Η Μέθοδος: Μια αναλογική άρνηση υπηρεσίας (DoS)
Ο Johnson κατάφερε να "παραλύσει" το τηλεφωνικό κέντρο του τηλε-ευαγγελιστή Jerry Falwell, χρησιμοποιώντας έναν οικιακό υπολογιστή Atari 800 και ένα modem.
Το Τεχνικό Σκέλος:
Η λογική της επίθεσης βασίστηκε σε μια απλή αυτοματοποίηση κλήσεων. Χρησιμοποιώντας τη γλώσσα προγραμματισμού BASIC, ο Johnson έδινε εντολές στο modem, μέσω AT commands, να καλεί επαναλαμβανόμενα τον toll-free (1-800) αριθμό της εκπομπής “Old Time Gospel Hour”.
Μόλις το κέντρο απαντούσε, ο υπολογιστής κρατούσε τη γραμμή ανοιχτή ("off-hook") για περίπου 30 δευτερόλεπτα. Στα αναλογικά κέντρα της εποχής, αυτό σήμαινε πρακτικά δέσμευση χωρητικότητας (trunks) και μείωση της διαθεσιμότητας για νέους καλούντες, με αποτέλεσμα οι υπόλοιποι να μην μπορούν να συνδεθούν.
Παράλληλα, το οικονομικό μοντέλο των toll-free αριθμών έκανε την κατάσταση ακόμη πιο επιβαρυντική για τον οργανισμό. Επειδή η κλήση ήταν δωρεάν για τον καλούντα, η χρέωση βάραινε τον παραλήπτη. Το TIME ανέφερε ότι το κόστος έφτανε περίπου το 1 δολάριο ανά κλήση, άρα με έναν κύκλο κλήσεων περίπου κάθε 30 δευτερόλεπτα, σε λειτουργία 24 ώρες το 24ωρο, ο αυτοματισμός μπορούσε να οδηγήσει σε σοβαρή οικονομική επιβάρυνση.
Το Κίνητρο: Από το προσωπικό στο πολιτικό
Για τον Johnson, όπως είπε στη Washington Post, δεν επρόκειτο για μια απλή φάρσα αλλά για πολιτική πράξη. Παρουσίαζε τον εαυτό του ως μέλος της ACLU (American Civil Liberties Union) και υποστήριζε ότι το μοντέλο των τηλε-ευαγγελιστών βασιζόταν στην εκμετάλλευση ευάλωτων ανθρώπων μέσω επιθετικού fundraising.
Το κίνητρο, ωστόσο, δεν το περιέγραφε ως καθαρά ιδεολογικό. Έδινε και ένα προσωπικό υπόβαθρο: ανέφερε ότι η 68χρονη μητέρα του είχε ήδη στείλει “εκατοντάδες δολάρια” στον οργανισμό, και ότι σε άλλο περιστατικό είχε φτάσει κοντά στο να μεταβιβάσει το οικογενειακό αγρόκτημα σε έναν άλλο τηλε-ευαγγελιστή, τον Jimmy Swaggart, πριν παρέμβει ο ίδιος.
Παράλληλα, συνέδεε την κλιμάκωση της αντίδρασής του με τηλεοπτικά κηρύγματα που, κατά τον ίδιο, στοχοποιούσαν ομοφυλόφιλους άνδρες. Έτσι, αντί να κινηθεί μόνο σε επίπεδο καταγγελιών, επέλεξε να χτυπήσει το πιο κρίσιμο σημείο λειτουργίας του μηχανισμού, τις τηλεφωνικές γραμμές μέσω των οποίων περνούσαν οι κλήσεις και οι δωρεές.
