Αυτό δεν ήταν ένα συνηθισμένο συνέδριο. Οι συμμετέχοντες δεν φορούσαν σακάκια και γραβάτες και όποιος ήταν υποψιασμένος, με την είσοδό του στον χώρο, απενεργοποιούσε το Wi-Fi και το bluetooth στο κινητό του τηλέφωνο. Αλλιώς, αν έκανε την κίνηση να χρησιμοποιήσει το δίκτυο για να συνδεθεί κάπου, υπήρχε η πιθανότητα να εμφανιστούν τα στοιχεία του (όνομα χρήστη και μέρος του κωδικού πρόσβασης) σε μια γιγαντοοθόνη ορατή σε όλους, η οποία αποκαλείται «Τοίχος των προβάτων».
Επί τέσσερις ημέρες, από τις 9 έως τις 12 Αυγούστου, τα ξενοδοχεία Caesar’s Palace και Flamingo στο Λας Βέγκας φιλοξένησαν τη μεγάλη διεθνή σύναξη των χάκερ, το συνέδριο Defcon. Εκεί, χιλιάδες συμμετέχοντες από όλο τον κόσμο (μεταξύ των οποίων επαγγελματίες εργαζόμενοι στην ασφάλεια δικτύων, ερευνητές, ακόμη και ομοσπονδιακοί πράκτορες του FBI και άλλων αμερικανικών υπηρεσιών) είχαν την ευκαιρία να εμβαθύνουν τις γνώσεις τους, να δουν πόσο ευάλωτη μπορεί να είναι μια προσομοίωση καταγραφής και μετάδοσης εκλογικών αποτελεσμάτων ή ποια τρωτά σημεία μπορεί να υπάρχουν σε ένα ηλεκτρονικό αυτοκίνητο. Κάθε χώρος του συνεδρίου έκρυβε και διαφορετική πρόκληση για τους συμμετέχοντες. Σε μια αίθουσα τους καλούσαν να ανοίξουν κάθε λογής κλειδαριά ή χειροπέδες και σε άλλο σημείο να διαγωνιστούν στον αφοπλισμό μιας εικονικής βόμβας.
Ο «τοίχος των προβάτων», όπου φαίνεται μέρος των κωδικών πρόσβασης όσων χρησιμοποιούσαν το Wi-Fi του συνεδρίου.
Για δύο Ελληνες penetration testers, τεχνικούς που διενεργούν ελέγχους παραβίασης συστημάτων και συμμετείχαν στο φετινό Defcon, αυτή ήταν πολύτιμη εμπειρία. Την πρώτη ημέρα χρειάστηκε να περπατήσουν συνολικά 19 χιλιόμετρα στις αχανείς εγκαταστάσεις. Συναντηθήκαμε την επομένη της επιστροφής τους από τις ΗΠΑ για να διηγηθούν τις εντυπώσεις τους.
Αυτή ήταν η όγδοη φορά που ο 41χρονος Κυπριανός Βασιλόπουλος συμμετείχε στο Defcon, το οποίο διεξάγεται στις ΗΠΑ από το 1993. Μαζί του ταξίδεψε ο 20χρονος Νίκος Δανόπουλος. Η γνωριμία τους πηγαίνει χρόνια πίσω, στην Αθήνα και στο συνέδριο ασφαλείας Athcon. Ο κ. Βασιλόπουλος ήταν ιδρυτικό στέλεχος του συνεδρίου και ο Νίκος Δανόπουλος συμμετείχε πρώτη φορά σε αυτό στην ηλικία των 13 ετών, έπειτα από τη σύμφωνη γνώμη των γονέων του τότε. Από δάσκαλος και μαθητής οι δυο τους είναι πλέον συνάδελφοι στη σουηδική εταιρεία κυβερνοασφάλειας Outpost24.
Ο κ. Βασιλόπουλος, μεταξύ άλλων πόστων, έχει εργαστεί στο παρελθόν και στην ασφάλεια ηλεκτρονικών συστημάτων Ολυμπιακών Αγώνων, όπως της Αθήνας το 2004 και του Πεκίνου το 2008, αλλά και των αντίστοιχων Χειμερινών Αγώνων στο Τορίνο και στο Βανκούβερ. Ο νεαρός συνάδελφός του είναι φοιτητής στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς.
Μετά τις πανελλήνιες εξετάσεις πραγματοποίησε πρακτική στην Ιταλία και μια γνωριμία εκεί άνοιξε αργότερα την πόρτα για την τωρινή του δουλειά. «Ηταν όνειρο, από τα παιδικά μου χρόνια, να συμμετάσχω στο Defcon. Το επίπεδο του συνεδρίου είναι πολύ υψηλό», λέει στην «Κ».
