Παρακολούθηση δικτύων: Για το καλό μας

Με στόχο τη δημιουργία ενός όσο το δυνατόν πιο ασφαλούς ηλεκτρονικού περιβάλλοντος στα πλαίσια μιας εταιρείας ή ενός οργανισμού, είναι πλέον εφικτή η λήψη μέτρων παρακολούθησης των δικτύων που αξιοποιούμε καθημερινά, κάτι που όσο και αν ακούγεται δυσάρεστο, θεωρείται από πολλές πλευρές αναγκαίο. 

Είμαστε μάλλον συνηθισμένοι τώρα πια να κινούμαστε σε χώρους που παρακολουθούνται. Σε δημόσια και ιδιωτικά κτίρια υπάρχουν κάμερες κλειστού κυκλώματος, οι οποίες αναλαμβάνουν να καταγράψουν κάθε μας κίνηση ή έστω να τη μεταδώσουν σε κάποια οθόνη.

Τις περισσότερες φορές θεωρούμε φυσιολογικό κάτι τέτοιο και δεν δίνουμε συνήθως σημασία στην προειδοποιητική πινακίδα που μας ενημερώνει σχετικά. Αποδεχόμαστε την παρακολούθησή μας ως μέτρο αναγκαίο για τη διαφύλαξη της προσωπικής μας ασφάλειας και πιστεύουμε ότι τα καταγραφέντα θα τύχουν του κατάλληλου χειρισμού.

Παρακολούθηση στον Κυβερνοχώρο
Όπως λοιπόν έχουμε αναφέρει σε προηγούμενα κείμενά μας, τα μέτρα ασφαλείας στον ηλεκτρονικό κόσμο δεν διαφέρουν σε τίποτα από εκείνα του φυσικού κόσμου.
Αναμενόμενο λοιπόν είναι να υπάρχουν συστήματα παρακολούθησης και εδώ, τα οποία επιτρέπουν τη συνεχή καταγραφή όλων των δραστηριοτήτων μας σε ένα δίκτυο (λήψη και αποστολή e-mail, επίσκεψη σε δικτυακούς τόπους κ.ά.), με σκοπό να εντοπίσουν εγκαίρως την οποιαδήποτε ύποπτη συμπεριφορά. Ας προσπαθήσουμε λοιπόν να τα γνωρίσουμε καλύτερα.

Αφουγκραζόμενοι το καλώδιο
Ό,τι και αν κάνουμε στον ηλεκτρονικό μας υπολογιστή, αυτό που τελικά ταξιδεύει στο δίκτυο με το οποίο αυτό είναι συνδεδεμένος, δεν είναι παρά μια σειρά από bit και byte, μια ακολουθία δηλαδή από ηλεκτρικές τάσεις, οπτικά σήματα ή ραδιοσυχνότητες, ανάλογα με το φυσικό μέσο του δικτύου (χάλκινα καλώδια, οπτικές ίνες ή κεραίες, αντίστοιχα). Ο τρόπος που δομούνται τα ηλεκτρικά αυτά σήματα στο καλώδιο δεν είναι του παρόντος, είναι όμως σαφές σε όλους μας ότι πρέπει να υπάρχουν κάποιοι πολύ αυστηροί κανόνες γι’ αυτό, αφού η αποκρυπτογράφηση γίνεται πολύ εύκολα και γρήγορα από κουτά μηχανήματα, όπως είναι οι ηλεκτρονικοί μας υπολογιστές. Αν λοιπόν εγώ ανοίξω στη μηχανή μου έναν Internet browser και επισκεφθώ μια σελίδα στο Internet, τα σήματα στο καλώδιο θα έχουν μια πολύ αυστηρή δομή και σειρά, που θα είναι ακριβώς η ίδια, όσες φορές κι αν κάνω την παραπάνω ενέργεια. Αν λοιπόν κάποιος καταφέρει και παρεμβληθεί ανάμεσα στη δική μου μηχανή και στη μηχανή-αποδέκτη (στην προκειμένη περίπτωση τον Web server που φιλοξενεί τη σελίδα), τότε μπορεί να «υποκλέψει» την επικοινωνία αυτή και να διαβάσει επακριβώς όλες μου τις κινήσεις.
Καλά μέχρι εδώ. Πώς γίνεται όμως αυτή η παρακολούθηση;