Η Ψυχολογία της "Αδυσώπητης" Μηχανής
Στην αρχή, ο Johnson δεν αντιμετώπιζε το τηλεφωνικό κέντρο ως αφηρημένο “στόχο”, αλλά ως ανθρώπους στην άλλη άκρη της γραμμής. Προσπάθησε να μιλήσει με τους τηλεφωνητές και, όπως περιγράφεται, ένιωσε συμπάθεια, επειδή του φάνηκαν “γλυκοί άνθρωποι”. Αυτό είναι ένα κρίσιμο σημείο στην αφήγηση, γιατί δείχνει ότι η πράξη δεν ξεκίνησε ως ψυχρή, μηχανική επίθεση. Υπήρχε ανθρώπινη επαφή, άρα και ηθική τριβή, το είδος της τριβής που σε αναγκάζει να δεις το κόστος της ενέργειάς σου πάνω σε τρίτους που δεν παίρνουν τις αποφάσεις, αλλά τις υφίστανται.
Η πλήρης αυτοματοποίηση λειτούργησε ως τρόπος να αφαιρεθεί αυτή η τριβή. Αντί να χρειάζεται ο ίδιος να “πατάει” κάθε κλήση, να ακούει φωνές, να διαχειρίζεται ενοχές ή να φρενάρει όταν βλέπει ότι χτυπά ανθρώπους και όχι απρόσωπους μηχανισμούς, μετέφερε την πράξη σε μια διαδικασία που τρέχει μόνη της. Εκεί έρχεται και η φράση που αποτυπώνει το πέρασμα από την ανθρώπινη διαμαρτυρία στην μηχανική επιμονή:
Το “αδυσώπητος” εδώ εκτός από τη συχνότητα των κλήσεων, περιγράφει κάτι ευρύτερο, το πλεονέκτημα της μηχανής ως εκτελεστή. Μια ρουτίνα δεν κουράζεται, δεν διστάζει, δεν επηρεάζεται από το αν στην άλλη άκρη υπάρχει ένας ευγενικός χειριστής. Η επιμονή της είναι ενσωματωμένη στον σχεδιασμό της. Με αυτή την έννοια, η ιστορία φωτίζει ένα επαναλαμβανόμενο μοτίβο που βλέπουμε και αργότερα στο ψηφιακό περιβάλλον: η αυτοματοποίηση δεν είναι μόνο εργαλείο κλιμάκωσης, είναι και εργαλείο αποπροσωποποίησης. Κάνει την κατάληψη πόρων να μοιάζει με διαδικασία, όχι με πράξη που την διαπραγματεύεσαι συναισθηματικά κάθε φορά.
Νομικό Θρίλερ και το Τέλος της Επίθεσης
Η δράση του Johnson έκοψε ταχύτητα όταν το πρόβλημα έπαψε να φαίνεται ως “τεχνική δυσλειτουργία” και αντιμετωπίστηκε ως ζήτημα κατάχρησης του δικτύου. Σύμφωνα με τη Washington Post, οι άνθρωποι του Falwell ανέφεραν επίσημα το θέμα στα μέσα Νοεμβρίου, το οποίο αρχικά περιγράφηκε προς την πλευρά της τηλεφωνικής εταιρείας ως “γραμμές που μπλοκάρουν” και “hangups”. Οι τεχνικοί απέκλεισαν βλάβη και πέρασαν στη λογική ιχνηλάτησης, βάζοντας “tracer” στη γραμμή, δηλαδή εργαλεία και διαδικασίες που επέτρεπαν στον πάροχο να εντοπίσει την προέλευση επαναλαμβανόμενων κλήσεων.