Σκέψη εκτός πλαισίου
Δεν ήταν οι μόνοι Ελληνες που βρέθηκαν τον Αύγουστο στο Λας Βέγκας γι’ αυτό τον σκοπό. Οπως εξηγεί ο κ. Βασιλόπουλος, οι εταιρείες του εξωτερικού υπολογίζουν στον ετήσιο προϋπολογισμό τους έξοδα συμμετοχής του προσωπικού τους σε αντίστοιχα συνέδρια. Θεωρούν ότι μόνο κερδισμένοι μπορεί να βγουν από τις γνώσεις που θα λάβουν εκεί ή τις επαφές που θα αναπτύξουν. Στην ελληνική αγορά δεν υπήρχε πάντοτε αυτή η νοοτροπία. Σταδιακά αλλάζει αυτό και κάποιες εγχώριες εταιρείες στηρίζουν πιο άμεσα τη συμμετοχή.
Η πληρωμή για να λάβει κάποιος μέρος στο Defcon γινόταν επί τόπου, μόνο με μετρητά και η αναμονή στην ουρά μπορούσε να φτάσει τις τέσσερις ώρες. «Είναι ένα καθαρά τεχνικό συνέδριο, που καλύπτει μεγάλη γκάμα θεμάτων στα ζητήματα ασφαλείας», λέει ο κ. Βασιλόπουλος. Πέρα από τις ομιλίες, σε ειδικά διαμορφωμένους χώρους οι συμμετέχοντες μπορούσαν να παρακολουθήσουν ή να διαγωνιστούν σε δοκιμασίες: όπως το πώς να αντιγράψουν μια κάρτα που χρησιμοποιεί τεχνολογία RFID (ενδεικτικά αυτή την τεχνολογία έχουν και τα τσιπ με τα οποία γίνεται η ηλεκτρονική χρονομέτρηση αθλητών σε αγώνες δρόμου).
Σε μια εφαρμογή των διοργανωτών με την ονομασία #hackertracker, οι συμμετέχοντες μπορούσαν να δουν αναλυτικά το πρόγραμμα κάθε ημέρας και να επιλέξουν ποια ομιλία θα παρακολουθήσουν ή πού θα κινηθούν μεταξύ των δύο ξενοδοχείων.
Οι δύο penetration testers εξηγούν ότι πέρα από τις γνώσεις και την εμπειρία η δουλειά τους χρειάζεται και φαντασία, σκέψη εκτός πλαισίου. Βάση τους είναι η Ελλάδα, εργάζονται εξ αποστάσεως με τη σουηδική εταιρεία, αλλά μπορεί να ταξιδέψουν και σε άλλη χώρα εάν απαιτηθεί. Οπως λένε, η έρευνα κενών ασφαλείας που καλείται να κάνει κάποιος σε αντίστοιχο πόστο –ανάλογα με το ποιος είναι ο πελάτης– μπορεί να περιλαμβάνει τον έλεγχο κινητού τηλεφώνου, του ΑΤΜ κάποιας τράπεζας, ακόμη και ολόκληρου του δικτύου μιας επιχείρησης, ή ενός συστήματος SCADA (πρόκειται για συστήματα βιομηχανικού αυτόματου ελέγχου και τηλεχειρισμού που χρησιμοποιούνται μεταξύ άλλων σε εγκαταστάσεις υδροδότησης, διαχείρισης λυμάτων ή παροχής ηλεκτρικού ρεύματος). Ανάλογα με το εύρος της δουλειάς που έχουν αναλάβει, και φυσικά τις απαιτήσεις του εκάστοτε πελάτη, ένας έλεγχος μπορεί να κρατήσει από τρεις ημέρες μέχρι και μήνες.
Στοιχεία στα… σκουπίδια
Σε κάποιες περιπτώσεις ελέγχου της ευαλωτότητας μπορεί ο ειδικός να αποκτήσει πρόσβαση και με φυσικό τρόπο σε μια εταιρεία (αντιγράφοντας για παράδειγμα τις κάρτες εισόδου των υπαλλήλων) ή ακόμη και να βρει χρήσιμα στοιχεία για να παρακάμψει συστήματα στα σκουπίδια μιας εταιρείας που δεν χρησιμοποιεί καταστροφέα εγγράφων. Οταν ολοκληρωθεί ο έλεγχος, όλες οι παρατηρήσεις για τα κενά ασφαλείας καταγράφονται σε λεπτομερείς αναφορές και γίνονται γνωστά στους ελεγχόμενους για να λάβουν πρόσθετα μέτρα ή να εκπαιδεύσουν τους υπαλλήλους τους.
«Υπάρχουν εταιρείες που θέλουν να αναλύσουν το πλήρες ρίσκο που ενδεχομένως να αντιμετωπίζουν», λέει ο κ. Βασιλόπουλος και ο νεαρός συνάδελφός του προσθέτει πως «ο πιο αδύναμος κρίκος στην αλυσίδα της ασφάλειας είναι ο άνθρωπος».
Ακολουθήστε το tameteora.gr στο Google News!