Αν ρωτήσει κανείς την επαγγελματική ιδιότητα του Ντάνιελ Φάμπιαν η άμεση απάντησή του είναι «ψηφιακός εμπρηστής». Δουλειά του ως επικεφαλής της αποκαλούμενης «κόκκινης ομάδας» μέσα στην Google είναι να τεστάρει κάθε μέρα το δαιδαλώδες σύστημα του πολυεθνικού κολοσσού για πιθανά ευάλωτα σημεία. Οχι όμως και να τα διορθώνει. Είναι ο επικεφαλής των χάκερ! Δουλειά του είναι να προσπαθεί να πάει όσο πιο βαθιά μπορεί, όπως και δουλειά της πολυπληθέστερης «μπλε ομάδας» (όροι δανεισμένοι από τα παιχνίδια πολέμου κατά την εκπαίδευση των Αμερικανών στρατιωτών που χωρίζονται σε επιτιθέμενους-«κόκκινους» και αμυνόμενους- «μπλε») να αποκρούσει τους «εχθρούς και να καλύψει άμεσα κάθε ίχνος. Ενας διαρκής πόλεμος μέσα στον ίδιο τον οργανισμό της Google για την ασφάλεια του συστήματος, αλλά και των δεδομένων που διακινούνται.
«Εντάξει, η επιλογή της συγκεκριμένης ιδιότητας ήταν στο πλαίσιο ενός εσωτερικού αστείου που κάνουμε στην Google όπου πραγματικά ο καθένας είναι ελεύθερος να δηλώνει οποιαδήποτε ιδιότητα θέλει… Μία συνάδελφός μου, για παράδειγμα, παρουσιάζεται ως “πριγκίπισσα ασφαλείας”», λέει γελώντας στο «business stories», σε μία συζήτηση που γίνεται με αφορμή μία σειρά διαδικτυακών ντοκιμαντέρ με τον τίτλο «Hacking Google» που ανάρτησε πρόσφατα η εταιρεία στο κανάλι της στο YouTube (https://www.youtube.com/@GoogleGreece) για τον άγνωστο πόλεμο που διεξάγεται πίσω από την κουρτίνα της ομαλής ψηφιακής διασύνδεσης και μετάβασης που όλοι βιώνουμε στην καθημερινότητά μας.
Ωστόσο, όπως αργότερα λέει, ο ρόλος του είναι να… ανάβει ελεγχόμενες φωτιές προκειμένου να προλάβει άλλες μεγαλύτερες: «Ετσι προλαβαίνουμε αργότερα να αντιμετωπίσουμε αδυναμίες που θα μπορούσε να εκμεταλλευτεί κάποιος επιτιθέμενος». Οπως τότε που η ομάδα του κατάφερε να παρεισφρήσει ανορθόδοξα στο τότε μυστικό πρόγραμμα Google Glass, ένα ζευγάρι γυαλιών που λανσαρίστηκε αργότερα με οθόνη στο ύψος του δεξιού ματιού που προσέφερε επαυξημένη εμπειρία της πραγματικότητας.
Η «κόκκινη ομάδα» κατάφερε μέσω phising να φτάσει σε μία λίστα υπαλλήλων της Google απ’ όπου θα μπορούσαν να εισέλθουν στο σύστημα του μυστικού προγράμματος και τελικά να τους επιτεθεί με… σφαίρες πλάσματος. Eνα παιχνίδι ιδιαίτερα δημοφιλές τη δεκαετία του ‘80, που επανήλθε πριν από κάποια χρόνια σαν γκάτζετ που συνδεόταν μέσω USB σε υπολογιστές και laptop. Το παιχνίδι ήταν παγιδευμένο με malware, οπότε οι υπάλληλοι της Google που το έλαβαν -υποτίθεται- ως δώρο από την εταιρεία που εκείνη την εποχή γιόρταζε τα γενέθλιά της, όταν το τοποθέτησαν στους υπολογιστές τους άνοιξαν την πύλη για την ομάδα των χάκερ. Ακόμα και τώρα, όταν ο κ. Φάμπιαν αναφέρεται στην ιστορία αυτή χαμογελά από ικανοποίηση.
