Διαβάστε σε πρώτη πανελλήνια μετάδοση την συνέντευξη του κορυφαίου ερευνητή ασφάλειας Βασίλη Παππά, ο οποίος πρίν απο μερικές… ημέρες έλαβε την πρώτη θέση στον διαγωνισμό ασφάλειας Bluehat που διοργάνωσε η Microsoft με έπαθλο $200.000! Ο Έλληνας ερευνητής του Πανεπιστημιου του Columbia, Βασίλης Παππάς έλαβε την πρώτη θέση και το check των $200.000 σε μια απονομή κατα την διάρκεια ενός πάρτυ στο γνωστό συνέδριο των hackers, Blackhat, που πραγματοποιήθηκε αυτή την εβδομάδα στο Las Vegas.

Η απονομή, που θύμιζε λίγο από  American Idol όπως αναφέρουν ξένα ειδησεογραφικά μέσα, ανέδειξε άλλους δύο νικητές στην δεύτερη και τρίτη θέση αντίστοιχα. Τον κροάτη Ivan Fratric από το Πανεπιστήμιο του Zagreb (που έλαβε $50.000) και τον Jared DeMott ερευνητής ασφάλειας από την Harris Corp (που έλαβε $10.000).

Οι 3 ερευνητές υπέβαλαν τις ιδέες του αναφορικά με την επίλυση ενός ιδιαίτερα εξειδικευμένου και δυσεπίλυτου προβλήματος που ονομάζεται “Return-Oriented Programming” (ROP). Πρόκειται για μια τεχνική που εφαρμόζουν οι hackers και που συνήθως χρησιμοποιείται για την απενεργοποιήση ή την παράκαμψη controls ασφάλειας που διαθέτουν οι εφαρμογές. Ο έλληνας Βασίλης Παππάς μετά από έρευνα, δημιούργησε και πρότεινε μια λύση επονομαζόμενη “kBouncer” που επιτρέπει την αποτροπή των επιθέσεων ROP και “μπλοκάρει” την εκτέλεση κακόβουλου κώδικα που φέρει τα χαρακτηριστικά της συγκεκριμένης κατηγορίας επιθέσεων (ROP).

Όπως δήλωσε ο Mike Reavy, διευθυντής του Microsoft’s Security Response Center , ο διαγωνισμός Bluehat βοήθησε εξαιρετικά την Microsoft μιας και “σε λιγότερο από ένα χρόνο είχαμε την δυνατότητα να ζητήσουμε ιδέες για επίλυση θεμάτων ασφάλειας απο ερευνητές, να λάβουμε τις απαντήσεις τους, να τις υλοποιήσουμε και να τις παρέχουμε στους πελάτες μας”. Το σημαντικό και η πρωτοπορία του συγκεκριμένου διαγωνισμού-εγχειρήματος είναι οτι η Microsoft δεν πλήρωσε τους ερευνητές απλά για να εντοπίσουν τις αδυναμίες των προιόντων της (όπως κάνουν άλλες εταιρείες πχ η Google) αλλά για να υλοποιήσουν την λύση σε ενα εξαιρετικά δύσκολο τεχνικό πρόβλημα.

Η συνέντευξη του κορυφαίου ερευνητή Βασίλη Παππά

Το SecNews επικοινώνησε ΑΠΟΚΛΕΙΣΤΙΚΑ με τον Έλληνα ερευνητή και σας παραθέτουμε την εξαιρετικά ενδιαφέρουσα συνέντευξή του:

SecNews: Πείτε μας λίγα λόγια για εσάς και το ερευνητικό σας έργο. Vasilis Pappas: Η καταγωγή μου είναι από Πάργα, όπου και μεγάλωσα. Σπούδασα στοΠανεπιστήμιο Κρήτης, Τμήμα Επιστήμης Υπολογιστών από όπου και πήρα το πτυχίο μου το 2007 και το μεταπτυχιακό το 2009. Έπειτα, ξεκίνησα το διδακτορικό μου στο Columbia University, το οποίο συνεχίζω μέχρι και σήμερα. Από το τρίτο έτος των προπτυχιακών σπουδών μου άρχισα να ασχολούμαι με ερευνητικά θέματα σαν υπότροφος στο Ίδρυμα Τεχνολογίας και Έρευνας. Τα ερευνητικά μου ενδιαφέροντα είναι στο χώρο της ασφάλειας συστημάτων και δικτύων.

