Μαθήματα κυβερνοάμυνας και σενάρια δολιοφθοράς

Η οδηγία που τους είχε δοθεί ήταν σαφής: «Να είστε αθόρυβοι». Στα τέλη Μαΐου, εκπρόσωποι των Ενόπλων Δυνάμεων και των Σωμάτων Ασφαλείας και στελέχη φορέων που διαχειρίζονται κρίσιμες υποδομές (ΕΥΔΑΠ, ΔΕΗ, Φυσικό Αέριο) κλήθηκαν μαζί με ιδιώτες ερευνητές, μέλη της ακαδημαϊκής κοινότητας, αλλά και τουλάχιστον έναν μαθητή λυκείου, να λύσουν την πιο απαιτητική δοκιμασία της εθνικής άσκησης προσομοίωσης κυβερνοεπιθέσεων.
«Διαβαθμισμένα αρχεία έχουν διαρρεύσει από εταιρεία η οποία υλοποιεί πρότζεκτ των Ενόπλων Δυνάμεων της χώρας», ανέφερε το σενάριο που διάβαζαν στις οθόνες των φορητών υπολογιστών τους. Αποστολή τους ήταν να βρουν ποιες πληροφορίες κλάπηκαν και να ξετρυπώσουν τον επίορκο υπάλληλο που διακίνησε τα απόρρητα αρχεία.
Οι συμμετέχοντες στην άσκηση έπρεπε σε πραγματικό χρόνο να διεισδύσουν στο εσωτερικό δίκτυο της εταιρείας και να αναλύσουν ευπάθειες, ενώ μπορούσαν να συμβουλεύονται και δικηγόρους για να διασφαλίζουν ότι πορεύονται με πλήρη νομιμότητα. Κάθε βήμα της έρευνάς τους έκρυβε εκπλήξεις. Εντόπισαν ύποπτα e-mail στελέχους της εταιρείας και αποκωδικοποίησαν κρυπτογραφημένα μηνύματα που μοιραζόταν ο ένοχος μέσω Τwitter. Σε ένα από τα πιο εντυπωσιακά στάδια της δοκιμασίας, βρήκαν κρυμμένο μήνυμα σε ηχητικό αρχείο τύπου .wav το οποίο διάβασαν κάνοντας αποτύπωση σε φάσμα συχνοτήτων.
Χρειάστηκαν τουλάχιστον έξι μήνες σχεδιασμού και προετοιμασίας των επτά επεισοδίων της άσκησης που φέρει την ονομασία «Πανόπτης» και διεξάγεται κάθε χρόνο από το 2010, σε ελεγχόμενο περιβάλλον, υπό τον συντονισμό της Διεύθυνσης Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Αμυνας. Τον περασμένο Μάιο οι συμμετέχοντες όλων των ομάδων ξεπέρασαν συνολικά τους 200.
Από τον Οκτώβριο ο Οργανισμός Ανοικτών Τεχνολογιών- ΕΕΛΛΑΚ (σύμπραξη πανεπιστημίων, ερευνητικών κέντρων και κοινωφελών φορέων) θα επαναλάβει σε έξι μονοήμερα εργαστήρια και ένα διήμερο σεμινάριο όλα τα επεισόδια της τελευταίας άσκησης «Πανόπτης», με τη συμμετοχή να είναι ανοιχτή σε όποιον ενδιαφέρεται να εμβαθύνει σε θέματα ασφάλειας πληροφοριακών συστημάτων και δικτύων.
«Σκοπός των σεμιναρίων είναι καταρχήν η ομάδα που έλαβε μέρος στην περυσινή άσκηση να αναλύσει και να αξιολογήσει τις μεθόδους που χρησιμοποιήσε ώστε όλοι να γίνουν κοινωνοί της σχετικής γνώσης. Η διεύρυνση της ομάδας είναι επίσης πολύ σημαντική τόσο για την προετοιμασία για την επόμενη άσκηση ”Πανόπτης” όσο και για τη δημιουργία μιας μόνιμης κοινότητας για θέματα κυβερνοασφάλειας», λέει στην «Κ» ο Παναγιώτης Κρανιδιώτης, μέλος του διοικητικού συμβουλίου του Οργανισμού Ανοικτών Τεχνολογιών- ΕΕΛΛΑΚ.
