Οι νέοι που προτάσσουν την ηθική πλευρά του χάκινγκ

Ο διεθνής διαγωνισμός και η ελληνική ακαδημία χάκερ που θα εκπαιδεύει τους συμμετέχοντες να αξιοποιούν τις γνώσεις τους για το συμφέρον της κοινωνίας
Open Image Modal
Secnewsgr

Είναι για ώρες απορροφημένοι στους ηλεκτρονικούς υπολογιστές. Τα χέρια τους χτυπούν με ταχύτητα τα πληκτρολόγια, ενώ στις οθόνες εμφανίζονται δεκάδες σύμβολα και συναρτήσεις ακατανόητα για το κοινό μάτι. Βρίσκονται σε εγρήγορση γιατί ο χρόνος πιέζει, αφού μέσα σε προκαθορισμένη χρονική διάρκεια πρέπει να ολοκληρώσουν τις δοκιμασίες τις οποίες κλήθηκαν εξ′ αρχής να φέρουν εις πέρας.

Πρόκειται για την εθνική ομάδα χάκερ, η οποία και φέτος το διάστημα 15-17 Οκτωβρίου θα ταξιδέψει στο Λονδίνο για να εκπροσωπήσει τη χώρα μας στον Ευρωπαϊκό Διαγωνισμό Κυβερνοασφάλειας «European Cyber Security Challenge 2018».

Open Image Modal
Secnewsgr

Οι εντατικές προπονήσεις

Η διοργάνωση αποτελεί μία πρωτοβουλία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA-European Union Agency for Network and Information Security), ο οποίος λειτουργεί ως το κέντρο εμπειρογνωμοσύνης της Ευρωπαϊκής Ένωσης σε θέματα ασφάλειας των δικτύων και πληροφοριών. Η ελληνική αποστολή, η οποία υποστηρίζεται και φέτος από το Υπουργείο Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, συγκροτήθηκε -όπως και πέρυσι- με ευθύνη του Τμήματος Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς, με επικεφαλής τον αναπληρωτή καθηγητή κ. Χρήστο Ξενάκη.

“Στόχος μας η δημιουργία μιας ακαδημίας η οποία θα προπονεί και θα προετοιμάζει την νέα γενιά ηθικών χάκερ”

Η ομάδα αποτελείται από δέκα νέους 14 έως 25 ετών, οι οποίοι επιλέχθηκαν μέσω του προκριματικού διαγωνισμού που διεξήχθη στο Ethihak 2018 στο πλαίσιο του συνεδρίου Infocom Security. Από τους νέους που διαγωνίστηκαν, οι διοργανωτές επέλεξαν εκείνους που είχαν τις καλύτερες επιδόσεις και άμεσα ξεκίνησαν οι προπονήσεις της ομάδας. Στα μέσα του Σεπτεμβρίου αναδείχθηκε και η τελική δεκάδα η οποία θα εκπροσωπήσει τελικά τη χώρα μας στον διαγωνισμό ECSC 2018.

«Η αλήθεια είναι ότι η απόφαση για την τελική δεκάδα ήταν η πιο δύσκολη, διότι και τα είκοσι περίπου παιδιά που προπονήθηκαν έδειξαν όλοι μεγάλο ζήλο και επιμονή και μέσα στο διάστημα αυτό έγιναν πολύ καλύτεροι», σχολιάζει ο κ. Κωνσταντίνος Βαβούσης, διευθυντής της ιστοσελίδας secnews.gr που διοργανώνει και το διαγωνισμό, μιλώντας στη HuffPost Greece.

«Πρέπει να γίνει σαφές ότι αυτό που δημιουργούμε δεν είναι απλά μια ομάδα που θα διαγωνίζεται μια φορά το χρόνο στα πλαίσια του ECSC, αλλά μια ακαδημία η οποία θα προπονεί και θα προετοιμάζει την νέα γενιά ηθικών χάκερ οι οποίοι θα έχουν λάβει την καλύτερη δυνατή εκπαίδευση από τους κορυφαίους του χώρου. Η ομάδα της Greunion που έχει γαλουχηθεί και μέσα από το Ethihak, προπονεί την ελληνική ομάδα χάκινγκ με την συνδρομή του Hack The Box, το οποίο παρέχει την πλατφόρμα του για να μπορούν να προπονούνται και να εκπαιδεύονται τα παιδιά και online», εξηγεί ο κ. Βαβούσης στη συνέχεια.

