Τζ. Κράουμμπαουχ: Ένας επαγγελματίας hacker συμβουλεύει...
Πριν από μερικές ημέρες ήταν η παγκόσμια ημέρα ασφάλειας στο διαδίκτυο. Ακόμη και όσοι δεν έχουν πέσει κάποια στιγμή θύματα, ηλεκτρονικής επίθεσης (προσωπικά έχω δυσάρεστη εμπειρία) ή έστω παρενόχλησης, σίγουρα θα έχουν ακούσει περιπτώσεις από το κοντινό τους περιβάλλον. Ο Τζόσουα Κράουμμπαουχ είναι ένας από τους πιο γνωστούς διεθνώς ειδικός σε θέματα ασφαλείας στα ηλεκτρονικά δίκτυα.
Πρόκειται για έναν από τους πιο επιτυχημένους social engineers, ο οποίος, χάρη στην ικανότητά του να αποσπά προσωπικές πληροφορίες μέσω ψηφιακών καναλιών, έχει καταφέρει να εισέλθει σε θησαυροφυλάκια τραπεζών, data centers των Fortune 500 εταιρειών, εταιρικές εγκαταστάσεις και πριβέ χώρους σε καζίνο. To social engineering ( στα ελληνικά αποδίδεται ως “κοινωνική μηχανική” χωρίς να αποδίδει απόλυτα την κυριολεξία του όρου) είναι η χειραγώγηση ατόμων με σκοπό να αποσπαστούν πληροφορίες ώστε να διευκολυνθεί η πρόσβαση σε κάποιο υπολογιστικό σύστημα.
Ο Κράουμπαουχ, μέσα από τις επιθέσεις που έχει κάνει σε διάφορα υπολογιστικά συστήματα έχει καταλήξει στο ότι ο ανθρώπινος παράγοντας είναι ο πιο αδύναμος κρίκος στην ψηφιακή ασφάλεια των οργανισμών τονίζοντας όμως ότι την μεγαλύτερη ευθύνη τη φέρει το mamagement ενός οργανισμού που δεν δίνει τα κατάλληλα εργαλεία στο προσωπικό της. Η εμπειρία του τον οδήγησε να ιδρύσει την εταιρεία PeopleSec και να αφοσιωθεί στη διεξαγωγή δοκιμών εισβολής σε πληροφορικά συστήματα και αξιολογήσεις ασφαλείας σε μεγάλες εταιρείες και ψηφιακούς στόχους υψηλού κινδύνου.
Ο Κράουμπαουχ βρέθηκε στην Αθήνα στο πλαίσιο του 5ου Information Security Conference που οργάνωσε η Boussias Conferences παρουσιάζοντας πως μπορεί κανείς να «ληστέψει μια τράπεζα από το τηλέφωνο» και μίλησε στο CNN Greece για την ασφάλεια στο διαδίκτυο και στα πληροφορικά συστήματα.
Πόσο εύκολο είναι τελικά να μπει κανείς στο πληροφορικό σύστημα μιας τράπεζας ή ενός οργανισμού, χωρίς να τον καταλάβουν;
Δυστυχώς είναι πάρα πολύ εύκολο. Σε όλη μου την καριέρα δεν έχω βρει ούτε έναν οργανισμό, στον οποίο να μην μπορούμε να εισβάλουμε. Από κυβερνητικούς οργανισμούς, μέχρι μικρές και μεγάλες επιχειρήσεις. Έχουμε εισβάλει σε συστήματα αγωγών και εξέδρες άντλησης πετρελαίου σχεδόν στα πάντα. Το πρόβλημα είναι ότι οι εταιρίες δεν δίνουν αρκετή προσοχή στους χρήστες των πληροφορικών τους συστημάτων και γι αυτό υπάρχει αυτό το κενό ασφάλειας.
Και αυτό δεν είναι πρόβλημα που προέρχεται μόνο από τη χειραγώγηση κάποιων hackers. Ακόμη και μηχανικοί υπολογιστών δεν κατανοούν αρκετά τα θέματα κυβερνοασφάλειας και μπορεί να αφήνουν συχνά “ανοιχτές πόρτες” στους εισβολείς όπως για παράδειγμα ελεγκτές τομέων, στους οποίους ο καθένας μπορεί να έχει πρόσβαση.
