατομικά – ένας συνδυασμός που, αν συνέβαινε ποτέ στο παρελθόν, δεν θα αποκαλυπτόταν ποτέ δημόσια. Η πιο γνωστή υποκλοπή που εκθέτει μυστικά του κράτους ήταν αυτή του «Αυγού του κούκου», ένα όνομα που δόθηκε από ένα πανούργο διοικητικό στέλεχος δικτύων το οποίο ακολούθησε επιτυχώς την πορεία ενός γερμανού προγραμματιστή το 1986.
Ο προγραμματιστής πουλούσε μυστικά που αφορούσαν την Αμερικανική Στρατηγική Υπεράσπισης («Πόλεμος των Άστρων») στη σοβιετική ΚαΓκεΜπε.
Σε αντίθεση όμως με το «Αυγό του κούκου» η «υπόθεση της Αθήνας» επικεντρωνόταν σε συνομιλίες συγκεκριμένων, υψηλά ιστάμενων κυβερνητικών και στρατιωτικών στελεχών. Όντας τόσο εύκολο να ηχογραφηθούν οι συζητήσεις, πιστεύεται γενικότερα ότι όντως ηχογραφήθηκαν. Όμως κανείς δεν βρήκε ηχογραφήσεις και δεν ξέρουμε πόσα τηλεφωνήματα είχαν ηχογραφηθεί ή έστω ακουστεί από κάποιον από τους ενόχους. Αν και το φάσμα της δραστηριότητας αυτής είναι σε μεγάλο βαθμό άγνωστο, είναι δίκαιο να πει κάνεις ότι κανένα άλλο έγκλημα σχετικό με υπολογιστές που έχει καταγραφεί δεν είχε τέτοια προοπτική – να συλλαμβάνει δηλαδή πληροφορίες για θέματα του κράτους.
Παρόλο που αυτή είναι η πρώτη υποκλοπή που εμπλέκει κινητά τηλέφωνα, το σχέδιο δεν εξαρτήθηκε από την ασύρματη φύση του δικτύου. Βασικά οι χάκερ έσπασαν ένα τηλεφωνικό δίκτυο και υπονόμευσαν τα ενσωματωμένα χαρακτηριστικά γνωρίσματα υποκλοπής τηλεφωνικών συνδιαλέξεων για δικούς τους σκοπούς. Αυτό μπορούσε να γίνει για οποιοδήποτε τηλέφωνο, όχι μόνο για κινητό. Εντούτοις υπάρχουν κάποια στοιχεία (λειτουργίες) του συστήματος της Vodafone Ελλάδας τα οποία ήταν μοναδικά και κρίσιμα για τον τρόπο με τον οποίο έγινε το έγκλημα.
Συνεχίζουμε ακόμη να μη γνωρίζουμε ποιος διέπραξε το έγκλημα. Ένας σημαντικός λόγος είναι ότι η Vodafone, μια από τις μεγαλύτερες εταιρείες κινητής τηλεφωνίας στον κόσμο, κατέστρεψε μερικά από τα σημαντικά αρχεία καταγραφής. Επίσης άμεσα αφαίρεσε το παράνομο λογισμικό αντί να το αφήσει να συνεχίσει να τρέχει, σαν να πληροφορούσε τους δράστες, που η αυθαίρετη είσοδός τους στο δίκτυο είχε ήδη ανιχνευθεί, ότι είχαν ευκαιρία για κάλυψη. Η εταιρεία πλήρωσε το πρόστιμο των 76 εκατ. ευρώ τον Δεκέμβρη που μας πέρασε.
Για να συναρμολογήσουμε τα κομμάτια αυτής της ιστορίας, μελετήσαμε τις εκατοντάδες σελίδες των καταθέσεων που πήρε η ελληνική Κοινοβουλευτική Επιτροπή που διερεύνησε την υπόθεση ζητώντας άρση του απορρήτου. Επίσης, μελετήσαμε εκατοντάδες σελίδες τεκμηριωμένων και άλλων αρχείων συμπληρωματικών από δημόσια διαθέσιμες πληροφορίες και συνεντεύξεις με ανεξάρτητους εμπειρογνώμονες και πηγές που συνδέονται με την υπόθεση. Αυτό που προκύπτει είναι οι τεχνικές λεπτομέρειες, εάν όχι το κίνητρο, μιας διαβολικά έξυπνης και περίπλοκης παρεμβολής σε υπολογιστές.
Η παρακολούθηση των κινητών άρχισε κατά τη διάρκεια της προπαρασκευαστικής περιόδου για τους Ολυμπιακούς Αγώνες της Αθήνας το 2004. Δεν είχε γίνει αντιληπτό μέχρι τις 24 Ιανουαρίου 2005 όταν ένας από τους τηλεφωνικούς διανεμητές της Vodafone δημιούργησε μια ακολουθία μηνυμάτων λάθους που έδειχναν ότι τα μηνύματα κειμένων που προέρχονταν από άλλον χειριστή κινητού δεν είχαν διανεμηθεί. Ο διανεμητής είναι ελεγχόμενος από υπολογιστή, είναι εξάρτημα ενός τηλεφωνικού δικτύου που συνδέει 2 τηλεφωνικές γραμμές ώστε να ολοκληρώσει μια κλήση. Για να διαγνώσει τις αποτυχίες, κάτι που φαινόταν ασυνήθιστο αλλά λογικά αβλαβές τότε, η Vodafone ήρθε σε επαφή με τον κατασκευαστή των διανεμητών, τον σουηδικό κατασκευαστή τηλεπικοινωνιακού εξοπλισμού Έρικσον.
Τώρα ξέρουμε ότι το παράνομα εμφυτευμένο λογισμικό που βρέθηκε τελικά σε συνολικά τέσσερις από τους ελληνικούς διανεμητές της Vodafone δημιούργησε δύο όμοια «κανάλια» των ψηφιακών συνομιλιών για τα παγιδευμένα τηλεφωνήματα. Το ένα κανάλι ήταν το συνηθισμένο μεταξύ των 2 καλουμένων. Το άλλο, ένα ακριβές αντίγραφο, κατευθυνόταν σε άλλα κινητά, επιτρέποντας σε αυτούς που υπέκλεπταν να ακούν τις συνομιλίες και πιθανόν να τις καταγράφουν κιόλας. Το λογισμικό επίσης υποδείκνυε την τοποθεσία, όπως κι άλλες πληροφορίες για εκείνα τα τηλεφωνήματα στα κινητά.
Πέντε εβδομάδες μετά τα αποτυχημένα μηνύματα, στις 4 Μαρτίου 2005, η Έρικσον προειδοποίησε τη Vodafone ότι είχε εγκατασταθεί αυθαίρετο λογισμικό σε 2 κεντρικά της γραφεία. Τρεις μέρες αργότερα οι τεχνικοί της Vodafone απομόνωσαν τον παράνομο κωδικό. Την επόμενη μέρα, στις 8 Μαρτίου, ο διευθύνων σύμβουλος της Vodafone Ελλάδος, Γιώργος Κορωνιάς, διέταξε τους τεχνικούς ν’ αφαιρέσουν το λογισμικό. Τότε, τα πράγματα πήραν δραματική τροπή. Στις 9 Μαρτίου ο Τσαλικίδης, που επρόκειτο να παντρευτεί σε 3 μήνες, βρέθηκε κρεμασμένος στο διαμέρισμά του. Κανείς δεν ξέρει αν η προφανής αυτοκτονία συνδεόταν με την υπόθεση, όμως πολλοί διερευνητές έτσι πιστεύουν.
