Ρεπορτάζ: ΓΙΑΝΝΗΣ ΠΑΠΑΔΟΠΟΥΛΟΣ
Κοιτάζουν συνοφρυωμένοι τους φορητούς υπολογιστές. Στις οθόνες ένα ρολόι μετράει αντίστροφα και σε ξεχωριστά παράθυρα εμφανίζονται αλληλουχίες συμβόλων γραμμάτων και αριθμών, δυσνόητες στο άπειρο μάτι. Απομένουν κι άλλες δοκιμασίες και ο χρόνος πιέζει – στα γύρω τραπέζια έχουν ήδη αδειάσει δεκάδες κουτάκια ενεργειακού ποτού. Σε αυτή την αίθουσα κεντρικού ξενοδοχείου της Αθήνας, φοιτητές και επαγγελματίες ερευνητές σε θέματα ασφαλείας δικτύων αναμετριούνται σε έναν ξεχωριστό διαγωνισμό για χάκερ. Ανάμεσά τους όμως βρίσκεται και κάποιος που ήρθε συνοδεία των γονιών του.
Ο Γιάννης Τουλουμτζίδης και η σύζυγός του, Μήδεια, έφτασαν οδικώς από τον Εύοσμο Θεσσαλονίκης. Υποστηρίζουν τον 15χρονο γιο τους –έναν από τους νεότερους συμμετέχοντες– όπως άλλοι γονείς θα κάθονταν στις κερκίδες ενός γηπέδου ή στο ακροατήριο μιας συναυλίας. Δεν καταλαβαίνουν πολλά από αυτή τη χρήση της τεχνολογίας. «Μαύρα μεσάνυχτα…», λένε γελώντας. Εχουν όμως αναγνωρίσει εδώ και καιρό την κλίση του παιδιού τους.
Ο Γιάννης Τουλουμτζίδης (αριστερά) με τον γιο του, Λευτέρη.
Θυμούνται ακόμη ότι, προτού πάει στο δημοτικό, ήξερε να χρησιμοποιεί τον υπολογιστή στο οικογενειακό βενζινάδικο. Με τα χρόνια οι γνώσεις του εξελίσσονταν, ώσπου ξεκίνησε να πειραματίζεται με γλώσσες προγραμματισμού. «Είναι αυτοδίδακτος», λέει καμαρώνοντας ο πατέρας του. «Είναι η αγάπη του, η τρέλα του».
Η συνύπαρξη αυτής της ετερόκλητης ομάδας ανθρώπων, για λίγες ώρες, στον ίδιο χώρο, αντιμετωπίζοντας τις ίδιες ασκήσεις, ήταν και ο στόχος των διοργανωτών του «Ethihak». Ο διαγωνισμός διεξήχθη για δεύτερη χρονιά στο ξενοδοχείο Divani Caravel, στο πλαίσιο του συνεδρίου για την ψηφιακή ασφάλεια «Infocom Security». Περίπου 60 άτομα –ανάμεσά τους η «Κ» μέτρησε τρεις γυναίκες– δοκίμασαν τις ικανότητές τους σε προσομοιώσεις ηλεκτρονικών επιθέσεων.
Ο Κωνσταντίνος Βαβούσης, υπεύθυνος της συντακτικής ομάδας στην ιστοσελίδα secnews.gr η οποία διοργάνωσε τον διαγωνισμό, εξηγεί ότι στόχος του «Ethihak» είναι η ανάδειξη της ηθικής πλευράς των χάκερ. Αλλωστε τα ίδια εργαλεία, που στα χέρια ενός κακόβουλου χρήστη θα εξυπηρετούσαν παράνομους σκοπούς, μπορούν να χρησιμοποιηθούν για την ανάδειξη ευάλωτων σημείων και τη θωράκιση ηλεκτρονικών συστημάτων.
Τα σενάρια
«Γνωρίζοντας τις τεχνικές επιθέσεων, μπορείς να βελτιώσεις και να οργανώσεις καλύτερα την άμυνά σου», λέει ο Δημήτρης Σιατήρας, ερευνητής ασφαλείας δικτύων. Μαζί με τον συνάδελφό του Ανδρέα Βενιέρη, επί τρεις μήνες σχεδίαζαν τα σενάρια των επτά δοκιμασιών για τον διαγωνισμό. «Προσομοιάζουν με προκλήσεις που θα μπορούσαν να συμβούν στον πραγματικό κόσμο», εξηγεί ο κ. Σιατήρας.
Η πρώτη άσκηση είχε τίτλο «βιομηχανική κατασκοπεία». «Εχει υποκλαπεί εκτελέσιμο αρχείο το οποίο θεωρείται “είσοδος” σε απόρρητες πληροφορίες που αφορούν ανταγωνιστική εταιρεία. Αποστολή σας είναι να βρείτε το username και το password της συγκεκριμένης εφαρμογής», ανέφερε το σενάριό της και κατέληγε με τη φράση: «Η γνώση μαζί σας».
Η εκφώνηση της δεύτερης αποστολής ενημέρωνε τους διαγωνιζόμενους ότι «σπείρα εγκληματιών, οικονομολόγων- λογιστών που υπεξαιρεί μεγάλα χρηματικά ποσά από εταιρείες και ελεύθερους επαγγελματίες» βρίσκεται πίσω από συγκεκριμένο εξυπηρετητή (server). «Από τον εξυπηρετητή έχει υποκλαπεί η νέα έκδοση της λογιστικής εφαρμογής που φτιάχτηκε για τα Windows 8+, η οποία πρόκειται να εγκατασταθεί στον υπολογιστή των θυμάτων ως αντικατάσταση της προηγούμενης», ανέφεραν οι εμπνευστές της άσκησης. Οι χάκερ έπρεπε να ξεκλειδώσουν τη συγκεκριμένη εφαρμογή προτού βάσει του σεναρίου τεθεί σε λειτουργία και υποκλέψει δεδομένα.