SecNews: Είστε ήδη γνωστός ερευνητής στις Η.Π.Α. ,παρά το νεαρό της ηλικίας σας. Η απόφασή σας να μεταναστεύσετε προέκυψε από τις περιορισμένες δυνατότητες που διαθέτει η Ελλάδα στον συγκεκριμένο ερευνητικό κλάδο; Vasilis Pappas: Όχι ακριβώς. Σίγουρα οι ευκαιρίες είναι περισσότερες στις Η.Π.Α αν προσπαθήσεις πολύ, αλλά και άτομα που δουλεύαμε μαζί όσο ήμουν στην Κρήτη και αποφάσισαν να μείνουν Ελλάδα τα καταφέρνουν εξίσου καλά. Επίσης, μου άρεσε η ιδέα του να ζήσω στο εξωτερικό, και ιδιαίτερα στην Νέα Υόρκη.

SecNews: Τι ήταν αυτό που σας ώθησε να ασχοληθείτε ενεργά και σε ερευνητικό επίπεδο με την ασφάλεια υπολογιστικών συστημάτων; Vasilis Pappas: Το ενδιαφέρον μου για την πληροφορική με ώθησε στο να σπουδάσω στο Τμήμα Επιστήμης Υπολογιστών. Το ειδικό ενδιαφέρον για την ασφάλεια προέκυψε αργότερα, κατά την διάρκεια του τρίτου έτους σπουδών.

SecNews: Ποιό είναι ακριβώς το ερευνητικό σας αντικείμενο και ποιο θεωρείτε ένα απο τα πιο σημαντικά σας ερευνητικά επιτεύγματα; Vasilis Pappas: Θα έλεγα ότι η δουλειά μου ενάντια στις επιθέσεις τύπου ROP (return-oriented programming). Το πρώτο κομμάτι αυτής της δουλειάς δημοσιεύθηκε στο IEEE Security & Privacy Symposium φέτος, το οποίο θεωρείται το κορυφαίο ακαδημαϊκό συνέδριο για θέματα ασφάλειας. Η συνέχεια της δουλειάς αυτής κατάφερε να πάρει το πρώτο βραβείο από την Microsoft.

SecNews: Θεωρείτε οτι τα συστήματα ηλεκτρονικής ασφάλειας (IT Security) όπως είναι δομημένα σήμερα προσφέρουν ουσιαστική ασφάλεια σε εταιρείες και επιχειρήσεις; Vasilis Pappas: Σίγουρα η κατάσταση καλυτερεύει διαρκώς αλλά, δυστυχώς, δεν έχουμε επιτύχει Αυτό επιβεβαιώνεται παρακολουθώντας τα νέα σε θέματα ασφάλειας και τις παραβιάσεις που πραγματοποιούν hackers κάθε μέρα.

SecNews: Κατά την άποψή σας ποιο είναι το σημαντικότερο που πρέπει να κάνει μια εταιρεία η οργανισμός για να προστατεύσει τα εταιρικά και επιχειρηματικά του δεδομένα από απειλές υποκλοπών (hackers, βιομηχανικοί κατάσκοποι κλπ) ; Vasilis Pappas: Σίγουρα υπάρχουν αρκετές αμυντικές τεχνολογίες που μπορούν να βοηθήσουν βραχυπρόθεσμα. Κάτι που κατά την γνώμη μου βοηθάει πολύ, μακροπρόθεσμα, είναι η εκπαίδευση των μελών/χρηστών της εταιρίας. Ο ανθρώπινος παράγοντας είναι αρκετές φορές ο πιο αδύναμος κρίκος, ανεξάρτητα από το πόσο ασφαλή μπορεί να είναι αυτά καθεαυτά τα συστήματα.

SecNews: Πως θεωρείτε ότι έχει εξελιχθεί η ασφάλεια πληροφορικής τα τελευταία χρόνια σε ερευνητικό επίπεδο? Τελικά είναι εφικτό να επιτευχθεί ένα πλήρως ασφαλές σύστημα; Vasilis Pappas: Τέτοιου τύπου ερωτήματα είναι ακόμα ανοικτά. Βεβαίως και υπάρχει πρόοδος, όπως για παράδειγμα ο τομέας του Formal Verification, αλλά δεν υπάρχουν ακόμα πρακτικά αποτελέσματα.

SecNews: Ποιες νομίζετε ότι είναι οι μεγαλύτερες απειλές που αντιμετωπίζουν εταιρείες και οργανισμοί;Vasilis Pappas: Θα έλεγα ότι ποικίλουν ανάλογα με τον τομέα της κάθε εταιρίας ή οργανισμού αλλά και πλήθος άλλων παράγοντων. Κάτι που θα πρέπει να έχουμε υπόψη όμως είναι ότι ο πιο επικίνδυνος εχθρός μπορεί να έρθει εκ των έσω (insider threat).

