Ναυτιλία 13/03/2018

Νο2: Οι κυβερνοεπιθέσεις στη Ναυτιλία (Οδηγός για Ναυτικούς και Υπαλλήλους)

Μίνι οδηγός: Πως μπορούμε να προστατεύσουμε τους εαυτούς μας και την εταιρία που εργαζόμαστε, από μια κυβερνο-απειλή; 

Στο προηγούμενο άρθρο, «Οι Κυβερνοεπιθέσεις στη Ναυτιλία (Cyber Security)» δώσαμε τις βασικές μόνο αρχές της τεχνολογικής απειλής στην ναυτιλιακή «βιομηχανία». Στο παρόν κείμενο, θα δούμε πολύ επιγραμματικά και συνοπτικά πως εμείς οι ίδιοι, οι υπάλληλοι μίας ναυτιλιακής εταιρίας ή οι ναυτικοί της, μπορούμε αρχικά να προστατεύσουμε τους εαυτούς μας και κατ’ επέκταση να προστατεύσουμε την ίδια την εταιρία που εργαζόμαστε, από μια κυβερνο-απειλή.

Αρχικά θα πρέπει να ξεκαθαρίσουμε στον μέσο χρήστη ότι τα συστήματα που μπορούν να χακαριστούν σε ένα πλοίο δεν είναι μόνο τα συστήματα που έχουν να κάνουν με την πληροφοριακή τεχνολογία (ΙΤ systems). Είναι λογικό ότι ο μέσος χρήστης θα θεωρήσει πως ο στόχος των κυβερνοεπιθέσεων θα είναι τα e-mail της εταιρίας, τα accounts, το planned maintenance στο pc του καραβιού, η διαχείριση των ανταλλακτικών, τα ηλεκτρονικά manuals, τα ηλεκτρονικά πιστοποιητικά αλλά και ναυλοσύμφωνα, notices of readiness, bill of landings. Όλα δηλαδή τα προαναφερόμενα που όντως αποτελούν κομμάτι της πληροφοριακής τεχνολογίας (IT) και μπορούν να έχουν κυρίως οικονομικό αντίκτυπο ή αντίκτυπο στη φήμη της εταιρίας.

Δεν είναι όμως τα μόνα συστήματα που μπορούν να πέσουν θύματα επίθεσης!

Οι χάκερς πλέον, κυνηγούν τα ακόμα πιο ευπαθή επιχειρησιακά συστήματα (OT), όπως PLCs, SCADAs, πληροφοριακοί τρόποι μετρήσεων και ελέγχου, το ECDIS, το GPS, την απομακρυσμένη συντήρηση των μηχανών, το σύστημα ελέγχου των μηχανών και του φορτίου, τα ραντάρς, ακόμα και κάθε είδους σύστημα επικοινωνίας (LRIT, Inmarsat, FBB, SSAS κ.α.). Αυτή τη φορά, δεν μιλάμε για οικονομική καταστροφή ή καταστροφή φήμης, αλλά για κίνδυνο ζωής, περιουσίας ή και περιβαλλοντικής καταστροφής!

Ήδη από το 2010, γνωστή εταιρία με εξέδρες εξόρυξης πετρελαίου είχε μολυνθεί με κακόβουλα λογισμικά στα επιχειρησιακά της συστήματα. Ήδη το 2012 είχαμε χτυπήματα σε GPS (jamming/spoofing) με απώλεια σήματος και το 2013 χακαρίσματα σε συστήματα εντοπισμού εμπορευματοκιβωτίων. Όλα τα περιστατικά εμπεριείχαν ανθρώπινη αμέλεια, ναυτικού υπάλληλου ή ναυτικού προσωπικού.