Οι πρωταγωνιστές

O Θωμάς Ρογδάκης είναι μόλις 16 ετών, ενώ όπως μας λέει, αποφάσισε να συμμετάσχει στην ομάδα προκειμένου να εμπλουτίσει τις γνώσεις του για την κυβερνοασφάλεια και τα πληροφοριακά συστήματα. Απολαμβάνει να ανταλλάσσει απόψεις με τους επαγγελματίες του χώρου, ενώ οραματίζεται στο μέλλον να έχει τη δική του εταιρεία.

Ο 24χρονος Πέτρος Μάντος από την άλλη επισημαίνει πως η δυνατότητα να διαγωνίζεσαι ενάντια στους καλύτερους της Ευρώπης είναι γι′ αυτόν από μόνο του ένα τεράστιο κίνητρο. Ο ίδιος μιλά για την ανεκτίμητη αξία των εμπειριών που αποκομίζει αλλά και για την πολύτιμη επαφή του με τα μέλη της «Greunion».

Ο Πέτρος πραγματοποίησε τις προπτυχιακές όσο και τις μεταπτυχιακές του σπουδές στο τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς, ενώ συμμετέχει στο διαγωνισμό από την πρώτη χρονιά που η Ελλάδα πήρε μέρος ως χώρα. «Για να μπορέσει κανείς να παραβιάσει ένα σύστημα (στις περισσότερες περιπτώσεις) θα πρέπει να ξέρει σε βάθος και πως λειτουργεί. Συνεπώς, οι δεξιότητες που αποκτά κάποιος που εργάζεται χρόνια στον τομέα αυτόν είναι αν μη τι άλλο, αξιοσημείωτες. Για εμένα προσωπικά η πιο σημαντική προοπτική είναι ότι αποκτάς έναν τρόπο σκέψης ο οποίος σου επιτρέπει να προσεγγίζεις τα προβλήματα από μια άλλη οπτική, αυτό το mindset άλλωστε είναι που κάνει κάποιον να ξεχωρίζει», μας λέει ο ίδιος για τη συμμετοχή του στο διαγωνισμό.

Οι προπονήσεις των διαγωνιζόμενων πραγματοποιούνται κάθε Σάββατο, ενώ αξιοσημείωτο είναι πως για το σκοπό αυτό στην Αθήνα καταφτάνουν τέσσερα παιδιά από τη Θεσσαλονίκη και ένα από την Κρήτη. Κι αυτό γίνεται κάθε εβδομάδα. Μάλιστα τρεις διαγωνιζόμενοι πηγαίνουν ακόμα στο σχολείο. Γύρω στις 10 το πρωί η ομάδα ανοίγει τα laptops ενώ τα challenges μοιράζονται ανάλογα με την ειδικότητα του καθενός. Οι ασκήσεις πάνω στις οποίες προπονείται η ομάδα ποικίλουν, ενώ ανάμεσά τους είναι οι reverse engineering, cryptography, steganography, computer forensics, hardware challenges, mobile challenges καθώς και το αμιγώς hacking.

“Οι θέσεις εργασίας στον κλάδο της κυβερνοασφάλειας είναι πολύ περισσότερες από το ανθρώπινο δυναμικό που υπάρχει αυτή τη στιγμή διαθέσιμο για να τις καλύψει”

Στη συνέχεια παραθέτουμε μερικά από τα ερωτήματα που θέσαμε στον κ. Βαβούση κατά την συνάντησή μας αναφορικά με την έννοια της κυβερνοασφάλειας και την εξέλιξη των κυβερνοεπιθέσεων μέσα στα χρόνια.

