Αρχές Οκτωβρίου, η Καλιφόρνια έγινε η πρώτη πολιτεία που θέσπισε νόμο για να αντιμετωπίσει συγκεκριμένα το πσάρεμα (phishing). Για όσους δεν είχαν επαφή με το Διαδίκτυο τα τελευταία χρόνια, το πσάρεμα συμβαίνει όταν ένας επιτιθέμενος στέλνει ηλεκτρονικά μηνύματα ισχυριζόμενος ότι πρόκειται για νόμιμη επιχείρηση με σκοπό να σας ξεγελάσει και να του παραχωρήσετε τις πληροφορίες του λογαριασμού σας – κυρίως τους κωδικούς πρόσβασης. Όταν συμβαίνει το ίδιο με επίθεση στο DNS, ονομάζεται pharming (“καλλιέργεια”).
Οι χρηματο-οικονομικές επιχειρήσεις μέχρι σήμερα απέφευγαν να πάρουν τους “πσαράδες” στα σοβαρά γιατί είναι φθηνότερο και απλούστερο να πληρώσουν το κόστος της απάτης. Αυτό είναι απαράδεκτο γιατί οι καταναλωτές που πέφτουν θύματα αυτών των απατών πληρώνουν ένα επιπλέον τίμημα, εκτός των οικονομικών απωλειών, της άνεσης, του άγχους και σε μερικές περιπτώσεις στιγματίζονται οι πιστωτικές αναφορές που δύσκολα αποκαθίστανται. Ως αποτέλεσμα, οι νομοθέτες πρέπει να κάνουν πολλά περισσότερα από το να δημιουργήσουν νέες τιμωρίες για τους παραβάτες – πρέπει να δημιουργήσουν ισχυρά νέα κίνητρα που θα αναγκάσουν αποτελεσματικά τις χρηματο-οικονομικές επιχειρήσεις να αλλάξουν το status quo και να βελτιώσουν τον τρόπο με τον οποίο προστατεύουν τα στοιχεία των πελατών τους. Δυστυχώς, ο νόμος της Καλιφόρνια δεν προβλέπει κάτι συγκεκριμένο για να το αντιμετωπίσει αυτό.
Η νέα νομοθεσία θεσπίστηκε επειδή το πσάρεμα αποτελεί μία νέα μορφή εγκλήματος. Αλλά ο νόμος δεν πρόκειται να βοηθήσει, επειδή το πσάρεμα είναι απλώς μια τακτική. Οι εγκληματίες πσαρεύουν με σκοπό να λάβουν τους κωδικούς πρόσβασης σας, έτσι ώστε να μπορούν να πραγματοποιήσουν παράνομες συναλλαγές εξ ονόματος σας. Το πραγματικό έγκλημα είναι αρχαίο: η οικονομική απάτη.
Οι επιθέσεις αυτές καταδιώκουν την αφέλεια του κόσμου. Το γεγονός αυτό τις διαχωρίζει από τα σκουλήκια και τους ιούς που εκμεταλλεύονται τις αδυναμίες των υπολογιστών. Κατά το παρελθόν, έχω χαρακτηρίσει τις επιθέσεις αυτές ως παραδείγματα «σημασιολογικών επιθέσεων» επειδή εκμεταλλεύονται την ανθρώπινη ερμηνεία αντί για τη λογική των υπολογιστών. Τα θύματα είναι άτομα που λαμβάνουν ηλεκτρονικά μηνύματα και επισκέπτονται ιστοχώρους και γενικά πιστεύουν ότι αυτά τα μηνύματα και οι ιστοχώροι είναι νόμιμοι.
Αυτές οι επιθέσεις εκμεταλλεύονται την εγγενή έλλειψη επιβεβαίωσης του Διαδικτύου. Το πσάρεμα και το pharming είναι εύκολες τακτικές γιατί η δυνατότητα πιστοποίησης μιας επιχείρησης στο Διαδίκτυο είναι δύσκολη. Ενώ μπορεί να είναι εφικτό για έναν εγκληματία να στήσει μια ψεύτικη τράπεζα με τούβλα και λάσπη με σκοπό να κοροϊδέψει τον κόσμο για να λάβει τις υπογραφές και τα τραπεζικά του στοιχεία, είναι πολύ πιο εύκολο να στήσει ένα ψεύτικο ιστοχώρο ή να αποστέλλει ψεύτικο ηλεκτρονικό ταχυδρομείο. Κι ενώ μπορεί να είναι τεχνικά εφικτό να στήσει μια υποδομή ασφαλείας για να πιστοποιεί και τον ιστοχώρο και τα μηνύματα, τόσο το κόστος όσο και έλλειψη φιλικότητας προς το χρήστη συνεπάγονται ότι πρόκειται για λύση για τους πλέον «κολλημένους» χρήστες του Διαδικτύου.
