Τα δίκτυα είναι ένα κοµµάτι µε τις σπουδές τους και τη ζωή τους. Η κυβερνοασφάλεια το µεράκι τους.
Ολοι τους είναι νέοι και κατά µία έννοια… “αντιχάκερ”.
Ο λόγος για την οµάδα TUCsec, την οµάδα κυβερνοασφάλειας του Πολυτεχνείου Κρήτης, που απαρτίζεται από φοιτητές.
Στόχοι τους; Η γνωριµία νέων µε το χώρο της κυβερνοασφάλειας, η ενηµέρωση και η πρακτική εξάσκηση σε θέµατα κυβερνοασφάλειας και ηθικού χάκινγκ (ethical hacking).
Μάλιστα, κάθε χρόνο λαµβάνουν µέρος σε διεθνή διαγωνισµό κυβερνοασφάλειας και ήδη έχουν σηµαντικές διακρίσεις.
Στις “διαδροµές” µίλησαν τα µέλη της οµάδας ∆ηµήτρης Αγγέλου, Οδυσσέας Σταύρου, Παναγιώτης Μπελλώνιας και Σταύρος Τσιαµπόκαλος, για τις δραστηριότητές τους, τον διαγωνισµό στον οποίο συµµετέχουν αλλά και για την ασφάλεια στο ∆ιαδίκτυο.
Όπως σηµειώνουν, «η οµάδα ξεκίνησε τη δράση της το 2020 από τον πλέον απόφοιτο Παναγιώτη Μπελλώνια και επισηµοποιήθηκε το 2021 µε το όνοµα TUCsec.
Σήµερα έχουµε περίπου 10 ενεργά µέλη που κάνουµε συστηµατικές προπονήσεις σχεδόν κάθε Σαββατοκύριακο, µε το κάθε µέλος να εξελίσσει διαφορετικές δεξιότητες σε διαφορετικούς υποκλάδους της κυβερνοασφάλειας.
ΟΙ ΣΤΟΧΟΙ
Ποιοι είναι οι στόχοι της οµάδας;
Αναφέρουν ότι «στόχοι της οµάδας είναι η γνωριµία νέων ατόµων µε τον χώρο, η ενηµέρωση και η πρακτική εξάσκηση σε θέµατα κυβερνοασφάλειας και ηθικού χάκινγκ (ethical hacking). Επιπλέον, για τα µέλη που θελήσουν να ασχοληθούν σοβαρά µε τον κλάδο υπάρχουν προοπτικές µέσω της οµάδας ώστε να µπορέσουν να τον επιδιώξουν επαγγελµατικά».
∆ΡΑΣΤΗΡΙΟΤΗΤΕΣ
Όσο για τις δραστηριότητες της οµάδας, τονίζουν ότι «βασική δραστηριότητα της οµάδας είναι η τακτική συµµετοχή σε διαγωνισµούς CTF οι οποίοι διεξάγονται συνήθως εξ αποστάσεως. Αν υπάρχει δυνατότητα για διαγωνισµό διά ζώσης, όπως αυτός του Imperial College, τότε ταξιδεύουµε εκεί εφόσον είναι και οικονοµικά εφικτό. Επίσης, διοργανώνουµε σεµινάρια και ιδρυµατικούς διαγωνισµούς πάνω σε θέµατα κυβερνοασφάλειας (και γενικότερα πληροφορικής) για τους φοιτητές του Πολυτεχνείου».