-Αναφέρεστε στην ηθική πλευρά του χάκινγκ, απώτερος σκοπός της οποίας είναι να δίνεται η ευκαιρία σε νέους ανθρώπους να αξιοποιήσουν τις γνώσεις τους για την αντιμετώπιση απειλών στο μέλλον. Πώς προσδιορίζετε την έννοια του «Ethihak»;

Το Ethihak είναι μια πρωτοβουλία του Secnews.gr, μέσω της οποίας δόθηκε το έναυσμα ώστε να ξεκινήσουν νέοι και νέες από όλη την Ελλάδα, λάτρεις της πληροφορικής και σύμβουλοι ασφάλειας πληροφορικών συστημάτων, να αναδείξουν τις ικανότητες τους στο πληκτρολόγιο, σε ποικίλες ασκήσεις. Μέσω του διαγωνισμού Ethihak, δίνεται η ευκαιρία στους συμμετέχοντες όχι μόνο να γίνονται καλύτεροι και να τους γνωρίζουν οι εταιρείες, αλλά και να δημιουργούν ομάδες, να ανταλλάσσουν απόψεις και να μοιράζονται την γνώση, να ιδρύουν ακόμα κι οι ίδιοι επιχειρήσεις. Μάλιστα το Ethihak αποτέλεσε εφαλτήριο για την δημιουργία ομάδων CTF όπως της Greunion η οποία πλέον έχει αναγνωριστεί σε παγκόσμιο επίπεδο και σε πολύ μεγάλους διαγωνισμούς.

-Όσον αφορά την επαγγελματική αποκατάσταση στον συγκεκριμένο κλάδο; Ποιες είναι οι προοπτικές για έναν νέο άνθρωπο;

Φτάνει να αναφέρουμε ότι ο εν λόγω τομέας δεν έχει απλά μηδενική ανεργία, έχει αρνητική ανεργία. Οι θέσεις εργασίας είναι πολύ περισσότερες από το ανθρώπινο δυναμικό που υπάρχει αυτή τη στιγμή διαθέσιμο για να τις καλύψει. Ιδιαίτερα με την έλευση του Γενικού Κανονισμού για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (GDPR), οι θέσεις εργασίας αναμένεται να αυξηθούν ακόμη περισσότερο. Γενικότερα όμως με τις ολοένα αυξανόμενες ανάγκες για κυβερνοασφάλεια, θα βλέπουμε να ζητείται ακόμη περισσότερο και καλά εκπαιδευμένο προσωπικό.

Open Image Modal
Ο διευθυντής του Secnews.gr, κ. Κωνσταντίνος Βαβούσης
University of Piraeus

-H συμμόρφωση με τον Νέο Γενικό Κανονισμό συνεπάγεται την απόλυτη ασφάλεια στον κυβερνοχώρο; Η Ελλάδα σε τι επίπεδο βρίσκεται όσον αφορά την ασφάλεια στο διαδίκτυο;

Δεν υφίσταται απόλυτη ασφάλεια. Η ασφάλεια φτάνει μέχρι ένα σημείο από το οποίο και πέρα προσπαθούμε να προλάβουμε και να επιλύσουμε σε σύντομο χρονικό διάστημα τυχόν κακόβουλες ενέργειες που προέρχονται από κενά ασφάλειας. Η συμμόρφωση με έναν κανονισμό μας ανεβάζει σίγουρα επίπεδο. Είναι εντελώς διαφορετικό όμως να μιλάμε για ασφάλεια στα μάτια ενός ελεγκτή από μια αρχή και εντελώς διαφορετικό να μιλάμε για ασφάλεια στα μάτια ενός κακόβουλου χρήστη. Είναι εντελώς διαφορετικό να έχουμε εγκαταστήσει ένα firewall με default configuration το οποίο θα το δει ο ελεγκτής και θα κάνει τσεκ κατά τον έλεγχο και εντελώς διαφορετικό να έχουμε ένα σωστά παραμετροποιημένο firewall το οποίο θα μπορεί να κρατήσει τους κακόβουλους χρήστες εκτός πληροφοριακής υποδομής.

