Συνέντευξη με έναν χάκερ

Πόσο εύκολο είναι να σε χακάρουν και τι μπορείς να κάνεις για να αυξήσεις την ασφάλειά σου; Ο χάκερ Αχιλλέας Λιαπάκης απαντά στις ερωτήσεις μας και λύνει απορίες. 

Πώς σε αποκαλώ;
Αχιλλέα Λιαπάκη.

Πώς νιώθεις τόσο άνετα ώστε να μου λες το επίθετό σου;
Σωστά, συνέντευξη με ένα χάκερ... Για μένα, το να με αποκαλείς χάκερ είναι σαν να σε αποκαλώ δικηγόρο. Κακή φήμη υπάρχει και για τους δύο εξαιτίας των πράξεών μας. Αν υπερασπίζεσαι καπνοβιομηχανικές εταιρίες και μηνύεις το κράτος επειδή θέτει πιο αυστηρούς νόμους για την προστασία της δημόσιας υγείας, η πράξη σου θα βλάψει τόσο κόσμο. Εγώ αν υποκλέψω κάποια στοιχεία σου και τα χρησιμοποιήσω θα κάνω κάτι εξίσου ανήθικο. Εγώ, βεβαίως θα διωχθώ ποινικά.

Ποιο είναι το υπόβαθρό σου;
Είμαι μηχανικός πληροφορικής του ΤΕΙ Αθήνας, τώρα Πανεπιστήμιο Δυτικής Αττικής. Ασχολούμαι κυρίως με το penetration testing, εν συντομία είναι προσομοίωση μίας οργανωμένης επίθεσης σε ένα υπολογιστικό σύστημα. Χρησιμοποιούνται μέθοδοι που μία ομάδα hacker θα χρησιμοποιούσε σε κανονική επίθεση. Έχω συμμετάσχει σε ασκήσεις κυβερνοάμυνας του Γενικού Επιτελείου ΕΘνικής Άμυνας, με την τελευταία τον Πανόπτη 2018.

Τι είναι το hacking;
Hacking λέμε την πρόσβαση σε δεδομένα ενός υπολογιστικού συστήματος, μη έχοντας το δικαίωμα πρόσβασης. Υπάρχουν διάφορα είδη επίθεσης, εξαρτάται από το τι επιθυμείς να πετύχεις. Από πρόσβαση σε κάποια προσωπικά δεδομένα αποθηκευμένα σε ένα υπολογιστή, να αποκλείσεις πρόσβασης σε κάποιο site, το γνωστό ως DoS attack, μέχρι και χρήση πόρων του δικού σου υπολογιστή για επεξεργασία δεδομένων του hacker. Το mining έγινε της μόδας με την άνοδο των ηλεκτρονικών νομισμάτων, όπως bitcoin, ripple κλπ.

Είναι νόμιμο ή παράνομο το hacking;
Εξαρτάται. Το hacking είναι ένας όρος που έχει κακή φήμη. Για εμένα, που με ενδιαφέρει ως γνώση επειδή είναι ενδιαφέρον και πολύπλοκο αντικείμενο, το να με πεις εγκληματία είναι αβάσιμη κατηγορία. Το να υποθέσεις ότι οποιοσδήποτε ασχολείται με το αντικείμενο αυτό είναι εγκληματίας, είναι γενίκευση. Απαξιεί τα άτομα που εργάζονται για την ασφάλειά μας στο στρατό, στην αστυνομία και σε όλες τις υπηρεσίες που χρησιμοποιούμε, καθώς κάνοντας επίθεση μπορούν να χτίσουν κατάλληλη άμυνα στα υπολογιστικά συστήματα και τις υποδομές μας στο σύνολο. Κάθε νέα ενημέρωση στο κινητό σου έχει security updates που διορθώνουν προηγούμενες αδυναμίες. Ποιοι βρίσκουν τις αδυναμίες; Hackers. Αλλά εδώ μιλάμε για ethical hacking. Όταν με ρώτησες τι είναι hacking, είπα «η πρόσβαση σε δεδομένα ενός συστήματος μη έχοντας δικαίωμα πρόσβασης». Σημασία έχει η πράξη αλλά σημαντικότερη είναι η πρόθεση. Ως δικηγόρος κατανοείς τη διαφορά. Αν είναι κακόβουλη και με την απόκτηση της πρόσβασης θες να βλάψεις, τότε αυτή η πράξη είναι ανήθικη και παράνομη. Αν όμως αντί να εκμεταλλευτείς την αδυναμία, ενημερώσεις τον διαχειριστή του συστήματος για αυτή ώστε να διορθωθεί, η πράξη είναι ηθική.

