Η κρυπτογραφία δεν είναι πάντα η λύση

Το OpenID Connect (OIDC) αποτελεί σήμερα έναν από τους πιο διαδεδομένους μηχανισμούς στο διαδίκτυο. Πρόκειται για ένα πρωτόκολλο ταυτοποίησης που βασίζεται στο OAuth 2.0 και επιτρέπει σε έναν χρήστη να αποδείξει την ταυτότητά του σε ένα βασιζόμενο μέρος (Relying Party) μέσω ενός αξιόπιστου παρόχου ταυτότητας (Identity Provider), όπως ένας μεγάλος πάροχος email ή κοινωνικού δικτύου. Στο κλασικό μοντέλο OIDC, οι ρόλοι είναι σαφώς διακριτοί: ο χρήστης αυθεντικοποιείται στον πάροχο ταυτότητας, ο οποίος εκδίδει και υπογράφει ένα token, και το βασιζόμενο μέρος το επαληθεύει απευθείας, ελέγχοντας την υπογραφή, την ισχύ και τα μορφότυπό του.

Η απλότητα αυτού του μοντέλου βασίζεται σε μια καθαρή σχέση εμπιστοσύνης. Η το βασιζόμενο μέρος εμπιστεύεται τον πάροχο ταυτότητας και αναλαμβάνει το ίδιο την πλήρη επαλήθευση του token. Η αλυσίδα εμπιστοσύνης είναι γνωστή και περιορισμένη, ενώ τα δεδομένα που ανταλλάσσονται, αν και ευαίσθητα, παραμένουν εντός ενός καθιερωμένου πλαισίου.

Το zkLogin εισάγει μια διαφορετική αρχιτεκτονική, επιχειρώντας να γεφυρώσει τον κόσμο του Web2 login με τις απαιτήσεις του Web3.Το zkLogin είναι μία ανοιχτή λύση ταυτοποίησης που εφαρμόζεται στο blockhain Sui. Στο zkLogin ένα πορτοφόλι του χρήστη (Wallet) αναλαμβάνει το ρόλο του βασιζόμενου μέρους. Στη συνέχεια χρησιμοποιεί μια οντότητα που ονομάζεται proving service, η οποία αναλαμβάνει η οποία επιβεβαιώνει ότι ο χρήστης κατέχει ένα έγκυρο token χωρίς να αποκαλύπτει τα περιεχόμενά του. Η απόδειξη αυτή χρησιμοποιείται για να αυθεντικοποιηθεί ο χρήστης στην τελική υπηρεσία.

Σε θεωρητικό επίπεδο, ο ρόλος των ZKP στο zkLogin είναι να περιορίσει τη διαρροή πληροφοριών και να επιτρέψει την ταυτοποίηση χωρίς αποκάλυψη προσωπικών δεδομένων. Η απόδειξη αποσκοπεί στο να πει απλώς «το token είναι έγκυρο», χωρίς να μεταφέρει ευαίσθητα στοιχεία στην τελική υπηρεσία. Με αυτόν τον τρόπο, το zkLogin παρουσιάζεται ως μια λύση που ενισχύει την ιδιωτικότητα, διατηρώντας παράλληλα τη χρηστικότητα των καθιερωμένων μηχανισμών login.

Ωστόσο, η πρακτική υλοποίηση αλλάζει σημαντικά τη δυναμική των ρόλων. Η πλήρης επαλήθευση του OIDC token δεν πραγματοποιείται από την τελική υπηρεσία, αλλά από την proving service. Το provingservice είναι εκείνo που ελέγχει – ή οφείλει να ελέγχει – την υπογραφή, την εγκυρότητα, τη χρονική ισχύ και τo μορφότυπο του token. Για λόγους αποδοτικότητας και περιορισμού της πολυπλοκότητας των ZKP όμως κάνει περιορισμένους ελέγχους.