Τη μέρα αφού είχε ήδη βρεθεί το πτώμα του Τσαλικίδη, ο διευθύνων σύμβουλος Γ. Κορωνιάς συναντήθηκε με τον επικεφαλής του πολιτικού γραφείου του έλληνα πρωθυπουργού κ. Γιάννη Αγγέλου και τον υπουργό Δημοσίας Τάξης, κ. Γιώργο Βουλγαράκη. Ο Κορωνιάς τούς είπε ότι το παράνομο λογισμικό χρησιμοποίησε νόμιμους μηχανισμούς για να υποκλέψει συνδιαλέξεις 100 περίπου τηλεφώνων από τους ψηφιακούς διανεμητές της Vodafone και παρέδωσε μια λίστα με τα νούμερα που παρακολουθούνταν. Εκτός από του πρωθυπουργού και της γυναίκας του, τα νούμερα ανήκαν στους υπουργούς Εθνικής Άμυνας, Εξωτερικών και Δικαιοσύνης, στον δήμαρχο της Αθήνας και τον έλληνα Επίτροπο στην Ευρωπαϊκή Ένωση. Άλλα νούμερα ανήκαν σε μέλη οργανώσεων αστικών – πολιτικών δικαιωμάτων, ακτιβιστών υπέρ της ειρήνης, μέλη ομάδων κατά της παγκοσμιοποίησης, υψηλά στελέχη του υπουργείου Εθνικής Άμυνας, Δημόσιας Τάξης, Εμπορικής Ναυτιλίας και Εξωτερικών, στελέχη του κυβερνώντος κόμματος της Νέας Δημοκρατίας, το γενικότερο προσωπικό του Ελληνικού Ναυτικού, καθώς και ενός ελληνοαμερικανού υπαλλήλου της αμερικανικής πρεσβείας στην Ελλάδα.
Εβδομάδες αργότερα από την πρώτη ανακάλυψη του σχεδίου υποκλοπής, ελληνική κυβέρνηση και ανεξάρτητες Αρχές προώθησαν πέντε διαφορετικές έρευνες με σκοπό να δώσουν απαντήσεις σε τρία βασικά ερωτήματα: Ποιος ήταν υπεύθυνος για τις υποκλοπές; Ο θάνατος του Τσαλικίδη συνδέεται με το σκάνδαλο; Και πώς οι δράστες κατάφεραν να υλοποιήσουν ένα τόσο τολμηρό σχέδιο;
Για να καταλάβουμε πώς κάποιος μπορούσε να κρυφακούσει τις συνομιλίες ανώτερων ελλήνων υπαλλήλων, θα πρέπει να εξετάσουμε την υποδομή η οποία το καθιστά δυνατό.
Πρώτον, σκεφθείτε πως γίνεται ένα τηλεφώνημα, δικό σας ή του πρωθυπουργού. Πολύ πριν σχηματίσετε έναν αριθμό στο τηλέφωνο, το κινητό σας έχει ήδη επικοινωνήσει με τους κοντινότερους κυψελοειδείς σταθμούς βάσης. Ένας από αυτούς τους σταθμούς -ο κοντινότερος- «αποδέχεται» να λειτουργήσει ως μεσάζων μεταξύ του τηλεφώνου σας και του δικτύου συνολικά. Το τηλέφωνό σας μετατρέπει τις λέξεις σας σε ένα ποτάμι ψηφιακών στοιχείων που στέλνεται σ’ έναν πομποδέκτη στον σταθμό βάσης.
Οι δραστηριότητες του σταθμού βάσης κυβερνώνται από έναν ελεγκτή του σταθμού βάσης, ένα ειδικό υπολογιστή που παρέχει ραδιο-κανάλια και βοηθάει στη μεταβίβαση της κλήσης μεταξύ των πομποδεκτών που ελέγχει.
Αυτός ο ελεγκτής επικοινωνεί στη συνέχεια με ένα τηλεφωνικό κέντρο διανομής που δέχεται την κλήση και την ενώνει με τον καλούμενο μέσω του ίδιου κέντρου, άλλων κέντρων (της ίδιας πάντα εταιρείας) ή ειδικούς διανομείς που συνεργάζονται με ξένα δίκτυα και μπορούν να καθοδηγήσουν την κλήση σε άλλα τηλεφωνικά δίκτυα (κινητά ή επίγεια). Τα κινητά τηλεφωνικά κέντρα διανομής είναι ιδιαίτερα σημαντικά στην «υπόθεση της Αθήνας», γιατί φιλοξένησαν το παράνομο λογισμικό υποκλοπής και ακριβώς εκεί είναι που έλαβε χώρα η υποκλοπή των συνομιλιών. Αυτά τα κέντρα ήταν η λογική επιλογή επειδή βρίσκονται στην καρδιά του δικτύου και οι εισβολείς χρειάζονταν να καταλάβουν μόνο μερικά από αυτά για να μπορέσουν διεξάγουν την επίθεσή τους.
Και οι σταθμοί βάσης και τα τηλεφωνικά κέντρα διανομής χτίζονται γύρω από έναν μεγάλο υπολογιστή, γνωστό ως διανομέα, ικανό να δημιουργήσει ένα αξιόπιστο κανάλι επικοινωνίας ενός τηλεφώνου μέσα στο δίκτυό του και σε γενικές γραμμές οποιουδήποτε άλλου τηλεφώνου στον κόσμο. Οι διανομείς αυτοί παραμένουν από τη δεκαετία του 1970, μια εποχή κατά την οποία πανίσχυροι υπολογιστές γέμιζαν τα δωμάτια και «χτίζονταν» γύρω από αποκλειστικό, μονοπωλιακό, hardware και software. Παρόλο που οι υπολογιστές είναι μικρότεροι στις μέρες μας, η βασική αρχιτεκτονική του συστήματος παραμένει κατά ένα μεγάλο μέρος αμετάβλητη.
Όπως στις περισσότερες εταιρείες τηλεφωνίας, η Vodafone Ελλάδος χρησιμοποιεί τον ίδιο είδος υπολογιστή και για τα τηλεφωνικά κέντρα διανομής και τους ελεγκτές που βρίσκονται στους σταθμούς βάσης – τη σειρά ΑΧΕ της Έρικσον. Ένας κεντρικός επεξεργαστής συντονίζει τις διαδικασίες του διανεμητή και τον κατευθύνει να δημιουργήσει ένα κανάλι ομιλίας ή δεδομένων από το ένα τηλέφωνο στο άλλο και καθοδηγεί την κλήση μέσω αυτού. Τα αρχεία καταγραφής της δραστηριότητας του δικτύου, αλλά και τα αρχεία τιμολόγησης, αποθηκεύονται σε έναν δίσκο από μια χωριστή μονάδα η οποία λέγεται διοικητικός ελεγκτής.
Το κλειδί για να καταλάβουμε την παραβίαση στην «υπόθεση της Αθήνας» είναι το πώς το ΑΧΕ της Έρικσον επιτρέπει νόμιμες υποκλοπές οι οποίες αποκαλούνται wiretaps. Παρόλο που οι λεπτομέρειες διαφέρουν από χώρα σε χώρα, στην Ελλάδα, όπως και στα περισσότερα μέρη, η διαδικασία ξεκινάει όταν ένας εντεταλμένος εκπρόσωπος του νόμου πηγαίνει στο δικαστήριο και έχει ένα ένταλμα το οποίο παρουσιάζεται στην εταιρεία τηλεφωνίας στην οποία ανήκει ο πελάτης ο οποίος θα παρακολουθηθεί.