Επιπλέον αυτές οι επιθέσεις επηρεάζουν την εγγενή κλιμάκωση των υπολογιστικών συστημάτων. Η εξαπάτηση με φυσική ανθρώπινη παρουσία θέλει κόπο, ενώ με ηλεκτρονικό ταχυδρομείο μπορεί κανείς να εξαπατήσει εκατομμύρια άτομα ανά ώρα. Και η επιτυχία με ποσοστό ένα στο εκατομμύριο μπορεί να είναι αρκετά καλή για μία βιώσιμη εγκληματική επιχείρηση.
Γενικά, δύο είναι οι τάσεις του Διαδικτύου που επηρεάζουν κάθε μορφή κλοπής ταυτότητας: Η ευρεία διαθεσιμότητα προσωπικών πληροφοριών έχει καταστήσει ευκολότερη την πρόσβαση σε κλέφτες. Παράλληλα, η αύξηση της ηλεκτρονικής πιστοποίησης και των συναλλαγών στο Διαδίκτυο – δεν χρειάζεται πλέον να πάτε σε τράπεζα ή ακόμη και να χρησιμοποιήσετε κάρτα για να κάνετε ανάληψη χρημάτων – έχει καταστήσει τις προσωπικές πληροφορίες πολύ πιο πολύτιμες.
Το πρόβλημα του πσαρέματος δεν μπορεί να επιλυθεί εστιάζοντας μόνο στην πρώτη τάση: τη διαθεσιμότητα των προσωπικών πληροφοριών. Οι εγκληματίες είναι έξυπνα άτομα και εάν προστατεύεστε από κάποια συγκεκριμένη τακτική όπως το πσάρεμα, θα βρουν κάποια άλλη. Μέσα σε λίγα μόνο χρόνια, έχουμε δει τις επιθέσεις πσαρώματος να γίνονται όλο και πιο εξελιγμένες. Η τελευταία παραλλαγή που ονομάζεται «πσάρεμα με καμάκι» (“spear phishing”), περιλαμβάνει μεμονωμένα και προσωποποιημένα η-μηνύματα που είναι ακόμη πιο δύσκολα να εντοπιστούν. Επιπλέον, υπάρχουν κι άλλα είδη ηλεκτρονικής απάτης που τεχνικά δεν αποτελούν πσάρωμα.
Το πραγματικό πρόβλημα προς επίλυση αφορά τις παράνομες συναλλαγές. Τα χρηματο-οικονομικά ιδρύματα διευκολύνουν κάθε εγκληματία να διαπράξει παράνομες συναλλαγές και δυσχεραίνουν τα θύματα να αποκαταστήσουν την υπόληψή τους. Τα ιδρύματα αυτά βγάζουν πολλά χρήματα επειδή είναι εύκολο να πραγματοποιήσει κανείς μια συναλλαγή, να ανοίξει λογαριασμό, να λάβει πιστωτική κάρτα και ούτω καθεξής. Εδώ και χρόνια γράφω σχετικά με το πώς οι οικονομικοί παράγοντες επηρεάζουν τα προβλήματα της ασφάλειας. Μπορούν να θέσουν μέτρα ασφαλείας για να αποτρέψουν την απάτη, να την εντοπίσουν γρήγορα και να επιτρέψουν στα θύματα να αποκαταστήσουν την καλή τους υπόληψη.
