Εγώ και ο χάκερ: «Ποιοι και γιατί μας ζητούν να τους επιτεθούμε»

Οι τεχνικές χρησιμοποιούν οι ομάδες κυβερνοασφάλειας που εξομοιώνουν μια ρεαλιστική επίθεση από χάκερ; Πόσο ηθικός είναι ένας «ηθικός χάκερ»; Ο επικεφαλής μιας «κόκκινης ομάδας» συστήνει στο «Βήμα» τη δράση των ελίτ ομάδων, που αναβαθμίζουν την ασφάλεια πληροφοριών των μεγάλων οργανισμών, συγκεράζοντας όχι μόνο ευρεία γνώση υπολογιστικών συστημάτων αλλά και κοινωνικής μηχανικής.

Πόσο εύκολο είναι να χακάρεις μια τράπεζα σήμερα;

«Δεν είναι όσο εύκολο νομίζει κανείς, γιατί έχουν επενδύσει εκατομμύρια ευρώ στην άμυνα και πλέον δεν ασφαλίζονται μόνο στα υπολογιστικά τους συστήματα, αλλά εκπαιδεύουν το προσωπικό και για επιθέσεις που θα μπορούσαν να συμβούν στον φυσικό κόσμο. Εχει φτάσει να μην είναι λειτουργικός ο υπολογιστής ενός υπαλλήλου, ακριβώς επειδή είναι τόσο ρυθμισμένος με ασφάλεια. Θεωρώ όμως ότι είναι εφικτό, γιατί ενώ σε εμάς ο πελάτης δίνει ένα διάστημα μηνών ώστε να ολοκληρώσουμε μια επίθεση, ο πραγματικός επιτιθέμενος διαθέτει απεριόριστο χρόνο και χρήμα. Επίσης ένας τέτοιος επιτιθέμενος δεν θα προσλάβει μία, αλλά πολλές ομάδες χάκερ».

Μας είχαν ζητήσει να παρακολουθήσουμε τι κάνει ένας υπάλληλος στον υπολογιστή του, πράγμα που τους ενημερώσαμε ότι δεν πρέπει να γίνει

Πώς οργανώνετε μια επίθεση;

«Μας ζητά ένας οργανισμός να χτυπήσουμε την εταιρεία του και να εισέλθουμε στα συστήματα ηλεκτρονικά, να αποσπάσουμε δηλαδή πληροφορίες ή να κλέψουμε δεδομένα, χωρίς να γνωρίζουμε τίποτα άλλο, πέρα από το όνομα της εταιρείας. Μας χορηγούν άδειες, υπογράφουμε NDAs και αναζητούμε ή ανακαλύπτουμε τρόπους για να αποκτήσουμε πρόσβαση στα δίκτυα ή στα κτίρια, πάντα με σκοπό το ηλεκτρονικό χτύπημα, το να δημιουργήσουμε δηλαδή ζήτημα ασφάλειας πληροφοριών. Αφού συγκεντρώσουμε όλα τα στοιχεία της εταιρείας, τους εργαζομένους από το Linked In ή από άλλες πηγές, φτιάχνουμε το σενάριο και αναζητούμε τον υπάλληλο που θα μας δώσει πρόσβαση. Αν δούμε, για παράδειγμα, ότι αυτή η εταιρεία παρουσιάζει περιβαλλοντική δράση και υφίσταται προγραμματισμένη εκδήλωση, θα στείλουμε ένα ψεύτικο ερωτηματολόγιο ή θα πάρουμε τηλέφωνο με αφορμή την προγραμματισμένη δράση. Αν κάτι τέτοιο δεν λειτουργήσει, χρησιμοποιούμε κάθε μέσο, παρουσιαζόμαστε δηλαδή ακόμα και σαν συνεργάτες τους, αρκεί το σενάριο να έχει εγκριθεί από το contact point του πελάτη που λέγεται white team και είναι συνήθως ο επικεφαλής ασφαλείας πληροφοριών. Σε επιθέσεις με φυσική παρουσία θα οδηγηθούμε, αν έχει αποτύχει προηγουμένως η εξ αποστάσεως πρόσβαση μέσω τηλεφώνου, μέιλ ή άλλου μέσου ή αν υπάρχει αντικειμενικός λόγος να αποκτήσουμε φυσική πρόσβαση στον χώρο, δηλαδή στα data centers μιας εταιρείας».