«Δυστυχώς για λόγους ασφαλείας δεν μπορώ να μοιραστώ άλλες περιπτώσεις ή να δώσω συγκεκριμένα νούμερα, πρέπει όμως να αντιληφθείτε ότι όλο αυτό έχει τεράστια προσπάθεια από πίσω, οργανωμένες ομάδες και κατά 90% και πάνω αποτυχημένες προσπάθειες. Στην πραγματικότητα είμαστε το μοναδικό τμήμα μέσα στην Google που δουλεύουμε ώστε να γίνει τελικά η δουλειά μας μετά πιο δύσκολη. Ολα τα τμήματα εργάζονται για να την απλοποιήσουν, εμείς κάνουμε το εντελώς αντίθετο», λέει.
Η βάση του ίδιου είναι στη Ζυρίχη. Ενα από τα τρία σημεία όπου έχουν αναπτυχθεί «κόκκινες ομάδες» εντός της Google. Οι άλλες δύο είναι στη Σίλικον Βάλεϊ και τη Ν. Υόρκη. Ο ίδιος πάντως αρνείται να δώσει οποιαδήποτε άλλη πληροφορία, ακόμα και για τον αριθμό των ανθρώπων που απαρτίζουν αυτές τις ομάδες, που κατά τα άλλα δεν επικοινωνούν εσωτερικά με άλλα τμήματα του πολυεθνικού κολοσσού.
«Γενικώς είναι μία ομαδική δουλειά αυτό που κάνουμε. Μιλάμε για πολλές παράλληλες ασκήσεις που διεξάγονται καθημερινά και συνήθως κάθε άσκηση απασχολεί 30 με 40 ανθρώπους. Αυτό λοιπόν απαιτεί συνεργασία», σημειώνει. Οπως εξηγεί, τα μέλη της συγκεκριμένης ομάδας επιλέγονται έχοντας διαφορετικό background. «Από τη μία μπορεί να έχουμε νέους, αποφοίτους πανεπιστημίων, που στρατολογούνται και εκπαιδεύονται μετά εσωτερικά. Από την άλλη, φυσικά, προσλαμβάνονται και άνθρωποι με εμπειρία. Αυτούς τους αναζητούμε είτε μέσα από γνωστούς διαγωνισμούς που γίνονται εδώ και δεκαετίες και είναι ιδιαίτερα δημοφιλείς στην κοινότητα των χάκερ ήδη από τη δεκαετία του ‘80, σε ειδικά συνέδρια κ.α. Γενικά θέλουμε ανθρώπους που να μπορούν να ανταποκριθούν σε προκλήσεις του χώρου. Επειτα υπάρχει και ένα πρόγραμμα επιβράβευσης με το οποίο μπορούμε να πληρώσουμε -ακόμα και να προσλάβουμε- κόσμο που μπορεί να εντοπίσει και να μας γνωστοποιήσει μία αδυναμία του συστήματος της Google».
Πώς γίνεται όμως μία δουλειά ιδιαίτερα απαιτητική, ιδίως καθώς αναζητεί οποιαδήποτε χαραμάδα στο σύστημα; «Η δουλειά μας απαιτεί αρκετό brainstorming προσπαθώντας να βρούμε ιδέες αλλά και τρόπους που θα μπορούσαμε να δοκιμάσουμε ώστε να διεισδύσουμε κάπου. Είναι περίπου όπως στις ταινίες κατασκοπείας, η αλήθεια είναι πως υπάρχει αρκετή δράση, όμως υπάρχει μία τεράστια διαφορά. Στη δική μας περίπτωση η συντριπτική πλειονότητα των προσπαθειών αποτυγχάνει. Οπότε η υπόθεση μπορεί να είναι ότι έχεις μια ιδέα, την εκτελείς και δουλεύει, αλλά στην πραγματικότητα αυτό δεν συμβαίνει ποτέ! Συνήθως έχεις μια ιδέα, τη δοκιμάζεις και αποτυγχάνει. Πας σε μία άλλη, τη δοκιμάζεις κι αυτή και αποτυγχάνει. Και αυτό επαναλαμβάνεται ξανά και ξανά ώσπου να υπάρξει μία φορά που θα εντοπίσεις μία ευάλωτη θέση και θα πετύχεις τη διείσδυση. Τότε ξεκινά ουσιαστικά από την αρχή η διαδικασία, αφού πρέπει στο επίπεδο που είσαι να εντοπίσεις πάλι μία ευάλωτη θέση ώστε να πας ακόμα πιο βαθιά και να κάνεις άλλο ένα βήμα σε αυτό που έχεις βάλει στόχο. Οπότε μιλάμε για πολλαπλές κινήσεις. Επίσης, κάθε φορά το μονοπάτι που δοκιμάζεις μπορεί να μην μπορεί να πηγαίνει απευθείας σε αυτό που θέλεις. Ολοι οι δρόμοι να είναι μπλοκαρισμένοι και εσύ να ψάχνεις μία άλλη κατεύθυνση, μία άλλη γωνία…».