Σήμερα οι υποκλοπές γίνονται στο κεντρικό γραφείο. Στα κέντρα διανομής ΑΧΕ ένα υποσύστημα εξοπλισμού μακρινού ελέγχου ή RES πραγματοποιεί την υποκλοπή ελέγχοντας τα κανάλια ομιλίας και δεδομένων. Είναι ένα υποσύστημα λογισμικού που συνήθως χρησιμοποιείται για υποκλοπές στο οποίο υποτίθεται ότι μόνο οι εκπρόσωποι του νόμου έχουν πρόσβαση. Όταν το τηλέφωνο που παρακολουθείται κάνει μια κλήση, το RES αντιγράφει τη συνομιλία σε ένα δεύτερο κανάλι δεδομένων και προωθεί το αντίγραφο αυτό σε μια τηλεφωνική γραμμή που χρησιμοποιείται από τους εκπροσώπους του νόμου.
Η Έρικσον παρέχει προαιρετικά ένα Σύστημα Διαχείρισης Συνακροάσεων (IMS) μέσω του οποίου οι νόμιμες υποκλοπές οργανώνονται και γίνεται η διαχείρισή τους. Όταν μια δικαστική απόφαση δίνεται στην εταιρεία τηλεφωνίας, οι χειριστές-υπάλληλοι ορίζουν την υποκλοπή συμπληρώνοντας ένα παράθυρο διαλόγου στο λογισμικό του IMS. Το προαιρετικό IMS στο τμήμα διαχείρισης του χειριστή και το RES στο κέντρο διανομής κλήσεων περιλαμβάνουν από μια λίστα υποκλοπών. Μόνο οι υποκλοπές οι οποίες εκτελούνται από το IMS μπορούν να είναι ενεργοί στο RES, έτσι ώστε μια υποκλοπή στο RES χωρίς την απαραίτητη αίτηση από το IMS είναι μια προφανής ένδειξη πως έγινε μια παράνομη υποκλοπή. Μια διαδικασία ελέγχου μπορεί να χρησιμοποιηθεί για να βρεθούν οποιεσδήποτε ασυμφωνίες μεταξύ IMS και RES.
Προκύπτει ότι η Vodafone δεν είχε αγοράσει το νόμιμο σύστημα παρεμπόδισης τη στιγμή των παράνομων υποκλοπών και δεν είχε εγκαταστήσει το IMS λογισμικό. Όμως στις αρχές του 2003, οι τεχνικοί της Vodafone αναβάθμισαν τους ελληνικούς διανομείς στην έκδοση R9.1 του λογισμικού του ΑΧΕ. Αυτή η αναβάθμιση περιελάμβανε το RES λογισμικό, σύμφωνα με επιστολή της Έρικσον που συνόδευε την αναβάθμιση. Έτσι, κατόπιν της αναβάθμισης, το σύστημα της Vodafone περιελάμβανε τον απαραίτητο κώδικα συνακρόασης κλήσεων με τη χρήση του RES, παρόλο που στερούνταν το υψηλού επιπέδου περιβάλλον διαχείρισης του IMS, που κανονικά χρησιμοποιείται για τη συνακρόαση κλήσεων.
Αυτή η περίεργη συγκυρία θα αποδεικνυόταν ότι θα έπαιζε έναν ρόλο που θα άφηνε τους αθηναίους χάκερ να κρυφακούν παράνομα τα τηλεφωνήματα και να διαφεύγει ο εντοπισμός τους για μήνες και μήνες.
Χρειάστηκαν δολιότητα και σοβαρές αλλαγές στο λογισμικό ώστε να μπορέσουν να εκμεταλλευτούν τις λειτουργίες νόμιμης υποκλοπής των τηλεφωνικών κέντρων της Vodafone. Η δουλειά των εισβολέων ήταν ιδιαίτερα περίπλοκη επειδή έπρεπε να εγκαταστήσουν και να ενεργοποιήσουν το λογισμικό υποκλοπής τηλεφωνικών συνδιαλέξεων στα κέντρα διανομής κλήσεων, χωρίς αυτό να ανιχνευθεί από τους διαχειριστές του συστήματος της Vodafone ή της Έρικσον.
Εκμεταλλεύθηκαν το γεγονός ότι το ΑΧΕ επιτρέπει στο νέο λογισμικό να εγκατασταθεί χωρίς εκ νέου επανεκκίνηση του συστήματος, ένα σημαντικό χαρακτηριστικό, γιατί οποιαδήποτε επανεκκίνηση του συστήματος θα μπορούσε να διακόψει τηλεφωνήματα, να χαθούν μηνύματα κειμένου και να κάνει τις υπηρεσίες έκτακτης ανάγκης απρόσιτες. Για να επιτρέψεις ένα ΑΧΕ κέντρο διανομής κλήσεων να «τρέχει» συνεχώς για δεκαετίες, όπως πολλά από αυτά κάνουν, το λογισμικό της Έρικσον χρησιμοποιεί διάφορες τεχνικές για να χειρίζεται προβλήματα και να αναβαθμίζει το λογισμικό του χωρίς να διακόπτει τη λειτουργία του. Αυτές οι τεχνικές επιτρέπουν άμεση επιδιόρθωση του κώδικα που φορτώνεται στον κεντρικό επεξεργαστή, στην πραγματικότητα επιτρέποντας αλλαγές στο λειτουργικό σύστημα χωρίς διακοπή της λειτουργίας του συστήματος.
Τα σύγχρονα συστήματα GSM, όπως αυτά της Vodafone, εξασφαλίζουν ασύρματες συνδέσεις με έναν ιδιαίτερο μηχανισμό κρυπτογράφησης. Μια κλήση σε ένα άλλο κινητό θα κρυπτογραφηθεί ξανά μεταξύ του απομακρυσμένου κινητού και του κοντινότερου σταθμού βάσης, αλλά δεν προστατεύεται όσο διέρχεται το κεντρικό δίκτυο του προμηθευτή (παροχέα). Γι’ αυτόν τον λόγο -και για τη διευκόλυνση της παρακολούθησης των τηλεφωνημάτων με την άνεσή τους- οι δράστες επιτέθηκαν στους κεντρικούς διανομείς, διανομείς που βρίσκονται στον πυρήνα του δικτύου της Vodafone. Κρυπτογραφώντας τις συνομιλίες απ’ την έναρξη μέχρι το τέλος της αλυσίδας της συνομιλίας (όπως κάνουν για παράδειγμα οι τράπεζες), κάνει πολύ δύσκολο να εφαρμοστεί η νόμιμη υποκλοπή.
Για να απλοποιήσει τη συντήρηση του λογισμικού, το ΑΧΕ έχει διανείμει λεπτομερείς οδηγίες που αφορούν τη διαδικασία αλλαγής του κώδικα του λογισμικού του που τρέχει στον κεντρικό του επεξεργαστή. Ο υπάρχων κώδικας του ΑΧΕ είναι δομημένος πάνω σε ανεξάρτητα τμήματα κώδικα λογισμικού, τα οποία αποθηκεύονται στη μνήμη του κεντρικού επεξεργαστή. Η έκδοση που χρησιμοποιήθηκε το 2004 αποτελούνταν από 1.760 τμήματα κώδικα λογισμικού. Ο καθένας περιείχε μια μικρή «περιοχή σύνδεσης» η οποία χρησιμοποιούνταν όποτε το λογισμικό αναβαθμιζόταν.