• Εφιάλτης οι χάκερς για τις επιχειρήσεις – 1.100 επιθέσεις την εβδομάδα στην Ελλάδα

Με τι κριτήρια στοχεύετε τον υπάλληλο που θεωρείτε πιο πιθανό να σας δώσει πρόσβαση;

«Συνήθως επιλέγουμε υπαλλήλους που αποτελούν τις πιο πρόσφατες προσλήψεις στην εταιρεία και που είναι πιθανότερο να μην έχουν λάβει ακόμα εκπαίδευση. Εχουμε επιχειρήσει να ακολουθήσουμε συμπεράσματα ερευνών που προέρχονται από πραγματικούς επιτιθέμενους και εκτιμούν πως μια γυναίκα θα πατήσει πιο εύκολα ένα link αν αυτό προσφέρει δώρα, όμως έχουμε δει στην πράξη πως αυτό δεν ισχύει. Παρατηρήσαμε τελικά ότι οι γυναίκες δύσκολα δίνουν πρόσβαση στον υπολογιστή τους και στις περιπτώσεις που διαχειριζόμαστε, μάλλον οι άντρες ενδιαφέρονται λιγότερο για το συμφέρον του εργοδότη τους. Σε κάθε περίπτωση, δεν θα χτυπήσεις έναν προγραμματιστή σε μια εταιρεία, αλλά τον λογιστή, το HR ή τους πωλητές, τα πιο ευάλωτα τμήματα».

Το πρώτο που θα σκεφτώ μόλις λάβω ένα άγνωστο μήνυμα είναι ότι είναι fake και δεν απαντάω. Παλιά το έσβηνα κατευθείαν. Συχνά δεν απαντάω σε εισερχόμενες κλήσεις και δεν ασχολούμαι πολύ με τα social media

Τι θέματα χρησιμοποιείτε για να αυξήσετε τις πιθανότητες να πατήσει ο υπάλληλος τον μολυσμένο σύνδεσμο;

«Αγαπημένο μας θέμα είναι οι απολύσεις, αν στείλεις ένα μέιλ παριστάνοντας τον CEO με τίτλο “δείτε τις επερχόμενες απολύσεις”, θα το ανοίξουν όλοι. Ο επιτιθέμενος γενικά εκμεταλλεύεται το κέρδος, κάνει επίκληση στο συναίσθημα ή χρησιμοποιεί κάτι που είναι “πιασάρικο”. Τα όρια της δράσης μπαίνουν κάθε φορά από τον πελάτη και την ισχύουσα νομοθεσία, δεν θα μπορούσα δηλαδή να χρησιμοποιήσω ψεύτικη ταυτότητα, μπορώ όμως να μεταμφιεστώ ή να χρησιμοποιήσω το πραγματικό μου όνομα κάποιες φορές. Γιατί αν χρειαστεί να παρουσιαστώ και να έχω έναν ρόλο, πρέπει το όνομα που θα τους πω να είναι υπαρκτό, δεδομένου ότι οι υπάλληλοι μιας εταιρείας θεωρητικά έχουν εκπαιδευτεί για να αντικρούσουν αυτό που λέμε κοινωνική μηχανική, το να χρησιμοποιήσεις δηλαδή την ανθρώπινη ψυχολογία και την επίκληση στο συναίσθημα, για να κινητοποιήσεις έναν άνθρωπο να κάνει μια ενέργεια».

Δώστε μας ένα παράδειγμα κοινωνικής μηχανικής σε σενάριο της ομάδας σας.

«Μια φορά στοχεύσαμε τη γραμματεία μιας εταιρείας και πήραμε τηλέφωνο παριστάνοντας τους IT από το αντίστοιχο τμήμα, ζητώντας της να μπει σε μια ιστοσελίδα και να κατεβάσει μια ενημέρωση. Αποκτήσαμε έτσι πρόσβαση στο ηλεκτρονικό της ημερολόγιο, στο οποίο προσθέσαμε ότι την επόμενη ημέρα θα επισκέπτονταν το γραφείο συντηρητές κλιματιστικών. Την επόμενη ημέρα πράγματι εμφανιστήκαμε σαν συντηρητές, δίνοντας τα πραγματικά μας ονόματα όμως, γιατί έπρεπε το σενάριό μας να είναι αυθεντικό, εφόσον είχε κριθεί σημαντικό το να εισέλθουμε οι ίδιοι στον χώρο».

