Καλησπέρα σε όλους, η σημερινή σύσκεψη στο ΓΕΕΘΑ είχε διττό ρόλο. Αφενός την ενημέρωση για τις 3 επερχόμενες ασκήσεις και αφετέρου την συζήτηση για την ανάγκη Εθνικής Στρατηγικής Κυβερνοασφάλειας. Σε σχέση με το πρώτο σκέλος. Την επόμενη εβδομάδα 18 και 19 Μαρτίου θα διεξαχθεί η Άσκηση Cyberprotector 2014. Η Άσκηση αυτή είναι μια υψηλού επιπέδου άσκηση σε πραγματικό χρόνο (με πραγματικά πυρά όπως θα έλεγαν στον στρατό) και θα γίνει με επιθέσεις μιας έμπειρης νατοϊκής Red Team σε 8 ελληνικές Blue Team σε πραγματικά μηχανήματα που θα φτιαχτούν για αυτή την άσκηση. Το περιβάλλον αποτελείται από μικτό περιβάλλον windows και linux server και πληθώρα υπηρεσιών, όπως Active Directory, mail server, db server κα. Σκοπός είναι η προστασία των μηχανημάτων. Η άσκηση έχει rating το οποίο θα ανακοινωθεί. Η κάθε ομάδα αποτελείται από 8 διαχειριστές συστημάτων που θα αναλάβουν να προστατέψουν τα μηχανήματα. Η ΕΕΛΛΑΚ θα συμμετάσχει ως μία από τις ομάδες και θα συνεργαστεί (λόγω περιορισμένου αριθμού ομάδων) μαζί με το ΤΕΙ Λάρισας και την εταιρία Voicenet του ΟΤΕ. Οι δύο επόμενες ασκήσεις είναι η άσκηση Cyber Europe που τρέχει από τον ENISA και η άσκηση ΠΑΝΟΠΤΗΣ 2014 που διεξάγεται από την Διεύθυνση Κυβερνοπολέμου του ΓΕΕΘΑ. Οι δύο ασκήσεις αυτές είναι ταυτόσημες στο μεγαλύτερο μέρος τους αφού η ΔΙΚΥΒ λόγω της εμπειρίας της αλλά και λόγω της Ελληνικής Προεδρίας της ΕΕ έχει γράψει το σύνολο των σεναρίων της Cyber Europe. Πρακτικά λοιπόν τα σενάρια θα είναι τα ίδια και το μόνο που χρειάζεται θα είναι η αποστολή των απαντήσεων σε δύο διαφορετικά email. Η άσκηση θα γίνει με μελέτη ασκήσεων που θα αφορούν ένα σύνολο περιπτώσεων επίθεσης κυρίως με ανάλυση logs αλλά και μελέτη μηχανήματος που βρίσκεται σε λειτουργία. Ο βαθμός δυσκολίας δεν είναι ιδιαίτερα υψηλός που να αφορά μόνο έμπειρους διαχειριστές συστημάτων. Στην άσκηση αυτή ο ρόλος της ΕΛΛΑΚ είναι σημαντικός αφού προτείναμε και έγιναν αποδεκτά τα παρακάτω. 1. Secure mail. Είχαμε προτείνει από καιρό και είναι μάλιστα μέρος της ομάδας εργασίας για την ασφάλεια, την χρήση PGP κρυπτογράφηση και υπογραφή για την διακίνηση mail και αρχείων. Η πρόταση ήταν να γίνει ένα PGP signing party στα πλαίσια της άσκησης και να χρησιμοποιηθεί η σχετική μεθοδολογία για την ασφαλή επικοινωνία. Η πρόταση έγινε αποδεκτή και στην άσκηση ΠΑΝΟΠΤΗΣ 2014 θα γίνει όλη διακίνηση email μέσω PGP. Εμείς ως ΕΛΛΑΚ θα ετοιμάσουμε οδηγίες τόσο για το PGP signing party όσο και για την χρήση του PGP με mail clients. Σκοπός είναι να καθιερωθεί η χρήση του PGP και να διαθωθεί η χρήση του. Οι λόγοι πέρα από πρακτικοί (αφού οτ PGP ήδη είναι ο πιο απλός και φτηνός τρόπος ασφαλούς επικοινωνίας, ταυτοποίησης και κρυπτογράφησης) είναι και πολιτικοί με δεδομένο ότι το μοντέλο του PGP στηρίζεται τόσο στην έκδοση των κλειδιών όσο και στην διαχείριση και το revocation σε ένα Δίκτυο Εμπιστοσύνης (web of trust) και όχι σε κάποια κεντρική αρχή που μπορεί τόσο να γίνει compromise όσο και να έχει μελλοντικά κακόβουλους στόχους. 2. Το ΕΕΛΛΑΚ θα συγκεντρώσει και δημοσιοποιήσει μια λίστα με εφαρμογές ανοικτού κώδικα που είναι χρήσιμες τόσο γενικά για την προστασία εφαρμογών όσο και ειδικά απαραίτητες για την συμμετοχή κάποιου στην Άσκηση ΠΑΝΟΠΤΗΣ. Η πρόταση έγινε αποδεκτή και ήδη υπάρχει σχετικό υλικό στα πλαίσια της ομάδας εργασίας για την ασφάλεια. 3. Θα δοθεί στην ΕΕΛΛΑΚ παλαιών ασκήσεων με στόχο την αναπαραγωγή τους σε workshop τόσο για εκπαιδευτικούς λόγους για κάποιους που μπορεί να θέλουν να συμμετάσχουν στην άσκηση όσο και για εξοικείωση με εργαλεία ελεύθερου λογισμικού που αφορούν την ασφάλεια. Τέλος προτείνω να συμμετάσχουμε και στις δύο ασκήσεις του Απριλίου (Cyber Europe και ΠΑΝΟΠΤΗΣ 2014) σε όλα ή σε κάποια από τα σενάρια. Ως χώρος για την διεξαγωγή της άσκησης προτείνεται είτε τα γραφεία της ΕΕΛΛΑΚ είτε αν υπάρχει δυνατότητα χώρου στο ΕΚΤ ή στο ΕΜΠ. Σχετικά με την Εθνική Στρατηγική Κυβερνοασφάλειας στόχος είναι να συμμετέχουμε θεσμικά στην όποια συζήτηση γίνει με στόχο την διασφάλιση της ανοικτότητας στα εργαλεία και στον τρόπο λειτουργίας. Πέρα από την συμμετοχή στην εκπόνηση της στρατηγικής έχουμε ιδιαίτερο ρόλο στην αποτύπωση του επιχειρησιακού σχεδίου που θα υλοποιήσει την στρατηγική. Με εκτίμηση Παναγιώτης Κρανιδιώτης