Γίνονται λοιπόν συνεχόμενα λάθη μέσα σε μία επιχείρηση, από την κορυφή της ιεραρχίας μέχρι τη βάση της. Το πρόβλημα λοιπόν κυρίως είναι το ανθρώπινο λάθος. Πιστεύω ότι μπορούμε να να έχουμε καλύτερη ασφάλεια στο διαδίκτυο και αυτό ξεκινά από την καλύτερη εκπαίδευση.
Για όλους εμάς που χρησιμοποιούμε εφαρμογές στο διαδίκτυο, έχουμε smartphones και είμαστε συνδεδεμένοι διαρκώς, πόσο εύκολο είναι να πέσουμε θύματα κυβερνοεπίθεσης και να χάσουμε, από το πιο απλό, για παράδειγμα τα τηλέφωνα και τις επαφές μας μέχρι σημαντικά έγραφα και ευαίσθητα δεδομένα;
Τα τηλέφωνά μας γίνονται ολοένα και περισσότερο στόχος εισβολέων. Έχουμε δει τελευταία πολλές επιθέσεις σε android τηλέφωνα. Αν χρησιμοποιείς παλιότερη έκδοση android είσαι πολύ πιο εκτεθειμένος σε επιθέσεις και οι χάκερς μπορούν να έχουν πρόσβαση σε όλες τις ευαίσθητες πληροφορίες σου, φωτογραφίες για παράδειγμα ή δεδομένα που έχουν να κάνουν με τους λογαριασμούς σου και τα χρήματά σου. Τα τηλέφωνα είναι σίγουρα ευάλωτα. Επίσης θα πρέπει ο κόσμος να είναι πολύ προσεκτικός ώστε να μην κάνει κλικ πάνω στο “λάθος αρχείο” στο ίντερνετ και στα κοινωνικά δίκτυα γιατί μπορεί με αυτό τον τρόπο κάποιος να εισβάλει στο τηλέφωνό του και από τη στιγμή εκείνη να το ελέγχει. Θα πρέπει να είμαστε λοιπόν πολύ προσεκτικοί και συνηθίζω να λέω όλη “λίγη παράνοια” όσων αφορά την κυβερνοασφάλεια είναι απόλυτα υγιής.
Αν μπορούσες να δώσεις τρεις συμβουλές σε κάποιον από εμάς που χρησιμοποιούμε διάφορες συσκευές για τις καθημερινές μας δουλειές για να προστατευτεί από κυβερνοεπιθέσεις, ποιες θα ήταν;
Πρώτον, χρησιμοποιείστε πολυπαραγοντικούς ελέγχους ταυτότητας και πολύ ισχυρά passwords για να μπαίνετε στις συσκευές σας και στους λογαριασμούς σας. Δεύτερον να κρατάτε ενημερωμένες τις εφαρμογές και τα προγράμματά σας με τις τελευταίες εκδόσεις. Μπορεί κάποιες φορές να είναι εκνευριστικό αλλά έτσι διατηρείτε σε μεγάλο βαθμό τις συσκευές σας ασφαλείς. Τρίτον, να προσέχετε πολύ πάνω σε τί κάνετε κλικ, τι ανοίγετε στις συσκευές σας.
Ο τομέας της κυβερνοασφάλειας, καθαρά από την άποψη του επαγγελματικού προσανατολισμού, φαίνεται να έχει μέλλον. Ποια είναι η γνώμη σου;
Συμφωνώ απόλυτα, και σήμερα που μιλάμε δεν μπορούμε να καλύψουμε τις αναγκαίες θέσεις γι αυτή τη δουλειά.