Αυτή η επιλογή είναι κατανοητή από τεχνική άποψη. Οι αποδείξεις μηδενικής γνώσης είναι υπολογιστικά δαπανηρές και όσο περισσότερους ελέγχους ενσωματώνουν, τόσο αυξάνεται το κόστος και η πολυπλοκότητα. Ως αποτέλεσμα, η proving service υλοποιεί έναν «ελάχιστο» έλεγχο, αφήνοντας εκτός ZKP σημαντικές πτυχές της επαλήθευσης του token. Η ορθότητα αυτών των ελέγχων δεν αποδεικνύεται κρυπτογραφικά προς το τελικό σύστημα, αλλά βασίζεται στην παραδοχή ότι η υπηρεσία λειτουργεί σωστά και αξιόπιστα.

Το κρίσιμο σημείο εδώ δεν είναι απαραίτητα μια τεχνική ευπάθεια στο ίδιο το zkLogin ή στο δίκτυο Sui: στο zkLogin η εμπιστοσύνη μεταφέρεται σε μια ενδιάμεση υπηρεσία, η οποία δεν δεσμεύεται πλήρως από τις αποδείξεις μηδενικής γνώσης ως προς το σύνολο των ελέγχων που εκτελεί. Πρόσφατη έρευνα από την ομάδα του Brave έδειξε πως αυτό, υπό προϋποθέσεις, μπορεί να οδηγήσει σε κενά ασφαλείας.

Συμπερασματικά, με το παράδειγμα του zkLogin αναδεικνύεται πώς οι αποδείξεις μηδενικής γνώσης, όταν ενσωματώνονται σε σύνθετες αρχιτεκτονικές, δεν εξαλείφουν την ανάγκη για εμπιστοσύνη, αλλά συχνά τη μετασχηματίζουν. Η κατανόηση αυτής της μετατόπισης είναι κρίσιμη για όποιον αξιολογεί ή υιοθετεί τέτοιες λύσεις, ιδιαίτερα σε περιβάλλοντα όπου η ταυτότητα και η εμπιστοσύνη αποτελούν θεμελιώδη στοιχεία του συστήματος.

To σύστημα ενημερώσεων του Notepad++ χρησιμοποιήθηκε για την εγκατάσταση κακόβουλου λογισμικού

Για πολλούς χρήστες, το Notepad++ είναι ένα βασικό εργαλείο: ένα απλό, αξιόπιστο πρόγραμμα για επεξεργασία κειμένου ή κώδικα. Ακριβώς γι’ αυτόν τον λόγο, η πρόσφατη αποκάλυψη ότι ο μηχανισμός ενημερώσεών του είχε παραβιαστεί για περίπου έξι μήνες προκάλεσε έντονη ανησυχία. Το περιστατικο αυτόαποτελεί ένα χαρακτηριστικό παράδειγμα του πόσο επικίνδυνες μπορούν να γίνουν οι επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού.

Η επίθεση δεν στόχευσε τον ίδιο τον πηγαίο κώδικα του Notepad++, ούτε εκμεταλλεύτηκε κάποιο εμφανές σφάλμα ασφαλείας στην εφαρμογή. Αντίθετα, οι επιτιθέμενοι κινήθηκαν πιο διακριτικά και πιο έξυπνα. Κατάφεραν να αποκτήσουν πρόσβαση στην υποδομή που χρησιμοποιούσε το πρόγραμμα για να ελέγχει και να κατεβάζει ενημερώσεις. Έτσι, όταν ο χρήστης πατούσε «έλεγχος για νέες εκδόσεις», υπήρχε η πιθανότητα –υπό συγκεκριμένες συνθήκες– να ανακατευθυνθεί σε έναν κακόβουλο server και να κατεβάσει ένα αρχείο που φαινόταν απολύτως νόμιμο, αλλά δεν ήταν.