«Κατά τη διάρκεια της στρατιωτικής σας θητείας έχετε επιλεγεί στο άκρως απόρρητο τμήμα ηλεκτρονικής αντικατασκοπείας του Γενικού Επιτελείου. Ομάδα πρακτόρων από την Υπηρεσία Πληροφοριών κατάφερε να υποκλέψει τη μυστική επικοινωνία υπουργού Αμυνας εχθρικής χώρας», έγραφε το σενάριο άλλης δοκιμασίας. Οι διαγωνιζόμενοι για να οδηγηθούν στη λύση κάποιων ασκήσεων έπρεπε να δοκιμαστούν και στην αποκρυπτογράφηση.
Ακόμη, σε μια γωνιά της αίθουσας είχε τοποθετηθεί router συνδεδεμένο με ένα κινητό τηλέφωνο. Οι διαγωνιζόμενοι έπρεπε στο πλαίσιο άλλης άσκησης να σπάσουν το WiFi και να βρουν τον κωδικό σύνδεσης. Οπως διευκρινίζουν οι διοργανωτές, το «Ethihak» γινόταν σε πραγματικό χρόνο και σε πλήρως ελεγχόμενο περιβάλλον.
Κάθε άσκηση δεν είχε μόνο μία λύση. «Είναι σαν ένας λαβύρινθος», λέει ο κ. Βενιέρης. «Κάποιοι διάδρομοι οδηγούν στην έξοδο και άλλοι όχι. Γι’ αυτό χρειάζεται συνδυασμός γνώσης, εμπειρίας και φαντασίας». Το ίδιο επαναλαμβάνουν και ο κ. Σιατήρας με τον κ. Βαβούση: Πέρα από τις δεξιότητες και τις γνώσεις, για την αντιμετώπιση ηλεκτρονικών επιθέσεων χρειάζεται και αντισυμβατική σκέψη. Ορισμένα σενάρια έκρυβαν και παγίδες. Μπορεί να οδηγούσαν κάποιον επίδοξο χάκερ σε πλήρες αδιέξοδο σπαταλώντας τον πολύτιμο χρόνο του. Στη γλώσσα των υπολογιστών αυτός ο μηχανισμός ασφαλείας ονομάζεται «honeypot».
«Είναι πολύ χρήσιμο. Μια πρακτική άσκηση, υπό την πίεση του χρόνου, που σου μαθαίνει πόσο σημαντική είναι η συνδυαστική σκέψη», λέει στην «Κ» ο 20χρονος φοιτητής στο Πανεπιστήμιο του Πειραιά Φίλιππος Φωτόπουλος, που για πρώτη φορά βρισκόταν στο «Ethihak». Μεταξύ των συμμετεχόντων υπήρχαν και μέλη της εθνικής ομάδας που είχε λάβει μέρος τον Νοέμβριο σε διαγωνισμό του ευρωπαϊκού οργανισμού για την ασφάλεια δικτύων και πληροφοριών.
Πέρα από την εμπειρία και τη γνωριμία με άλλα μέλη τις ίδιας κοινότητας, για κάποιους ο διήμερος διαγωνισμός ενδεχομένως να λειτούργησε και ως ευκαιρία επαγγελματικών επαφών. Κάθε τόσο στην αίθουσα έμπαιναν και παρακολουθούσαν τη διαδικασία στελέχη εταιρειών. Για την ιστορία, νικήτρια του διαγωνισμού αναδείχτηκε η ομάδα «Greunion», δεύτερη η ομάδα «An0ncore» στην οποία συμμετείχε και ο γιος του κ. Τουλουμτζίδη και τρίτη η ομάδα «Aggressive Cake».
Οι μεγάλοι νικητές του #ethihak η ομάδα Greunion!
2η θέση η ομάδα An0ncore 3η θέση η ομάδα Aggressive Cake Stay tuned!
— EthiHak (@EthiHak) 30 Μαρτίου 2017
Ο 15χρονος Λευτέρης Τουλουμτζίδης, ένας από τους νεότερους διαγωνιζομένους, θα ήθελε –όπως λέει– να ασχοληθεί επαγγελματικά με τον προγραμματισμό. «Σιγά- σιγά, ψάχνοντας, αναπτύχθηκε η γνώση μου. Μαθαίνω βρίσκοντας έτοιμο κώδικα και μετά προσπαθώ να γράψω μόνος μου», λέει. Ο πατέρας του ακόμη έχει αποθηκευμένο στο κινητό του τηλέφωνο ένα βίντεο με μια δημιουργία του Λευτέρη: ένα τηλεκατευθυνόμενο αυτοκίνητο που μπορεί κάποιος να το χειριστεί μέσω τηλεφώνου. «Την εφαρμογή για το χειρισμό του αμαξιδίου, την έφτιαξε ο γιος μου», λέει χαμογελώντας ο Γιάννης Τουλουμτζίδης.
Μαζί με τη σύζυγό του είχαν προετοιμαστεί για το ταξίδι στην Αθήνα εδώ και καιρό, μόλις το ζήτησε το παιδί τους. Είχαν ενημερώσει και το σχολείο ότι ο γιος τους θα λείψει για δύο ημέρες. «Και ο καθηγητής της Πληροφορικής ήταν υπέρ», λέει ο πατέρας του μαθητή.