Κι αν σας αντιληφθούν τα συστήματα ασφαλείας;

«Μας έχει συμβεί δυο ή τρεις φορές και τότε βγάζουμε από την τσέπη μας το λεγόμενο “out of jail card” που μας δίνει ο πελάτης για μια τέτοια περίπτωση. Κατανοούν τότε οι εργαζόμενοι ότι πρόκειται για άσκηση, που έχει εγκριθεί από την εταιρεία. Αλλά πάντοτε έχεις καρδιοχτύπι, πάντα αισθάνεσαι ευφορία, αδρεναλίνη αλλά και απογοήτευση όταν τα πράγματα πάνε στραβά, και αυτό συμβαίνει επειδή έχεις πολύ ισχυρό κίνητρο επίτευξης. Σε κάνει καλό επαγγελματία το να μπεις στο πετσί του επιτιθέμενου και να αισθανθείς το ίδιο κίνητρο με εκείνον, γιατί αυτό διασφαλίζει την αποτελεσματικότητα σε έναν βαθμό, εφόσον πρέπει να είσαι αποτελεσματικός με ένα μπάτζετ κάποιων χιλιάδων ευρώ, τη στιγμή που ο οργανισμός που επιχειρείς να χακάρεις, έχει επενδύσει εκατομμύρια ευρώ σε ασφάλεια».

Από πού προκύπτει το ότι είστε οι ηθικοί τού χάκινγκ;  

«Από τη στιγμή που θα παραβιαστεί μια εταιρεία ακόμα και στο πλαίσιο μιας άσκησης, θα την πατήσει ένας υπάλληλος, ο οποίος θα έχει δώσει την πρόσβαση και μέσα στα downloads του μπορεί να υπάρχουν οι εξετάσεις του ίδιου ή της μητέρας του. Αν τις δεις, παραβιάζεις τα προσωπικά δεδομένα και το απόρρητο. Εμείς είμαστε υπέρμαχοι της ιδιωτικότητας, δεν θέλουμε συνεργάτες χωρίς ηθική, κάποιον που το κάνει για τη φήμη, που το βλέπει ως αστείο ή που έχει ως αποκλειστικό κίνητρο τα χρήματα και όχι τον καλό σκοπό. Εχω αποφύγει τη συνεργασία με συγκεκριμένα άτομα του χώρου, γιατί δεν μπορούσαν να αντεπεξέλθουν σε αυτές τις ηθικές γραμμές. Δεν κοιτάμε κανένα προσωπικό δεδομένο και στον υπάλληλο που θα “χτυπήσουμε”, θα του επικοινωνηθεί και στο τέλος ότι δεν φέρει ευθύνη. Αλλωστε ενδεχομένως να αντιληφθεί κατά τη διάρκεια μιας άσκησης ότι κλίκαρε κάτι κακόβουλο, αλλά δεν θα γνωρίζει μέχρι το τέλος της ότι πρόκειται για άσκηση, επομένως δεν μπορούμε να ελέγξουμε τις συναισθηματικές του αποκρίσεις. Επίσης, αν για παράδειγμα μπούμε σε μια τράπεζα, δεν είναι δυνατόν να υπάρχει άτομο στην ομάδα μας που θα διανοηθεί να επωφεληθεί από αυτό σε προσωπικό επίπεδο. Ή ας πούμε ένας άνθρωπος που παίρνει μέρος σε μια φυσική επίθεση, απαγορεύεται εντός ρόλου να συμπεριφερθεί σε κάποιον άσχημα. Πάντοτε σεβόμαστε τον άνθρωπο. Είναι άλλο το να εκμεταλλεύεσαι την έλλειψη εκπαίδευσης από πλευράς της εταιρείας σε θέματα κυβερνοασφάλειας και άλλο το να κάνεις έναν εργαζόμενο να αισθανθεί άσχημα».

Εχετε απορρίψει συνεργασία με πελάτη για λόγους ηθικής τάξης;

«Για ηθικούς και νομικούς λόγους. Μας είχαν ζητήσει να παρακολουθήσουμε τι κάνει ένας υπάλληλος στον υπολογιστή του, πράγμα που τους ενημερώσαμε ότι δεν πρέπει να γίνει. Ζητήσαμε από τον πελάτη να το αιτηθεί γραπτώς και το νομικό μας τμήμα επικοινώνησε μαζί του, λέγοντας ότι αυτό είναι ενάντια στον κανονισμό προστασίας δεδομένων και ότι δεν θα το κάνουμε. Είμαστε πολύ αυστηροί με τη στόχευση της άσκησης κάθε φορά».