Ποιους τρόπους χρησιμοποιούν για να σε κάνουν «αντλία» εισόδου στα συστήματα της εταιρίας:
1. Τακτικές κοινωνικής μηχανικής (social engineering tactics). Αυτές οι τακτικές έχουν σκοπό να ξεγελάσουν τους ανθρώπους και να αντλήσουν ευαίσθητες πληροφορίες. Επαφίενται κυρίως στην ανθρώπινη αδυναμία, την καλοπιστία ή την θέληση των ανθρώπων να παράσχουν βοήθεια. Βασίζονται συνήθως στην πίεση του χρόνου (σου ζητούν να βοηθήσεις τώρα / άμεσα) ή στο φόβο της εξουσίας (παρουσιάζονται ως αρχή ή ανώτερο στέλεχος). -Μη θεωρήσετε ότι κάποιος που φαίνεται να ξέρει πολλά για σας ή για το καράβι σας είναι αληθινός συνάδελφος. Μπορεί να είναι κάποιος κυβερνοαπατεώνας που έχει κάνει καλό «διάβασμα» πριν σας στοχοποιήσει-.
2. Ψάρεμα. Προσποιούνται σε πολλαπλούς χρήστες ότι είναι η τράπεζά τους, ή κάποιος συνάδελφος ή ότι προσωπικά κερδίσατε κάτι και πρέπει να απαντήσετε για το παραλάβετε. «Είστε ο υπερτυχερός που κέρδισε ένα δισεκατομμύριο δολάρια από κλήρωση e-mail», Όχι δεν είστε. Συνήθως το ψάρεμα γίνεται μέσω e-mails που φαίνονται προσωποποιημένα και περιέχουν συνδέσμους ή συνημμένα αρχεία με σκοπό να τα πατήσετε.
3. Επίθεση με κακόβουλα λογισμικά που μεταφέρονται με τα κινητά, τους υπολογιστές ή τα usb σας μέσα στο καράβι ή στην εταιρία. Μπορεί να είναι ιοί, worms, spyware ή ακόμα και KeyLoggers που διαβάζουν οτιδήποτε πληκτρολογείτε και μπορούν να απομονώσουν κωδικούς που σας έχει παράσχει η εταιρία για εταιρική χρήση.
4. Επίθεση με Ransomware. Μπλοκάρουν το PC σας ή το μηχάνημα στο οποίο δουλεύετε και ζητούν λύτρα. Εκεί θα πρέπει απλά να φωτογραφίσετε το μήνυμα, να κλείσετε αμέσως τη συσκευή και να επικοινωνήσετε με το τμήμα IT της εταιρίας.
5. Ψεύτικες ιστοσελίδες. Δημιουργούν ιστοσελίδες που το url (η διεύθυνση) είναι ελάχιστα διαφορετική από σελίδες που θεωρείτε αξιόπιστες. Μπαίνοντας στο δικό τους περιβάλλον, μπορούν να σας πείσουν για το οτιδήποτε. Προσέξτε λοιπόν να υπάρχει το πιστοποιητικό ασφαλείας και αυθεντικότητας της σελίδας και να αναγράφετε https πριν το www.
6. Τηλεφωνήματα. Μην εμπιστεύεστε οποιονδήποτε στο τηλέφωνο σας παρουσιάζετε ως ανώτερός σας ή ως Αρχές. Δαπανήστε χρόνο να καταλάβετε με ποιον μιλάτε και να εξετάσετε την αυθεντικότητα της ταυτότητάς του. Αν δεν είστε σίγουροι, ζητήστε να τον καλέσετε πίσω εσείς. Τέλος, μη δεχτείτε να κάνετε απομακρυσμένη (remote) δουλειά μαζί του, αν δεν είστε βέβαιος σε ποιον δίνετε αυτή την πρόσβαση.
7. Οι παραποιημένες διευθύνσεις των μέσων κοινωνικής δικτύωσης. Πολλές φορές πλατφόρμες όπως το LinkedIn ή το twitter, παραποιούν τις κανονικές διευθύνσεις και τους δίνουν short alias names (σύντομες ονομασίες). Να είστε επιφυλακτικοί με αυτές και να βλέπετε από την προεπισκόπηση σε ποια διεύθυνση θέλουν να σας μεταφέρουν αν πατήσετε το σύνδεσμο.
8. Τα Torrents. Συχνά χρησιμοποιούν τα τόρεντς για να εισέλθουν στο λογισμικό το δικό σας ή της εταιρίας σας. Μην χρησιμοποιείτε torrent downloading από εταιρικά computers ή computers του καραβιού. ΑΝ το κάνετε από προσωπικό σας υπολογιστή, τότε μπείτε στο VirusTotal που είναι δωρεάν για να εξετάσει το αρχείο που κατεβάσατε ΠΡΙΝ το ανοίξετε.
9. Τα "επιπλέον" προγράμματα. Πολλές φορές όταν κατεβάζετε ένα πρόγραμμα, σας προτρέπει να κατεβάσετε κάποιο επιπλέον πρόγραμμα, με προτροπές όπως αύξηση της ταχύτητας του υπολογιστή σας ή/και καλύτερο streaming. Μην το κάνετε.
10. Ψεύτικες διευθύνσεις e-mail. Αν πάρετε κάποιο μήνυμα που σας κινήσει υποψίες προσέξτε καλά τη διεύθυνση , μήπως η εταιρίας σας “Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.” δεν γράφετε “Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.” ?
11. Video Games. Τα βιντεοπαιχνίδια στην εποχή μας λειτουργούν με χρήση κάποιου απομακρυσμένου σέρβερ, που αν χακαριστεί μπορεί να προσβάλει και τα δικά μας συστήματα. Μην παίζετε βιντεοπαιχνίδια με εταιρικά computers ακόμα και μετά τη λήξη της εργασίας ή της βάρδιας.
12. Φυσική παρουσία. Μην αφήνετε τους τεχνικούς και κάθε φύσεως επισκέπτες στο καράβι ή στην εταιρία, χωρίς επίβλεψη.