Δηλαδή, κατά τη γνώμη σου, πρέπει να αλλάξει ο ορισμός και η νομοθεσία;
Πρέπει απαραίτητα να έχεις άδεια από μία εταιρία για να επιτεθείς στο σύστημά της ώστε να βρεις αδυναμίες. Πολλές δεν έχουν τους πόρους να ασχοληθούν σε βάθος ή απλά δεν τους νοιάζει. Υπάρχουν τόσες ομάδες ethical hacking που θα μπορούσαν να κάνουν επιθέσεις με σκοπό να ενημερώσουν για τις αδυναμίες που αναρωτιέμαι αν η νομοθεσία προστάτευε περισσότερο το ethical hacking, επιθέσεις όπως αυτές στο facebook θα είχαν αποφευχθεί ή αν η δίωξη κακοποιών hacker θα γινόταν πιο δύσκολη.

Μπορεί κάποιος όχι ειδικός να χακάρει;
Χα χα χα. Άσ' το. Θα σου πω το εξής, Κίμωνα. Εσύ είσαι δικηγόρος, μπορείς να ακολουθήσεις διαδικασίες που είναι βήμα βήμα για κάθε ζήτημα. Η νομοθεσία τάδε του άρθρου τάδε λέει εκείνο. Το hacking είναι κάτι που κάνει μηχανικός. Μηχανικός από τον όρο μηχανεύομαι. Κάθε σύστημα θέλει διαφορετική προσέγγιση, κάθε απαίτηση, θέλει διαφορετική μέθοδο. Βεβαίως υπάρχουν κάποια βήματα που ακολουθούνται. Στοιχειώδεις εντολές που σου επιτρέπουν να δεις πως είναι το δίκτυο σχεδιασμένο, ποιοι router επικοινωνούν με ποιους κλπ.

Ποιο είναι το προφίλ ενός χάκερ και πώς μπορεί κάποιος να ασχοληθεί με αυτό;
Ένας χάκερ είναι συνήθως μηχανικός, computer engineer. Θέλει απαραίτητα γνώση της πληροφορικής επιστήμης, από προγραμματισμό, καθώς scripts θέλει να τρέξεις, ένα reverse php shell θα το κάνεις, όπως λέμε, θέλει γνώση δικτύων, δηλαδή να καταλαβαίνεις την αρχιτεκτονική του, γνώση σε ασφάλεια δικτύων κλπ. Έπειτα θέλει ενασχόληση με το hacking συγκεκριμένα, υπάρχουν site στα οποία μπορείς να κατεβάσεις images συστημάτων και να εκτελέσεις σενάρια, είτε να κάνεις διάγνωση για να δεις τι έγινε, είτε να κάνεις εσύ επίθεση σε ένα σύστημα. Επίσης hacking είναι και να στήσεις ένα απλό site και να κάνεις phishing. Ή να προσπαθήσεις να εκμεταλλευτείς μη έμπειρα άτομα μέσω αλληλογραφίας. Οι απαιτήσεις είναι διαφορετικές ανάλογα τι θες να πετύχεις. Προφανώς όταν μιλάμε για μία επιστήμη, καθώς περί αυτού πρόκειται, πρέπει να υπάρχει ευφυΐα. Σε όλους τους τομείς βοηθά, πόσο μάλλον στον τομέα αυτό που δεν υπάρχει standard διαδικασία, πεπατημένη, για την ακρίβεια το αντίθετο. Μπορείς να είσαι βέβαιος πως, αν κάτι έχει επιτευχθεί προηγουμένως, τώρα ο δρόμος αυτός είναι κλειστός.

