Povestea fondatorului primului „poligon pentru hackeri” din România. Premiat de Kaspersky şi chemat să predea la MIT
0Singurul program de training în securitate cibernetică din România va funcţiona, din această toamnă, în Parcul Ştiinţific Tetapolis din Cluj-Napoca. „Adevărul” a vorbit cu „creierul” acestui program de training, Marius Corîci, despre premiul primit de la Kaspersky, colaborarea cu MIT, dar şi despre lucrurile pe care trebuie să le ştie fiecare utilizator de internet despre securitatea cibernetică.
Singurul program de training în securitate cibernetică din România, şi din lume conform Consiliului Judeţean Cluj, va funcţiona, din această toamnă, în Parcul Ştiinţific şi Tehnologic Tetapolis din Cluj-Napoca. Se numeşte „Academia de Training în Siguranţă Cibernetică” şi va îmbina o secţiune de cursuri teoretice cu o platformă online de testare a capacităţilor defensive în siguranţă cibernetică.
Curricula permite pregătirea specialiştilor în siguranţă cibernetică de la nivel de începător la nivel avansat, în condiţiile în care acum în lume există un deficit de 1,5 milioane de specialişti la nivel mondial în siguranţă cibernetică. Platforma de training, dezvoltată de firma CTF 365, are deja girul universităţii Massachusetts Institute of Technology (MIT) din SUA, a dezvoltatorului de servicii de securitate Kaspersky şi a operatorului de telefonie mobilă T-Mobile. „Adevărul” a stat de vorbă cu cofondatorul şi „creierul” din spatele CTF 365, Marius Corîci.
Proiectul Tetapolis este finanţat din fonduri europene.
Drumul de la instalaţii la securitate cibernetică
„Aventura” lui Marius Corîci cu securitatea cibernetică a început în 1996, pe când era inginer de instalaţii. „Ce făceam eu atunci are un nume astăzi – skiddie- adică un tip care foloseşte programe automate de hacking, dar habar nu are ce fac cu ele. E un nivel de bază în hacking”, mărturiseşte, zâmbind, bărbatul de 49 de ani originar din Olteniţa, care locuieşte de mulţi ani la Cluj-Napoca. Deşi nu a făcut studii de specialitate, a fost infectat cu „microbul” internetului şi a făcut din asta o pasiune. După o perioadă în care a fost antreprenor în construcţii, prin 2007, cu banii strânşi, s-a reîntors la domeniul care-l pasiona: internetul. „Împreună cu prietenul şi asociatul meu Marius Chiş, care face analiză financiară pe pieţele de capital, ne-am pornit să dezvoltăm o aplicaţie de trading automat”, povesteşte Marius. După ce a lucrat o vreme la proiect, a descoperit că există o aplicaţie mult mai bună open source, gratuită. Astfel, a trecut la următorul proiect „Sentimetrix” - „un program care analiza, în timp real, sentimentul vis a vis de o personalitate, un brand sau o marcă. Puteai din 3 clickuri să vezi unde se vorbeşte foarte rău de tine”, explică Marius.
După o vreme a renunţat şi la acest proiect, iar în 2011, a pornit „Hackaserver” – „un market place unde ai o turmă de hackeri care testează securitatea cibernetică a unor produse digitale puse la dispoziţie de nişte companii. Hackerul care găseşte vulnerabilitatea o trimite la noi, noi verificăm şi dacă e corectă, eu o dau mai departe la compania vizată pentru a-şi perfecţiona produsul. Hackerul care a descoperit-o ia cea mai mare parte a banilor”, explică Marius. Deoarece companiile erau foarte reticente în apela la astfel de servicii, ameninţarea hackerilor nefiind la nivelul la care este astăzi- Marius şi asociatul său au pus bazele CTF 365 - „un loc virtual unde hackerii etici sau specialiştii în securitate îşi pot dezvolta sau antrena talentul la penetra sau apăra sisteme cibernetice”. Diferenţa faţă de Hackaserver a fost că serverele sunt virtuale, cu toate că imită caracteristicile serverelor reale.