Αναλυτές πρωτοκόλλων και καταγραφείς
Σε ένα τοπικό δίκτυο, όλη η επικοινωνία των μηχανών μεταξύ τους και με το server διέρχεται από κάποια κεντρικά σημεία, που ανάλογα με το φυσικό μέσο που χρησιμοποιείται (καλώδιο ή αέρας) ονομάζονται και λειτουργούν διαφορετικά (switch ή access point). Είναι πολύ εύκολο, συνδέοντας κάποιες ειδικές συσκευές σε αυτά τα σημεία του δικτύου, να παρακολουθούμε ολόκληρη την κίνησή του. Επειδή μάλιστα εδώ έχουμε να κάνουμε με ψηφιακά σήματα και μόνο, η παρακολούθηση αυτή μπορεί να γίνεται χωρίς να καταλαβαίνει τίποτα κανείς από τους χρήστες του δικτύου. Το επόμενο βεβαίως βήμα είναι να αποθηκεύουμε τα ευρήματά μας αυτά σε ένα σκληρό δίσκο, κρατώντας έτσι ένα ακριβές αντίγραφο της κίνησης του δικτύου σε κάθε χρονική στιγμή και για χρονικό διάστημα που εξαρτάται μόνο από τη χωρητικότητα του μέσου αποθήκευσης που χρησιμοποιούμε.
Γιατί όμως να παρακολουθήσουμε ένα δίκτυο;

Βελτιστοποίηση δικτύου
Θα αρχίσουμε από τον πιο αθώο λόγο. Κάθε δίκτυο, όσο καλά στημένο και αν είναι έχει κάποια προβλήματα, μικρά ή μεγαλύτερα, που όλα μαζί δημιουργούν αυτό που ονομάζουμε «soft downtime». Πρόκειται για την καθυστέρηση στη λειτουργία του δικτύου, που κανείς δεν καταλαβαίνει αλλά υπάρχει και μπορεί να εξαλειφθεί προσφέροντάς μας ακόμα μεγαλύτερη ταχύτητα. Πού μπορεί να οφείλεται; Στην πλημμελή ρύθμιση κάποιου server ή κάποιου switch, στην ύπαρξη παλιάς καλωδίωσης ή σε παράγοντες που ουδείς προσέχει πια, όπως οι παρεμβολές από λάμπες φθορισμού ή άλλες επαγωγές.
Παρακολουθώντας αναλυτικά την κίνηση του δικτύου μπορούμε να μετρήσουμε τους χρόνους απόκρισης όλων των συσκευών, να εντοπίσουμε τα προβλήματα και να βελτιστοποιήσουμε τη λειτουργία του. Να ρυθμίσουμε δηλαδή σωστά όλες τις μηχανές και τα ενεργά στοιχεία, ώστε να ανταποκρίνονται όπως πρέπει.

Συστήματα ανίχνευσης και αποτροπής εισβολών
Αν θέλουμε να γίνουμε λίγο πιο «πονηροί» θα πρέπει να παραδεχτούμε ότι όλοι οι χρήστες σε ένα δίκτυο, δεν είναι το ίδιο αθώοι. Πάντα υπάρχουν κάποιοι που «γνωρίζουν» περισσότερα και έχοντας εγκαταστήσει κάποιες ύποπτες εφαρμογές που κατέβασαν από το Internet, πειράζουν τον database server και προξενούν ανεπανόρθωτη ζημιά. Προσοχή εδώ: Μπορεί να έχουμε κλείσει την πόρτα σε αυτούς τους ανθρώπους, απαγορεύοντας την πρόσβαση σε ευαίσθητα αρχεία και αλλάζοντας συχνά τους κωδικούς του δικτύου, εδώ όμως δεν μιλάμε για κάτι τέτοιο. Οι ύποπτες εφαρμογές που αναφέραμε, δεν εξαρτώνται από τα δικαιώματα χρήσης και είναι πολύ εύκολο π.χ. να απενεργοποιήσουν την πόρτα ενός switch που συνδέει τον database server στο δίκτυο, την πιο κρίσιμη στιγμή της ημέρας. Τα δικαιώματα χρήσης υπάρχουν και λειτουργούν. Η ζημιά όμως θα γίνει.
Πώς το αποφεύγουμε αυτό; Μα, μην ξεχνάμε ότι παρακολουθούμε την κίνηση του δικτύου και ότι αυτή βασίζεται σε συγκεκριμένους κανόνες. Αν λοιπόν εντοπίσουμε το οτιδήποτε που παρεκκλίνει από αυτούς τους κανόνες, μπορούμε να επέμβουμε. Τα συστήματα ανίχνευσης και αποτροπής εισβολών (intrusion detection and prevention systems) αυτό ακριβώς κάνουν. Ελέγχουν συνεχώς την κυκλοφορία του δικτύου και μας ειδοποιούν μόλις δουν κάτι ύποπτο. Επειδή η παρακολούθηση ενός μεγάλου δικτύου μπορεί να είναι αδύνατη (αλλά δεν ενδιαφέρει κιόλας) μπορούμε να τα ρυθμίσουμε να παρακολουθούν μόνο συγκεκριμένες μηχανές (π.χ. το mail server μας, τον database server μας κ.λπ.) και να δρουν ανάλογα. Είναι σε θέση να μας ειδοποιούν μόνο ή να επεμβαίνουν κιόλας, αποκλείοντας τον παρείσακτο από το δίκτυο και προφυλάσσοντας τις μηχανές μας.