-Οι κυβερνοαπειλές αυξάνονται και συνεχώς διαφοροποιούνται. Πιστεύετε πως τελικά το ηλεκτρονικό έγκλημα θα είναι πάντα ένα βήμα μπροστά από εμάς; Επίσης σχετικά με αυτό, πώς εκτιμάτε πως θα αλλάξει μέσα στα επόμενα χρόνια ο τρόπος με τον οποίο αντιμετωπίζουμε τις κυβερνοαπειλές; Θα παραμείνουν αποτελεσματικές οι «παραδοσιακές» λύσεις ή θα αντικατασταθούν από κάτι εντελώς νέο;

Ο κόσμος του διαδικτύου και της πληροφορικής κάθε άλλο παρά στατικός είναι. Η ύπαρξη νέων κυβερνοαπειλών υφίστανται διότι τα συστήματα και τα λογισμικά μεταβάλλονται με γρήγορους ρυθμούς. Δεν υπάρχει ουσιαστικά κάποια παραδοσιακή λύση που αν την ακολουθήσει κάποιος θα είναι ασφαλής. Η θεώρηση ότι «έβαλα antivirus άρα δεν κινδυνεύω» δεν υφίσταται. Οι κακόβουλοι χρήστες πάντα θα βρίσκουν νέους τρόπους, νέες μεθόδους να διεισδύουν σε πληροφοριακές υποδομές, εκμεταλλευόμενοι νέες ευπάθειες σε λογισμικά και συστήματα. Πέρα λοιπόν από τις αναβαθμίσεις που πρέπει να κάνουμε πάντα ουσιαστικά για να αποφεύγουμε τις παραδοσιακές, τις γνωστές επιθέσεις, πρέπει να είμαστε προσεκτικοί που κάνουμε κλικ, με ποιον μιλάμε και τι πληροφορίες ανταλλάσσουμε. Οι περισσότεροι έχουν ακόμη την αίσθηση ότι το διαδίκτυο είναι μια παιδική χαρά στην οποία μπορούμε να παίζουμε ανενόχλητοι. Στην ουσία πρόκειται για μια κακόφημη γειτονιά, όπου συμμορίες εγκληματιών περιμένουν την πρώτη μας λάθος κίνηση, το πρώτο λάθος κλικ.

-Από τη στιγμή που άρχισαν να πραγματοποιούνται κυβερνοεπιθέσεις μέχρι σήμερα πόσο έχει αλλάξει η οργάνωση τους; Στόχος μιας επίθεσης ποιος είναι συνήθως;

Παρατηρούμε ποικίλες διαφοροποιήσεις με το πέρασμα των ετών. Αυτό που μένει πάντα σταθερό είναι το κίνητρο. Κλοπή χρημάτων, βιομηχανική κατασκοπεία, κλοπή πληροφοριών αλλά και παραδοσιακά εγκλήματα πλέον γίνονται μέσω διαδικτύου. Εμπόριο ναρκωτικών, εμπόριο όπλων, λευκής σαρκός, μέχρι και παραγγελίες για δολοφονίες. Τα έχουμε δει όλα. Αρκεί κάποιος να κάνει μια βόλτα στο darknet. Οι κυβερνοεγκληματίες παρουσιάζονται ολοένα και πιο οργανωμένοι διότι το όφελος πλέον είναι τεράστιο και με την έλευση των κρυπτονομισμάτων όπως το Bitcoin και το Etherium, το φαινόμενο έχει λάβει εντελώς άλλη τροπή. Πλέον δεν βλέπουμε να πληρώνονται λίτρα σε βαλίτσες, όλα γίνονται ανώνυμα μέσω Bitcoin.

Open Image Modal
University of Piraeus

-Μερικές από τις πιο γνωστές επιθέσεις που έχουν πραγματοποιηθεί αποτελούν μέρος μιας ευρύτερης γεωπολιτικής σύγκρουσης που αφορούσαν το Ιράν, την Ουκρανία, την Κορέα ή τον ανταγωνισμό της Ρωσίας με τις ΗΠΑ και το ΝΑΤΟ. Συχνά ακούμε πως οι πόλεμοι του μέλλοντος θα γίνονται πράξη μέσω του ηλεκτρονικού υπολογιστή. Συμφωνείτε με αυτή τη θέση;