Πάντως σχέση ανταγωνισμού με την «μπλε ομάδα» δεν υπάρχει, όπως λέει: «Βασικά συνεργαζόμαστε για το ίδιο πράγμα, τη μεγαλύτερη ασφάλεια, απλά από άλλο σημείο». Ο ίδιος δεν αποκαλύπτει καν τον αριθμό των ομάδων ασφαλείας που έχουν επιφορτιστεί με το κομμάτι της κυβερνοασφάλειας. Παραδέχεται ωστόσο ότι υπάρχει δίαυλος επικοινωνίας με αντίστοιχες ομάδες σε άλλες μεγάλες πολυεθνικές. «Για μεθοδολογία, ασκήσεις κ.ο.κ.», εξηγεί. Εξάλλου, όπως λέει, η Google ήταν η πρώτη που χρησιμοποίησε διαφάνεια για τις κυβερνοεπιθέσεις που δεχόταν και δέχεται, καθώς θεωρεί ότι η αποτελεσματική αντιμετώπιση μπορεί να έρθει μόνο με τη συνεργασία: «Κάποιοι ακόμα και τώρα το θεωρούν θέμα-ταμπού. Αρνούνται να κοινοποιήσουν την περιπέτεια που μπορεί να έχουν. Νομίζω ότι αυτό είναι λάθος. Η διαφάνεια βοηθά όλους να προχωρήσουν. Η Google δεν δίστασε να το κάνει πριν από αρκετά χρόνια όταν στοχοποιήθηκε μεταξύ άλλων στη λεγόμενη “Επιχείρηση Αυγή” (σ.σ.: ομάδα χάκερ από την Κίνα χτύπησε συντονισμένα μεγάλες αμερικανικές επιχειρήσεις). Δεν μπορείς να κρύβεις πράγματα. Πρέπει όλο το οικοσύστημα να μάθει, να επικαιροποιεί και να ακολουθεί».
Παρ’ όλα αυτά έκτοτε το ζήτημα της κυβερνοασφάλειας πλέον αναγνωρίζεται από όλους ως μείζον ζήτημα σε έναν κόσμο που ψηφιοποιείται. «Ειδικά μετά τον πόλεμο στην Ουκρανία που προκάλεσε σημαντική αύξηση των κυβερνοεπιθέσεων, η επίγνωση των ζητημάτων κυβερνοασφάλειας έχει ενισχυθεί, έχει έρθει στη δημόσια σφαίρα συζήτησης. Η ίδια η κυβερνοασφάλεια, όμως, δεν έχει αλλάξει. Ο στόχος παραμένει ίδιος. Προσπαθούμε να καταστήσουμε πιο ασφαλή τη λειτουργία των συστημάτων των οργανισμών μας και να τερματίσουμε πιθανές απειλές καλύπτοντας έγκαιρα ευάλωτα σημεία.