Ποιοι είναι επιφορτισμένοι με την ανίχνευση μιας επίθεσής σας;

«Σε αντίθεση με εμάς που είμαστε λίγοι, είναι πολυπληθείς οι ομάδες κυβερνοασφάλειας που αμύνονται, οι μπλε δηλαδή ή cyber security defenders, όπως αναφέρονται στη βιβλιογραφία. Αυτοί ασχολούνται με το να παρατηρούν και να αναλύουν τα συστήματα, για να αποτρέψουν τις επιθέσεις 24/7. Αν οι μπλε καταλάβουν ότι δέχονται επίθεση και ρωτήσουν τον εργοδότη τους, δεν πρέπει να τους πει ότι πρόκειται για άσκηση ώστε να το αντιμετωπίσουν ως πραγματικό περιστατικό. Παράλληλα εμείς πρέπει να μείνουμε “κάτω από το ραντάρ” ώστε να μη μας αντιληφθούν, ζητούμενο συγκριτικά πιο δύσκολο από το να αμύνεσαι σε μια επίθεση. Tα χρώματα έχουν προέλθει από ασκήσεις του στρατού, όπου κόκκινος είναι πάντα ο εχθρός».

Πάντοτε έχεις καρδιοχτύπι, πάντα αισθάνεσαι ευφορία, αδρεναλίνη αλλά και απογοήτευση όταν τα πράγματα πάνε στραβά, και αυτό συμβαίνει επειδή έχεις πολύ ισχυρό κίνητρο επίτευξης. Σε κάνει καλό επαγγελματία το να μπεις στο πετσί του επιτιθέμενου

Παλιά το έλεγες αν ήσουν χάκερ;

«Αν ήσουν, δεν το έλεγες πουθενά, μέχρι τις αρχές 2000 δεν το έλεγες ούτε στους φίλους σου. Γι’ αυτό είναι τρομερό που πλέον μπορείς να πληρώνεσαι από αυτό, παρότι πολλοί από εμάς εξακολουθούν να θεωρούν το χάκινγκ τέχνη, κάτι το πολύ αγνό. Αντίθετα, πολλοί νέοι άνθρωποι διαθέτουν την τεχνική κατάρτιση, και παρότι είναι πολύ καλοί, ηθικοί και σωστοί επαγγελματίες, δεν διαθέτουν τον out of the box τρόπο σκέψης. Θεωρούμε ότι οι πρώτοι χάκερ εμφανίστηκαν σε κοινότητες του MIT ως μια underground κουλτούρα που υπάρχει ακόμα σε έναν βαθμό. Απλώς σήμερα βλέπουμε την κορυφή του παγόβουνου, αυτούς που έχουν μετατραπεί σε επαγγελματίες, όπως εμείς. Εμείς βέβαια δεν χρειάζεται να λέμε πια ότι κάνουμε ηθικό χάκινγκ, κάνουμε εξομοίωση επιθέσεων ως red teaming, η κόκκινη ομάδα είναι πιο επιστημονικός όρος, και έχει καθιερωθεί στην πληροφορική».

Ποιο ήταν παραδοσιακά το κίνητρο ενός χάκερ;

«Χάκινγκ ήταν ανέκαθεν το μενταλιτέ τού να σπάσεις τον τρόπο που είναι σχεδιασμένο ένα σύστημα, χωρίς να έχεις κίνητρο τα χρήματα. Η φήμη θα μπορούσε να συνιστά κίνητρο κάποια στιγμή, αλλά τη μεγαλύτερη σημασία είχε η περιέργεια που είχε κανείς για να μάθει πώς δουλεύει κάτι ή να δώσει ένα μήνυμα. Μην ξεχνάμε ότι το χάκινγκ ξεκίνησε ως μορφή πολιτικής αμφισβήτησης το ’60 και το ’70 στην Αμερική πριν από την εξάπλωση των υπολογιστών και αποτελούσε ένα μέσο digital ακτιβισμού σε περιπτώσεις λογοκρισίας. Ο χακτιβισμός ήταν ένα αγνό παράδειγμα πολιτικής εναντίωσης, με παράδειγμα αυτό του Chaos Computer Club που ιδρύθηκε το 1981 στο Βερολίνο. Το knowledge sharing ήταν ανέκαθεν πρόταγμα των χακερ, όπως και ο ανοιχτός κώδικας – αυτές είναι τάσεις προερχόμενες από τις κοινότητες των χάκερ».

