Share This Article
Η µηχανικός, µέλος του The Project Zero, αντιµετωπίζει µερικά από τα πιο επικίνδυνα ψηφιακά προβλήµατα, ενώ παράλληλα καταρρίπτει και κάποια από τα πιο «παλιακά» στερεότυπα γύρω από τους hackers και τους πληροφορικάριους.Και για όσους υποστηρίζουν ότι τα e-bikes σας αποθαρρύνουν από τη γυµναστική και τη φυσική δραστηριότητα, τα δεδοµένα δείχνουν το αντίθετο! Η προσπάθεια που θα καταβάλλετε ποδηλατώντας, ακόµα και µε υποβοήθηση, είναι αρκετά σηµαντική ώστε να ενεργοποιήσει τις αντίστοιχες µυϊκές σας οµάδες, µε ό,τι ευεργετικό αυτό συνεπάγεται για το σώµα σας και τη λειτουργία του οργανισµού σας. Άλλωστε, µπορείτε να ρυθµίσετε πανεύκολα, µέσω ενός πλήκτρου, το επίπεδο της ηλεκτρικής υποβοήθησης, ακόµα και να την απενεργοποιήσετε τελείως, ώστε να καταβάλλετε το… 110% της προσπάθειας, καίγοντας εκατοντάδες θερµίδες και ενεργοποιώντας τον µεταβολισµό σας. Win-win situation!
Ακόµα και µε τραυµατισµό στο γόνατο, η Maddie Stone παραµένει εντυπωσιακή. Καθώς ετοιµάζεται για να κάνει circuits (οµάδα ασκήσεων που επαναλαµβάνονται κυκλικά) στο τοπικό box (γυµναστήριο crossfit) είναι εντελώς άνετη, σχεδόν χαρούµενη, παρά την πρωινή οµίχλη του San Francisco που αιωρείται γύρω της και τη χαµηλή θερµοκρασία. Το χαµόγελο της Maddie είναι ένα από τα πλέον χαρακτηριστικά της, µαζί µε την επιµονή που τη χαρακτηρίζει: παρά τους πολλαπλούς τραυµατισµούς του γονάτου της, που οφείλονται στο αθλητικό της παρελθόν, πέρυσι ανέβηκε το όρος Kilimanjaro.
Η Stone είναι µια από τις πιο γνωστές ερευνήτριες που αποτελούν την οµάδα Project Zero της Google που κυνηγάει bugs (προβλήµατα σε προγράµµατα, κώδικα), µε όνοµα. Η δουλειά τους είναι να εντοπίζουν σηµαντικά ελαττώµατα σε software και αδυναµίες ασφαλείας και όχι µόνο, τις οποίες θα µπορούσε να εκµεταλλευθεί κάποιος hacker. Αλλά το ταξίδι της στον χώρο του security research δεν ήταν πάντα εύκολο και αυτό την έχει κάνει ακόµα πιο αποφασισµένη να εκφράζει τις διαφωνίες της και να υπογραµµίζει τα προβλήµατα του κλάδου, συχνά στο Twitter, έχοντας το focus της κυρίως στο κοµµάτι των ανισοτήτων και την ανάγκη για αυξηµένη αντιπροσώπευση και ενσωµάτωση στις βιοµηχανίες της τεχνολογίας και την κοινότητα των engineers.
Η Stone έγινε µέλος της οµάδας του Project Zero το 2019 µετά από 2 χρόνια που δούλευε στην οµάδα ασφαλείας του Android, µια θέση που είχε κερδίσει χάρη στις γνώσεις της στο κοµµάτι του hardware, αλλά και τις ικανότητες της στο software reverse engineering. Πρόκειται για µια πολύ απαιτητική πρακτική, όπου παίρνοντας εντελώς άγνωστο κώδικα/ πρόγραµµα, εν προκειµένω κάποια από τα πιο επικίνδυνα προγράµµατα malware που «κυκλοφορούν», τα αποδοµούν ώστε να κατανοήσουν τη λειτουργία τους και να µπορέσουν να σχεδιάσουν αντίµετρα που θα τα καταπολεµούν. Ξεκινώντας από τα χαµηλότερα επίπεδα, η Stone εξελίχθηκε γρήγορα και κατέληξε να ηγείται µιας οµάδας η οποία µελετούσε και «ακύρωνε» προγράµµατα σχεδιασµένα για να επιτίθενται στο Android και χρησιµοποιούνται από εγκληµατίες και hackers που απειλούν ολόκληρα κράτη.
«Η δουλειά που κάναµε στο Android ήταν τόσο άµεσα αποτελεσµατική: εντοπίζαµε πιθανά επικίνδυνα apps, βρίσκαµε το malware που περιείχαν και η άµυνα που σχεδιάζαµε άµεσα διανεµόταν σε 2.8 δισεκατοµµύρια χρήστες. Ήταν τόσο µαζικό και απτό το αποτέλεσµα της δουλειάς µας, κάτι που οι περισσότεροι άνθρωποι δεν βρίσκουν στην εργασία τους.»
