Raluca Popa a terminat doctoratul la Massachusetts Institute of Technology (MIT) din SUA în domeniul informaticii cu specializarea în Securitatea Internetului. Teza sa de doctorat contribuie la protejarea datelor confidenţiale sau private împotriva hackerilor şi a câştigat premiul Sprowls pentru cea mai bună teză în informatică de la MIT. Proiectul său CryptDB este folosit de companii de renume precum Google, SAP AG şi Lincoln Labs. La începutul acestui an a decis să accepte oferta Universității Berkeley, unde își va începe cariera academică.
Hackerii pot controla stimulatoarele cardiace din inimile oamenilor
Ce crezi că îi determină pe hackeri să aleagă partea întunecată a internetului? Și ce şanse au „băieții buni” să le țină piept în această luptă?
Hackerii, aceşti „bad boys” ai internetului, pot să aibă raţiuni diferite: motive financiare, spionaj, concurenţă, răzbunare, furt de date sau, uneori, pur şi simplu dorinţa de a face rău. Din fericire, eu cred că băieţii buni au şanse destul de mari de reuşită. Deja există măsuri puternice pentru a opri o mare parte din atacuri. De fapt, cauza principală a reuşitei atacurilor este că multe companii folosesc metode de siguranţă învechite sau nu investesc suficient în protejarea datelor.
Este mai ușor să spargi sisteme de securitate decât să le creezi?
Da, este cu mult mai uşor să le spargi. Pentru a le sparge este suficient să găseşti o gaură neacoperită în sistem, pe când, pentru a crea un sistem de siguranţă, trebuie să te asiguri că nu rămâne nicio gaură descoperită.
Se spune că nu se poate construi un sistem informatic infailibil. Cât de gravă este problema aceasta într-o societate tot mai dependentă de internet?
Problema este una de definiţie. Nu ştim exact ce înseamnă un sistem infailibil. De multe ori când precizăm concret printr-un model matematic ce proprietăţi de siguranţă dorim de la un sistem, reuşim să creăm un asemenea sistem şi să dovedim matematic că îndeplineşte condiţiile necesare. Deci, într-un fel, acesta este un sistem infailibil referitor la definiţia noastră. Dar apoi ne dăm seama că am uitat o proprietate, sau nu ne-am gândit la o componentă a sistemului în modelul matematic şi tocmai aceea a fost atacată de hackeri.
Aşadar, cred că golul nostru de infailibilitate nu este bine precizat şi de fapt este extrem de greu de punctat o listă de proprietăţi ale unui sistem, căci sistemele sunt complexe şi interacţionează complex cu alte sisteme.
Experții de pe piețele financiare avertizează că următoarea criză majoră va fi declanșată de un atac cibernetic. O altă problemă alarmantă este aceea că, în acest moment, hackerii pot fura date chiar și din calculatoarele care nu sunt conectate la internet. Pare de-a dreptul înspăimântător…
Este înspăimântător, într-adevăr. Şi ca să vă sperii şi mai tare, hackerii pot ajunge să controleze şi stimulatoarele cardiace din inimile oamenilor cu probleme. De fapt, în domeniul informaticii a început un curent foarte promiţător de a crea mici dispozitive care pot fi inserate în corpul uman şi care pot depista foarte devreme boli periculoase şi transmit prin WiFi informaţia culeasă unui doctor, aşadar salvând viaţa purtătorului. Primejdia este dacă aceste aparate sau serverele care le controlează ajung sub stăpânirea hackerilor… Repet, însă, există măsuri de siguranţă care pot să protejeze împotriva multor hackeri atâta vreme cât sunt implementate adecvat.
Nu suntem pregătiţi pentru toate atacurile cibernetice
Recentele evenimente de la Sony Pictures (studioul atacat de hackerii nord-coreeni) și de la Paris (atacul terorist asupra redacției „Charlie Hebdo”) au demonstrat că nu mai este de glumit cu insecuritatea cibernetică. Cât de pregătită este omenirea să facă față unor atacuri cibernetice în masă?