Ας πούμε ότι κάποιος αλλάζει ένα μέρος του κώδικα του λογισμικού, για να κάνει το κομπιούτερ μια νέα λειτουργία, Ζ, ενώ αυτό έκανε μια άλλη, διαφορετική, λειτουργία, Υ. Έτσι, για παράδειγμα, όπου το αρχικό λογισμικό είχε μια οδηγία «αν Χ, τότε κάνε το Υ», το αλλαγμένο λογισμικό στην πραγματικότητα λέει «αν Χ, τότε πήγαινε στην περιοχή σύνδεσης, στη θέση Λ». Το λογισμικό πηγαίνει στη θέση Λ και εκτελεί τις οδηγίες που βρίσκει εκεί, δηλαδή το Ζ. Με άλλα λόγια, ένα πειραγμένο λογισμικό δουλεύει, λειτουργεί, αντικαθιστώντας την οδηγία στην περιοχή του κώδικα και του λέει να «διορθωθεί» με μια οδηγία που εκτρέπει το πρόγραμμα σε μια θέση μνήμης που διαθέτει τη νέα εκδοχή του κωδικού.
Η πρόκληση που είχαν να αντιμετωπίσουν οι εισβολείς ήταν να χρησιμοποιηθούν οι ικανότητες του RES ώστε να αντιγράψουν και να κάνουν εκτροπή στα bits ενός καναλιού κλήσης χωρίς να χρειαστεί να γίνει διασύνδεση με το IMS, το οποίο θα δημιουργούσε ανιχνεύσιμα στοιχεία των ενεργειών τους. Οι δράστες το πέτυχαν αυτό, εγκαθιστώντας μια σειρά αλλαγών σε 29 ξεχωριστά τμήματα του κώδικα λογισμικού, σύμφωνα με τους ανώτερους υπαλλήλους της Έρικσον, που το κατέθεσαν ενώπιον της Ελληνικής Κοινοβουλευτικής Επιτροπής που διερεύνησε τις υποκλοπές. Αυτό το παράνομο λογισμικό τροποποίησε το λογισμικό του κεντρικού επεξεργαστή για να αρχίσει η υποκλοπή άμεσα, χρησιμοποιώντας τις ικανότητες του RES. Το καλύτερο από όλα γι’ αυτούς, ήταν ότι η παγίδευση δεν ήταν ορατή στους χειριστές επειδή το IMS και το σύστημα διαχείρισής του δεν χρησιμοποιήθηκαν.
Η πλήρης έκδοση του λογισμικού θα είχε καταγράψει τους τηλεφωνικούς αριθμούς που είχαν υποκλαπεί μέσα στο επίσημο αρχείο καταγραφής του κέντρου διανομής κλήσεων. Και, όπως επισημάναμε, ένας έλεγχος θα μπορούσε να βρει την απόκλιση μεταξύ των αριθμών στους οποίους γινόταν υποκλοπή στο κέντρο διανομής κλήσεων και των κανόνων εκτροπής που είχε καταχωρισμένες το IMS. Το παράνομο όμως λογισμικό παρέκαμψε το IMS. Αντ’ αυτού, αποθήκευσε έξυπνα τους παρακολουθούμενους αριθμούς σε 2 περιοχές δεδομένων που ήταν μέρος του μνήμης του παράνομου λογισμικού, που ήταν μέσα στη μνήμη του διανομέα αλλά απομονωνόμενο και μη γνωστοποιημένο στον υπόλοιπο διανομέα.
Αυτό που μόνο του έκανε το παράνομο λογισμικό να παραμείνει μη ανιχνεύσιμο για πολύ καιρό. Αλλά οι δράστες έκρυψαν τα ίχνη τους με εξίσου πολλούς άλλους τρόπους. Υπήρξαν ποικίλες περιστάσεις από τις οποίες οι τεχνικοί της Vodafone θα μπορούσαν να είχαν ανακαλύψει τις μεταλλαγές που είχαν γίνει στους φραγμούς του λογισμικού του ΑΧΕ. Π.χ. θα μπορούσαν να έχουν πάρει μια λίστα όλων των φραγμών, που θα παρουσίαζε όλες τις ενεργούς, τρέχουσες διαδικασίες μέσα στο ΑΧΕ – κάτι παρόμοιο με τη διαχείριση εργασιών (task manager) των Windows της Microsoft. Έτσι θα είχαν δει ότι μερικές εργασίες ήταν ενεργοί, ενώ δεν θα έπρεπε να είναι. Αλλά το παράνομο λογισμικό τροποποίησε προφανώς τις εντολές εκείνες που απαριθμούν τους ενεργούς φραγμούς -αυτούς που αφορούσαν παρεμπόδιση- από οποιαδήποτε άλλη λίστα.
Το παράνομο λογισμικό αποθήκευε τα τηλέφωνα που παρακολουθούνταν σε δική του μνήμη.
Επιπροσθέτως, το παράνομο λογισμικό θα μπορούσε να είχε ανακαλυφθεί κατά τη διάρκεια μιας αναβάθμισης λογισμικού ή ακόμα κι όταν οι τεχνικοί της Vodafone θα εγκαθιστούσαν μια αναβάθμιση στο λογισμικό. Είναι τυπική διαδικασία για τους τεχνικούς στη βιομηχανία τηλεπικοινωνιών να ελέγξουν, να επαληθεύσουν το υπάρχον λογισμικό πριν εκτελέσουν μια αναβάθμιση ή πριν κάνουν αλλαγές στο λογισμικό. Δεν ξέρουμε γιατί το παράνομο λογισμικό δεν ανιχνεύθηκε με αυτόν τον τρόπο, αλλά υποψιαζόμαστε ότι το λογισμικό τροποποίησε επίσης τη λειτουργία της εντολής που χρησιμοποιήθηκε για να τυπώσει τα checksums – κώδικες που δημιουργούν ένα είδος υπογραφής ώστε να επικυρώνεται η ακεραιότητα των υπαρχόντων τμημάτων λογισμικού. Με τον έναν ή τον άλλο τρόπο, όλα τα τμήματα του λογισμικού εμφανίστηκαν αμετάβλητα στους διαχειριστές.
Τέλος, το λογισμικό διέθετε μια «πίσω πόρτα» για να επιτρέψει στους δράστες να έχουν τον έλεγχο και στο μέλλον. Αυτό, επίσης, κατασκευάστηκε έξυπνα προκειμένου ν’ αποφευχθεί η ανίχνευση. Μια έκθεση από τις ελληνικές Αρχές προς την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (η σύντμηση είναι ΑΔΑΕ) δείχνει ότι το παράνομο λογισμικό τροποποίησε τον διαχειριστή εντολών του κέντρου διανομής κλήσεων –ένα τμήμα λογισμικού το οποίο δέχεται εντολές από χρήστες με υψηλή διαβάθμιση στο σύστημα– έτσι ώστε εντολές που ξεκινάνε με έξι διαστήματα (spaces) να απενεργοποιήσουν το σύστημα καταγραφής συμβάντων αλλά και το σύστημα συναγερμού σε περίπτωση απενεργοποίησής του και επέτρεψε την εκτέλεση εντολών του συστήματος συνακρόασης.
Στην ουσία ήταν ένας κωδικός που επέτρεπε να γίνονται υποκλοπές χωρίς να αφήνουν ίχνη. Επίσης το παράνομο λογισμικό εγκατέστησε έναν νέο χρήστη στο σύστημα ο οποίος μπορούσε να χρησιμοποιηθεί για να αποκτήσει κάποιος πρόσβαση στο κέντρο διανομής κλήσεων.
Το λογισμικό που όχι μόνο αλλάζει τον κώδικα λειτουργικών συστημάτων αλλά κρύβει και τα ίχνη του (τη διαδρομή του) καλείται rootkit. Ο όρος είναι δημόσια γνωστός επειδή ένα rootkit είχε συμπεριληφθεί σε κάποια CD της Sony BMG που κυκλοφόρησαν το 2005. Το rootkit της Sony περιόρισε την αντιγραφή CD – τρύπωνε στο λειτουργικό σύστημα Windows, κρύβοντας την ύπαρξή του από τον ιδιοκτήτη. (Η Sony σταμάτησε να χρησιμοποιεί rootkits λόγω μιας γενικότερης κατακραυγής του κοινού.) Οι εμπειρογνώμονες περί ασφάλειας έχουν ανακαλύψει επίσης κι άλλα rootkits, γενικής χρήσης, όπως Linux, Windows και Solaris, αλλά από ό,τι γνωρίζουμε αυτή είναι η πρώτη φορά που ένα rootkit εντοπίστηκε σε ένα ειδικής χρήσης σύστημα, σε αυτήν την περίπτωση έναν τηλεφωνικό διανεμητή της Έρικσον.