SecNews: Τελευταία παρατηρούμε ότι οι hackers δείχνουν ιδιαίτερο ενδιαφέρον σε επιθέσεις προς Mobile devices και smart phones. Τι πιστεύετε για την ασφάλεια των συσκευών; Vasilis Pappas: Ο στόχος των επιτιθέμενων είναι συνήθως το χρήμα. Όσο πιο δημοφιλές γίνεται κάτι, τόσο πιο επικερδές θα είναι αν του επιτεθείς. Έτσι, ήταν φυσικό επακόλουθο να δούμε κάτι τέτοιο.

SecNews: Πείτε μας λίγα λόγια για τον διαγωνισμό. Πώς αποφασίσατε να λάβετε μέρος; Vasilis Pappas: Ο τομέας ασφάλειας στον οποίο επικεντρωνόταν ο διαγωνισμός ήταν ένα πρόβλημα που δούλευα ήδη για κάποιο καιρό. Όταν είδα την ανακοίνωση, δεν υπήρξε δεύτερη σκέψη για το αν θα λάμβανα μέρος.

SecNews: Πως θεωρείτε ότι ο διαγωνισμός θα επηρεάσει τα προϊόντα της Microsoft και τους πελάτες της;Vasilis Pappas: Κύριος στόχος του διαγωνισμού και τον διαγωνιζομένων ήταν η προστασία των χρηστών. Βλέποντας τις συμμετοχές όλων τον διαγωνιζόμενων, πιστεύω ότι τα καταφέραμε αρκετά καλά!

SecNews: Βρεθήκατε στο Top-3 από μια λίστα πολλών διαγωνιζομένων και τελικά η μελέτη σας κέρδισε το πρώτο βραβείο στον διαγωνισμό της Microsoft. Πόσο δύσκολο ήταν το πρόβλημα που κληθήκατε να επιλύσετε; Vasilis Pappas: Για την ακρίβεια, οι έγκυρες συμμετοχές ήταν μόνο 20. Γεγονός που δείχνει πόσο δύσκολο ήταν το θέμα του διαγωνισμού.

SecNews: Κάποιοι θεωρούν οτι οι ερευνητές ασφάλειας είναι “ηθικοί” hackers, μιας και με τις έρευνές τους “σπάζουν” τα standards και τις μέχρι τώρα παραδοχές της επιστήμης, προωθώντας με αυτό τον τρόπο την επιστήμη της ασφάλειας πληροφορικής. Ποιά η άποψή σας γι’ αυτό; Vasilis Pappas:Πέρα από αμυντικές τεχνικές, πολλές φορές ένας ερευνητής ασφάλειας μπορεί να δουλέψει και σε επιθετικές! Η διαφορά όμως βρίσκεται στο κίνητρο: οι “κακοί” έχουν συνήθως ως στόχο το χρήμα, ενώ οι “καλοί” (εμείς) πραγματοποιούμε επίθεση ελεγχόμενα σε ένα σύστημα, μόνο και μόνο για δούμε πόσο ευάλωτο είναι, και με απώτερο σκοπό να το κάνουμε ασφαλέστερο.

SecNews: Η έρευνά σας σίγουρα θα αποτελέσει σημείο αναφοράς και για τις Αμερικανικές Υπηρεσίες Ασφάλειας .Σας έχει γίνει κάποια τέτοια κρούση για υιοθέτηση της έρευνάς σας από υπηρεσίες ασφάλειας για την προστασία δεδομένων τους; Vasilis Pappas: Δεν υπήρξε κάποια επαφή ακόμα.

SecNews: Ποια είναι τα μελλοντικά σας σχέδια? Έχετε κάποιο νέο ερευνητικό πρόγραμμα που “τρέχετε” αυτό τον καιρό; Vasilis Pappas: Πολλά και διάφορα! Για παράδειγμα, κατά την διάρκεια του καλοκαιριού δουλεύω σαν μαθητευόμενος στα Bell Labs πάνω σε ένα σύστημα για ασφαλή αναζήτηση.

SecNews: Έχετε σκοπό να επιστρέψετε κάποτε στην Ελλάδα ; (αν και κάτι τέτοιο το θεωρούμε ιδιαίτερα δύσκολο) Vasilis Pappas: Δεν έχω κάποιο σχέδιο προς το παρόν, αλλά δεν θα απέκλεια κανένα ενδεχόμενο.