Nu cred că suntem pregătiţi pentru că este un concept nou şi nenatural pentru noi. Dar eu cred că atâta vreme cât siguranţa este luată foarte în serios de fiecare companie şi guvern, vor fi cu mult mai puţine probleme.
De unde pasiunea ta pentru informatică și pentru securitate informatică?
Nu cred că în urmă cu ani de zile, când ai început să studiezi această știință, îți imaginai că marea ta pasiune va deveni prioritate zero pentru majoritatea guvernelor în doar câțiva ani.
Am ales informatica pentru că talentul necesar în IT mi se potrivea perfect, logică şi inginerie, şi pentru că mă fascina nespus. Vedeam cum informatica pătrunde în fiecare aspect al vieţii, nu doar în calculator, dar şi în telefonul celular, în avioane, în sistemele bancare, în maşinile pe care le conducem, în ceasuri şi în multe altele. Ideea de a putea programa şi controla toate aceste obiecte mă entuziasma enorm.
Mi-a plăcut să lucrez în securitate informatică din două motive. În primul rând, securitatea combină gândirea matematică şi teoretică cu ingineria, o combinaţie irezistibilă pentru mine. Cursurile de securitate si criptografie m-au fascinat: străbăteau de la locuri magice ale matematicii criptografice până la sisteme inginereşti impresionante. În al doilea rând, începeam să îmi dau seama că este o problemă foarte importantă şi îmi doream să contribui şi eu la ea.
Ai ales să profesezi la Berkeley, în timp ce în România tocmai se pune pe picioare un mic Silicon Valley. E vorba despre megaproiectul laserilor de mare putere de la Măgurele care, spun specialiștii, are potențialul de a schimba faţa Științei în următorii ani. Unii dintre cei mai importanți specialiști mondiali din domeniu vor lucra aici pe salarii comparabile cu cele de afară. Te-ar tenta să lucrezi în viitor în România?
Posibil că da. Câtă vreme resursele pentru cercetare, etică academică şi respectul pentru cercetători este la fel ca şi afară, nu exclud posibilitatea de a mă întoarce.
Ce ne poți spune, pe scurt, despre CryptDB și Mylar, cele două proiecte ale tale, folosite de companii de renume precum Google, SAP AG, Lincoln Labs respectiv Spitalul Newton-Wellesley din Boston?
CryptDB şi Mylar implementează viziunea mea de securitate: calculul pe date cifrate. Datele cifrate ascund conţinutul privat al datelor împotriva hackerilor. Ele pot fi descifrate doar de utilizatorii care deţin aceste date prin intermediul parolelor. Problema multor sisteme de securitate este că în momentul în care datele devin cifrate, serverele nu mai pot să calculeze pe aceste date. De exemplu, serverele nu îţi mai pot spune că ai primit un e-mail de la şef, că ai un prieten în comun cu altcineva, şi nu mai pot să îţi facă recomandări de cărţi sau alte produse, pentru că datele cifrate sunt aleatorii. Drept urmare, multe sisteme nu cifrează datele căci altfel nu mai pot funcţiona. Ideea mea principală este să dezvolt protocoale de cifrare care permit serverelor să calculeze pe date cifrate! În continuare, serverele nu pot să vadă date private, dar pot să calculeze pe date cifrate fără să le înţeleagă. Sună paradoxal, dar este posibil! CryptDB şi Mylar îndeplinesc acest lucru.
Adam Epstein, consultant la Third Creek Advisors, a publicat o carte „how-to” pentru membrii consiliilor de administrație. Câteva dintre recomandările lui Epstein sună astfel:
1. Atacurile cibernetice pot fi prevenite. Nu, nu pot fi, afirmă Epstein. Aceste atacuri sunt o chestiune de „când”, și nu de „dacă”.
2. Echipa IT este pregătită. Nu. Ședințele de securitate cibernetică, de obicei, constau într-o prezentare periodică a situației antivirușilor și firewall-ului de către șeful IT. Deoarece este o lipsă de experți în securitate, managementul, de multe ori, este informat numai de actualizările din IT.