Που ποντάρουν οι χάκερς:
1. Στα default passwords. Όλοι οι χάκερς ξέρουν τι κωδικούς χρησιμοποιούν σαν default οι κατασκευαστές. Ποντάρουν στο ότι δε θα τους αλλάξετε.
2. Στο μη ενημερωμένο λογισμικό. Όλοι οι χάκερς ενημερώνονται για τις αδυναμίες που κάθε λογισμικό ανακαλύπτει μετά τη διάθεσή του στο κοινό. Ποντάρουν πως δεν θα κάνετε τις ενημερώσεις του.
3. Στο σύστημα AntiVirus. Είναι λογικό πως τα συστήματα της εργασίας είναι ενημερωμένα από τον διαχειριστή του συστήματος (πιθανώς το ΙΤ Dept.) αλλά είναι δική σας ευθύνη να εγκαθιστάτε antivirus και να τον κρατάτε ενημερωμένο στις προσωπικές συσκευές.
4. Στην έλλειψη φυσικής παρουσίας. Μην αφήνετε το computer ή και το smartphone σας ανοιχτό και ξεκλείδωτο χωρίς να είστε παρόν.

Πως μπορούν χτυπήσουν την εταιρία μέσω του κινητού σας:
• Από μηνύματα SMS
• Από e-mails
• Από το Bluetooth σας, εφόσον το αφήνετε ανοιχτό
• Από μη εγκεκριμένες εφαρμογές που κατεβάσατε

Διαβάζουμε – Ενημερωνόμαστε – Νοιαζόμαστε. Δυστυχώς, ακόμα μια φορά οι ναυτικοί και οι ναυτιλιακοί υπάλληλοι καλούμαστε να εξεταστούμε σε ένα μάθημα πριν την παράδοσή του. Μπορούμε όμως να αντεπεξέλθουμε, αν κατακτήσουμε τη γνώση και την εμπειρία του. Ο Κομφούκιος έλεγε, η γνώση είναι ένα μικρό φανάρι που κρέμεται πίσω από την πλάτη μας και φωτίζει μόνο τον δρόμο που έχουμε ήδη περάσει. Σήμερα περάσαμε ένα μικρό κομμάτι αυτού του δρόμου. 

 

Εγγραφή στο newsletter του PoliticalDoubts.

YOUR OPINION

Το ΚΑΣ αποφάσισε να μην διατεθεί το μνημείο του Παρθενώνα για εκδήλωση οίκου μόδας:

Συμφωνώ. Η προστασία των μνημείων θα πρέπει να είναι απόλυτη
70.2%
Μάλλον διαφωνώ. Θα μπορούσαν να τεθούν αυστηρότεροι όροι.
8.7%
Διαφωνώ με την απόφαση. Δεν μπορεί να χάνονται ευκαιρίες προβολής της χώρας
14.9%
Συμφωνώ να μην διατεθεί ο Παρθενώνας. Δεν θα είχα αντίρρηση αν επρόκειτο για άλλον αρχαιολογικό χώρο
6.1%
Η ψηφοφορία για αυτό το δημοψήφισμα έχει λήξει

ΣΧΟΛΙΑΣΤΕ


Κωδικός ασφαλείας
Ανανέωση