Βασίλης Γεωργόπουλος: Ο μοναδικός Έλληνας «ηθικός» χάκερ

24/11/2015 19:45

 

Βασίλης Γεωργόπουλος: Ο μοναδικός Έλληνας «ηθικός» χάκερ

 

Γράφει: Βάσω Μιχοπούλου

Το να είσαι χάκερ ακούγεται συνηθισμένο. Το να είσαι "ηθικός" χάκερ, μοιάζει λιγάκι ασύνδετο. Το να είσαι ο μοναδικός ακαδημαϊκά καταρτισμένος Ελληνας "ηθικός χάκερ", όπως είναι ο Βασίλης Γεωργόπουλος, είναι είδηση. 

Ο ίδιος τη στιγμή ακριβώς που κλήθηκε να διαλέξει τι δρόμο να ακολουθήσει στη ζωή του, επέλεξε να ασχοληθεί με τον μυστηριώδη κόσμο του ηλεκτρονικού εγκλήματος και να υπηρετήσει το όνειρό του, συνδυάζοντας την ηθική με την "παράνομη" πρόσβαση  στον κυβερνοχώρο και το χάκινγκ. Παράξενο σχήμα; Όχι και τόσο, αν σκεφτεί κάποιος ότι στο εξωτερικό το"ηθικό" χάκινγκ διδάσκεται ως ειδικότητα στα πανεπιστήμια.

Πιτσιρικάς συστηνόταν ως αστροναύτης ή αεροπόρος και αργότερα ως πλαστικός χειρουργός. Από νωρίς κατάλαβε ότι αυτό που τον συνέπαιρνε ήταν το άγνωστο. Το γνωστό για εκείνον ήταν βαρετό. Αρκετά χρόνια μετά, ως  "αντισυστημικός" και ασυμβίβαστος με τις δυνατότητες που του πρόσφερε το εκπαιδευτικό σύστημα της χώρας του, ήταν ξεκάθαρο πως  ο Βασίλης Γεωργόπουλος ήθελε να εξερευνήσει τον κόσμο του ηλεκτρονικού εγκλήματος και των ψηφιακών αποδείξεων και να ασχοληθεί με ένα αντικείμενο "πέρα από τη λογική", όπως ο ίδιος λέει. Τί ήταν αυτό;

 

Ο τομέας του "ηθικού χάκινγκ"  που ξεπερνάει πραγματικά κάθε λογική.

Τελειώνοντας το λύκειο στη γενέτειρά του την Καλαμάτα, κατόρθωσε το 2008 να εισαχθεί  στο τμήμα “Ethical Hacking and Security System Design” στο Πανεπιστήμιο του Sunderland στην Αγγλία, σε μια εκ των τριών  παγκοσμίως πανεπιστημιακών σχολών που εκπαιδεύει  χάκερς με σκοπό την «κυβερνοασφάλεια». Ο ίδιος είναι ο μοναδικός "ηθικός χάκερ" στην Ελλάδα με ακαδημαϊκή κατάρτιση που βρίσκεται στο χώρο του ηλεκτρονικού εγκλήματος από τον Σεπτέμβριο του 2013 και μετράει αρκετές επιτυχίες, αλλά και ο μόνος που μπορεί να απαντήσει στο ερώτημα πόση τελικά ηθική χωράει στο χάκινγκ.

 

"Δυστυχώς, οι χάκερς θεωρούνται οι κακοί του κυβερνοχώρου και έχουν χαρακτηριστεί από την κοινωνία μας ως εγκληματίες και για αυτό φταίει το Χόλυγουντ (γέλια). Σύμφωνα με την ιστορία, η πρώτη φορά που ακούστηκε η λέξη χάκερ ήταν στις  ΗΠΑ την εποχή που έμπαιναν οι ράγες του πρώτου τραίνου. Χάκερ ήταν αυτός που έβρισκε τον τρόπο να περάσουν οι ράγες από σημεία που δεν έβρισκαν οι υπόλοιποι. Στην πρώιμη περίοδο εμφάνισης των Η/Υ, ο χάκερ δεν ήταν ο κακόβουλος χρήστης, αλλά αυτός που είχε όλες τις γνώσεις, που μπορούσε να λύσει και να ξανασυνθέσει ολόκληρο το σύστημα. Στην πραγματικότητα σήμερα Χάκερ (Hacker) ονομάζεται το άτομο το οποίο εισβάλει σε υπολογιστικά συστήματα και πειραματίζεται με κάθε πτυχή τους.", εξηγεί ο ίδιος.