Με όλο αυτό το περίπλοκο κόλπο, πώς τελικά ανακαλύφθηκε το παράνομο λογισμικό; Στις 24 Ιανουαρίου 2005 οι δράστες αναβάθμισαν το εμφυτευμένο λογισμικό τους. Αυτή η αναβάθμιση παρεμπόδισε την αποστολή των μηνυμάτων κειμένων, τα οποία δεν παραδόθηκαν. Αυτά λοιπόν στη συνέχεια προκάλεσαν μια αυτόματη αναφορά περί αποτυχίας.
Σε αυτό το σημείο οι δυνατότητες των χάκερ να κρατήσουν μυστικές τις τροποποιήσεις στο λογισμικό του διανεμητή του ΑΧΕ έφτασαν στα όριά τους, αφού είναι σχεδόν αδύνατο να κρυφτούν τα μυστικά στο σύστημα κάποιου άλλου.
Το ΑΧΕ, όπως τα περισσότερα μεγάλα συστήματα λογισμικού, καταγράφει όλο τον τρόπο της δραστηριότητας δικτύων. Οι διαχειριστές συστημάτων μπορούν να ανατρέξουν στα αρχεία και οποιαδήποτε γεγονότα που δεν θεωρούνται συνηθισμένα μπορούν να ερευνηθούν.
Είναι αδύνατο να τονιστεί η σημασία της καταγραφής αρχείων. Παραδείγματος χάριν, στην παρεμβολή του «Αυγού του Κούκου» το 1986, ο πανούργος διαχειριστής δικτύων Clifford Stoll κλήθηκε να ερευνήσει ένα λάθος ενός λογαριασμού για 75 σεντ. Ο Stoll πέρασε 10 μήνες ψάχνοντας τον χάκερ, ο οποίος είχε διαπεράσει βαθιά στα δίκτυα του εθνικού εργαστηρίου Lawrence Livermore, ένα εργαστήριο αμερικανικών πυρηνικών όπλων στην Καλιφόρνια. Ένα μεγάλο μέρος εκείνου του χρόνου το ξόδεψε μελετώντας χιλιάδες σελίδες εκθέσεων / αναφορών για καταχωρίσεις.
Το ΑΧΕ, όπως τα περισσότερα περίπλοκα συστήματα σήμερα, μπορεί να βοηθήσει τους χειριστές να βρουν τα ψήγματα χρήσιμων πληροφοριών μέσα στις ογκώδεις καταχωρίσεις που παράγει. Είναι προγραμματισμένο να αναφέρει την ανώμαλη δραστηριότητα από μόνο του, υπό μορφήν εκθέσεων λάθους ή αποτυχίας. Επιπλέον, σε τακτά χρονικά διαστήματα το κέντρο διανομής κλήσεων παράγει από μόνο του ένα αντίγραφο του εαυτού του – ένα αντίγραφο του κώδικα του λογισμικού του αλλά και των δεδομένων.
Τα αποτυπώματα του λογισμικού συνήθως χρησιμοποιούνται συμβουλευτικά για την επανάκτηση ενός συστήματος ή για τον έλεγχο της λειτουργίας του. Έτσι όταν οι ανακριτές της Έρικσον κλήθηκαν λόγω συμβάντων μη παραδοθέντων μηνυμάτων, το πρώτο πράγμα που έκαναν ήταν να εξετάσουν προσεκτικά τα περιοδικά αποτυπώματα λογισμικού του συστήματος. Βρήκαν δύο περιοχές με όλους τους τηλεφωνικούς αριθμούς που ήταν υπό παρακολούθηση και έκαναν έναν κατάλογο.
Οι ανακριτές εξέτασαν τα αποτυπώματα του λογισμικού πιο λεπτομερώς και βρήκαν το παράνομο πρόγραμμα. Αυτό που βρήκαν βέβαια ήταν υπό μορφήν εκτελέσιμου κώδικα – με άλλα λόγια στη δυαδική γλώσσα την οποία οι μικροεπεξεργαστές εκτελούν άμεσα. Ο εκτελέσιμος κώδικας είναι αυτό που προκύπτει όταν ένας μεταγλωττιστής μετατρέψει έναν πηγαίο κώδικα λογισμικού -στην περίπτωση του ΑΧΕ, τα προγράμματα γραμμένα σε PLEX γλώσσα- στον δυαδικό κώδικα μηχανών που ένας επεξεργαστής υπολογιστών εκτελεί. Έτσι οι ανακριτές αναδημιούργησαν μια προσέγγιση των αρχικών αρχείων πηγής PLEX που οι δράστες ανέπτυξαν. Βρήκαν περίπου 6.500 γραμμών κώδικα, ένα εκπληκτικά ουσιαστικό κομμάτι λογισμικού.
Οι ανακριτές «έτρεξαν» τα πρότυπα στα μιμούμενα περιβάλλοντα για να καταλάβουν καλύτερα τη συμπεριφορά τους. Το αποτέλεσμα όλης αυτής της προσπάθειας ήταν ο εντοπισμός των περιοχών δεδομένων οι οποίες είχαν τα στοιχεία των αριθμών υπό παρακολούθηση και λίστες με ημερομηνίες και ώρες των πιο πρόσφατων υποκλοπών.
Με αυτές τις πληροφορίες στο χέρι οι ανακριτές θα μπορούσαν να επιστρέψουν και να εξετάσουν τα προηγούμενα αποτυπώματα του λογισμικού για να προσδιορίσουν το χρονικό διάστημα κατά τη διάρκεια του οποίου οι υποκλοπές ήταν σε ισχύ και για να πάρουν τον πλήρη κατάλογο των αριθμών που παρακολουθούνταν και στοιχεία για τις συνομιλίες – ποιος κάλεσε ποιον, πότε, και για πόσο καιρό. (Οι πραγματικές συνομιλίες δεν αποθηκεύτηκαν στα αρχεία αυτά.)
Ενώ η παρεμβολή ήταν σύνθετη, οι υποκλοπές ήταν απλές. Όταν ο πρωθυπουργός, παραδείγματος χάριν, έκανε ή λάμβανε κλήση στο κινητό του, το κέντρο διανομής κλήσεων εγκαθιστούσε την ίδια σύνδεση που χρησιμοποιείται σε μια νόμιμη υποκλοπή – μια σύνδεση σε έναν τρίτο αριθμό «σκιά» που επιτρέπει ν’ ακούσει τη συνομιλία.