Πιο συγκεκριμένα, ο μηχανισμός ενημέρωσης του Notepad++, ο οποίος βασίζεται στο WinGUp, επικοινωνεί με ένα συγκεκριμένο server για να ελέγξει αν υπάρχει νεότερη έκδοση και να κατεβάσει το πρόγραμμα εγκατάστασης. Οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση σε αυτό το περιβάλλον φιλοξενίας και να παρέμβουν στη ροή της ενημέρωσης. Μέσω ελεγχόμενων ανακατευθύνσεων και τροποποιημένων απαντήσεων, ο μηχανισμός ενημέρωσης οδηγούταν να κατεβάσει κακόβουλο λογισμικό. Επειδή η διαδικασία δεν βασιζόταν σε ισχυρή, άκρο-προς-άκρο επαλήθευση κρυπτογραφικών υπογραφών για κάθε στάδιο της λήψης, η αλλοίωση δεν ανιχνευόταν.

Το πιο ανησυχητικό στοιχείο είναι η διάρκεια. Η παραβίαση παρέμεινε ενεργή για περίπου μισό χρόνο, χωρίς να γίνει άμεσα αντιληπτή. Αυτό σημαίνει ότι για μεγάλο διάστημα υπήρχε ένα «παράθυρο» μέσα από το οποίο μπορούσαν να στοχοποιηθούν συγκεκριμένοι χρήστες. Όλα δείχνουν ότι δεν επρόκειτο για τυχαία ή ευκαιριακή επίθεση, αλλά για μια προσεκτικά σχεδιασμένη επιχείρηση, πιθανόν με κατασκοπευτικά κίνητρα και με στόχο άτομα ή οργανισμούς υψηλού ενδιαφέροντος.

Η υπόθεση αυτή φωτίζει ένα ευρύτερο πρόβλημα που αφορά όλο το σύγχρονο οικοσύστημα λογισμικού. Σήμερα βασιζόμαστε σχεδόν απόλυτα σε αυτόματες ενημερώσεις, θεωρώντας –συχνά δικαίως– ότι αποτελούν βασικό μηχανισμό άμυνας. Όμως, όταν η ίδια η αλυσίδα διανομής παραβιαστεί, η ενημέρωση μετατρέπεται από εργαλείο προστασίας σε όχημα επίθεσης. Η εμπιστοσύνη του χρήστη, που έχει χτιστεί με τα χρόνια, γίνεται το πιο ισχυρό όπλο στα χέρια του επιτιθέμενου.

Μετά την αποκάλυψη του περιστατικού, οι υπεύθυνοι του Notepad++ προχώρησαν σε αλλαγές στην υποδομή φιλοξενίας των ενημερώσεων και ενίσχυσαν τους ελέγχους ακεραιότητας των ενημερώσεων. Παράλληλα, συνέστησαν στους χρήστες να εγκαταστήσουν εκ νέου την πιο πρόσφατη έκδοση απευθείας από την επίσημη ιστοσελίδα, ώστε να διασφαλίσουν ότι χρησιμοποιούν καθαρό και αυθεντικό λογισμικό.

Το περιστατικό του Notepad++ μας υπενθυμίζει ότι η ασφάλεια δεν τελειώνει στον σωστό κώδικα. Εκτείνεται σε servers, διαδικασίες ενημέρωσης, πιστοποιητικά, υπογραφές και οργανωτικές επιλογές που συχνά θεωρούνται δευτερεύουσες. Σε μια εποχή όπου οι επιθέσεις στις αλυσίδες εφοδιασμού πληθαίνουν και γίνονται ολοένα πιο εκλεπτυσμένες, ακόμη και τα πιο «αθώα» εργαλεία μπορούν να μετατραπούν σε κρίσιμους κρίκους μιας πολύ μεγαλύτερης αλυσίδας κινδύνου.

H τεχνητή νοημοσύνη ξεπερνά τους επαγγελματίες κυβερνοασφάλειας

Η τεχνητή νοημοσύνη βρίσκει όλο και περισσότερες εφαρμογές στον τομέα της κυβερνοασφάλειας. Σύντομα αυτόνομα AI agents θα μπορούν να εκτελούν ολόκληρες εργασίες που παραδοσιακά εκτελούνταν από ανθρώπους. Ένα πρόσφατο επιστημονικό άρθρο (μπορείτε να το διαβάσετε εδώ) έρχεται να μας δώσει μια εικόνα από το μέλλον, συγκρίνοντας AI agents με επαγγελματίες κυβερνοασφάλειας σε ένα πραγματικό δίκτυο.

Αυτό που κάνει τη μελέτη να ξεχωρίζει είναι ότι δεν βασίζεται σε εργαστηριακά σενάρια. Το πείραμα πραγματοποιήθηκε σε πραγματικό πανεπιστημιακό δίκτυο, αποτελούμενο από 8000 υπολογιστές και IoT συσκευές, πολλαπλά λειτουργικά συστήματα, πραγματικές υπηρεσίες και ρεαλιστικούς περιορισμούς. Δέκα πιστοποιημένοι επαγγελματίες με πολύχρονη εμπειρία και πολλαπλά AI frameworks κλήθηκαν να εντοπίσουν, να επιβεβαιώσουν και να αναφέρουν ευπάθειες, όπως ακριβώς θα συνέβαινε σε ένα πραγματικό περιβάλλον. Οι συμμετέχοντες δούλεψαν για 10 ώρες και ανταμείφθηκαν με 2000$

Στο επίκεντρο της μελέτης βρίσκεται το ARTEMIS, ένα εργαλείο που έχει αναπτυχθεί από την ερευνητική ομάδα (μπορείτε να δείτε τον κώδικά του εδώ) και χρησιμοποιεί πολλαπλούς AI-agents για να εκτελέσει ενέργειες που θα έκανε μια red team. Δεν πρόκειται απλώς για ένα LLM που τρέχει εργαλεία, αλλά για ένα σύστημα που μπορεί να «σπάει» την εργασία σε υπο-καθήκοντα, να εκτελεί παράλληλες ενέργειες, να εντοπίζει ευπάθειες και να δημιουργεί κώδικα που τις εκμεταλλεύεται. Με απλά λόγια, λειτουργεί περισσότερο σαν οργανωμένη ομάδα παρά σαν μεμονωμένο εργαλείο.

Τα αποτελέσματα είναι εντυπωσιακά. Το ARTEMIS κατέλαβε τη δεύτερη θέση συνολικά, ξεπερνώντας τους εννέα από τους δέκα ανθρώπινους. Εντόπισε σοβαρές και κρίσιμες ευπάθειες, με ποιότητα αναφορών συγκρίσιμη με εκείνη έμπειρων επαγγελματιών. Ακόμη πιο ενδιαφέρον είναι το κόστος: η λειτουργία του συστήματος κοστίζει πολύ λιγότερο από έναν άνθρωπο, κάτι που αλλάζει ριζικά τα οικονομικά δεδομένα.

Φυσικά, τα AI agents δεν είναι παντοδύναμα. Η μελέτη δείχνει ότι δυσκολεύονται σε σενάρια που απαιτούν αλληλεπίδραση με γραφικά περιβάλλοντα, ενώ εμφανίζουν περισσότερα ψευδώς θετικά ευρήματα σε σχέση με τους ανθρώπους. 

Το σημαντικό συμπέρασμα δεν είναι ότι τα AI agents αντικαθιστούν τους ανθρώπους αλλά ότι αλλάζουν το τρόπο που βλέπουμε την κυβερνοασφάλεια. Η κλίμακα, η ταχύτητα και το χαμηλό κόστος καθιστούν τέτοια συστήματα ιδανικά για συνεχή έλεγχο ασφάλειας, για ενίσχυση των red teams και για πιο ρεαλιστική αποτίμηση κινδύνου. Ταυτόχρονα, αναδεικνύουν ξεκάθαρα τον διπλό ρόλο χαρακτήρα της τεχνολογίας: ό,τι μπορεί να χρησιμοποιηθεί για άμυνα, μπορεί εξίσου εύκολα να χρησιμοποιηθεί επιθετικά.

Η εποχή όπου ο έλεγχος ασφαλείας ήταν αποκλειστικά ανθρώπινη υπόθεση φαίνεται να κλείνει. Όχι επειδή οι άνθρωποι «χάνουν», αλλά επειδή το μέλλον δείχνει να ανήκει στη συνεργασία ανθρώπου και τεχνητής νοημοσύνης. Το ARTEMIS μας δείχνει ότι η κυβερνοασφάλεια εισέρχεται σε μια νέα, πολύ διαφορετική φάση.

WisperPair: Όταν το Bluetooth γίνεται εργαλείο επιθέσεων

Το πρωτόκολλο Google Fast Pair σχεδιάστηκε ώστε η ζευγοποίηση μεταξύ συσκευών Android και ασύρματων αξεσουάρ να είναι τόσο απλή όσο το πάτημα ενός κουμπιού. Η ευρεία υιοθέτησή του από μεγάλες εταιρείες ακουστικών, σε συνδυασμό με την ταχύτητα σύνδεσης που προσφέρει, έχει αναμφίβολα διευκολύνει την καθημερινότητα εκατομμυρίων χρηστών. Ωστόσο, πρόσφατη έρευνα του ερευνητικού κέντρου COSIC στο Πανεπιστήμιο KU Leuven αποκάλυψε ότι πολλά προϊόντα δεν υλοποιούν σωστά το Fast Pair. Η ομάδα ονόμασε το σύνολο αυτών των ευπαθειών WhisperPair και προειδοποιεί ότι εκατοντάδες εκατομμύρια ακουστικά, ηχεία και άλλα ασύρματα αξεσουάρ ενδέχεται να είναι εκτεθειμένα.

Τι είναι το WhisperPair

Το WhisperPair εκμεταλλεύεται κενά στην υλοποίηση του Fast Pair σε δημοφιλή ασύρματα αξεσουάρ. Σύμφωνα με τους ερευνητές, πολλά προϊόντα δεν ελέγχουν σωστά αν βρίσκονται σε «λειτουργία ζεύξης» πριν ανταποκριθούν σε αιτήματα σύνδεσης. Το ίδιο το πρωτόκολλο ορίζει ότι το αξεσουάρ οφείλει να αγνοεί τέτοια αιτήματα όταν δεν βρίσκεται σε λειτουργία ζεύξης. Παρ’ όλα αυτά, σε πολλές περιπτώσεις οι συσκευές αποδέχονται το αίτημα και επιτρέπουν στον επιτιθέμενο να ολοκληρώσει τη διαδικασία ζευγοποίησης.

Με αυτόν τον τρόπο, ένας επιτιθέμενος μπορεί να:

• Αναλάβει τον έλεγχο του αξεσουάρ: Μετά την επιτυχή σύζευξη, μπορεί να αναπαράγει ήχο σε υψηλή ένταση ή ακόμη και να ενεργοποιήσει το ενσωματωμένο μικρόφωνο για την καταγραφή συνομιλιών.

• Ολοκληρώσει την επίθεση σε ελάχιστο χρόνο: Στις δοκιμές των ερευνητών, η επίθεση πραγματοποιήθηκε σε περίπου δέκα δευτερόλεπτα, από απόσταση έως και 14 μέτρων, χωρίς φυσική πρόσβαση στη συσκευή.

• Χρησιμοποιήσει κοινό εξοπλισμό: Δεν απαιτείται ειδικός ή εξειδικευμένος εξοπλισμός· ένα απλό κινητό τηλέφωνο, ένας φορητός υπολογιστής ή ένα Raspberry Pi με δυνατότητα Bluetooth είναι αρκετά.

Παρακολούθηση μέσω του δικτύου Find Hub

Πέρα από την παράτυπη ζευγοποίηση, το WhisperPair μπορεί να μετατραπεί και σε εργαλείο παρακολούθησης. Ορισμένα αξεσουάρ υποστηρίζουν το δίκτυο Find Hub της Google, το οποίο αξιοποιεί δεδομένα από χρήστες (crowd-sourced) για τον εντοπισμό χαμένων αντικειμένων. Εάν ένα αξεσουάρ δεν έχει συνδεθεί ποτέ με συσκευή Android, ένας επιτιθέμενος μπορεί να το συνδέσει πρώτος στον δικό του λογαριασμό, προσθέτοντάς το στο Find Hub και αποκτώντας έτσι τη δυνατότητα παρακολούθησης των κινήσεων του θύματος.

Η ειδοποίηση που ενδέχεται να εμφανιστεί μετά από ώρες ή ημέρες θα αναφέρει τη συσκευή του επιτιθέμενου και μπορεί εύκολα να εκληφθεί ως σφάλμα. Η επίθεση βασίζεται στο γεγονός ότι η Android συσκευή αποθηκεύει στο αξεσουάρ ένα λεγόμενο Account Key, το οποίο χρησιμοποιείται για την επιβεβαίωση της ιδιοκτησίας. Αν αυτό το κλειδί προστεθεί από τον επιτιθέμενο, θεωρείται πλέον ο «ιδιοκτήτης» της συσκευής.

Γιατί αφορά όλους – ακόμη και τους χρήστες iPhone

Η λειτουργία Fast Pair είναι ενσωματωμένη στο ίδιο το αξεσουάρ και δεν μπορεί να απενεργοποιηθεί. Επομένως, δεν έχει σημασία αν η συσκευή χρησιμοποιείται με Android, iPhone ή υπολογιστή: το κενό ασφάλειας βρίσκεται στο υλικό του αξεσουάρ. Έτσι, ακόμη και χρήστες iPhone ή Windows παραμένουν ευάλωτοι στο WhisperPair. Οι ερευνητές επισημαίνουν ότι η απλή αποσύνδεση ή η επαναφορά εργοστασιακών ρυθμίσεων δεν επαρκεί, καθώς δεν αντιμετωπίζει τη ρίζα του προβλήματος.

Η έρευνα κατέδειξε ότι το ζήτημα δεν αφορά μεμονωμένες περιπτώσεις. Πολλές συσκευές από διαφορετικούς κατασκευαστές πέρασαν επιτυχώς τα τεστ ποιότητας και πιστοποίησης της Google, παρότι παρέμεναν ευάλωτες. Το γεγονός αυτό υποδεικνύει μια ευρύτερη αλυσίδα αποτυχίας στην υλοποίηση, τη δοκιμή και την πιστοποίηση του πρωτοκόλλου.

Υπεύθυνη γνωστοποίηση και επιδιορθώσεις

Η ομάδα του COSIC ενημέρωσε τη Google τον Αύγουστο του 2025. Η εταιρεία χαρακτήρισε το ζήτημα κρίσιμο και του απέδωσε αναγνωριστικό ευπάθειας (CVE-2025-36911). Οι ερευνητές συμφώνησαν σε ένα παράθυρο υπεύθυνης γνωστοποίησης διάρκειας 150 ημερών, ώστε οι κατασκευαστές να έχουν τον απαραίτητο χρόνο για την ανάπτυξη και διάθεση διορθώσεων. Η Google επιβράβευσε την αναφορά με το ανώτατο ποσό των 15.000 δολαρίων, αναγνωρίζοντας τη σοβαρότητα της απειλής.

Η μόνη ουσιαστική λύση είναι η ενημέρωση του firmware του αξεσουάρ. Παρότι αρκετοί κατασκευαστές έχουν ήδη κυκλοφορήσει διορθώσεις, αυτές δεν είναι ακόμη διαθέσιμες για όλα τα μοντέλα. Οι χρήστες καλούνται να επικοινωνούν με τον κατασκευαστή ή να ελέγχουν την επίσημη ιστοσελίδα του για διαθέσιμες ενημερώσεις. Η απλή ενημέρωση του τηλεφώνου δεν αρκεί· απαιτείται αναβάθμιση του ίδιου του αξεσουάρ.

Τι σημαίνει αυτό για το μέλλον

Η υπόθεση WhisperPair αποτελεί μια ηχηρή υπενθύμιση ότι ακόμη και φαινομενικά μικρές βελτιώσεις στην εμπειρία χρήστη, όπως η αυτόματη και εύκολη ζευγοποίηση, μπορούν να έχουν σοβαρές επιπτώσεις στην ασφάλεια. Οι ερευνητές του COSIC εργάζονται ήδη πάνω σε πρόταση για κρυπτογραφική δέσμευση της πρόθεσης ζεύξης, με στόχο την αποτροπή παρόμοιων προβλημάτων στο μέλλον. Μέχρι να υπάρξει μια τέτοια λύση, οι χρήστες θα πρέπει να παραμένουν ενήμεροι, να ενημερώνουν τα αξεσουάρ τους και να αντιμετωπίζουν με προσοχή τις λειτουργίες αυτοματοποιημένης ζευγοποίησης.

Το WhisperPair μας υπενθυμίζει ότι η ασφάλεια στον ψηφιακό κόσμο είναι πολυεπίπεδη: απαιτεί σωστή υλοποίηση από τους κατασκευαστές, επαρκή δοκιμή και υπεύθυνη διαχείριση από τις πλατφόρμες. Ως χρήστες, οφείλουμε να ενημερώνουμε τις συσκευές μας και να παραμένουμε σε εγρήγορση απέναντι σε νέες ευπάθειες. Αν χρησιμοποιείτε ασύρματα ακουστικά ή παρόμοια αξεσουάρ, ελέγξτε αν η συσκευή σας επηρεάζεται, εγκαταστήστε τις διαθέσιμες ενημερώσεις και μοιραστείτε αυτές τις πληροφορίες με όσους μπορεί να ωφεληθούν.

Τα αυτοκίνητα μας κατασκοπεύουν

 

Πριν λίγες ημέρες το Mozilla Foundation δημοσιοποίησε μια αναφορά για τα δεδομένα που συλλέγουν τα αυτοκίνητα για τους χρήστες. Η αναφορά (που μπορείτε να τη βρείτε εδώ) περιέχει ανησυχητικά ευρήματα. Η πιο χαρακτηριστική περίπτωση είναι αυτή της Nissan. Η εταιρεία αναφέρει στο privacy policy της (το οποίο μπορείτε να βρείτε εδώ)

Categories of information we collect and disclose [...] Sensitive personal information, including driver’s license number, national or state identification number, citizenship status, immigration status, race, national origin, religious or philosophical beliefs, sexual orientation, sexual activity, precise geolocation, health diagnosis data, and genetic information.

 

Οι μεγάλες πλατφόρμες πρέπει να λογοδοτήσουν

 

Μετά και τα πρόσφατα γεγονότα στο Καπιτώλιο το Facebook και το Twitter έσπευσαν να «μπλοκάρουν» τον λογαριασμό του προέδρου των ΗΠΑ Donald Trump. Η κίνηση αυτή ξεκίνησε μια συζήτηση για το πόσο τέτοιες πλατφόρμες έχουν αυτό το δικαίωμα και κατά πόσο με αυτές τις ενέργειες παραβιάζουν την ελευθερία του λόγου. Όμως το ερώτημα αυτό όχι μόνο είναι λανθασμένο αλλά αποκρύπτει και το πραγματικό πρόβλημα με αυτές τις πλατφόρμες. 

Οποιοσδήποτε μπορεί να παρατηρήσει πως το Facebook, το Twitter, το YouTube είναι κατακλισμένα με περιεχόμενο που προωθεί την ρητορική μίσους, ψεύτικες ειδήσεις και θεωρίες συνομωσίας. Το πρόβλημα όμως δεν είναι πως αυτές οι πλατφόρμες επιτρέπουν αυτού του είδους το περιεχόμενο αλλά ότι το προωθούν γιατί έτσι αυξάνουν τα κέρδη τους! 

 

Όπως αναφέρει και το Wired το περιεχόμενο που προβάλουν αυτές οι πλατφόρμες στους χρήστες τους αποφασίζεται βάσει ενός αλγορίθμου σκοπός του οποίου είναι να αυξήσει την αλληλεπίδραση των χρηστών με τις πλατφόρμες. Όμως  ο αλγόριθμος αυτός έχεις καταλήξει να προβάλλει «σκουπίδια». Παρόλο ότι δεν πρέπει να μας εκπλήττει ότι αυτού του είδους το περιεχόμενο ελκύει πιο πολλούς χρήστες (δείτε άλλωστε ποια προγράμματα στην τηλεόραση έχουν την μεγαλύτερη τηλεθέαση) είναι άγνωστο πως οι εν λόγω αλγόριθμοι καταλήγουν σε αυτές τις προτάσεις. Φήμες μάλιστα λένε πως ακόμα και μηχανικοί σε αυτές τις εταιρείες αντιμετωπίζουν το περιεχόμενο που οι αλγόριθμοι επιλέγουν με έκπληξη! 

 

Οι πλατφόρμες έχουν δημιουργήσει ομάδες οι οποίες είναι υπεύθυνες να αφαιρούν τέτοιου είδους περιεχόμενο. Εκ του αποτελέσματος είναι φανερό πως αποτυγχάνουν. Βέβαια αυτό είναι κάτι το αναμενόμενο, από την μια ο όγκος του περιεχομένου είναι τεράστιος, από την άλλη έχουν να ανταγωνιστούν τους αλγόριθμους των ίδιων των εταιρειών τους. 

 

Το ερώτημα λοιπόν που προκύπτει δεν είναι αν οι πλατφόρμες πρέπει να λογοκρίνουν. Το πραγματικό ερώτημα είναι αν είναι ηθικό και νόμιμο οι πλατφόρμες να πλουτίζουν ενισχύοντας την παραπληροφόρηση και τον ακραίο λόγο. Η απάντηση σε αυτό το ερώτημα είναι σίγουρα πιο εύκολη, το πως όμως θα το επιτύχουμε αυτό φαντάζει βουνό!

Η εταιρεία που ελεγχόταν από την CIA και την BND

By Crypto AG - Logo of company Crypto AG, Public Domain, https://commons.wikimedia.org/w/index.php?curid=56384383

Πρόσφατα, η Washington Post σε συνεργασία με τη ZDF και την SRF αποκάλυψε την υπόθεση της εταιρείας Crypto, μια ελβετικής εταιρεία που παρήγαγε μηχανές κρυπτογράφησης και είχε πελάτες σε όλο τον κόσμο, συμπεριλαμβανομένης και της Ελλάδας.

Η εταιρεία αυτή ξεκίνησε της δραστηριότητες της μετά τον Β' ΠΠ από τον Σουηδό Boris Hagelin. Ο Hagelin έφτιαχνε κρυπτομηχανές και τις πουλούσε σχεδόν σε όλο τον κόσμο. Καθώς οι μηχανές του βελτιώνονταν, η CIA φοβήθηκε ότι δεν θα μπορούσε πλέον να διαβάζει τα κρυπτογραφημένα μηνύματα και έτσι προχώρησε σε συμφωνία με τον Hagelin ώστε να πουλάει σε κάποιες χώρες "πειραγμένες" μηχανές.

Όταν πλέον άρχισαν να χρησιμοποιούνται ψηφιακά κυκλώματα για την κρυπτογράφηση των επικοινωνιών, η CIA ενσωμάτωσε στις μηχανές της Crypto ένα κύκλωμα σχεδιασμένο από την NSA και το οποίο επέτρεπε στις αμερικάνικες μυστικές υπηρεσίες  να αποκρυπτογραφούν τα μηνύματα που μεταδίδονταν.

Καθώς ο Hagelin μεγάλωνε η CIA άρχισε να ανησυχεί για το μέλλον της εταιρείας, για αυτό και την εξαγόρασε μαζί με τις γερμανική μυστική υπηρεσία BND. Φυσικά η αγορά έμεινε κρυφή και η Crypto συνέχισε να κυριαρχεί στο χώρο.

Το 1993, μετά από αλλεπάλληλα επεισόδια που κόντεψαν να οδηγήσουν στην αποκάλυψη του μεγάλου αυτού μυστικού, η BND αποχώρησε από την εταιρεία  και πούλησε το μερίδιο της στην CIA.  Η εταιρεία έκλεισε οριστικά το 2017!

Ο ρόλος της Crypto ήταν καθοριστικός σε πολλά σημαντικά γεγονότα, τα οποία αναφέρονται στο άρθρο της Washington Post.