Δεν υπονοούμε ότι τα χρηματο-οικονομικά ιδρύματα δεν ζημιώνονται. Λόγω του λεγόμενου Κανονισμού Ε, τα ιδρύματα αυτά ήδη πληρώνουν το μεγαλύτερο μέρος του άμεσου κόστους της κλοπής ταυτότητας. Ωστόσο το κόστος του χρόνου, του άγχους και της σκοτούρας επιβαρύνουν εξολοκλήρου τα θύματα. Και μία στις τέσσερις υποθέσεις, τα θύματα δεν καταφέρνουν να αποκαταστήσουν πλήρως την καλή τους υπόληψη.
Στην οικονομική επιστήμη, αυτό είναι γνωστό ως εξωτερικότητα: Πρόκειται για το αποτέλεσμα μιας επιχειρηματικής απόφασης που δεν επιβαρύνει το άτομο ή τον οργανισμό που λαμβάνει την εκάστοτε απόφαση. Τα χρηματο-οικονομικά ιδρύματα δεν έχουν κανένα κίνητρο για να μειώσουν τα κόστη της κλοπής ταυτότητας ακριβώς επειδή δεν επιβαρύνονται με αυτά.
Αν θέσουμε την ευθύνη – εξολοκλήρου – της κλοπής ταυτότητας στα χρηματο-οικονομικά ιδρύματα, τότε το πσάρεμα θα εξαλειφθεί. Αυτή η μορφή απάτης δεν θα εξαλειφθεί επειδή ξαφνικά ο κόσμος θα «ξυπνήσει» και θα σταματήσει να ανταποκρίνεται σε η-μηνύματα πσαρέματος, επειδή η Καλιφόρνα έχει θέσει νέες κυρώσεις για το πσάρεμα ή επειδή οι παροχείς υπηρεσιών Διαδικτύου (ISP) θα αναγνωρίζουν και θα διαγράφουν τα η-μηνύματα. Θα εξαλειφθεί επειδή οι εγκληματίες δεν θα λαμβάνουν αρκετές πληροφορίες για να διαπράξουν απάτη – επειδή οι επιχειρήσεις δεν θα ανέχονται όλες αυτές τις απώλειες.
Εάν υπάρχει μία γενική αρχή περί πολιτικής της ασφάλειας που να ισχύει παγκοσμίως, είναι ότι η ασφάλεια έχει καλύτερα αποτελέσματα όταν ο φορέας που βρίσκεται στην πλεονεκτική θέση να μετριάσει τον κίνδυνο είναι επίσης υπεύθυνος για τον κίνδυνο αυτό. Ο μόνος τρόπος για να αντιμετωπίσουμε το πρόβλημα είναι να καταστήσουμε τα χρηματο-οικονομικά ιδρύματα υπεύθυνα για τις απώλειες από το πσάρεμα και την κλοπή ταυτότητας. Και όχι μόνο για τις άμεσες οικονομικές απώλειες – θα πρέπει να καταστήσουν λιγότερο επώδυνη την επίλυση των ζητημάτων που προκύπτουν από την κλοπή ταυτότητας, διευκολύνοντας τον κόσμο να αποκαταστήσει την υπόληψή του και το πιστωτικό ιστορικό του. Τα χρήματα για αποζημίωση των απωλειών είναι λιγότερα συγκριτικά με τα έξοδα για τον εκ νέου σχεδιασμό των συστημάτων, αλλά οτιδήποτε λιγότερο δεν θα φέρει αποτέλεσμα.
Ο νόμος της Καλιφόρνια:
http://www.msnbc.msn.com/id/9547692/
Ορισμοί:http://en.wikipedia.org/wiki/Phishing
http://en.wikipedia.org/wiki/Pharming
http://www-03.ibm.com/industries/financialservices/…
http://www-03.ibm.com/industries/financialservices/…
Ποιος πληρώνει για κλοπή ταυτότητας:http://www.informationweek.com/showArticle.jhtml?…
Το δοκίμιό μου σχετικά με τις σημασιολογικές επιθέσεις:http://www.schneier.com/crypto–gram-0010.html#1
Το δοκίμιό μου σχετικά με την οικονομική επιστήμη και την ασφάλεια:http://www.schneier.com/book–sandl–intro2.html
Το δοκίμιό μου σχετικά με την κλοπή ταυτότητας:http://www.schneier.com/blog/archives/2005/04/…
Σχολιασμός του δοκιμίου μου:http://it.slashdot.org/article.pl?sid=05/10/06/…