SecNews: Ποιά η συμβουλή σας στους νέους (φοιτητές ή μεταπτυχιακούς) με αντικείμενο ενασχόλησης τον τομέα της πληροφορικής και της ασφάλειας συστημάτων; Vasilis Pappas: Δεν νομίζω πως ο τομέας μας έχει μεγάλες διαφορές σε σχέση με άλλους. Επομένως, θα έλεγα απλά ότι πρέπει να σου αρέσει αυτό με το οποίο ασχολείσαι και, ώς συνήθως, χρειάζεται αρκετή δουλειά για να έρθουν καλά αποτελέσματα.

Η άποψη του SecNews

Η παγκόσμια πρωτιά του ερευνητή Βασίλη Παππά στον διαγωνισμό Βluehat της Microsoft, αποδυκνείει για άλλη μια φορά οτι οι Έλληνες του εξωτερικού όχι μόνο διαπρέπουν αλλά καταλαμβάνουν τις πρώτες θέσεις σε οποιοδήποτε αντικείμενο δραστηριοποιηθούν. Ο κ. Βασίλης Παππάς ((ιδιαίτερα σεμνός οφείλουμε να ομολογήσουμε παρά την παγκόσμια διάκρισή του), παρά το νεαρό της ηλικίας του, ανήκει ήδη από τώρα στο πάνθεον το καταξιωμένων ερευνητών ασφάλειας πληροφορικής στις Η.Π.Α. Αποδυκνείει με την κορυφαία διάκριση του σε παγκόσμιο επίπεδο πως ακριβώς μπορεί να βοηθήσει ένας “ηθικός” χάκερ στην υλοποίηση συστημάτων υψηλής ασφάλειας. Η λέξη “hacker” έχει αποκτήσει αρνητική διάσταση σε πλήθος περιπτώσεων, όμως ο κ. Παππάς αποδυκνείει με το επίτευγμά του την πραγματική έννοια της λέξης και όχι αυτή που λανθασμένα παρουσιάζεται προς το κοινό.

Είναι αξιοσημείωτο οτι οι Έλληνες στο εξωτερικό βρίσκονται σε υψηλές και αξιοζήλευτες θέσεις. Η χώρα μας, όπως φαίνεται,όχι μόνο δεν τους τιμά, αλλά ούτε τους στηρίζει (ηθικά έστω, γιατι οικονομικά δεν υπάρχει ουδεμία περίπτωση) για την πορεία τους στο χώρο της έρευνας και της επιστήμης. Όφειλει ΚΑΙ η Ελληνικη πολιτεία να βραβεύσει τον ερευνητή Βασίλη Παππά, ο οποίος κατέστει πλέον μετά την βράβευσή του εξέχουσα προσωπικότητα στις Η.Π.Α, έστω ώς μια ηθική ανταμοιβή για τις προσπάθειες του!

Άλλωστε είναι ξεκάθαρο οτι η Ελληνική πολιτεία δεν γνωρίζει ως όφειλε την διάκριση του Έλληνα ερευνητή (σ.σ θεωρούμε οτι μέχρι αυτή την στιγμή οι κυβερνητικοί αξιωματούχοι δεν έχουν ΚΑΝ ενημερωθεί). Στον αντίποδα τυγχάνει ύψιστης αναγνώρισης από την πασίγνωστη Αμερικάνικη εταιρεία πληροφορικής (Microsoft) που ανέδειξε το έργο του. Είναι σημαντικό σε αυτό το σημείο να αναφερθεί, οτι ο κ. Βασίλης Παππάς (προς τιμή της Ελλάδας) σε πλήθος συνεντέυξεων που έχει παραχωρήσει σε ΜΜΕ του εξωτερικού αναφέρει πάντα την Ελληνική του καταγωγή από τη Παργα.

Ως ένα μικρό δείγμα τιμής προς τους Έλληνες ερευνητές του εξωτερικού, “πρεσβευτές μας” στο εξωτερικο που αντισταθμίζουν με τις επιτυχίες την αρνητική εικόνα που έχει η χώρα μας, θελήσαμε να δημοσιοποιήσουμε την συνέντευξη του κ. Βασίλη Παππά προς ενημέρωση των αναγνωστών μας και της Ελληνικής πολιτείας.

Το SecNews ευχαριστεί τον κ. Βασίλη Παππά για την παραχώρηση της συνέντευξης. Ευχόμαστε ενα λαμπρό μέλλον με νέες διακρίσεις (κάτι που είναι κάτι παραπάνω από σίγουρο για ενα λαμπρό και εξαίρετο μυαλό) και καλή συνέχεια στο ερευνητικό του έργο.
secnews.gr