Ήδη το βιώνουμε αυτό. Κάθε χώρα έχει τον δικό της κυβερνοστρατό και αυτό δεν είναι κάτι καινούριο. Ας μην σκεφτόμαστε όμως τις επιθέσεις που ακούμε κατά καιρούς στα δελτία ειδήσεων για αλλοίωση στην ιστοσελίδα του τάδε υπουργού ή πρωθυπουργού. Λαμβάνουν χώρα επιθέσεις συνεχώς με σκοπό να πλήξουν κρίσιμες υποδομές. Φανταστείτε για λίγο μια επίθεση στα συστήματα της ΔΕΗ ή της ΕΥΔΑΠ. Τι θα σήμαινε για την χώρα; Ας πάμε δέκα χρόνια περίπου πίσω στην κυβερνοεπίθεση που έγινε στο Ιράν μέσω του Stuxnet. Το ένα πέμπτο της παραγωγής πυρηνικής ενέργειας ολόκληρης της χώρας τέθηκε εκτός λειτουργίας. Αν ήθελαν οι χάκερς θα μπορούσαν να κάνουν πολύ χειρότερα πράγματα από το να σταματήσουν τον εμπλουτισμό του ουρανίου στους πυρηνικούς αντιδραστήρες. Θα μπορούσαν κάλλιστα να σπείρουν τον όλεθρο και στην περίπτωση αυτή δεν μιλάμε για ένα μόνο πυρηνικό εργοστάσιο όπως είχε γίνει στο Τσέρνομπιλ.

Φανταστείτε λοιπόν ότι η αυτή η επίθεση δεν έγινε με τακτικό στρατό ο οποίος θέλει εκπαίδευση, εξοπλισμό, στρατιωτικά οχήματα, ελικόπτερα, αεροπλάνα, σίτιση και στέγη. Αυτή η επίθεση δεν ήθελε ούτε καν μη επανδρωμένα οχήματα. Το μόνο που χρειάστηκε είναι μια δυνατή ομάδα από εξειδικευμένο προσωπικό κυβερνοασφάλειας.

-Οι ελληνικές υποδομές έχουν πέσει θύμα επίθεσης;

Έχουμε δει αλλοιώσεις ιστοσελίδων κατά καιρούς, κλοπή δεδομένων από διάτρητες κρατικές ιστοσελίδες και παρόμοιου τύπου επιθέσεις. Αυτά έχουν κάποιον αντίκτυπο και είναι και εκείνα που γίνονται γνωστά στο ευρύ κοινό μέσω των ειδήσεων και των ιστοσελίδων κοινωνικής δικτύωσης. Τι γίνεται όμως με εκείνες τις επιθέσεις που δεν γίνονται αντιληπτές; Ποιος μπορεί να γνωρίζει αν αυτή τη στιγμή υπάρχουν διάτρητα πληροφοριακά συστήματα σε κρίσιμες υποδομές;

Το πιο σημαντικό ερώτημα είναι αν και κατά πόσο πραγματοποιούνται έλεγχοι ασφάλειας στα πληροφοριακά συστήματα κρίσιμων υποδομών στη χώρα μας. Ποιος τα ελέγχει και μέχρι πιο σημείο. Αυτά είναι τα κρίσιμα ερωτήματα τα οποία η πολιτεία καλείται πλέον να απαντήσει. Σκοπός της ακαδημίας που έχουμε δημιουργήσει είναι η εκπαίδευση της νέας γενιάς σε τέτοιου είδους ευαίσθητα θέματα. Η δημιουργία μιας γενιάς ηθικών χάκερ οι οποίοι θα δρουν στο πλευρό του κράτους και της πολιτείας. Σε αυτή την προσπάθεια, σας χρειαζόμαστε όλους στο πλευρό μας.

*Σημειώνεται ότι τη φετινή ομάδα χάκερ που θα εκπροσωπήσει την Ελλάδα στον ευρωπαϊκό διαγωνισμό απαρτίζουν οι: Παύλος Κολιός, Γιώργος Δαυίδ Τσεκαλάς, Αναστάσιος Τσιμπούκης, Πέτρος Κάρολος Λάζαρος Μαντός, Νικόλαος Καμαρινάκης, Δήμος Πούπος, Θωμάς Ρογδάκης, Ευστράτιος Καπλανέλης, Νικόλαος Μπανταλιάντς και Νικόλαος Μουρούσιας.

 

Η προπονητική ομάδα αποτελείται από τους:  Χάρης Πυλαρινός Μηχανικός πληροφορικής και ιδρυτής του Hackthebox,·Χάρης Μυλωνάς Μηχανικός πληροφορικής - penetration tester, Θωμάς Τουμπούλης Μηχανικός πληροφορικής – penetration tester