Premiaţi de Kaspersky, chemaţi la MIT
Din cauza corupţiei din România, firma a activat doar în străinătate, spune Marius. În 2015, CTF 365 a participat la competiţia organizată de gigantul în securitate cibernetică Kaspersky – „Security Startup Chalenge 2015”. Intrarea în semifinală le-a premis să participe la un bootcamp de 2-3 luni în Luxemburg. Finala s-a desfăşurat la MIT (Massachusetts Institute of Technology), unde CTF 365 nu a câştigat premiul cel mare (foto dreapta- menţiunea primită), dar a câştigat încrederea profesorilor de la celebra universitate americană. El a fost invitat să ţină un curs la o şcoală de vară la MIT şi au început discuţiile pentru o colaborare de durată. În acest moment, se află în derulare faza de implementare a cursului de securitate cibernetică al CTF 365 ca modul obligatoriu în pregătirea specialiştilor în siguranţă cibernetică din universităţile pilot - Universitatea Tehnică din Cluj-Napoca (UTCN) şi MIT din SUA. De asemenea, Marius Corîci spune că s-au purtat discuţii cu Guvernul Luxemburgului pentru implementarea unui model de training pe securitatea cibernetică în aparatul administrativ al ţării.
A acceptat proiectul din Tetapolis la insistenţele managerului instituţiei, Mihai Coca, pentru că „am avut cu cine discuta, suntem pe aceeaşi lungime de undă”. Planul lui Marius este ca în 3 ani de zile CTF să devină o companie de 100 de milioane de dolari, iar în următorii 5 ani să devină „un fel de Linkedin pe steroizi pentru specialiştii în securitate cibernetică”.
Evită să devii victima hackerilor
„Adevărul” l-a întrebat pe cofondatorul CTF 365, Marius Corîci, despre nivelul securităţii cibernetice din România şi despre lucrurile pe care trebuie să le ştie fiecare utilizator de internet.
Cum stă România la capitolul cyber security?
În ceea ce priveşte modul în care se prezintă administraţiile locale din România, închipuie-ţi Piaţa Unirii, toţi oamenii strânşi acolo cu pantalonii în vine şi aplecaţi. Se discută mult despre armata de hackeri ruşi. Sunt la toate nivelurile în România şi nu numai în România. Aia aşa hibernează şi aşa dormitează, încât noi avem impresia că suntem protejaţi. Vai de capul nostru...
A fost intens discutată problema televizoarelor smart în contextul securităţii cibernetice. Ce părere ai?
În momentul când setezi configuraţia tu dai acces unui program care are dreptul de a colecta date în timp real de la utilizatori în baza căruia să-şi regleze setările de bază ale aparatului: claritate, contrast, culoare etc. Acesta îi permite însă să colecteze date despre site-urile pe care intri şi să facă înregistrări audio sau video ambientale, în timp ce televizorul este stins. Câtă lume ştie de chestia asta? Aici eu aş veni cu o soluţie: ar trebui sub open source creată o aplicaţie care să asigure protecţie în aceste cazuri. Această să fie disponibilă gratuit. Trebuie găsită o soluţie suficient de elegantă şi de uşoară încât să fie adoptată „low tech” – adică, în termenii noştri, asta înseamnă „orcine poate s-o facă”. Atunci şi soacră-mea sau nepotul ei, care e în clasa a X-a, să poată s-o instaleze. Ăla apasă trei butoane „OK”, „next”, „next”, „next”, „finish” şi ştie că aplicaţia este acolo şi protejează, există un grad de privacy (intimitate-nr) mai avansat. Nu putem să cerem privacy 100% cât timp trăim într-o lume conectată. Nu ai cum. Mai e aici o problemă foarte gravă, suntem o societate de consum şi apar foarte multe aparate care lucrează conectate la internet. Acestea sunt, de obicei, goale-puşcă din punct de vedere al securităţii. Trebuie să fim atenţi căror device-uri le dăm acces la internetul nostru.
Mulţi programatori aleg sistemul de operare Linux pe motiv că ar fi mai sigur. Aşa este?
Nu se întâmplă atât de multe pe Linux pentru că fiind Open Source şi dat gratuit, de obicei, mai există un dram de conştiinţă la hackeri şi nu încercă să facă atât de multe atacuri. În ultima vreme au apărut probleme şi pe Linux. Microsoft este ţinta hackerilor deoarece a încercat şi încă încearcă să omoare într-un fel sau altul „Open Source”-ul sau să ţină sub drept de proprietate programele de operare, deşi ei nu înţeleg că direcţia este spre „open source” şi „open society”. Linuxul da, poate că o fi un pic mai bine protejat. Aici, trebuie făcută distincţia între viruşi şi atac cibernetic. Viruşii sunt îndreptaţi spre mai multe sisteme şi, în mare, îţi dau peste cap computerul, în timp ce atacul cibernetic se face ţintit cu intenţia de a-ţi downloada fişiere, documente; este altceva, şi nu e un virus care face asta.