Είναι μία μάχη στην οποία τελικά όλοι εμπλέκονται. Κοιτάξτε τι γίνεται με το αποκαλούμενο “phising”, που πλέον γίνεται ολοένα και πιο δύσκολο για έναν καθημερινό χρήστη να το εντοπίσει. Ολοι λαμβάνουμε εκατοντάδες emails την ημέρα και κάθε ένα που ανοίγουμε συνοδεύεται από το ερώτημα “εμπιστεύεσαι το email ή όχι;”. Οταν όμως ανοίγεις εκατοντάδες την ημέρα είναι σχεδόν βέβαιο πως κάποια στιγμή θα ανοίξεις και κάποιο που δεν πρέπει. Εκεί λοιπόν πρέπει να είμαστε εμείς για να βοηθήσουμε στην αποτροπή τέτοιων απειλών. Ηδη σήμερα αποτρέπουμε τις περισσότερες αντίστοιχες απειλές από το να πάνε στα εισερχόμενα emails ενός λογαριασμού gmail. Το 99% των phising emails απομακρύνεται από το email».
Για τον απλό, καθημερινό, χρήστη όμως όλα αυτά τι σημαίνουν; «Σε μεγάλο βαθμό πρέπει να έχουν επίγνωση γι’ αυτή την απόφαση ασφαλείας που καλούνται να λάβουν κάθε μέρα. Να ξέρουν επίσης ότι κάθε εφαρμογή που κατεβαίνει στο κινητό αποκτά πρόσβαση σε συγκεκριμένα στοιχεία. Οπότε πρέπει να διαχωρίζει ο χρήστης τελικά ποιον εμπιστεύεται και ποιον όχι», τονίζει.
Πώς τελικά όμως κάποιος γίνεται χάκερ φτάνοντας σήμερα να έχει και ρόλο σε μια τέτοια ομάδα; «Από μικρός πάντα προσπαθούσα να καταλάβω πώς δουλεύουν τα πράγματα. Να τα αποσυναρμολογώ και μετά να τα ξαναφτιάχνω. Φανταστείτε λοιπόν τι έγινε όταν πήρα τον πρώτο υπολογιστή. Και τελικά εκείνη η προσπάθεια έχει αποδειχθεί ακόμα μεγαλύτερη πρόκληση απ’ ό,τι περίμενα. Θα έλεγα πως ακόμα και τώρα αυτό προσπαθώ να μάθω, διότι υπάρχουν τόσο πολύπλοκα πράγματα! Η περιέργεια αυτή όμως καθόρισε την καριέρα μου».
Ο Ντάνιελ Φάμπιαν εργάζεται από το 2009 για την Google. «Πριν απ’ αυτό έκανα ασκήσεις διείσδυσης για μία συμβουλευτική εταιρεία ασφαλείας στην Αυστρία. Αυτή ήταν η πρώτη μου δουλειά μετά το πανεπιστήμιο. Μάλιστα ήμουν ο πρώτος υπάλληλος της εταιρείας! Εγώ ο χάκερ, και οι τρεις ιδρυτές. Μαζί ουσιαστικά φτιάξαμε την εταιρεία και όταν έφυγα είχε 40 υπαλλήλους κάνοντας συμβουλευτική σε θέματα ασφαλείας κυρίως στην Αυστρία και τη Γερμανία».
Πάντως, παρά το ότι όλοι έχουμε στο μυαλό μας την εικόνα των χάκερ και αυτών που κάνουν, ο ίδιος σπεύδει να μας προσγειώσει: «Η καθημερινή ρουτίνα θα έλεγα ότι είναι κάπως βαρετή. Θα σηκωθώ το πρωί, θα ετοιμάσω πρωινό για τα παιδιά, θα παίξω λίγο μαζί τους και θα τα συνοδεύσω με τα πόδια στο σχολείο. Επιστρέφω, δουλεύω από το σπίτι ή πηγαίνω στο γραφείο και θα έχω πάρα πολλές συναντήσεις αργά το απόγευμα και το βράδυ λόγω της μεγάλης διαφοράς ώρας με το Σαν Φρανσίσκο. Γενικά η ζωή των “ηθικών” χάκερ είναι πολύ πιο βαρετή απ’ ό,τι πιθανόν ο κόσμος να πιστεύει. Οι περισσότεροι είναι άνθρωποι που εργάζονται, πηγαίνουν στη δουλειά στις 9 το πρωί και επιστρέφουν στις οικογένειές τους στις 5 το απόγευμα».