Κάποιες φορές η δουλειά της Stone ήταν να αντιµετωπίζει µεµονωµένα εργαλεία hackers, άλλες φορές όµως γινόταν πιο «προσωπική»: σε µια περίσταση, η Stone και η οµάδα της πέρασαν 18 µήνες «κυνηγώντας» έναν δηµιουργό botnet, ο οποίος ήταν αποφασισµένος να µολύνει συσκευές Android και ο οποίος ξεπερνούσε µε ευκολία τις δικλείδες ασφαλείας του συστήµατος. Κατά τη διάρκεια αυτού του «ψηφιακού κυνηγητού», το καλοκαίρι του 2018, η Stone έδωσε µια οµιλία στο συνέδριο ασφάλειας Black Hat στο Las Vegas σχετικά µε τα χαρακτηριστικά των συστηµάτων που βοηθούσαν τους δηµιουργούς botnet malware να αποφεύγουν την ανάλυση και τον εντοπισµό. Μέσα σε 72 ώρες από τη οµιλία της η οµάδα της άρχισε να εντοπίζει ότι οι hackers είχαν ήδη αρχίσει να προσαρµόζονται, επηρεάζοντας τα χαρακτηριστικά του συστήµατος στα οποία είχε αναφερθεί, ένα προς ένα, παρά το γεγονός ότι η οµιλία της είχε γίνει σε κλειστό κύκλο και δεν είχε µεταδοθεί σε κανένα µέσο.
Τελικά, ήταν η εµπειρία της στο Android που έκανε την Stone την ιδανική υποψήφια όταν το Project Zero αποφασίστηκε να επεκταθεί. Επί της ουσίας, ο εντοπισµός προβληµάτων ή αδυναµιών στον κώδικα και να κινητοποιεί τους developers ώστε να αναπτύξουν λύσεις για αυτά σε γρήγορους χρόνους είναι ο πυρήνας των δραστηριοτήτων της οµάδας της Google. Το 2019 η αποστολή της οµάδας διευρύνθηκε, περιλαµβάνοντας και τον εντοπισµό, τη µελέτη και την εξάλειψη των αδυναµιών στο σύστηµα/ πρόγραµµα που οι hackers χρησιµοποιούν και εκτός των εφαρµογών της Google. Ακριβώς αυτό που έκανε η Stone όσο ήταν στην οµάδα του Android.
«Το βασικό που πρέπει να θυµόµαστε είναι ότι τα προβλήµατα που εργαζόµαστε για να επιλύσουµε δεν είναι θεωρητικά. Πρόκειται για πραγµατικά προβλήµατα τα οποία επηρεάζουν πραγµατικούς ανθρώπους, προκαλούν πραγµατικό κακό και έχουν ουσιαστική επίδραση στην Κοινωνία.», λέει ο Ben Hawkes, ένα από τα ιδρυτικά µέλη και διευθυντής του Project Zero. «Κατά συνέπεια η ιδία ήταν να δηµιουργήσουµε έναν υβριδικό ρόλο, µέσα στο πλαίσιο του Project Zero.» Ο ρόλος της Stone θα ήταν να γεφυρώσει το κενό ανάµεσα στον απλό εντοπισµό µεµονωµένων ελαττωµάτων στο πλαίσιο του κώδικα και στο πώς οι hackers συµπεριφέρονται και εξελίσσονται σε ευρύτερο επίπεδο. Επί της ουσίας, η Stone βοηθά το Project Zero να έχει µια πιο µακροσκοπική οπτική, καθώς εργάζεται ώστε να κατανοήσει τι κάνει συγκεκριµένες αδυναµίες, πολύτιµες στα χέρια των hackers και πώς θα µπορούσε να κάνει αυτή την εκµετάλλευση ακόµα πιο δύσκολη και πιο ασύµφορη για αυτούς. Την πρώτη της χρονιά στο Project Zero, η Stone ερεύνησε δεκάδες περιπτώσεις εκµετάλλευσης αδυναµιών λογισµικού, για να κατανοήσει πώς η κάθε µια εργαλειοποιήθηκε, αν οι τεχνικές που χρησιµοποιήθηκαν ήταν ήδη γνωστές ή καινούριες, τι εργαλεία χρησιµοποίησαν οι hackers για να εντοπίσουν την αρχική αδυναµία και κατά πόσο δοµικές βελτιώσεις σε επίπεδο λογισµικού θα µπορούσαν να αχρηστεύουν τέτοιες επιθέσεις από κακόβουλα άτοµα. «Πολλά από τα ευρήµατά µας ήταν µέχρι τώρα αρκετά αναπάντεχα» λέει η Stone «και το τελικό µου συµπέρασµα είναι ότι στις περισσότερες περιπτώσεις, δεν έχουµε ακόµα αρκετά δεδοµένα ώστε να µπορούµε να αποτρέπουµε τις επιθέσεις αυτές µε τον τρόπο που θα θέλαµε.»
Για παράδειγµα, το αρχείο που διατηρεί η οµάδα του Project Zero µε τις αδυναµίες λογισµικού ήδη από την αρχή του χρόνου περιλαµβάνει 15 διαφορετικές zero-day* απειλές που εντοπίστηκαν. Τρεις από αυτές εντοπίστηκαν από εργαλεία cybersecurity, όπως λογισµικά antivirus. Η Stone παρατηρεί ότι αυτός ο αριθµός είναι εντυπωσιακός, ειδικά συγκριτικά µε άλλες πλατφόρµες µε µεγαλύτερη έκθεση όπως ο Chrome, τα Windows ή το iOS, αλλά είναι δύσκολο να διακρίνουµε ακόµα αν αυτές οι απειλές είναι αδυναµίες που όντως έχουν τύχει εκµετάλλευσης ή παραµένουν ακόµα άγνωστες στους hackers. «Ουσιαστικά, µε βάση τα δεδοµένα που έχουµε στη διάθεσή µας, µας ξεφεύγουν πολλές ακόµα (πιθανές απειλές).» Κατά συνέπεια, η πιο σηµαντική δουλειά της Stone δεν είναι απλά να τσεκάρει τις απειλές, αλλά να εντοπίζει τρόπους µε τους οποίους τόσο το Project Zero και το σύνολο της βιοµηχανίας του cybersecurity µπορούν να βελτιωθούν. «Είναι η φιλοσοφία µε την οποία µεγάλωσα», δηλώνει η ίδια.