Η δημιουργία παράνομου λογισμικού που θα παρέμενε μη ανιχνεύσιμο απαιτούσε αρκετή εξάσκηση στο γράψιμο κωδικών ΑΧΕ, μια εσωτερική ικανότητα που δεν είναι εύκολα διαθέσιμη. Αλλά όπως συνέβη για τα προηγούμενα 15 έτη, ένα σημαντικό μέρος της ανάπτυξης λογισμικού της Έρικσον για το ΑΧΕ έχει γίνει στο πλαίσιο της σύμβασης από μια ελληνική επιχείρηση που εδρεύει στην Αθήνα, την Intracom Τηλεπικοινωνίες (μέρος της Intracom Holdings). Η απαραίτητη τεχνογνωσία ήταν διαθέσιμη τοπικά και εξαπλώθηκε σε έναν μεγάλο αριθμό παρόντων και παρελθόντων υπεύθυνων ανάπτυξης της Intracom. Μήπως λοιπόν ήταν μια «δουλειά» εκ των έσω;
Τα αρχικά στάδια της παρεμβολής θα ήταν πολύ ευκολότερο να επιτευχθούν με τη βοήθεια κάποιου μέσα από τη Vodafone, αλλά δεν υπάρχει κανένα σημαντικό αποδεικτικό στοιχείο που να μπορεί να υποστηρίξει αυτό το σενάριο. Η παρεμβολή θα μπορούσε να έχει πραγματοποιηθεί από μακριά και, πράγματι, σύμφωνα με μια κρατική έκθεση, στην περίπτωση των μη παραδοθέντων μηνυμάτων κειμένων, όπου ο ακριβής χρόνος του γεγονότος είναι γνωστός, στο τελευταίο πρόσωπο που είχε πρόσβαση στο κέντρο διανομής κλήσεων είχε αποδοθεί σήμα αναγνώρισης.
Ομοίως, δεν μπορούμε ποτέ να ξέρουμε εάν ο Τσαλικίδης είχε οποιαδήποτε σχέση με την υποκλοπή. Πολλοί παρατηρητές έχουν βρει τον θάνατό του ιδιαίτερα υπαινικτικό, αλλά σήμερα καμία σύνδεση δεν έχει αποκαλυφθεί. Ούτε κανείς από τους παρατηρητές-ερευνητές δεν μπόρεσε να κάνει τίποτα περισσότερο από το να εικάζει ως προς τα κίνητρα της παρεμβολής. Δεν μπορούμε ούτε να επικυρώσουμε ούτε να αντικρούσουμε τις θεωρίες που παρουσιάζονται.
Όπως δεν μπορούμε τώρα να ξέρουμε σίγουρα ποιος ήταν πίσω από την «υπόθεση της Αθήνας» ή τι κίνητρά είχε. Μπορούμε μόνο να υποθέτουμε τις διάφορες προσεγγίσεις των δραστών προκειμένου πραγματοποιήσουν την επίθεσή τους. Αυτό συμβαίνει γιατί το βασικό υλικό έχει χαθεί ή δεν συλλέχθηκε ποτέ. Παραδείγματος χάριν, τον Ιούλιο του 2005, ενόσω πραγματοποιούνταν η έρευνα, η Vodafone αναβάθμισε δύο από τους τρεις κεντρικούς υπολογιστές που χρησιμοποιήθηκαν για την πρόσβαση του συστήματος διαχείρισης διανομής κλήσεων. Αυτή η αναβάθμιση έσβησε τα αρχεία καταγραφής πρόσβασης και, αντίθετα από την πολιτική της εταιρείας, δεν κρατήθηκε κανένα αντίγραφο ασφαλείας. Λίγο καιρό αργότερα, αφού είχε συμπληρωθεί η εξάμηνη περίοδος για την εκκαθάριση των αρχείων επισκεπτών, η Vodafone κατέστρεψε τα αρχεία που αντιστοιχούν στην περίοδο όπου το παράνομο λογισμικό εγκαταστάθηκε, προκαλώντας τα λάθη μηνυμάτων κειμένου.
Τα ίχνη της εγκατάστασης του παράνομου λογισμικού μπορεί να είχαν καταγραφεί στα αρχεία καταγραφής συμβάντων του κέντρου διανομής κλήσεων. Εντούτοις, λόγω έλλειψης διαθέσιμου χώρου αποθήκευσης στα συστήματα διαχείρισης του κέντρου διανομής κλήσεων, τα αρχεία καταγραφής συμβάντων διατηρήθηκαν για μόνο πέντε ημέρες, επειδή η Vodafone τα θεώρησε αρχεία λογαριασμών, που αποθηκεύονται στον ίδιο χώρο, πολύ πιο σημαντικά. Η πιο κρίσιμη στιγμή ήταν όταν η Vodafone απενεργοποίησε το παράνομο λογισμικό στις 7 Μαρτίου 2005, σχεδόν ειδοποιώντας τους συνωμότες ότι είχαν την ευκαιρία να κλείσουν τα τηλέφωνα «σκιές». Κατά συνέπεια οι ανακριτές έχασαν την ευκαιρία να εντοπίσουν τη θέση των τηλεφώνων-«σκιών» και να πιάσουν τους δράστες εν δράσει.
Άρα, τι μπορεί να μας διδάξει αυτή η «υπόθεση» για το πώς μπορούμε να προστατέψουμε τα τηλεφωνικά δίκτυα;
Μόλις ανακαλύφθηκε η παρεμβολή, η Vodafone έπρεπε να ισορροπήσει την ανάγκη για συνεχή λειτουργία του δικτύου με την ανακάλυψη και την ποινική δίωξη των ένοχων. Δυστυχώς, οι αντιδράσεις της Vodafone και αυτές της ελληνικής επιβολής του νόμου ήταν και ανεπαρκείς. Μέσω των ενεργειών της Vodafone τα κρίσιμα στοιχεία χάθηκαν ή καταστράφηκαν, ενώ οι δράστες όχι μόνο έλαβαν προειδοποίηση ότι το σχέδιό τους είχε ανακαλυφθεί, αλλά είχαν και αρκετό χρόνο να εξαφανιστούν.
Στη βιομηχανία τηλεπικοινωνιών, οι επικρατέστερα καλύτερες πρακτικές απαιτούν η πολιτική του χειριστή να περιλαμβάνει τις διαδικασίες εκείνες σε περίπτωση παρεμβολής όπως σε μια επίθεση ιών: διατηρήστε όλα τα στοιχεία, απομονώστε όσο το δυνατόν περισσότερο το μέρος του συστήματος που «έσπασαν», συντονίστε δραστηριότητες με τη δικαιοσύνη.
Οι ελληνικοί ομοσπονδιακοί κανονισμοί τηλεπικοινωνιών επίσης διευκρινίζουν ότι οι χειριστές έχουν πολιτικές ασφάλειας που απαριθμούν τα μέτρα εκείνα που θα πάρουν ώστε να εξασφαλίσουν την ασφάλεια των επικοινωνιών του πελάτη και τα προσωπικά δεδομένα του. Εντούτοις η απάντηση της Vodafone δείχνει ότι τέτοιες πολιτικές, εάν ποτέ υπήρξαν, αγνοήθηκαν. Εάν όχι για τις συνεντεύξεις Τύπου και τις δημόσιες έρευνες, οι εκπρόσωποι του νόμου θα μπορούσαν να έχουν την προσοχή τους για τυχόν εμφάνιση κινητών-«σκιών». Αρχεία καταγραφής των επισκεπτών χάθηκαν και τα αρχεία καταγραφής συμβάντων καταστράφηκαν. Επιπλέον ούτε οι νόμιμες αρχές ούτε το ΑΔΑΕ, η ανεξάρτητη αρχή για τη διασφάλιση απορρήτου, δεν ήρθαν σε επαφή άμεσα. Αντ’ αυτού η Vodafone Ελλάδος επικοινώνησε μέσω ενός πολιτικού καναλιού, του γραφείου του πρωθυπουργού. Πρέπει να σημειωθεί ότι η ΑΔΑΕ ήταν μια αρκετά νέα οργάνωση τότε, είχε δημιουργηθεί μόλις το 2003.