Στην ομάδα σας έχετε πτυχία πληροφορικής;

«Οι περισσότεροι δεν έχουν, και ειλικρινά δεν είναι απαραίτητο. Πριν από δεκαπέντε-είκοσι χρόνια προπτυχιακό και μεταπτυχιακό υπήρχαν μόνο στο εξωτερικό, ενώ τώρα στην Ελλάδα ασφάλεια υπολογιστών και ακριβά μεταπτυχιακά προσφέρουν η ΑΣΟΕΕ, το ΠΑΠΕΙ, το Πολυτεχνείο αλλά και το Καποδιστριακό. Τώρα δεν κυνηγούν τόσο πολύ τους χάκερ όπως παλιά, που τους φυλάκιζαν. Στην ομάδα μου δεν με ενδιαφέρει αν υπάρχουν πτυχία, μου αρκεί να υπάρχει επιθετική σκέψη, out of the box thinking, δημιουργικότητα, μεθοδικότητα, κίνητρο για αυτοβελτίωση και επιτυχία, καλλιτεχνική σκέψη, αυτοπειθαρχία και προσαρμοστικότητα. Οι red teamers αξιοποιούν γνώση από πολλά πεδία, όπως υποκριτικές ικανότητες και καλή γνώση της ανθρώπινης ψυχολογίας, δηλαδή ένας ηθοποιός ή ένας ψυχολόγος μάς είναι χρήσιμοι σε μια “κόκκινη ομάδα”».

Ποιοι κλάδοι προσλαμβάνουν μια «κόκκινη ομάδα»;

«Πιο συχνά ο τραπεζικός, οι ασφαλιστικές, οι ναυτιλιακές, και όχι μόνο. Συνήθως πάντως αυτοί που διαθέτουν μπλε ομάδα στην εταιρεία τους. Εμείς συνήθως προσεγγίζουμε ολιστικά μια επιχείρηση και εντοπίζουμε παραλείψεις και κενά όλων των ειδών, ώστε η διοίκηση να έχει στο τέλος ένα χαρτί με αποτελέσματα που θα τους βοηθήσουν ουσιαστικά, ώστε να χαράξουν στρατηγική προστασίας από τις επιθέσεις. Ετσι όταν ένας πελάτης μάς προσλάβει, δεν διασφαλίζουμε μόνο τον οργανισμό, αλλά ας πούμε με μια άσκηση σε νοσοκομεία διασφαλίζουμε και τα δεδομένα των πελατών ή τον τελικό χρήστη ή το απόρρητο γενικά. Πολλές εταιρείες θέλουν να προλάβουν ένα πιθανό πλήγμα στη φήμη τους από μια ηλεκτρονική επίθεση, πέρα από την οικονομική ζημιά που αυτό θα επιφέρει. Ισχύει και το αντίθετο».

Ανησυχούν άνθρωποι στον κύκλο σας μήπως τους χακάρετε;

«Η ύπαρξη σχετικής εκπαίδευσης ευτυχώς έχει εξαλείψει την καχυποψία απέναντί μας, πράγμα εξ αρχής λαθεμένο, καθότι οι χακερ, που δεν δρουν σε επαγγελματικό πλαίσιο, ήταν πάντα άνθρωποι που παλεύουν για την ελευθερία της έκφρασης και της πληροφορίας. Μας θεωρούν βέβαια tech freaks και αν πω σε κάποιον τι επάγγελμα κάνω, το πρώτο που θα μου ζητήσει θα είναι να μπω στα social media του πρώην συντρόφου του. Κανείς ωστόσο δεν έχει εκφράσει ανησυχία ότι θα τον χακάρω».

Οταν είσαι συχνά ο επιτιθέμενος, δεν γίνεσαι πιο καχύποπτος;

«Το πρώτο που θα σκεφτώ μόλις λάβω ένα άγνωστο μήνυμα είναι ότι είναι fake και δεν απαντάω. Παλιά το έσβηνα κατευθείαν. Συχνά δεν απαντάω σε εισερχόμενες κλήσεις και δεν ασχολούμαι πολύ με τα social media, γιατί είμαι καχύποπτος προς οποιαδήποτε μορφή επικοινωνίας εκεί. Επίσης, αν μου έρθει ένα email, το πρώτο που θα σκεφτώ είναι ότι είναι κακόβουλο. Υπάρχει περίπτωση, λόγω του επαγγέλματός μου, να σκέφτομαι ότι είναι πιο πιθανό να γίνω ο ίδιος στόχος κάποιου, που του ζητήθηκε να αποκτήσει πρόσβαση στον δικό μου οργανισμό».

*Η Λιλιάνα Αβρούσιν συζητεί με τον επικεφαλής μιας «κόκκινης ομάδας», για τη δράση της οποίας απαιτείται ευρεία γνώση υπολογιστικών συστημάτων και κοινωνικής μηχανικής. Ο συνεντευξιαζόμενος επέλεξε να παραμείνει ανώνυμος.