Dzisiaj wyjątkowo długo szykowałem cotygodniowy wpis o bezpieczeństwie, ale nie bez przyczyny – dopiero bowiem wczesnym wieczorem wyszedłem z Centrum Nauki Kopernik po drugim dniu 19. już edycji konferencji „Secure” – jak dla mnie najciekawszej konferencji w Polsce w tej dziedzinie. Nie mogłem oczywiście zobaczyć wszystkich prelekcji, choćby dlatego, że przez większość czasu odbywały się równolegle, ale jedno mogę powiedzieć – pracy dla moich kolegów po fachu i dla mnie jeszcze dłuuugo nie zabraknie.
Zacznę od końca, a to dlatego, że prezentacja Inbara Raza z izraelskiego startupu Perimeter X (lecz z kilkunastoletnim doświadczeniem w firmie Checkpoint) zrobiła na wszystkich bardzo duże wrażenie. Ja zapamiętam Inbara (do spółki z Davidem Jacobym z Kaspersky’ego) nie tylko jako kolesi z niesamowitym poczuciem humoru prowadzących prezentacje na bosaka ale przede wszystkim jako kolesi, którym rozjaśniają się oczy, gdy tylko gdzieś zobaczą dostępne gniazdo sieciowe, a widząc monitor dotykowy macają jego rogi, czy przypadkiem nie odpali się menu. Żarty żartami, ale Inbar pokazał obecnym kilkanaście przykładów, gdy takie podejście działało! Gdy bez problemu wszedł do menu Windowsa w automacie biletowym w kinie, a zamiast biletu wydrukował… niezaszyfrowane dane karty płatniczej z pliku, który znalazł. Zajęło mu to 65 sekund, w trakcie których odpowiedział menedżerowi kina, który zainteresował się tym co, robi: „Nic takiego, macie lukę bezpieczeństwa, ale już się tym zająłem”. Restauracja z gniazdem sieciowym w ogródku, do którego podpinana jest kasa? Chwila roboty i wewnętrzna sieć knajpy rozpoznana, kolejne dane kart kredytowych pozyskane, a na routerze DSL uruchomiony zdalny dostęp! Zły człowiek mógł wysysać regularnie przydatne informacje (w końcu w cyber-świecie możemy coś ukraść i jednocześnie zostawić u ofiary), ale Invar oczywiście za każdym razem tworzył raport, dostarczając go następnie lekkomyślnym firmom wraz z informacją, co należy zrobić, by się zabezpieczyć. Hobby takie. Ciekawa była też sytuacja, gdy przez system rozrywki włamał się do sieci szpitala, w którym leżał jego ojciec i pokazał jak z 3500 komputerów przy każdym z łóżek zrobić… botnet.
Załatwienie sprawy menedżera kina to idealny przykład na zastosowanie socjotechniki, a w tym mistrzem tegorocznego Secure’a okazał się Piotr Konieczny z Niebezpiecznika. Opisał on obecnym w pełnej – jak zwykle – sali przykłady trzech firm, które zamówiły u niego testy penetracyjne z zastosowaniem wyłącznie socjotechniki. Nie spodziewałem się dobrze, drobiazgowo przygotowany atak tego typu ma skuteczność bliską stu procent, do której nie zbliży się nawet najbardziej zaawansowany malware. Gdy Piotr opisywał jak jego pracownicy „rozgrywali” ofiarami za pomocą przejętych kont e-mail, siejąc niepokój i obsesję do tego stopnia, że w pewnym momencie już nikt nie wiedział, które konta są w rękach „przestępców” i co w treści maili jest prawdą, z jednej strony zazdrościłem im niezłej zabawy, z drugiej zaś – chyba nawet bardziej – współczułem ofiarom. W sumie jednak jeśli już paść ofiarą ataku to lepiej ze strony pentestera, niż faktycznego kryminalisty.
Zabawnie już nie było w przypadku wystąpienia Adama Haertle z UPC. Na pewno nie byłemu premierowi Libanu Rafikowi Haririemu, czy agentom CIA którzy porwali w Rzymie pewnego Egipcjanina. Ten pierwszy zginął tragicznie w 2005 roku w zamachu w Bejrucie, a obecni na prezentacji dowiedzieli się jak ONZ (Organizacja Narodów Zjednoczonych z jakiegoś powodu była wyjątkowo zainteresowana odnalezieniem sprawców tej tragedii) wyłącznie dzięki analizie metadanych związanych z połączeniami komórkowymi była w stanie nie tylko dokładnie prześledzić trasy, które przemierzali zamachowcy, ale także dokładnie rozpoznać ich schemat łączności oraz zidentyfikować personalnie najważniejszych pięciu sprawców. W drugim przypadku mieliśmy za to do czynienia z komedią pomyłek szpiegowskich wydawać by się mogło fachowców, w efekcie której Włosi zaczynając od analizy wspominanych metadanych byli w stanie zidentyfikować wszystkich (!) członków ekipy porywaczy, a nawet odnaleźć skany ich paszportów i udowodnić ponad wszelką miarę, że porwanie było zlecone i wykonane przez USA.
W ogóle o wykładach na tegorocznym Secure mógłbym napisać książkę wielkości niezłej nowelki, a przez dwa dni każdy mógł znaleźć coś dla siebie: były zarówno prezentacje mocno techniczne (na wieść o kryptografii krzywych eliptycznych zrobiłem wieeelkie oczy) ale nie zabrakło też tych zrozumiałych dla normalnych ludzi :), mimo tego i tak budzących zainteresowanie ludzi żyjących z bezpieczeństwa. Na początku pierwszego dnia udało się również zadebiutować mnie w roli prelegenta na Secure – wraz z Albertem Borowskim z Comp SA opowiadaliśmy o CyberTarczy.
Secure 2015 po raz kolejny umocnił swoją markę jako najbardziej uniwersalnej i – w mojej opinii – najciekawszej konferencji bezpieczniackiej w Polsce. 43 wykłady w dwa dni, wiele dylematów, którą z równoległych sesji wybrać, czołówka prelegentów z olbrzymią wiedzą i bardzo często nie mniejszą charyzmą. Ja już rezerwuję sobie miejsce na przyszły rok.