Η απάντηση των ελληνικών αρχών άφησε επίσης πολλά κενά. Η αστυνομία θα μπορούσε να έχει εξασφαλίσει στοιχεία με τη δήμευση όλων των τηλεπικοινωνιών και του εξοπλισμού υπολογιστών της Vodafone που σχετίζονταν με το περιστατικό. Αντ’ αυτού φαίνεται ότι οι ανησυχίες τους όσον αφορά στη διάσπαση της λειτουργίας του δικτύου κινητών τηλεφώνων οδήγησαν τις Αρχές να κάνουν μια πιο ελαφριά προσέγγιση -ουσιαστικά παίρνοντας συνεντεύξεις από υπαλλήλους και συλλέγοντας πληροφορίες που τους παρείχε η Vodafone- κάτι που τους οδήγησε τελικά στην απώλεια εγκληματολογικών πειστηρίων. Άρχισαν τελικά να ανεβάζουν τη στάθμη των κατηγοριών προς τον χειριστή (Vodafone) και τον προμηθευτή (Έρικσον), μετατρέποντας τα θύματα σε κατηγορουμένους, οι οποίοι έχασαν όποια καλή θέληση είχαν, με αποτέλεσμα να παρεμποδισθεί περαιτέρω η έρευνά τους.
Φυσικά, στις χώρες όπου τέτοια εγκλήματα υψηλής τεχνολογίας είναι σπάνια, είναι αδικαιολόγητο να περιμένει κανείς να βρεί μια άριστη ομάδα ανακριτών. Θα μπορούσε να οργανωθεί, να στηθεί μια γρήγορη δύναμη ικανή να χειριστεί περιστατικά τόσο ιδιαίτερων και υψηλού επιπέδου τεχνικών περιστατικών; Θα επιθυμούσαμε να δούμε τον διεθνή οργανισμό αστυνομίας INTERPOL να δημιουργεί μια εγκληματολογική ομάδα «απάντησης» την οποία θα μπορούσαν να καλέσουν οι χώρες για να χειριστούν τέτοιες περιπτώσεις.
Έντυπα αρχεία καταγραφής επισκεπτών χάθηκαν και τα αρχεία καταγραφής συμβάντων καταστράφηκαν.
Η διανομή τηλεφωνικών κλήσεων έχει εξελιχθεί κατά τη διάρκεια των δεκαετιών στα λογισμικά συστήματα βάσης και επομένως η ανάλυση γύρω από την ευπάθειά τους έχει γίνει πολύ δύσκολη. Ακόμη και νέα χαρακτηριστικά γνωρίσματα λογισμικού, όπως η σύσκεψη, η φορητότητα αριθμού και ο προσδιορισμός επισκεπτών, έχουν «φορτωθεί», βασιστεί επάνω στο κέντρο διανομής κλήσεων και το παλαιό λογισμικό παραμένει ως έχει. Οι σύνθετες αλληλεπιδράσεις μεταξύ των υποσυστημάτων και της περίτεχνης τεχνοτροπίας μορφών κωδικοποίησης (μερικές από αυτές είναι υπολείμματα προγραμμάτων που δημιουργήθηκαν πριν από 20 ή 30 χρόνια) συγχέουν τους υπεύθυνους ανάπτυξης με τους ίδιους τους ελεγκτές.
Μια αποτελεσματική υπεράσπιση ενάντια στους ιούς και τα rootkits εξαρτάται κρίσιμα από τη σε βάθος ανάλυση που μπορεί να διαπεράσει τον κώδικα «πηγής» σε όλη την πολύπλοκη ετερογένειά της. Παραδείγματος χάριν, μια στατιστική ανάλυση των αρχείων καταγραφής κλήσεων θα μπορούσε να είχε αποκαλύψει έναν συσχετισμό μεταξύ των κλήσεων στους αριθμούς «σκιές» και των κλήσεων στους ελεγχόμενους αριθμούς. Οι εταιρείες τηλεφωνίας πραγματοποιούν ήδη την εκτενή ανάλυση σε αυτά τα είδη των στοιχείων προκειμένου να δουν τις τάσεις των πελατών τους. Αλλά από την πλευρά της ασφάλειας, αυτή η ανάλυση γίνεται για λάθος λόγους και από λάθος ανθρώπους – το μάρκετινγκ ενάντια στην ασφάλεια. Με την κατάρτιση προσωπικού ασφάλειας για να χρησιμοποιήσει αυτά τα εργαλεία έχοντας πρόσβαση σε αυτά τα στοιχεία, η ανάλυση των τάσεων των πελατών μπορεί να γίνει ένα αποτελεσματικό αντίμετρο ενάντια στο παράνομο λογισμικό.
Πρόσθετες ενδείξεις θα μπορούσαν να αποκαλυφθούν συγχωνεύοντας αρχεία κλήσης που παρήχθησαν από κέντρο διανομής κλήσεων με τις λογιστικές πληροφορίες που αφορούν στους λογαριασμούς. Αυτό, εν τούτοις, περιλαμβάνει ενοποίηση δεδομένων από πολλά διαφορετικά τμήματα ενός οργανισμού τηλεποικινωνιών.
Ένα άλλο είδος άμυνας είναι ο τακτός έλεγχος, του τύπου που επέτρεψε στην Έρικσον να ανακαλύψει το παράνομο λογισμικό, με την προσεκτική εξέταση των αποτυπωμάτων του συστήματος. Εντούτοις, σε αυτήν την περίπτωση, καθώς επίσης και στην περίπτωση ανάλυσης στοιχείων, πρέπει να είμαστε βέβαιοι ότι οποιοδήποτε παράνομο λογισμικό δεν μπορεί να τροποποιήσει τις πληροφορίες που αποθηκεύονται στα αρχεία καταγραφής συμβάντων ή των αποτυπωμάτων του συστήματος, όπως ας πούμε χρησιμοποιώντας έναν ξεχωριστό υπολογιστή ελέγχου που τρέχει το δικό του λογισμικό.
Τα ψηφιακά συστήματα παράγουν τεράστιους όγκους πληροφοριών. Η Έρικσον και η Vodafone Ελλάδος είχαν στα χέρια τους όλες τις πληροφορίες που χρειάζονταν για να ανακαλύψουν την παρεμβολή στο δίκτυο της Vodafone, πολύ πριν εμφανιστεί ένα μήνυμα κείμενο που δεν παραδόθηκε. Όπως σε άλλες βιομηχανίες, η πρόκληση τώρα είναι να βρεθούν τρόποι ώστε να χρησιμοποιούν και να καταστήσουν χρήσιμες αυτές τις πληροφορίες. Εάν οι τεχνικοί μιας εταιρείας και μια αστυνομική δύναμη της χώρας δεν μπορούν να αντιμετωπίσουν αυτήν την πρόκληση, τότε μια ομάδα «απάντησης» που μπορεί θα πρέπει να δημιουργηθεί.
Είναι ιδιαίτερα σημαντικό να μη γίνει η έρευνα ένα κυνήγι μαγισσών. Ειδικά σε περιπτώσεις όπου είναι απίθανο να προσδιοριστούν οι δράστες, είναι συχνά πολιτικώς σκόπιμο να χρησιμοποιηθεί ο χειριστής τηλεπικοινωνιών ως βολικός αποδιοπομπαίος τράγος. Αυτό ενθαρρύνει μόνο τους χειριστές και τους υπαλλήλους τους να κρύψουν τα γεγονότα κάτω από το χαλί και τους μετατρέπει σε αντιπάλους του νόμου. Από το να ψάχνουμε κάποιον να κατηγορήσουμε (και να τιμωρήσουμε) είναι πολύ καλύτερο να καθοριστεί ακριβώς τι πήγε στραβά και πώς μπορεί να διορθωθεί, όχι μόνο για εκείνο τον χειριστή (εταιρεία), αλλά για τη βιομηχανία συνολικά.