 

Οι ηθικοί χάκερ (ethical hackers)  είναι αυτοί που μπορούν βάσει νόμου να έχουν πρόσβαση σε ζωτικής σημασίας πληροφορίες και σε ευαίσθητα προσωπικά δεδομένα, είναι ειδικοί στον τομέα τους και στη διαχείριση κινδύνου και  γνωρίζουν πολύ καλά το σημείο που πρέπει να κάνουν το τελευταίο "κλικ" πριν προκαλέσουν ζημιά στο σύστημα. Το σημαντικότερο όλων είναι ότι είναι αξιόπιστα άτομα και εργάζονται με στόχο τόσο την ανακάλυψη και τον προσδιορισμό των τρωτών σημείων του συστήματος, όσο και την πρόληψη και την προστασία του συστήματος από τυχόν κακόβουλες επιθέσεις. " Στο χάκινγκ υπάρχουν και ρίσκα. Ο "ηθικός χάκερ" λειτουργεί γνωρίζοντας τα όρια, με συμβόλαιο και δεσμεύσεις, πράγμα που δεν συμβαίνει στην Ελλάδα. Υπάρχουν πάρα πολλοί και καλοί χάκερς στη χώρα μας που έχουν επαγγελματικές γνώσεις, αλλά δεν έχουν πιστοποιημένη ακαδημαϊκή κατάρτιση. Και αυτό είναι και λίγο επικίνδυνο. Δυστυχώς σε αυτόν τον τομέα υστερούμε.", συμπληρώνει ο Βασίλης Γεωργόπουλος.

Σύμφωνα  με τον ίδιο, ανήθικο δεν είναι να βρεις δυσλειτουργίες  σε έναν ιστότοπο  οι οποίες επιτρέπουν την “παράνομη” πρόσβασή σου, αλλά να τις χρησιμοποιήσεις για προσωπικό όφελος. Για αυτό και η λέξη “ηθικό” hacking ή  αλλιώς “White hat hacking”  διαχωρίζει τους “καλούς” από τους “κακούς”, δηλαδή το “Black hat hacking” και το "Grey hat hacking". Η ειδοποιός διαφορά τους είναι ότι ο ηθικός χάκερ σταματάει 1 κλικ πριν τον κακό. Και αυτό είναι κάτι που διδάσκεται μέσα στη πανεπιστημιακή σχολή που έχει πολύ αυστηρά κριτήρια εισαγωγής.

"Το αυστηρότερο κριτήριο εισαγωγής στη σχολή μου είναι το λευκό ποινικό μητρώο και ο βαθμός ανάπτυξης της προσωπικής ηθικής , διότι δε μπορείς να εκπαιδεύσεις κάποιον να κάνει κάτι κακό και να σταματήσει, αν ο ίδιος δεν έχει ανεπτυγμένη ηθική. Αλλά και η ίδια η σχολή έχει μεγάλο βαθμό δυσκολίας γιατί δεν έχεις να κάνεις  μόνο με  τα μαθήματα hacking αλλά και με όλο το επιστημονικό και επαγγελματικό πλαίσιο μέσα στο οποίο χρειάζεται να μάθεις να κινείσαι. Για όσους δεν το ξέρουν, κινείσαι καθαρά μέσα στο χώρο της εγκληματολογίας, η οποία είναι η άλλη όψη του ίδιου νομίσματος. Το σημαντικότερο κομμάτι εκπαίδευσης δεν είναι το τεχνικό, αλλά όλοι οι τομείς οι οποίοι εμπλέκονται, το νομοθετικό πλαίσιο και οι τρόποι  με τον οποίο καλείσαι να διαχειριστείς μια υπόθεση διακρατικά. Δεν είναι τυχαίο που αρκετοί συμφοιτητές μου αποφάσισαν να αλλάξουν κλάδο εξειδίκευσης ή κόπηκαν. Ενδεικτικά από τα δεκατέσσερα  άτομα που ξεκινήσαμε πήραν πτυχίο μόλις οι πέντε. Όπως και να το κάνεις όμως το χάκινγκ έχει ένα μυστήριο, το οποίο βέβαια απομυθοποιείς μετά από τέσσερα χρόνια σπουδών.", αναλύει ο Βασίλης Γεωργόπουλος.

 