«Σχολείο της πράξης»
«Οι ασκήσεις κυβερνοάμυνας είναι αντίστοιχης σημασίας με τις στρατιωτικές ασκήσεις για την ασφάλεια της χώρας. Δοκιμάζουν την ετοιμότητα των εμπλεκομένων και αποτελούν ένα πολύ καλό “σχολείο της πράξης”», λέει στην «Κ» ο ερευνητής ασφαλείας δικτύων Ανδρέας Βενιέρης. «Αυτή τη στιγμή χτίζουμε τους μελλοντικούς ειδικούς ασφαλείας». Πρώτη φορά συμμετείχε σε κυβερνο-άσκηση το 2010, στην NCDEX 10 του NATO, σε συνεργασία με τον καθηγητή του τμήματος Μηχανικών Πληροφορικής του ΤΕΙ Θεσσαλίας, Βασίλη Βλάχο.
Τον περασμένο Μάιο ο κ. Βενιέρης συμμετείχε στον «Πανόπτη» με την ομάδα του Οργανισμού Ανοικτών Τεχνολογιών – ΕΕΛΛΑΚ. Η «Κ» μίλησε με επτά από τα 32 μέλη αυτής της ομάδας. Βετεράνοι και νεότεροι επαγγελματίες του χώρου συνεργάστηκαν με προπτυχιακούς και μεταπτυχιακούς φοιτητές Πληροφορικής και με έναν 16χρονο που έλαβε γραπτή άδεια από το σχολείο του προκειμένου να συμμετάσχει στην πενθήμερη άσκηση.
«Γνωριστήκαμε δέκα μέρες πριν από τον διαγωνισμό και έπρεπε να σχηματίσουμε μια ομάδα η οποία θα δουλέψει με έναν κοινό στόχο», λέει ο Θωμάς Τουμπούλης, ένας από τους συμμετέχοντες. «Ο καθένας όμως μπορούσε να δει το πρόβλημα από διαφορετική οπτική και να συμβάλει στην επίλυση». Για τον 23χρονο Παύλο, φοιτητή στην ΑΣΟΕΕ, η συμμετοχή «ήταν μια πρόκληση». «Χρειάζονταν θεμελιώδεις γνώσεις για όλα τα κομμάτια της Πληροφορικής και εφαρμόστηκε όλη η γκάμα της ασφάλειας», τονίζει. Για τον 27χρονο Αχιλλέα, που πραγματοποιεί μεταπτυχιακό στην Ασφάλεια Δικτύων, ήταν μια καλή ευκαιρία πρακτικής εξάσκησης. «Αν στο πανεπιστήμιο ο βαθμός δυσκολίας μιας άσκησης ήταν στο 5, στον ”Πανόπτη” η δυσκολία ήταν αρκετά μεγαλύτερη», λέει.
    
Τα μέλη της ομάδας είχαν φιλοξενηθεί κατά την εθνική άσκηση στις εγκαταστάσεις του Εθνικού Μετσόβιου Πολυτεχνίου στην Αθήνα, του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης και του ΤΕΙ Θεσσαλίας στη Λάρισα.
«Σε μια εποχή πλήρως ψηφιοποιημένη, οι κρίσιμες υποδομές κινδυνεύουν ανά πάσα στιγμή από τον εχθρό», λέει ο ερευνητής ασφαλείας Γεώργιος Αραβίδης από τη Θεσσαλονίκη. Ως παράδειγμα ενδεχόμενης κυβερνοεπίθεσης φέρνει την ηλεκτρονική προσβολή του μηχανισμού που ρίχνει χλώριο σε δεξαμενή πόσιμου νερού. Από το ΑΠΘ ο κ. Αραβίδης και οι υπόλοιποι συμμετέχοντες χρησιμοποίησαν ένα ειδικό κλειστό κύκλωμα εμπιστευτικής επικοινωνίας με μέλη της ομάδας σε άλλα μέρη της Ελλάδας, καθαρά για τους σκοπούς της άσκησης.
Τον Νοέμβριο στο Ντίσελντορφ κάποια από τα μέλη της ομάδας του Οργανισμού Ανοιχτών Τεχνολογιών – ΕΕΛΛΑΚ θα εκπροσωπήσουν την ελληνική εθνική ομάδα στον διαγωνισμό του ευρωπαϊκού οργανισμού για την ασφάλεια δικτύων και πληροφοριών. Ο 16χρονος Γιάννης Ζαχαριουδάκης θα συμμετάσχει και σε αυτή την αποστολή. Ασχολείται εμπειρικά, από νεανική περιέργεια, με τα θέματα ασφαλείας. Στον «Πανόπτη» όμως είχε για πρώτη φορά την ευκαιρία να συναντήσει τόσο πολλούς ειδικούς υψηλού επιπέδου. Σκοπεύει να παρακολουθήσει από τον Οκτώβριο και τα σεμινάρια που θα βασίζονται στις επαναλήψεις της εθνικής άσκησης.