Η ίδια πηγή περιγράφει ότι η ιχνηλάτηση δεν ήταν άμεση, ακριβώς επειδή ο αυτοματισμός καλούσε και έκλεινε γρήγορα, ώστε να αφήνει όσο το δυνατόν λιγότερα “ίχνη” στον χρόνο. Παρ’ όλα αυτά, ως τα μέσα Δεκεμβρίου είχε απομονωθεί τουλάχιστον το γεωγραφικό ίχνος (area code 404) και, λίγες μέρες μετά, η Southern Bell τον ταυτοποίησε. Το κρίσιμο σημείο εδώ είναι ότι το τηλεφωνικό δίκτυο, ακόμη και τότε, είχε μεταδεδομένα και μηχανισμούς ελέγχου επαρκείς για να οδηγήσουν σε συγκεκριμένο συνδρομητή. Δεν χρειαζόταν να “ακούσεις” περιεχόμενο κλήσεων, αρκούσε να εντοπιστεί το μοτίβο και η προέλευση των κλήσεων μέσα από τα στοιχεία δρομολόγησης και χρέωσης.
Εκεί μπαίνει και το νομικό, ή πιο σωστά το νομικοσυμβατικό, σκέλος. Η Washington Post αναφέρει ότι η Southern Bell έδωσε τελεσίγραφο στις 20 Δεκεμβρίου 1985, να σταματήσει ή να αντιμετωπίσει ποινικές συνέπειες, με τη σημείωση ότι η τηλεφωνική παρενόχληση μπορεί να είναι ομοσπονδιακό κακούργημα. Αυτό έχει σημασία γιατί ξεκαθαρίζει πως το “κενό νόμου” δεν ήταν ότι δεν υπήρχε τίποτα σχετικό, υπήρχαν ήδη διατάξεις για παρενόχληση μέσω τηλεφώνου. Αυτό που έλειπε ήταν η γλώσσα και το καθαρό προηγούμενο για κάτι που έμοιαζε με DoS, δηλαδή κατάληψη πόρων επικοινωνίας μέσω αυτοματισμού.
Παράλληλα, ακόμη και χωρίς να φτάσει σε δικαστήριο, ο πάροχος είχε ένα ισχυρό εργαλείο άμεσης πίεσης, τους όρους παροχής υπηρεσίας και τη δυνατότητα διακοπής σύνδεσης για κατάχρηση που βλάπτει άλλον συνδρομητή και το ίδιο το δίκτυο. Η ίδια η αφήγηση της Post καταλήγει ότι του δόθηκε επιλογή, σταματά ή χάνει το τηλέφωνό του, και ο Johnson διέκοψε τον αυτοματισμό. Σε επίπεδο ιστορικού πλαισίου έχει ενδιαφέρον ότι μέσα στο 1986 η αμερικανική νομοθεσία άρχισε να οργανώνει πιο συστηματικά και το κομμάτι της “ιχνηλάτησης” κλήσεων (pen registers, trap and trace) και το κομμάτι των υπολογιστικών αδικημάτων, όχι επειδή αυτή η υπόθεση ήταν η αιτία, αλλά επειδή η περίοδος συνολικά πίεζε προς πιο σύγχρονο πλαίσιο επιβολής και εποπτείας.
Τέλος, η υπόθεση δείχνει και κάτι ακόμα, την άμυνα που τελικά “δουλεύει” όταν μια υπηρεσία είναι εύκολη στην κατάχρηση. Μετά τη δημοσιότητα, το TIME σημειώνει ότι το περιστατικό ενέπνευσε και άλλους να μπλοκάρουν τις γραμμές, και ο Falwell άλλαξε από toll free σε χρεώσιμο αριθμό. Στην πράξη αυτό ήταν ένας μηχανισμός αντι κατάχρησης: μεταφέρει το κόστος πίσω στον καλούντα, άρα κάνει την κατάχρηση ακριβότερη, λιγότερο ελκυστική και πιο δύσκολη να κλιμακωθεί.
Γιατί έχει σημασία σήμερα;
Η ιστορία του Edward Johnson παραμένει ένα χαρακτηριστικό pre-internet παράδειγμα επίθεσης Denial of Service (DoS, άρνηση υπηρεσίας). Αναδεικνύει ένα διαχρονικό πρόβλημα ασφάλειας: κάθε σύστημα σχεδιασμένο για πολύ εύκολη πρόσβαση, χωρίς ουσιαστικούς φραγμούς για τον χρήστη, όπου το κόστος το αναλαμβάνει ο πάροχος, είναι ευάλωτο σε όποιον έχει τα μέσα να αυτοματοποιήσει την πρόσβαση.