Ο νεαρός έλληνας επιστήμονας, εκτός του ότι μπορεί να σκιαγραφήσει το προφίλ οποιουδήποτε χρήστη ηλεκτρονικού υπολογιστή, μόνο και μόνο από τον τρόπο με τον οποίο εκείνος τον χρησιμοποιεί, έχει ασχοληθεί με τον τομέα της κυβερνοασφάλειας που επικεντρώνεται στα βιομετρικά χαρακτηριστικά του χρήστη και ειδικότερα στην αναγνώριση των χαρακτηριστικών του προσώπου, μια τεχνική που αργότερα εισήγαγε και  η Google στο βασικό της σύστημα. Ως εγκληματολόγος  έχει κληθεί κατά καιρούς από γνωστούς ποινικολόγους και  δικηγορικές εταιρίες  να διαλευκάνει πανελλαδικά υποθέσεις κυρίως ποινικές, όπως ανθρωποκτονίες, παιδική πορνογραφία, συκοφαντική δυσφήμηση σε κακουργηματικό βαθμό κ.α ,αν και το φάσμα του ηλεκτρονικού εγκλήματος είναι πολύ μεγάλο και εκτείνεται από μια απλή αντιδικία έως τη βιομηχανική διακρατική κατασκοπεία. Ο ίδιος συνεργάστηκε πρόσφατα επιτυχώς με τη βρετανική αστυνομία της Κορνουάλης πάνω στο νέου τύπου ηλεκτρονικό έγκλημα, που έχει έρθει κυρίως από την Αμερική, και είναι γνωστό ως "revenge porn", ενώ την ίδια ώρα απέρριψε την πρόταση να παραμείνει στην Αγγλία και να εργαστεί  στο αρχηγείο της κυβέρνησης επικοινωνιώντης "Αυτού Μεγαλειότητος" (UK Government Communications Headquarters , GCHQ).

Η ανάπτυξη της τεχνολογίας και η εκτεταμένη χρήση του διαδικτύου έχει οδηγήσει σε αύξηση του ηλεκτρονικού εγκλήματος. Δεν έχει οδηγήσει όμως, όπως θα έπρεπε, στην ανάδειξη του καθοριστικού ρόλου των "ηθικών χάκερς", παρότι οι ψηφιακές αποδείξεις θεωρούνται αδιάψευστες, επιστημονικά αδιαμφισβήτητες  και αρκούν για να καταδικάσουν ή να αθωώσουν κάποιον ύποπτο.

Ειδικότερα στην Ελλάδα, σύμφωνα με τον  νεαρό ειδικό, τα ψηφιακά αποδεικτικά στοιχεία πολλές φορές καταστρέφονται ή αλλοιώνονται κατά τη διάρκεια της έρευνας, πριν φτάσουν στα χέρια των ειδικών και αυτό οφείλεται κυρίως, στον λάθος τρόπο με τον οποίο συλλέγονται. Έτσι για μια υπόθεση ηλεκτρονικού εγκλήματος που θα μπορούσε να διαλευκανθεί μέσα σε τρία λεπτά μπορεί να χρειαστούν μήνες ή και χρόνια.

Ο ίδιος εκτιμά ότι στο μέλλον θα υπάρξει  "εξειδίκευση" στο ηλεκτρονικό έγκλημα (για κινητό, για server, για Η/Υ κλπ.) όσο η τεχνολογία εξελίσσεται και υποστηρίζει ότι η κυβερνοασφάλεια είναι ανάγκη του χθες! "Για μένα ο μεγαλύτερος εχθρός της ασφάλειας στον κυβερνοχώρο είναι η ανθρώπινη βλακεία. Σε προσωπικό επίπεδο, εκτός του ότι δεν εμπιστευόμαστε κανέναν να ακουμπήσει το κινητό ή τον υπολογιστή μας, μπορούμε να είμαστε  ασφαλείς, να χρησιμοποιούμε τα social media, το mail μας, τα πάντα, αρκεί να τηρούμε του κανόνες ασφαλείας, με κύριο το γνωστό "two steps verification".

Η χρήση επίσης, ενός "έξυπνου" κωδικού που δεν υπάρχει στη λίστα των χάκερς, που αριθμεί περισσότερα από οκτώ στοιχεία και αποτελείται από πεζά και κεφαλαία γράμματα μαζί με σύμβολα, είναι το πρώτο βήμα για την ασφάλεια των συστημάτων μας. Αυτό που δυστυχώς διαπιστώνω γενικά στην ελληνική αγορά είναι ότι η ασφάλεια δικτύων υποτιμάται. Η αγορά φοβάται, δε γνωρίζει το πόσο σημαντικός είναι ο έλεγχος ασφαλείας στα δίκτυα και δυσπιστεί στη λέξη hacking, την οποία ακόμη συσχετίζει με την κακή πλευρά της.

Οι επιχειρήσεις, τόσο στο εξωτερικό, αλλά ακόμη περισσότερο στην Ελλάδα, δεν επενδύουν γενικά στην ασφάλεια, και εδώ ταιριάζει μια ατάκα που χρησιμοποιούσε ένας από τους καθηγητές μου, “οι μεγάλες επιχειρήσεις ξοδεύουν περισσότερα χρήματα για χαρτί υγείας τον χρόνο παρά για την ηλεκτρονική τους ασφάλεια”.