Ο ∆ΙΑΓΩΝΙΣΜΟΣ
Tι σηµαίνει, όµως, CTF;
Όπως σηµειώνουν τα µέλη της οµάδας, «το CTF (Capture The Flag), στο πλαίσιο της ασφάλειας των υπολογιστικών συστηµάτων είναι ένας διαγωνισµός µε εκπαιδευτικό χαρακτήρα στον οποίο οι διαγωνιζόµενες οµάδες προσπαθούν να λύσουν προβλήµατα σε διάφορες κατηγορίες και µε απώτερο στόχο για κάθε πρόβληµα την απόκτηση ενός “flag”. Το “flag” είναι απλά ένα µυστικό το οποίο είναι κρυµµένο σε κάποιο (εσκεµµένα) ευπαθές υπολογιστικό σύστηµα και υποδηλώνει τη σωστή λύση του προβλήµατος, αλλά και το επίπεδο πρόσβασης που κάποιος κακόβουλος χρήστης (hacker) θα είχε σε αντίστοιχη περίπτωση σε ένα πραγµατικό σενάριο (λ.χ. προσωπικές πληροφορίες πελατών, µελλοντικά έργα, κλπ)».
«Το 2022 διακριθήκατε στον 1ο Παγκόσµιο ∆ιαγωνισµό Κυβερνοασφάλειας Imperial CTF 2022 του Imperial College του Λονδίνου. Τότε τι είχατε παρουσιάσει και σήµερα το σύστηµα αυτό εξελίσσεται; Και αν ναι µε ποιο τρόπο;», ρωτάµε τους συνοµιλητές µας.
Εξηγούν: «Τα µέλη της οµάδας που στείλαµε να διαγωνιστούν στους τελικούς του Imperial CTF στο Λονδίνο έλυσαν προβλήµατα πάνω σε διάφορες κατηγορίες που σχετίζονται µε διαφορετικούς τοµείς της κυβερνοασφάλειας.
Πιο συγκεκριµένα, τα προβλήµατα αυτά αφορούσαν αντικείµενα όπως είναι η ασφάλεια εφαρµογών και ιστοσελίδων, µαθηµατικά και κρυπτογραφία, στεγανογραφία, blockchain, arduino, εύρεση και συλλογή πληροφοριών, αποκωδικοποίηση, καθώς και προγραµµατιστικά προβλήµατα. Τα περισσότερα από τα προβλήµατα αυτά είναι σχετικά και σήµερα και έχουν πολλές πρακτικές εφαρµογές».
ΟΙ ΠΑΡΑΒΙΑΣΕΙΣ ΛΟΓΑΡΙΑΣΜΩΝ
Συχνά διαβάζουµε για παραβιάσεις λογαριασµών χρηστών σε µέσα κοινωνικής δικτύωσης.
Επιτήδειοι έχει συµβεί να µπουν σε λογαριασµού αφού υφαρπάξουν τους κωδικούς και να στέλνουν µηνύµατα (inbox) σε φίλους των πραγµατικών κατόχων των λογαριασµών.
Επίσης, έχουν συµβεί περιπτώσεις υποκλοπής δεδοµένων µέσω δήθεν email ή sms.
Πώς, όµως, παραβιάζεται ένας λογαριασµός σε µέσο κοινωνικής δικτύωσης σήµερα;
Όπως αναφέρουν τα µέλη της οµάδας, «ο πιο συνήθης τρόπος παραβίασης ενός λογαριασµού ΜΚ∆ (Μέσων Κοινωνικής ∆ικτύωσης) είναι οι επιθέσεις «ψαρέµατος» (phishing), όπου ο χρήστης εξαπατάται ώστε να δώσει τα στοιχεία του. H επίθεση ξεκινάει συνήθως µε ένα email ή SMS που φαινοµενικά µπορεί να προέρχεται από κάποια τράπεζα, εταιρεία ή άλλο οργανισµό. Το µήνυµα τυπικά οδηγεί σε κάποια γνωστή ιστοσελίδα που µοιάζει µε την αυθεντική και όταν ο χρήστης εισάγει τα στοιχεία του, αυτά στέλνονται στον επιτιθέµενο. Τέτοιου είδους επιθέσεις είναι πολύ συνηθισµένες τα τελευταία χρόνια και είναι πολύ εύκολο να διεξαχθούν. Για αυτό είναι σηµαντικό πάντα να ελέγχουµε τους συνδέσµους που επισκεπτόµαστε, να αποφεύγουµε αυτούς που δεν αναγνωρίζουµε και να αντιµετωπίζουµε τα πάντα µε καχυποψία».