Ce antivirus ai tu pe calculator?
Nu am, pentru că folosesc Linux. Fetele mele, clasa a VII-a şi a VI-a lucrează, de asemenea, pe Linux.
Ce e de făcut în România în domeniul siguranţei cibernetice?
Dacă aş fi premier sau o autoritate care poate să facă ceva, primul lucru pe care l-aş face e să achiziţionez prin Televiziunea Română serialul „Mr. Robot”. L-aş da la oră de audienţă maximă şi o oră pe săptămână aş introduce în şcoli şi instituţii publice discuţii pe baza a ceea ce s-a văzut în film. Poţi învăţa foarte mult din filmul ăla! Consultant a fost unul dintre cei mai mari hackeri din lume. Filmul ăla e făcut exact pe realitatea a ce se întâmplă. Nu ai acolo fantezii. Când îţi arată monitoarele la ăia pe laptop alea sunt chiar programe care există, nu ficţiuni. În primul rând, filmul ar trebui să fie discutat la nivel de şcoală generală, liceu, instituţii publice şi facultăţi. Eu încerc să găsesc soluţii, care să nu fie costisitoare şi să fie şi atractive. Filmul amintit, oricât de puţin te pricepi la internet, te prinde, poate nu de la început, dar începi să conştientizezi nişte probleme.
Pasul următor care ar fi?
Apoi aş implementa un program de conştientizare privind cyber security. De exemplu, eu pot să trimit acum un e-mail şi să urmăresc ce ai făcut cu el: când l-ai primit, când l-ai deschis şi pe ce link ai făcut click. Ei, când ai făcut click pe unul dintre link-urile pe care ţi le trimit, în asta constă atacul phishing, pot să te trimit pe o pagină prietenoasă în care să-ţi spun: „Bă, ţi-am trimis e-mailul ăla ca să vedem cât de bun eşti sau să cât de mult înţelegi securitatea cibernetică. Putea să fie un phishing attack, vrei să înveţi ce însemnă?” Şi poate mulţi ar vrea. Făcut într-un mod interactiv şi cu gamificare (învăţare pe bază de joc- n.r.) poţi, prima oară când îl trimiţi, să evaluezi la ce nivel se află instituţia sau România sau cine vrei tu, iar după ce evaluezi, în funcţie de linkul pe care au făcut click poţi să le dai traininguri exact pe direcţia necesare pentru a minimiza riscurile. CERT-ul (Centrului Naţional de Răspuns la Incidente de Securitate- CERT-RO) s-a supărat pe mine pentru că i-am criticat. Au făcut nişte clipuri de toată jena, cu nişte lecţii de astea plicticoase din care nu înţelege nimeni nimic. Eu pot să evaluez care e nivelul tău de expunere la phishing attack şi prin programele mele pot să-ţi arăt curba de învăţare şi cum reduc riscurile, pentru că dacă nu avem indicatori de performanţă degeaba primesc eu 1 milion de euro pentru programe de conştientizare. Le-o spun în faţă că programele lor sunt proaste şi nu sunt hater. Acestea se fac pentru a realiza raportul de ţară la UE şi să poată să spună „am făcut program de conştientizare pe cyber security”. E degeaba. Clipurile au doar câteva sute de vizualizări. E bătaie de joc. Se poate face bine şi pe bani puţini şi să reuşeşti în 3 ani de zile să educi o ţară întreagă.
Cât de importante sunt aceste programe de conştientizare pentru populaţie?
Degeaba îţi faci tu o armată de spartani pe securitate cibernetică, dacă populaţia din interior nu e educată. Tu poţi să ai cele mai tari sisteme de protecţie. Dacă iau acum o mână de USB-uri şi o arunc pe jos, unul nu rămâne acolo. Şi ghici ce fac. Îl bagă direct în laptop. Şi dacă am trântit acolo, nu ştiu, porno Grindeanu-Dragnea, explodează. I-am zis unui profesor de la ASE: „fă experimentul ăsta. Ia o mână de USB-uri şi dă-le drumul să vezi ce se întâmplă”. După o vreme, mi-a zis: „Am făcut experimentul între colegii mei profesori şi toţi le-au băgat în laptopuri”. Ăsta e nivelul. Cum să-ţi permiţi să-l bagi aşa?
Citeşte şi
Primul parc ştiinţific şi tehnologic din România, o investiţie de 50 de milioane de euro la Cluj
FOTO VIDEO Povestea clujeanului care face maşini pentru Formula 1
Se încarcă comentariile...