3. Infractorii cibernetici sunt interesați de cardurile bancare. Greșit, mai spune Epstein. Infractorii cibernetici au scopuri diferite, de la crearea de haos, la spionaj și terorism. Informațiile de pe cardurile bancare sunt cu siguranță o țintă, dar ținte sunt și informațiile personale, proprietatea intelectuală, documentele strategice, lista de clienți, ca și alte informații mai puțin publice.
Are dreptate Epstein? Căci dacă are, mă tem că lumea nu va mai fi pentru multă vreme așa cum o știm astăzi.
Cred că Epstein are dreptate cu punctele 2 şi 3, şi doar parţial cu punctul 1. Eu cred că multe dintre atacurile cibernetice pot fi prevenite dacă o companie are sistemul de securitate de actualitate şi bine pus la punct de experţi din domeniu. Dar, evident, sunt şi multe atacuri „zero-day” care sunt greu de prevenit chiar şi de experţi.
Raluca Popa a primit primul calculator la vârsta de 12 ani. „Tatăl meu, fiind electrician, l-a construit, şi mama, inginer informatician, l-a programat”.
Proiectul său, CryptDB, este folosit de companii de renume precum Google, SAP AG şi Lincoln Labs, iar Mylar, un alt soft creat și dezvoltat de Raluca, criptează informațiile mai bine decât orice alt program existent pe piaţă.
SECURITATEA VIITORULUI STĂ ÎN MÂINILE EI
Despre legea Big Brother
În contextul unei regândiri globale a securității cibernetice, prin măsuri care amintesc tot mai mult de distopia imaginată de Orwell în romanul său 1984, Q Magazine a stat de vorbă cu Raluca Ada Popa despre mitul unui sistem informatic infailibil și oportunitatea controversatelor legi Big Brother. „Cât de pregătită este omenirea să facă față unor valuri de atacuri cibernetice? Sincer, nu cred că suntem pregătiți pentru așa ceva, pentru că ne aflăm în fața unui concept nou și nenatural pentru noi. Sunt convinsă însă că atâta vreme cât siguranța informațională este luată foarte în serios de fiecare companie și de fiecare guvern în parte, vom avea mult mai puține probleme”, spune Raluca Ada Popa, în exclusivitate. „Pe mine, legea Big Brother în sine nu mă deranjează, ci modul în care ar putea fi implementată. De ce spun asta? Pentru că această lege – continuă interlocutoarea noastră – poate fi implementată în mod atent și responsabil, astfel încât foarte puține persoane să aibă acces la datele private colectate și numai în cazuri excepționale sau, dimpotrivă, poate fi implementată într-un mod dăunător, prin tratarea neglijentă a datelor private, variantă în care, fără un motiv întemeiat, acestea să devină accesibile mai multor persoane. Pe de o parte, sunt conștientă că legea Big Brother încalcă dreptul la intimitate, dar pe de altă parte, îmi dau seama că toată această colectare de date, folosită în mod eficient, poate duce la depistarea unor activități deosebit de periculoase și, drept urmare, poate salva numeroase vieți.”
Algoritmii care pot salva lumea
Interesant este că programele informatice elaborate de Raluca au potențialul de a rezolva dilema care a galvanizat societatea civilă în plină eră Big Brother, și anume cum poți lupta eficient împotriva terorismului cibernetic fără a restrânge drepturile și libertățile cetățenilor. „Eu am o altă viziune asupra problemei, aș spune o viziune idealistă, pe care cercetarea mea o deschide și pe care sper să o pot realiza în decursul vieții. Ar fi ideal ca Guvernul să obțină doar date cifrate – aceste date protejează intimitatea utilizatorilor, căci nu pot fi descifrate de Guvern, ci doar de utilizatorii cărora le aparțin. În același timp, aceste date sunt cifrate cu algoritmi speciali care permit Guvernului să depisteze dacă vreun e-mail sau vreo înregistrare telefonică conține cuvinte suspecte sau vorbește despre un atac terorist. Sună paradoxal, dar este posibil să cauți cuvinte sau comportament suspect chiar și pe date cifrate, dacă sunt cifrate cu anumiți algoritmi. Apoi, dacă o conversație are această proprietate suspectă, automat algoritmul de cifrare permite Guvernului să descifreze conversația. Dar dacă o conversație nu are elemente suspecte, Guvernul nu va putea prin nicio modalitate să descifreze datele noastre private. Teza mea de doctorat a demonstrat deja că avem astfel de algoritmi pentru alte probleme și am speranța și optimismul că vom putea să îi extindem și la această problemă de importanță globală”, explică, pentru Q Magazine, experta noastră care a absolvit MIT.