Σε ερώτησή µας για το αν οι ίδιοι έχουν έρθει αντιµέτωποι µε παραβιάσεις δικών τους λογαριασµών στο διαδίκτυο, απαντούν:
«∆εν έχει τύχει να έρθουµε αντιµέτωποι µε κάποια παραβίαση δικού µας λογαριασµού. Για το ενδεχόµενο όµως που παραβιαστεί κάποιος λογαριασµός ενός χρήστη είτε από δικό του λάθος, είτε από κάποια παραβίαση στην πλατφόρµα (data breach), είναι σηµαντική η χρήση µοναδικών κωδικών, καθώς και η χρήση δύο ή παραπάνω µέσων ταυτοποίησης (multi-factor authentication) πέρα του κωδικού πρόσβασης (π.χ. κινητό, email, κλπ). Η χρήση µοναδικών κωδικών αποτρέπει την πιθανή διακινδύνευση άλλων λογαριασµών που θα µπορούσαν να χρησιµοποιούν τον ίδιο κωδικό και η ταυτοποίηση πολλαπλών παραγόντων θεωρητικά καθιστά τον κωδικό πρόσβασης µη επαρκή για πρόσβαση στο λογαριασµό».
Τους ζητάµε να δώσουν τις δικές τους συµβουλές στους χρήστες του διαδικτύου:
«Ενθαρρύνουµε όλους τους χρήστες να είναι πιο καχύποπτοι στο διαδίκτυο και να προσέχουν πριν επισκεφθούν κάποια ιστοσελίδα ή δώσουν κάποια προσωπική πληροφορία αν δεν είναι σίγουροι ότι είναι ασφαλές ή αναγκαίο. Προτείνουµε επίσης να χρησιµοποιούν διαφορετικούς κωδικούς για κάθε λογαριασµό σε κάθε πλατφόρµα και να αποφεύγουν κωδικούς οι οποίοι είναι εύκολα προβλέψιµοι (τηλέφωνο, ηµεροµηνία γέννησης, ονοµατεπώνυµο)».
ΣΤΑ∆ΙΟ∆ΡΟΜΙΑ ΜΕΛΩΝ
Σε αρκετά από τα µέλη της οµάδας τους, όπως σηµειώνουν οι ίδιοι, «έχουν ανοιχτεί τεράστιες πόρτες και ευκαιρίες σχετικά µε την κυβερνοασφάλεια» και αναφέρουν συγκεκριµένα:
• Ο Παναγιώτης Μπελλώνιας είναι πρώην µέλος της ευρωπαϊκής οµάδας κυβερνοασφάλειας, πρώην αρχηγός και µέλος ελληνικής Εθνικής οµάδας κυβερνοασφάλειας, προπονητής ελληνικής Εθνικής οµάδας κυβερνοασφάλειας.
• Ο Οδυσσέας Σταύρου είναι µέλος της ευρωπαϊκής οµάδας κυβερνοασφάλειας, αρχηγός και µέλος της κυπριακής Εθνικής οµάδας κυβερνοασφάλειας.
• Ο ∆ηµήτρης Αγγέλου είανι µέλος της ελληνικής Εθνικής οµάδας κυβερνοασφάλειας.
• Ο Σταύρος Τσιαµπόκαλος είναι µέλος της ελληνικής Εθνικής οµάδας κυβερνοασφάλειας.
Αλλά ενεργά µέλη της οµάδας είναι οι: Γεωργακάς Ιωάννης Ιάσων, Γοριδάρης Αλέξανδρος, Κεραµιδάς ∆ηµήτριος, Κονοφάος Γεώργιος, Mουρούτης Σπυρίδων.
Οι διακρίσεις
∆ιακρίσεις σε δύο διαγωνισµούς κυβερνοασφάλειας έχει πετύχει µέχρι σήµερα η οµάδα TUCsec.