Το ενδιαφέρον είναι ότι εδώ δεν “σπάει” κάποια τεχνική άμυνα με τη στενή έννοια. Δεν υπάρχει παραβίαση λογαριασμών, ούτε εκμετάλλευση λογισμικού. Η ευπάθεια είναι λειτουργική και οικονομική, δηλαδή ένα μοντέλο σχεδιασμένο να διευκολύνει τον νόμιμο χρήστη, γίνεται επιφάνεια επίθεσης όταν ο αντίπαλος μπορεί να κλιμακώσει τη χρήση του πολύ πιο γρήγορα από όσο μπορεί να αντέξει η υποδομή. Στην ουσία, η “διαθεσιμότητα” υπονομεύεται όχι μέσω τεχνικού exploit, αλλά μέσω εξάντλησης πόρων.
Αυτό το μοτίβο επαναλαμβάνεται μέχρι σήμερα σχεδόν αυτούσιο, απλώς αλλάζει το μέσο. Τότε ήταν τηλεφωνικές γραμμές και χρόνος χειριστή. Σήμερα μπορεί να είναι ένα endpoint που δέχεται μαζικά αιτήματα, ένας μηχανισμός εγγραφών που “πνίγεται” από bots, ένα σύστημα customer support που καταρρέει από αυτοματοποιημένα tickets, ή μια “δωρεάν” υπηρεσία όπου το λειτουργικό κόστος ανά αίτημα παραμένει στον πάροχο. Το κοινό σημείο είναι πάντα ο συνδυασμός τριών πραγμάτων: πεπερασμένη χωρητικότητα, μηδενικό ή χαμηλό κόστος για τον επιτιθέμενο, και κίνητρο για αυτοματοποίηση.
Γι’ αυτό και η άμυνα πέρα από την ισχύ αποτροπής που πρέπει να έχει, πρέπει να υπάρχει και σωστός σχεδιασμός αποτροπής εκμετάλλευσης του συστήματος. Πρακτικά, αυτό σημαίνει περιορισμό ρυθμού (rate limiting), quotas ανά προέλευση, προτεραιοποίηση νόμιμων ροών, καθυστέρηση ή φιλτράρισμα ύποπτων μοτίβων, και εισαγωγή ελεγχόμενης “τριβής” εκεί όπου το σύστημα είναι πιο εκτεθειμένο. Στην τηλεφωνία η τριβή ήταν η μετάβαση από toll-free σε χρεώσιμο αριθμό. Στα σύγχρονα συστήματα είναι οτιδήποτε κάνει την κατάχρηση ακριβή, αργή ή εύκολα ανιχνεύσιμη.
Τελικά, το περιστατικό του 1985 είναι χρήσιμο όχι επειδή είναι “η πρώτη” τέτοια ενέργεια, αλλά επειδή δείχνει καθαρά κάτι που εξακολουθεί να ισχύει. Όταν η πρόσβαση είναι σχεδόν χωρίς εμπόδια και το κόστος πέφτει στον πάροχο, το σύστημα πρέπει να έχει από την αρχή μηχανισμούς περιορισμού και απορρόφησης κατάχρησης. Διαφορετικά, η ευκολία που χτίστηκε για τους χρήστες μετατρέπεται σε ευκολία για τον επιτιθέμενο.
Πηγές:
Doing a Number on Falwell, The Washington Post
Evangelism: The Bell Tolls for Falwell, TIME
Toll-Free Woes: Clogging Jerry’s phones, TIME
H.R.4718, Computer Fraud and Abuse Act of 1986, Congress.gov
- Read more...
- 0 comments
- 134 views