Τα κενά ασφαλείας που θα μπορούσαν να αξιοποιήσουν κακόβουλοι χάκερς φέρνουν στο «φως» ερευνητές του Εθνικού Αστεροσκοπείου Αθηνών (ΕΑΑ), κάνοντας λόγο για μια απρόσμενη απειλή για τα επιστημονικά όργανα και τα δεδομένα της σεισμολογίας.
Η έρευνα με τα αποτελέσματα του ελέγχου ασφάλειας σε σεισμολογικές και γεωδαιτικές συσκευές δημοσιεύθηκε στο περιοδικό σεισμολογικής έρευνας «Seismological Research Letters» της Αμερικανικής Σεισμολογικής Ένωσης και παρουσιάστηκε στο περιοδικό «Κόσμοs» του ΕΑΑ από τον επικεφαλής ερευνητή Μιχάλη Σάμιο, εξωτερικό συνεργάτη του Γεωδυναμικού Ινστιτούτου του ΕΑΑ και πιστοποιημένο ηθικό χάκερ, ειδικό σε θέματα κυβερνοασφάλειας.
Τα σύγχρονα σεισμολογικά όργανα, όπως σεισμογράφοι, επιταχυνσιογράφοι και συστήματα GNSS (Global Navigation Satellite Systems), λειτουργούν πλέον ως συσκευές του «Διαδικτύου των Πραγμάτων» (IoT-Internet of Things). Έχουν έτσι τη δυνατότητα επικοινωνίας και μεταφοράς δεδομένων μέσω του διαδικτύου σε πραγματικό χρόνο, όμως, όπως επισημαίνουν οι ερευνητές, «λίγοι γνωρίζουν πως η έκθεσή τους αυτή σε δημόσια ή ιδιωτικά δίκτυα παρουσιάζει υψηλό κίνδυνο για την ασφάλειά τους».
Το ερευνητικό έργο για την ασφάλεια των σεισμολογικών οργάνων που πραγματοποιήθηκε στο Γεωδυναμικό Ινστιτούτο του Εθνικού Αστεροσκοπείου Αθηνών, εντόπισε διάφορες κοινές ευπάθειες, οι οποίες θέτουν όργανα και δεδομένα σε κίνδυνο, όπως μη κρυπτογραφημένα δεδομένα, μη ασφαλή πρωτόκολλα και υπηρεσίες, βασικοί μηχανισμοί αυθεντικοποίησης χρηστών και εύκολοι αρχικοί κωδικοί πρόσβασης, που επιτρέπουν την πραγματοποίηση κακόβουλων ενεργειών.
Οι ερευνητές προειδοποιούν ότι «η εκμετάλλευση των προαναφερόμενων ευπαθειών μπορεί να οδηγήσει σε παραποίηση σεισμολογικών δεδομένων, σε μη διαθεσιμότητα οργάνων και μετρήσεων, δηλαδή στο να “χάσει” το κέντρο δεδομένων την επαφή με το όργανο, ακόμη και σε δημιουργία ή απόκρυψη συμβάντων, δηλαδή στην εμφάνιση σεισμού εκ του μη όντος ή στην παράβλεψη ενός πραγματικού. Τέτοιου είδους επιπλοκές μπορούν να έχουν ως αποτέλεσμα την πιθανή λήψη εσφαλμένων αποφάσεων, με τις οικονομικές και κοινωνικές επιπτώσεις που αυτή συνεπάγεται, καθώς και την απώλεια μέρους της εμπιστοσύνης του κοινού».
Τη μεγαλύτερη αρνητική εντύπωση προκάλεσε στην ερευνητική ομάδα το πλήθος των σεισμολογικών οργάνων που είναι εκτεθειμένα απ’ ευθείας στο διαδίκτυο, κάτι που διευκολύνει την οποιαδήποτε απόπειρα κακόβουλης ενέργειας, αφού υπάρχει άμεση πρόσβαση στη συσκευή από οπουδήποτε στον κόσμο. Όσον αφορά τα πιθανά κίνητρα των κακόβουλων χρηστών αναφέρονται τα εξής:
- Υποκλοπή σεισμολογικών δεδομένων για εμπορική εκμετάλλευση, κάτι που πάντως δεν είναι πολύ πιθανό.
- Αλλοίωση σεισμολογικών δεδομένων, με στόχο τη σπίλωση της φήμης ενός οργανισμού ή την πρόκληση μια λανθασμένης απόφασης με σκοπό οικονομικές ή κοινωνικές αναταραχές, για παράδειγμα ένα εσφαλμένο μήνυμα έγκαιρης προειδοποίησης, μια απόκρυψη προειδοποίησης σε παράκτιες περιοχές για τσουνάμι κ.ά.
- Πρόσβαση σε υπολογιστικά συστήματα, με σκοπό τη χρήση τους σε εξόρυξη ψηφιακών νομισμάτων (cryptojacking), τη διενέργεια μαζικών κυβερνοεπιθέσεων DDOS σε άλλους οργανισμούς και επιχειρήσεις, επιθέσεις για υποκλοπή πιστωτικών καρτών ή αποστολή χιλιάδων διαφημιστικών ή παραπλανητικών μηνυμάτων.
Ο Μ. Σάμιος υπογραμμίζει ότι «τα ευρήματα της έρευνας δεν αφορούν μόνο σε σεισμολογικά ή γεωδαιτικά όργανα, αλλά σε οποιαδήποτε συσκευή λειτουργεί ως IoT. Θα πρέπει, λοιπόν, γενικά η επιστημονική κοινότητα που χρησιμοποιεί ή βασίζεται σε όργανα μετρήσεων/καταγραφών, συνδεδεμένα με δημόσια ή ιδιωτικά δίκτυα, να συνεργαστεί στενά με ειδικούς στον τομέα της ασφάλειας των πληροφοριών για να διασφαλίσουν στο βαθμό που είναι εφικτό την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων».