Σύνοψη
- Έρευνα της γαλλικής εφημερίδας Le Monde αποκάλυψε κρίσιμο κενό ασφαλείας, καθώς η εφαρμογή Strava κατέγραψε τη θέση του αεροπλανοφόρου Charles de Gaulle.
- Ναύτες και στρατιωτικό προσωπικό χρησιμοποιούσαν την εφαρμογή για να καταγράφουν την καθημερινή τους άσκηση στο κατάστρωμα του πλοίου.
- Τα δεδομένα γεωτοποθεσίας (GPS) ανέβαιναν στους διακομιστές του Strava, επιτρέποντας την παρακολούθηση του στρατιωτικού σκάφους σχεδόν σε πραγματικό χρόνο.
- Το περιστατικό αναδεικνύει την αποτυχία εφαρμογής των πρωτοκόλλων ασφαλείας (OPSEC) και τον συνεχιζόμενο κίνδυνο από τα consumer wearables στις Ένοπλες Δυνάμεις.
Η καταγραφή δεδομένων fitness απειλεί την παγκόσμια στρατιωτική ασφάλεια
Η χρήση έξυπνων συσκευών και εφαρμογών παρακολούθησης υγείας έχει ενσωματωθεί πλήρως στην καθημερινότητα, ωστόσο η αλόγιστη χρήση τους σε περιβάλλοντα υψίστης ασφαλείας δημιουργεί τεράστιους κινδύνους. Σύμφωνα με πρόσφατη, εκτενή έρευνα της γαλλικής εφημερίδας Le Monde, η δημοφιλής εφαρμογή καταγραφής αθλητικών δραστηριοτήτων Strava αποτέλεσε το μέσο για τον ακριβή εντοπισμό του γαλλικού πυρηνοκίνητου αεροπλανοφόρου Charles de Gaulle, επιτρέποντας την παρακολούθησή του σχεδόν σε πραγματικό χρόνο.
Το συγκεκριμένο περιστατικό δεν αποτελεί απλώς μια μεμονωμένη παραβίαση της ιδιωτικότητας, αλλά ένα συστημικό σφάλμα στην επιχειρησιακή ασφάλεια (Operations Security - OPSEC) ενός από τα σημαντικότερα στρατηγικά όπλα της Γαλλίας και του ΝΑΤΟ.
Πώς το Strava πρόδωσε τη θέση του Charles de Gaulle
Το γαλλικό αεροπλανοφόρο Charles de Gaulle εντοπίστηκε επειδή δεκάδες μέλη του πληρώματος χρησιμοποιούσαν την εφαρμογή fitness Strava κατά τη διάρκεια της σωματικής τους άσκησης στο κατάστρωμα. Η εφαρμογή κατέγραφε και συγχρόνιζε τα δεδομένα GPS των συσκευών τους, επιτρέποντας σε ερευνητές ανοιχτών πηγών (OSINT) να συνθέσουν την ακριβή τοποθεσία, τις στάσεις και την πορεία του στρατιωτικού σκάφους σε παγκόσμιο επίπεδο.
Η μηχανική πίσω από αυτή τη διαρροή είναι εξαιρετικά απλή και ταυτόχρονα άκρως επικίνδυνη. Το πλήρωμα ενός αεροπλανοφόρου οφείλει να διατηρεί άριστη φυσική κατάσταση. Η άσκηση στο τεράστιο κατάστρωμα πτήσεων αποτελεί κοινή πρακτική. Όταν οι ναύτες και οι πιλότοι ενεργοποιούν τα smartwatches (όπως Garmin, Apple Watch) ή τα smartphones τους για να καταγράψουν το τρέξιμό τους, η συσκευή επικοινωνεί με δορυφόρους GPS. Μόλις η συσκευή συνδεθεί στο διαδίκτυο —είτε μέσω του δικτύου του πλοίου είτε μέσω δορυφορικών συνδέσεων (όπως το Starlink, που χρησιμοποιείται πλέον ευρέως σε ναυτικές πλατφόρμες)— τα δεδομένα ανεβαίνουν αυτόματα στα προφίλ των χρηστών στο Strava.
Η Le Monde ανέλυσε εκατοντάδες δημόσια προφίλ χρηστών του Strava. Εντοπίζοντας στρατιωτικούς που είχαν καταγράψει δραστηριότητες σε γνωστές ναυτικές βάσεις (όπως η Τουλόν), οι δημοσιογράφοι κατάφεραν να παρακολουθήσουν τα ψηφιακά τους ίχνη στους ωκεανούς. Οι γραμμές καταγραφής των διαδρομών τους σχημάτιζαν μικρούς κύκλους στη μέση της θάλασσας, οι οποίοι κινούνταν μέρα με τη μέρα, προδίδοντας την ακριβή ταχύτητα και κατεύθυνση του τεράστιου πολεμικού πλοίου.
Η ψευδαίσθηση της ανωνυμίας και το Heatmap
Η πλατφόρμα Strava προσφέρει δυνατότητες απορρήτου, ωστόσο η προεπιλεγμένη ρύθμιση συχνά καθιστά τις δραστηριότητες ορατές σε όλους. Ακόμη και όταν τα μεμονωμένα προφίλ είναι κλειδωμένα, τα συγκεντρωτικά δεδομένα τροφοδοτούν το παγκόσμιο Heatmap της εταιρείας. Το Heatmap είναι ένας διαδραστικός χάρτης που δείχνει "θερμά" σημεία δραστηριότητας βάσει δισεκατομμυρίων καταγραφών.
Ενώ το Heatmap έχει σχεδιαστεί για να βοηθά τους αθλητές να βρίσκουν δημοφιλείς διαδρομές, στα χέρια αναλυτών πληροφοριών μετατρέπεται σε εργαλείο κατασκοπείας. Το 2018, το ίδιο ακριβώς χαρακτηριστικό είχε αποκαλύψει τις τοποθεσίες μυστικών αμερικανικών βάσεων στη Συρία και το Αφγανιστάν. Οκτώ χρόνια αργότερα, οι στρατιωτικές διοικήσεις παγκοσμίως φαίνεται πως δεν έχουν αφομοιώσει πλήρως το μάθημα, αδυνατώντας να περιορίσουν τη χρήση εμπορικών συσκευών από το προσωπικό τους.
Τα τεχνικά δεδομένα της παρακολούθησης
Η ανάλυση των δεδομένων αποκάλυψε επιπλέον πληροφορίες πέραν της γεωγραφικής θέσης. Συγκεκριμένα, οι ερευνητές μπορούσαν να εξάγουν:
- Χρονοσφραγίδες: Ακριβής ώρα και ημέρα της άσκησης, αποκαλύπτοντας τα μοτίβα βάρδιας του πληρώματος.
- Βιομετρικά Δεδομένα: Οι καρδιακοί παλμοί και ο ρυθμός άσκησης μπορούν θεωρητικά να υποδείξουν τα επίπεδα στρες ή ετοιμότητας του προσωπικού.
- Συνδέσεις Δικτύου: Οι αλληλεπιδράσεις και οι κοινές προπονήσεις στο Strava αποκαλύπτουν τη δομή της ιεραρχίας και τη συνάφεια μεταξύ συγκεκριμένων αξιωματικών.
Οι επιπτώσεις στην ελληνική και ευρωπαϊκή πραγματικότητα
Το περιστατικό με το γαλλικό αεροπλανοφόρο εγείρει άμεσα ερωτήματα για τις πρακτικές που ακολουθούνται από όλες τις νατοϊκές δυνάμεις, συμπεριλαμβανομένων των Ελληνικών Ενόπλων Δυνάμεων. Το Πολεμικό Ναυτικό της Ελλάδας συμμετέχει διαρκώς σε συμμαχικές ασκήσεις και αποστολές στην Ανατολική Μεσόγειο και την Ερυθρά Θάλασσα.
Η χρήση smartwatches από τα πληρώματα των ελληνικών φρεγατών αποτελεί καθημερινό φαινόμενο. Παρότι υπάρχουν αυστηρές οδηγίες για την απενεργοποίηση των υπηρεσιών τοποθεσίας σε συσκευές κατά τη διάρκεια ανάπτυξης, η επιβολή καθολικής απαγόρευσης συναντά δυσκολίες. Η τεχνολογία των wearables έχει γίνει αναπόσπαστο κομμάτι της ένδυσης, ενώ ο συγχρονισμός τους με τα smartphones πραγματοποιείται συχνά αυτόματα και εν αγνοία του χρήστη, μόλις το πλοίο βρεθεί εντός εμβέλειας χερσαίου δικτύου 5G ή συνδεθεί στο Wi-Fi του σκάφους.
Ο κίνδυνος για τη χώρα μας είναι απολύτως υπαρκτός. Αντίπαλες δυνάμεις ή υπηρεσίες πληροφοριών μπορούν να χρησιμοποιήσουν ανοιχτά δεδομένα από το Strava, το Garmin Connect ή άλλες παρόμοιες πλατφόρμες για να χαρτογραφήσουν κρυφές εγκαταστάσεις, να καταγράψουν τις περιπολίες των μονάδων στα σύνορα ή να παρακολουθήσουν την ανάπτυξη πλοίων στο Αιγαίο.
Η άποψη του Techgear
Το περιστατικό με το Charles de Gaulle αποδεικνύει την αδιαμφισβήτητη σύγκρουση μεταξύ της ανθρώπινης συνήθειας και της τεχνολογικής ασφάλειας. Η διοίκηση των ενόπλων δυνάμεων αντιμετωπίζει ένα πρόβλημα που δεν λύνεται απλώς με αυστηρότερες εγκυκλίους. Τα σύγχρονα συστήματα παρακολούθησης φυσικής κατάστασης είναι σχεδιασμένα με γνώμονα τον διαρκή διαμοιρασμό δεδομένων.
Οι κατασκευαστές των συσκευών (Apple, Garmin, Suunto) και οι πλατφόρμες λογισμικού (Strava) οφείλουν να αναπτύξουν εξειδικευμένα, ασφαλή προφίλ (military or stealth modes) τα οποία θα εμποδίζουν την τοπική αποθήκευση συντεταγμένων ή θα κρυπτογραφούν πλήρως τα δεδομένα τοποθεσίας χωρίς να τα ανεβάζουν ποτέ στο cloud.
Μέχρι να εφαρμοστούν τεχνικές λύσεις σε επίπεδο υλικού και λογισμικού, η μόνη πραγματική άμυνα για τα στρατιωτικά περιβάλλοντα παραμένει η πλήρης απουσία συσκευών με δυνατότητα GPS από τους χώρους επιχειρήσεων. Οι έξυπνες συσκευές, όσο και αν βελτιώνουν την ποιότητα ζωής, μετατρέπονται σταθερά στους πιο πρόθυμους και ακούσιους κατασκόπους του 21ου αιώνα.
Διαβάστε επίσης