Είναι πολύ άσχημο να περιμένεις πρώτα να γίνει το κακό και μετά να το αντιμετωπίσεις, αφού μπορείς να το προλάβεις. Έτσι λειτουργούμε ως λαός, θεραπευτικά και όχι προληπτικά. Η επιχείρηση για εμένα είναι ένας ζωντανός οργανισμός, είναι ένα παιδί, θα άφηνες ποτέ το παιδί σου εκτεθειμένο; Γιατί αφήνουν την επιχείρησή τους λοιπόν εκτεθειμένη; Ένα ακόμη μεγαλύτερο λάθος που κάνουν οι επιχειρήσεις είναι ότι προτιμούν ανειδίκευτους χάκερ χωρίς επιστημονική κατάρτιση για να μειώσουν το κόστος, σε μια περίοδο κρίσης που τις νοιάζει να βγαίνει η δουλειά φθηνά και γρήγορα χωρίς ποιότητα υπηρεσιών και προϊόντων."

Η συνάντηση με τον "ηθικό χάκερ" Βασίλη Γεωργόπουλο έγινε μια μέρα μετά την δολοφονική επίθεση  στο Παρίσι από τους φανατικούς ισλαμιστές και λίγες μέρες μετά τη σύλληψη του Χριστόδουλου Ξηρού και ως εκ τούτου ήταν αδύνατο να μη πέσει στο τραπέζι προς συζήτηση και το θέμα της τρομοκρατίας, στην οποία εμπλέκεται το ηλεκτρονικό έγκλημα: "Οι εγκληματίες είναι έξυπνοι και χρησιμοποιούν και αυτοί χάκερς και τη μαφία του διαδικτύου. Σε αυτήν την περίπτωση βασιζόμαστε κυρίως στο λάθος. Βεβαίως και μπορούν να εντοπιστούν, βεβαίως και μπορούν να παρακολουθούνται.

Για μένα όμως, η φυσική τρομοκρατία έχει λιγότερα θύματα από ό,τι η ηλεκτρονική. Τρομοκρατία για μένα είναι όταν με ένα "κλικ" όλη η Αθήνα, για παράδειγμα, μείνει χωρίς ρεύμα ή τρομοκρατία είναι ο "ιός" που πέρασε στον πυρηνικό σταθμό του Ιράν. Εκτιμώ ότι μέχρι στιγμή οι τρομοκράτες δεν έχουν κινηθεί πολύ προς τα εκεί. Πιστεύω όμως ότι δεν θα αργήσουν να κινηθούν. Από τη στιγμή που ήδη έχει κινηθεί η μαφία και δρα ηλεκτρονικά, σίγουρα θα κινηθεί και η τρομοκρατία. Η λύση είναι η αύξηση των μέτρων ασφαλείας" εξηγεί ο ίδιος.

Off the record, o επιστήμονας μου εξηγεί πως “Η καλύτερη άμυνα είναι η επίθεση” και εκεί στηρίζεται το "ηθικό hacking", γιατί δεν μπορείς να ξέρεις τις αδυναμίες σου αν δεν ελέγξεις τις αντοχές της άμυνάς σου και μου αναλύει τις υπηρεσίες που παρέχει μέσω της εταιρίας με διακριτικό τίτλο“G.S. BIZR (Μπιζάρ) Ι.Κ.Ε.” που ίδρυσε ο ίδιος πριν ένα χρόνο, με κύριο στόχο την ασφάλεια και το ηλεκτρονικό έγκλημα. Αυτή τη στιγμή είναι ο μοναδικός στην Ελλάδα που έχει επιστημονική κατάρτιση στο social engineering, στα ελληνικά στην "τέχνη της εξαπάτησης (The art of deception)", όπου μπορείς να χακάρεις ένα σύστημα χωρίς ηλεκτρονικό υπολογιστή μόνο με τη φυσική σου παρουσία (δηλ. μόνο με τα βιομετρικά χαρακτηριστικά).

Την ίδια ώρα εργάζεται πάνω σε ένα router που θα απαλλάξει από τον πονοκέφαλο τους γονείς, καθώς θα λειτουργεί ως "φίλτρο" που θα εμποδίζει την πρόσβαση των πιτσιρικάδων σε ανεπιθύμητους ιστότοπους.  Ο μοναδικός "πιστοποιημένος"  Έλληνας "ηθικός χάκερ" προσπαθεί να προωθήσει τον ολοκαίνουργιο αυτό κλάδο στην ελληνική αγορά με διαφόρους τρόπους και σε κάθε ευκαιρία, γιατί θεωρεί ότι η ανάγκη επένδυσης στην ασφάλεια είναι τόσο σημαντική, όσο η ανάγκη του ανθρώπου για επιβίωση.

Βασική του δε, επιδίωξη είναι να γίνει μελλοντικά ο "φύλακας άγγελος" της ηλεκτρονικής ασφάλειας.

Πηγή https://www.imerisia.gr/article.asp?catid=31205&subid=2&pubid=113428951