«Σκοπός είναι η διάχυση της γνώσης», λέει ο ερευνητής ασφαλείας Δημήτρης Σιατήρας και επικεφαλής της ομάδας στην πιο απαιτητική δοκιμασία μορφής «capture the flag» του «Πανόπτη». Περιγράφει ως πρωτόγνωρη και εντυπωσιακή εμπειρία τη συνύπαρξη και συνεργασία τόσων πολλών ατόμων διαφορετικού επιπέδου γνώσεων. «Μέσα από αυτές τις δράσεις, μπορούν να αναδειχθούν νέα και ικανά άτομα που θα στελεχώσουν τον τομέα ασφαλείας πληροφοριακών συστημάτων του αύριο», προσθέτει αναφερόμενος στα σεμινάρια που θα ξεκινήσουν τον επόμενο μήνα.
Το «ethical hacking» και ο ανοιχτός κώδικας
Για την επίλυση των δοκιμασιών του «Πανόπτη» η ομάδα του Οργανισμού Ανοικτών Τεχνολογιών χρησιμοποίησε εργαλεία και εφαρμογές ανοιχτού κώδικα, δηλαδή λογισμικό που μπορεί ο καθένας να αξιοποιεί ελεύθερα. «Στο παρελθόν αποκαλύφθηκε ότι πολλά συστήματα, που είχαν αναπτυχθεί εν κρυπτώ, είχαν σοβαρά κενά στην ασφάλειά τους», λέει ο καθηγητής στο Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας του Οικονομικού Πανεπιστήμιου Αθηνών, Διομήδης Σπινέλλης. «Τα ανοιχτά συστήματα, μέσω της διαφάνειας, αποτρέπουν τεχνολογικά αδύναμες λύσεις, ενισχύοντας την ασφάλεια όλων μας».
Τα ίδια εργαλεία κατά καιρούς αξιοποιούν και οι «ethical hackers», δηλαδή άτομα που ανακαλύπτουν κενά ασφαλείας σε φορείς και τους ενημερώνουν για αυτά. «Η έννοια του hacking είναι ιδιαίτερα παρεξηγημένη στον πολύ κόσμο έξω από τον κύκλο των ειδικών», λέει ο κ. Κρανιδιώτης. «Αν περάσεις νύχτα από μια τράπεζα και δεις την είσοδο παραβιασμένη, δεν θα διωχθείς ποινικά. Δυστυχώς το ίδιο δεν μπορεί να συμβεί και στον κυβερνοχώρο, ανεξάρτητα αν ο χρήστης προβεί σε κακόβουλη πράξη ή όχι. Θα μπορούσε όμως να ορισθεί το πλαίσιο για ειδικούς ασφαλείας προκειμένου να ειδοποιούν φορείς για προβλήματα στις υποδομές τους που έχουν διαφύγει από τακτικούς ή έκτακτους ελέγχους».
Νεότερα αλλά και πιο έμπειρα μέλη του χώρου ασφαλείας δικτύων που μίλησαν στην «Κ» εξηγούν ότι ο ανθρώπινος παράγοντας -από περιέργεια, άγνοια ή μια λάθος επιλογή- μπορεί να αποδειχτεί ο πιο αδύναμος κρίκος.
Οπως αποδείχτηκε άλλωστε και κατά την επίλυση της δοκιμασίας «capture the flag» του «Πανόπτη», ένα από τα στελέχη της υποτιθέμενης εταιρείας είχε χρησιμοποιήσει ένα USB stick για την εγκατάσταση κακόβουλου λογισμικού. Με αυτό απέκτησε πρόσβαση και προχώρησε στην υποκλοπή ευαίσθητων αρχείων. Τον Οκτώβριο το ίδιο σενάριο θα ζωντανέψει ξανά. Σε ελεγχόμενο περιβάλλον, στις οθόνες των υπολογιστών τους, λιγότερο και περισσότερο έμπειροι ειδικοί ασφαλείας θα αναζητήσουν και πάλι την άκρη του νήματος.
____________
*του Γιάννη Παπαδόπουλου/ Καθημερινή