Δεν μπορούμε να βρούμε ταλαντούχους και κατάλληλα καταρτισμένους ανθρώπους. Μελέτη έδειξε ότι υπάρχουν περίπου 500.000 κενές θέσεις εργασίας για την ασφάλεια στο διαδίκτυο και αυτό γιατί δεν μπορούμε να βρούμε τους κατάλληλους ανθρώπους. Είτε πρόκειται για ανθρώπους που θα προστατεύουν πληροφορικά συστήματα, είτε θα τα τεστάρουν έναντι επιθέσεων. Χρειαζόμαστε λοιπόν περισσότερους ανθρώπους γιατί οι κυβερνοεπιθέσεις είναι πλέον παγκόσμια επιδημία.
Μια από τις δουλειές που κάνουμε είναι να κρύβουμε ιστοσελίδες και να μεταφέρουμε με ασφάλεια μεγάλο όγκο δεδομένων.
Το 2017 η δαπάνη για την κυβερνοασφάλειας έφτασε σε ύψος ρεκόρ και παρόλα αυτά είχαμε περισσότερες επιθέσεις. Πιστεύω ότι στον τομέα της κυβερνοασφάλειας υπάρχουν τεράστιες επιχειρηματικές δυνατότητες αν έχεις καλές ιδέες.
Η εξάπλωση του internet of things (ίντερνετ των πραγμάτων), μας κάνει περισσότερο ευάλωτους σε κακόβουλες επιθέσεις; Αν για παράδειγμα το ψυγείο μου είναι συνδεδεμένο στο ίντερνετ, θα μπορούσε κάποιος να βάλει φωτιά στο σπίτι μου;
Φυσικά. Και το χειρότερο με το internet of things είναι ότι προς το παρόν αποτελεί αυτό που αποκαλούμε “Άγρια Δύση” ως προς τις δυνατότητες hacking. Είναι όπως ήταν το ίντερνετ στη δεκαετία του ‘90, και το πρόβλημα είναι ότι πολλοί από αυτούς που αναπτύσσουν τεχνολογία Internet of things σήμερα δεν είναι τόσο προσεκτικοί στα θέματα ασφαλείας. Έχω δει πράγματα σε αυτή τη δουλειά που με έκαναν να τρομάξω, όπως για παράδειγμα ανελκυστήρες των οποίων κάποιοι πήραν τον έλεγχο από μακρυά, ψυγεία ακριβώς όπως το είπες, οθόνες για παρακολούθηση παιδιών...
Αυτοκίνητα;
Φυσικά. Έχω έναν συνάδελφο που κάνει τεστ σε χακαρίσματα αυτοκινήτων και έχει αποδείξει ότι μπορεί να πάρει τον έλεγχό τους από απόσταση. Μπορείς να φανταστείς πόσο τρομακτικό μπορεί να είναι όταν οδηγάς με 130 χιλιόμετρα να μην έχεις τον έλεγχο του αυτοκινήτου σου. Και όσο οι λειτουργίες των αυτοκινήτων γίνονται ολοένα και περισσότερα αυτόματες μεγαλώνει και το ρίσκο.
Θα σου κάνω μια τελευταία ερώτηση που την κάνω πάντα σε ανθρώπους που η δουλειά τους είναι η ασφάλεια των δικτύων. Κάποιοι εισβάλουν σε δίκτυα για προσωπικό τους όφελος. Κάποιοι όμως για το δημόσιο συμφέρον ή τέλος πάντων αποκαλύπτουν στοιχεία που είναι προς το συμφέρον των πολιτών. Ποια είναι η γνώμη σου; Ο Έντουαρντ Σνόουντεν τι είναι για σένα, ήρωας ή προδότης;
Ο Σνόουντεν είναι προδότης. Έκανε πολύ μεγάλη ζημιά με τα δεδομένα που πήρε. Θα μπορούσε ίσως να το είχε κάνει με άλλο τρόπο ώστε να είναι περισσότερο ήρωας αλλά ο τρόπος με τον οποίο λειτούργησε είναι κατά τη γνώμη μου ανήθικος. Και όταν έχεις αυτές τις ικανότητες για αυτό που αποκαλούμε “ηθικό χάκινγκ” υπάρχει ένας κώδικας συμπεριφοράς που πρέπει να ακολουθήσεις.