Συγκεκριµένα, κατέκτησε την 3η θέση στον 1ο παγκόσµιο ∆ιαγωνισµό Κυβερνοασφάλειας Imperial CTF 2022 του Imperial College του Λονδίνου, ο οποίος είχε πραγµατοποιηθεί πριν από δύο χρόνια.
Σε εκείνον τον διαγωνισµό, ο Οδυσσέας Σταύρου µαζί µε τον ∆ηµήτρη Αγγέλου, προπτυχιακοί φοιτητές της Σχολής Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών (ΗΜΜΥ) του Πολυτεχνείου Κρήτης και µέλη της ερευνητικής οµάδας του αν. Καθηγητή, Σωτηρίου Ιωαννίδη.
Τότε, το 2022, η οµάδα TUCSec έλαβε µέρος στα προκριµατικά του διαγωνισµού, στα οποία πήρε την 9η θέση και προκρίθηκε µαζί µε τους πρώτους 15 στους τελικούς, οι οποίοι διεξήχθησαν στο Imperial College London στο Λονδίνο στις 1-12 Ιουνίου 2022.
Η οµάδα του Πολυτεχνείου Κρήτης αποτελείτο από µόνο δύο µέλη και ήταν αντιµέτωπη µε τετραµελείς ή πενταµελείς οµάδες φοιτητών, που περιελάµβαναν µέχρι και διδακτορικούς φοιτητές, οπότε οι απαιτήσεις ήταν υπεραυξηµένες και ο ανταγωνισµός µεγάλος. Μετά από εικοσιτέσσερις ώρες συνεχοµένου hacking, η οµάδα ΤUCSec κατέκτησε την 3η θέση, ανάµεσα σε δεκατρείς φιναλίστ, µαζί µε την οµάδα CheriPI, καθώς κρίθηκαν ισόβαθµοι σε όλα τα βαθµολογούµενα κριτήρια και µε τελικό score 1595.
ΠΡΩΤΗ ΘΕΣΗ
ΣΤΟΝ ∆ΙΑΓΩΝΙΣΜΟ CTF
Τον ίδιο χρόνο, η Οµάδα Κυβερνοασφάλειας του Πολυτεχνείου Κρήτης, TUCsec, υπό την επίβλεψη του αν. καθ. Σωτηρίου Ιωαννίδη, κατέκτησε την 1η θέση, για δεύτερη συνεχόµενη χρονιά, στον ετήσιο διαγωνισµό κυβερνοασφάλειας “Capture the Flag”, που διοργάνωσε το Πανεπιστήµιο ∆υτικής Αττικής (ΠΑ∆Α), µε την οµάδα του Πανεπιστηµίου Κρήτης να καταλαµβάνει την 2η θέση και το ∆ιεθνές Ελληνικό Πανεπιστήµιο την 3η θέση στην τελική κατάταξη των συνολικά 13 συµµετεχόντων πανεπιστηµίων. Οι διαγωνισµοί αυτοί καλύπτουν πολλούς τοµείς του φάσµατος της Επιστήµης Υπολογιστών µε έµφαση στην κυβερνοασφάλεια. Η οµάδα του Πολυτεχνείου Κρήτης που συµµετείχε στο διαγωνισµό, αποτελείτο από τους:
• Προπτυχιακοί φοιτητές Σχολής Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών:
Αγγέλου ∆ηµήτριος, Γοριδάρης Αλέξανδρος, Ευαγγελάκος Θεόδωρος, ∆αµιανάκης Σταύρος, ∆ικτόπουλος Χρήστος, Σηφάκης Αλέξανδρος, Σταύρου Οδυσσέας (Team Captain), Τσιαµπόκαλος Σταύρος.
• Προπτυχιακός φοιτητής Σχολής Μηχανικών Παραγωγής και ∆ιοίκησης: Μαρουλίδης ∆ηµήτριος.
• Μεταπτυχιακοί Φοιτητές Σχολής Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών:
Κυριακάκης Θωµάς, Μοριανός Ιωάννης, Ντουσάκης Γρηγόριος, Πορτοκαλάκης Πέτρος.