Όχι μόνο θέτοντας –ή ακόμη και νομοθετώντας– ότι οι πωλητές, προμηθευτές του συστήματος αυτού, καθώς και οι χειριστές δικτύων δεν πρέπει να επιτρέψουν κάτι παρεμφερές να ξανασυμβεί, αυτό είναι άσκοπο γιατί λίγα μπορεί κανείς να κάνει σε αυτές τις επιχειρήσεις μετά το γεγονός. Αντ’ αυτού πρέπει να ληφθούν δυναμικά μέτρα που να εξασφαλίσουν ότι αυτά τα συστήματα αναπτύσσονται και χρησιμοποιούνται ακίνδυνα. Ίσως μπορούμε να δανειστούμε μερικές σελίδες από την ασφάλεια της αεροπορίας, όπου και οι κατασκευαστές αεροσκαφών και οι επιχειρήσεις αερογραμμών ελέγχονται με προσοχή από εθνικές και διεθνείς αντιπροσωπείες προκειμένου να εξασφαλίσουν την ασφάλεια των επιβατών.
Σχετικά με τους συγγραφείς
– Ο Βασίλης Πρεβελάκης, ένα μέλος του ΙΕΕΕ, είναι επίκουρος καθηγητής Πληροφορικής στο πανεπιστήμιο Drexel, στη Φιλαδέλφεια. Η έρευνα του αυτή είναι για την ασφάλεια δικτύων αυτοματοποίησης και το ασφαλές σχέδιο λογισμικού. Έχει δημοσιεύσει ευρέως θέματα που αφορούν αυτό το πεδίο και συμμετέχει ενεργά στους οργανισμούς προτύπων, όπως η ομάδα εργασίας εφαρμοσμένης μηχανικής Διαδικτύου.
– Ο Διομήδης Σπινέλης είναι μέλος του ΙΕΕΕ, επίκουρος καθηγητής Πληροφορικής στο τμήμα Διοίκησης και Τεχνολογίας στο Οικονομικό Πανεπιστήμιο Αθηνών, καθώς και συντάκτης του «Ποιότητα του Κώδικα».
ΜΙΑ «ΔΟΥΛΕΙΑ» ΕΚ ΤΩΝ ΕΣΩ;
Των Steven Cherry και Harry Goldstein
Κανένα μυθιστόρημα δεν είναι πλήρες αν ο αναγνώστης δεν βρει, δεν καταλάβει «πώς το έκανε», αλλά η πραγματικότητα είναι συνήθως πιο περίπλοκη απ’ ό,τι ένα μυθιστόρημα. Στην «υπόθεση της Αθήνας» μπορούμε μόνο να αναλογιστούμε ποιος μπορεί να κρύβεται πίσω από την πιο θεαματική παρεμβολή ενός κυψελοειδούς συστήματος που έγινε ποτέ.
Οι δυνατότητες των χάκερ (εισβολέων), με την εσωτερική τέχνη του προγραμματισμού του ΑΧΕ της Έρικσον στον κεντρικό διανεμητή, κατάφερε να πείσει κάποιους ότι οι δράστες ήταν είτε υπάλληλοι της Vodafone Ελλάδος είτε της Intracom Τηλεπικοινωνίες.
Η Intracom ήταν ύποπτη επειδή παρείχε το βασικό λογισμικό στην Έρικσον και επειδή η ελληνική επιχείρηση είναι ο σημαντικότερος προμηθευτής εξοπλισμού τηλεπικοινωνιών στον κυρίαρχο μεταφορέα της Ελλάδας, τον OTE. Δεδομένου ότι η πλειοψηφία των μετοχών OTE ανήκει στο ελληνικό κράτος, μια επιχείρηση που έχει μεγάλες συναλλαγές με τον OTE θα είχε ένα ισχυρό κίνητρο για να υποκλέψει τα τηλέφωνα του κυβερνώντος κόμματος, προκειμένου να ελέγξει εάν οποιαδήποτε από τις διαπραγματεύσεις είχαν οργανωθεί από την προηγούμενη κυβέρνηση ήταν σε κίνδυνο. Με βάση αυτήν τη θεωρία, οι τηλεφωνικές υποκλοπές για τους Άραβες και τα μέλη των αντι-απολυταρχικών καθεστώτων εγκαταστάθηκαν για να στείλουν τους ανακριτές σε ένα τρελό κυνήγι!
Αλλά αυτό που έκανε να «σηκώσουν τα φρύδια» ήταν το γεγονός ότι μια από τις ανταλλαγές χάκερ της Vodafone βρέθηκε στην κύρια μονάδα της Intracom. Καθένας που θα επιθυμούσε να εισαχθεί στη συγκεκριμένη μονάδα της Vodafone θα έπρεπε να περάσει από τις πύλες της Intracom, που σημαίνει ότι οι επισκέπτες στο κέντρο διανομής κλήσεων της Vodafone θα είχαν καταγραφεί δύο φορές. Δυστυχώς, τα αρχεία επισκεπτών για το κέντρο διανομής κλήσεων καταστράφηκαν από Vodafone σύμφωνα με τις διαδικασίες, ρουτίνας, παρά τις ιδιόμορφες αυτές συνθήκες. Έτσι οι ανακριτές είχαν μόνο τα αρχεία επισκεπτών της Intracom, τα οποία δεν θα κατέγραφαν οποιεσδήποτε επισκέψεις στο κέντρο διανομής κλήσεων της Vodafone από το προσωπικό της Intracom.
Η κύρια αιτία για να υποπτευθούν τους υπαλλήλους της Vodafone Ελλάδας είναι η αυτοκτονία του υπεύθυνου του προγραμματισμού των δικτύων της, Κώστα Τσαλικίδη. Παρ’ ολ’ αυτά η οικογένεια του εκλιπόντος αναρωτιέται αν τελικά ήταν όντως μια αυτοκτονία. Ο οικογενειακός δικηγόρος Θεμιστοκλής Σοφός έχει δηλώσει ότι «είμαι σίγουρος ότι ο Κώστας Τσαλικίδης δεν αυτοκτόνησε και αυτό με κάνει να πιστεύω ότι πιθανώς έλαβε γνώση για τις υποκλοπές μέσω της επαγγελματική του επιμέλειας». Κατά συνέπεια, οι εικασίες μοιράζονται μεταξύ των θεωριών που λένε ότι η αυτοκτονία του Τσαλικίδη έγινε γιατί η συμμετοχή του θα ανακαλυπτόταν και σε εκείνες που υποστηρίζουν ότι ο Τσαλικίδης δολοφονήθηκε επειδή είχε ανακαλύψει, ή ήταν κοντά στο να ανακαλύψει, τους δράστες.
Μια άλλη εξίσου δημοφιλής θεωρία λέει ότι το έκανε η αμερικανική υπηρεσία Ασφάλειας, η CIA, ή κάποια άλλη αμερικανική υπηρεσία κατασκοπείας. Η τοποθεσία των ελεγχόμενων τηλεφώνων σχετίζεται με διαμερίσματα ή άλλα ακίνητα της αμερικανικής πρεσβείας στην Αθήνα.
Σύμφωνα μ’ αυτήν τη θεωρία, οι υποκλοπές των Αράβων και των μελών των αντι-απολυταρχικών καθεστώτων έγιναν λόγω των φόβων μιας τρομοκρατικής επίθεσης στους Ολυμπιακούς Αγώνες της Αθήνας. Ευρέως θεωρείται ότι αυτές οι αμερικανικές υπηρεσίες, ιδιαίτερα η NSA, έχουν όλα τα απαραίτητα εργαλεία και την πείρα για να κάνουν μια τέτοια επίθεση.