Πόσο εύκολο είναι να σε χακάρουν;
Το μεγάλο πλήθος των επιθέσεων γίνεται εφικτό επειδή γίνεται εκμετάλλευση του ανθρώπινου παράγοντα, της απροσεξίας, και αυτού του τύπου οι επιθέσεις είναι περισσότερο ενοχλητικές παρά επικίνδυνες. Γενικά κάθε σύστημα έχει αδυναμίες, αλλά θέλει έρευνα και σοβαρή ενασχόληση το να «χτυπήσεις» ένα σοβαρό σύστημα. Κάθε αρχιτεκτονική δικτύου είναι διαφορετική και δεν υπάρχει ενιαία λύση για όλα. Άρα, από σοβαρές επιθέσεις είσαι ασφαλής. Γενικά η υποκλοπή δεδομένων χρηστών, βασικές πληροφορίες σου που έχεις δώσει σε εταιρίες όπως το facebook, δεν είναι συχνές. Όπως και σε πολλά πράγματα ο ανθρώπινος παράγοντας είναι εκείνος που μας δημιουργεί προβλήματα. Εσύ όντας νέος και έχοντας καθημερινή επαφή με τον υπολογιστή έχεις εξοικειωθεί με κάποια πράγματα, αλλά πάντα μπορεί να κατεβάσεις κάτι που να συνοδεύεται με ένα ωραίο ιό, επειδή δεν πρόσεξες. Δεν ξέρω αν έχεις δει ένα browser ενός μη έμπειρου ατόμου, που είναι γεμάτα search bar και άλλα τόσα plugins που δεν έχουν κάνενα λόγο να υπάρχουν εκεί. Πιο σοβαρά περιστατικά είναι με το phishing, όπου ο παραβάτης στήνει ένα site ή μία εφαρμογή με τη δομή που έχεις συνηθίσει, αλλά με μία μικρή διαφορά στο domain, το όνομα του site. Π.χ. αντί για facebook.com έγγραψες favebook.com. Μεγάλες εταιρίες έχουν εξαγοράσει όλα τα domain που μοιάζουν με το δικό τους και κάνουν redirect στο σωστό domain, αλλά όσο περίεργο και να σου φαίνεται συμβαίνουν. Εσύ μπήκες και νόμιζες πως έκανε login στο facebook, αλλά τώρα έχει ο παραβάτης το username και το password σου. Να σου πω άλλο παράδειγμα: Έσύ έχεις διαφορετικό κωδικό για κάθε διαφορετική υπηρεσία που χρησιμοποιείς; Το 2017 η Equifax, κολοσσός credit bureau, που για εσένα μπορεί να μη λέει τίποτα αλλά τα δεδομένα που έχουν δεν είναι φωτογραφίες από τις διακοπές σου, αλλά μοναδικά στοιχεία όπως social security number που επιτρέπουν σε άλλους χρήστες να φτιάχνουν πιστωτικές κάρτες και γενικά να κλέβουν την ταυτότητά σου. Θα μου πεις αυτή ήταν σοβαρή επίθεση. Ναι, αλλά μετά έφτιαξαν site για να μπορούν οι χρήστες να μπουν και να δουν κάποια στοιχεία και εκεί έπεσε phishing. Hackers έφτιαξαν site με παρόμοιο όνομα και αν έκανες login, σου πήραν και άλλα στοιχεία. Θέλω να καταλήξω λέγοντας πως αν θες ασφάλεια αυτό που έχεις να κάνεις είναι να προσέχεις, να ανησυχείς όταν μπαίνεις στο e-banking μήπως έχεις κάποιο malware, όπως keylogger, που καταγράφει οτιδήποτε πληκτρολογείς. Με αυτή τη συσκευή να είσαι προσεκτικός, μη μπαίνεις σε περίεργα site, πρόσεχε τι κατεβάζεις. Όταν θες να μάθεις κάποια πιο... ιδιαίτερα πράγματα, βρίσκεσαι σε περίεργα μέρη καμιά φορά! Εγώ είμαι αρκετά περίεργο άτομο, αλλά ποτέ δεν είχα πρόβλημα, σοβαρό ;)