Snowden are dreptate, nu aceasta este soluția
De ce suntem atât de vulnerabili în fața intruziunilor hackerilor și guvernelor? „Codul care rulează în browser vine de la un server. Guvernele sau hackerii injectează cod maliţios şi fură cheile de acces. Până acum nu exista protecţie. În cazul nostru, putem să verificăm dacă există cod corupt”, mai spune cel mai bun student român din străinătate. „Dacă astăzi Facebook şi Google oferă o listă întreagă de conversaţii deschise, cu Mylar, NSA sau orice serviciu de spionaj ar primi practic o cutie închisă. Dacă o deschid, vom şti acest lucru. Cu Mylar, niciodată serverul nu va primi datele decriptate, chiar dacă guvernul obţine controlul complet”, precizează interlocutoarea noastră. Referitor la recentele atacuri teroriste de la Paris, despre care Edward Snowden, fost consultant al Agenției de Securitate Națională (NSA) din SUA, spunea că nu au putut fi împiedicate în pofida uneia dintre cele mai intruzive legislații din Europa privind monitorizarea comunicațiilor telefonice și electronice, Raluca mărturisește: „Sunt de acord cu Snowden, în sensul că munca autorităților de a colecta petabiți de date private este în zadar, dacă acestea nu știu cum să găsească suspecții și activitățile cu adevărat primejdioase în tot acel volum uriaș de informații. De fapt, cu cât colectează mai multe amănunte despre viața personală a oamenilor și cu cât le urmăresc mai îndeaproape activitatea, cu atât le este mai dificil să facă analize corecte și coerente. După părerea mea, mai logic ar fi ca un guvern să identifice care este selecția minimă și necesară de date private. În acest mod, ar intrude mai puțin în viața privată a cetățenilor și, paradoxal, ar avea șanse mai mari să descopere activități suspecte în acest morman de date și informații colectate”.
A refuzat oferta Google pentru a-și urma visul
În ciuda ofertelor tentante venite din partea unor companii precum Google, sclipitoarea româncă de 28 de ani a decis să-și continue cariera în mediul academic, tocmai pentru a-și putea duce la bun sfârșit cercetarea începută în domeniul securității cibernetice. De fapt, pentru a-și urma visul – protejarea viitorului omenirii. Nu i-a fost ușor să aleagă, după ce pe adresa ei au sosit „scrisori de curtoazie” de la cele mai mari universități din lume, inclusiv MIT, Stanford, Berkeley, Harvard sau Princeton. A acceptat în cele din urmă oferta Universității Berkeley, unde va începe în curând să predea. Cât despre o eventuală revenire în România, Raluca Ada Popa spune, fără menajamente, că totul depinde de dorința și de putința guvernanților de a aduce țara la un nivel comparabil cu al Occidentului. „Ca profesoară aici, n-aş putea să mă ajut nici pe mine, n-aş putea ajuta nici ţara. Dacă în anii care vor urma, resursele pentru cercetare, etica academică și respectul pentru cercetători va fi precum cel de afară, nu exclud posibilitatea de a mă întoarce. Consider că, momentan, modul cel mai eficient în care pot contribui este să vin şi să predau cursuri ocazional și să întocmesc proiecte de colaborare cu cei din România”.