Συστήματα ελέγχου περιεχομένου
Πέρα από τα παραπάνω συστήματα υπάρχουν και άλλα που παρακολουθούν όσα πηγαινοέρχονται στο δίκτυό μας. Υπάρχουν συστήματα που δεν ελέγχουν τόσο το κατά πόσο η κυκλοφορία που εντοπίζουν μεταξύ δυο μηχανών επιτρέπεται ή όχι, αλλά τα περιεχόμενα της συνομιλίας μεταξύ δύο μηχανών, ακόμα και αν αυτή είναι απολύτως επιτρεπτή. Τα συστήματα ελέγχου περιεχομένου (content filtering) όπως λέγονται, έχουν ως στόχο να επιτρέψουν την ανταλλαγή μόνο «αποδεκτών» e-mail μεταξύ των χρηστών μας ή την επίσκεψη μόνο «αποδεκτών» δικτυακών τόπων από αυτούς. Η λέξη «αποδεκτός» εδώ έχει πολύ συγκεκριμένο νόημα: Σημαίνει τη συμμόρφωση με την πολιτική ασφαλείας της εταιρείας μας και με την εταιρική μας πολιτική γενικότερα.

Ποιοι είναι οι κίνδυνοι;
Όλα τα παραπάνω ακούγονται πολύ όμορφα, αλλά είναι πολύ φυσικό να γεννούν κάποιες υποψίες σε ό,τι αφορά τη σκοπιμότητά τους. Στο κάτω-κάτω, γιατί να ελέγχει κανείς τα e-mail που στέλνουν οι χρήστες του προς τα έξω; Τι κακό μπορεί να συμβεί;
Ας πάρουμε το εξής απλό παράδειγμα: Κάποιος «ανήσυχος» χρήστης του δικτύου σας, έχει κατεβάσει ένα «εργαλειάκι» από το Internet και το έχει εγκαταστήσει στον υπολογιστή του (το αν θα έπρεπε να μπορεί να το κάνει αυτό, είναι αντικείμενο άλλου άρθρου μας). Σε αυτό το εργαλειάκι όμως, κρύβεται ένας δούρειος ίππος (trojan), ο οποίος ενεργοποιείται και αρχίζει να στέλνει μολυσμένα e-mail σε ολόκληρη τη λίστα των πελατών σας. Πιστεύετε ειλικρινά ότι οι θυμωμένοι πελάτες θα κατηγορήσουν τον υπάλληλο;
¶λλο παράδειγμα: Κάποιος αθυρόστομος υπάλληλός σας, γράφει ένα e-mail με όχι καθώς πρέπει λεξιλόγιο και το στέλνει σε ένα φίλο του σε μια άλλη εταιρεία. Κατά λάθος, αυτό το e-mail πηγαίνει και στον πρόεδρο της εταιρείας αυτής. Πιστεύετε ότι οι εξηγήσεις θα ζητηθούν από τον υπάλληλο;
Πιο ανατριχιαστικό παράδειγμα: Ένα υπάλληλος που απολύσατε πρόσφατα, θέλει να σας εκδικηθεί. Χρησιμοποιώντας λοιπόν τον κωδικό του που δεν έχετε απενεργοποιήσει ακόμα (κακώς), συνδέεται στο δίκτυο μέσω Internet και προκαλεί ζημιά στους server σας.

Οι «καλοί» χρήστες τι φταίνε;
Σε αυτό το σημείο όμως, ανακύπτει ένα πολύ σημαντικό ερώτημα: Έχουμε το δικαίωμα να τα κάνουμε όλα αυτά; Νομιμοποιούμαστε να παρακολουθούμε την επικοινωνία μεταξύ των χρηστών, τα περιεχόμενα των e-mail τους και να επεμβαίνουμε αναλόγως;
Έτσι όπως τίθεται το ερώτημα, η απάντηση είναι σαφώς αρνητική. Θυμηθείτε όμως ότι στην αρχή του άρθρου μας, αναφερθήκαμε στις πινακίδες που μας προειδοποιούν για τις κάμερες παρακολούθησης και τις οποίες αγνοούμε. Υπάρχουν όμως για να καλύπτουν νομικά τη χρήση τους. Το ίδιο συμβαίνει και εδώ: Εφόσον τα μέτρα παρακολούθησης που αναφέραμε παραπάνω, είναι ενταγμένα σε μια πολιτική ασφαλείας, την οποία οι χρήστες γνωρίζουν και έχουν αποδεχτεί εγγράφως και εφόσον πριν συνδεθούν στο δίκτυο ειδοποιούνται για την ύπαρξη όλων αυτών των μηχανισμών, τότε η χρήση τους είναι αποδεκτή. Αλλιώς, μπορεί να βρεθούμε κατηγορούμενοι -και αυτό δεν το θέλει κανένας.