Τι μπορώ να κάνω για να αυξήσω την ασφάλειά μου;
Αρχικά να ενημερωθείς για τα είδη των επιθέσεων. Είναι πολλά και δε μπορώ να σου τα πω όλα. Έχω αναφέρει λίγα αλλά ζούμε σε ψηφιακό κόσμο, από τις υπηρεσίες, e-banking, αγορά στο διαδίκτυο, ψυχαγωγία, και ότι άλλο μπορείς να φανταστείς. Είναι καλή επένδυση του χρόνου σου. Δεύτερον, καλό είναι να καταλάβεις ότι υπηρεσίες που εξελίσσονται θα έχουν αδυναμίες. Με αυτό εννοώ ότι όσο και προσεκτικός να είναι εσύ, δεν είσαι μόνος και μπορεί άλλος να κάνει τη ζημιά. Equifax, facebook, ονόμασέ το. Καλό είναι να χρησιμοποιείς πολύπλοκους κωδικούς και διαφορετικούς για κάθε υπηρεσία που χρησιμοποιείς. Ώστε όταν έχει κλαπεί ένας να μην μπορεί ο παραβάτης να έχει αποκτήσει πρόσβαση σε άλλες υπηρεσίες που χρησιμοποιείς. Αν δε μπορείς να θυμάσαι πολλούς κωδικούς, σε καταλαβαίνω. Γράψ' τους σε ένα Α4 ή κάτι που δεν φθείρεται εύκολα, κάποια κάρτα κλπ. Τέλος καλό είναι αν έχεις έντονη παρουσία σε social media οι κωδικοί να μην έχουν τίποτα να κάνουν με εσένα να είναι τυχαίοι χαρακτήρες, αριθμοί και σύμβολα. Ο λόγος είναι το social engineering. Με απλά λόγια «χτίζεις το προφίλ σου με αληθινές πληροφορίες, δηλαδή skydiver95», δεν παίζει, Κίμωνα.

Γιατί είναι απαραίτητη η πολυπλοκότητα των κωδικών;
Η πολυπλοκότητα ζητείται γιατί οι βάσεις δεδομένων κρατάνε τα δεδομένα σου κρυπτογραφημένα, με αλγορίθμους που δεν επιτρέπουν το reverse-engineering, SH1 κλπ. Δηλαδή, έχοντας το κρυπτογραφημένο string μία ακολουθία χαρακτήρων, αριθμών και συμβόλων, τα λεγόμενα password has, που δεν μπορείς να βρεις τον κωδικό σου με ανάποδο αλγόριθμο. Ο Καίσαρας π.χ. στοιχειώδης αλγόριθμος κρυπτογράφησης μπορεί. Αλλά τον αλγόριθμο αυτό καθεαυτό τον έχεις βεβαίως. Άρα, μπορώ κάνοντας δοκιμές να δω αν τα sting που κρυπτογραφώ εγώ, είναι ίδια με αυτό που έκλεψα από εσένα. Αυτή η διαδικασία λέγεται dictionary attack με hacker lexicons. Είδος brute force... Μπαίνω σε πιο εξειδικευμένα θέματα τώρα και αν θες, που πίστεψέ με, άσ' το, θα σ' τα εξηγήσω λίγο παραπάνω! (γέλια)

Η πλήρης ασφάλεια είναι ουτοπία τελικά;
Όπως σου προείπα, ο ανθρώπινος παράγοντας είναι εκείνος που ευθύνεται για την πλειονότητα των επιτυχημένων επιθέσεων. Οι υπηρεσίες χρησιμοποιούνται από εμάς. Πλήρης ασφάλεια δεν υπάρχει. Πλήρες τίποτα δεν υπάρχει, πάντα βρίσκεται η εξαίρεση, πάντα η αδυναμία. Τείχη υπάρχουν στο στρατόπεδο. Αλλά ένας φαντάρος μπορεί να μπει κανονικά με το δελτίο εισόδου του, μπορεί να έχει ένα ωραίο μαύρο παντελόνι και λευκό πουκάμισο και να μπει στο γραφείο του Υπουργού Εθνική Αμύνης σερβίροντας καφέ. Επιστρέφοντας στο θέμα μας, όσο όμως πιο ταχεία εξελίσσεται ένα σύστημα τόσο πιο ευάλωτο είναι. Δεν είναι τυχαίο που τα τραπεζικά συστήματα λειτουργούν με COBOL, στο παρελθόν έχουν παραβιαστεί τα συστήματα αυτά και τώρα που έχουν μείνει στάσιμα υπάρχει ασφάλεια. Καθώς έχουν κλείσει όλες τις τρύπες. Απ’ ότι ξέρουμε...

Τι θέση έχει η Ελλάδα στο hacking;
Υπάρχουν ομάδες που ασχολούνται με το ethical hacking και υποστηρίζουν διάφορες εταιρίες. Γενικά, δεν μπορώ να πω ότι υπάρχει επένδυση σε αυτόν τον τομέα σε πανεπιστημιακό επίπεδο.