1300 osób. Na raz, w jednym miejscu, na imprezie poświęconej cyberbezpieczeństwu. Gdyby 18 lat temu, gdy na krajowej scenie branżowych konferencji pojawiał się Confidence, mało kto przypuszczał, że: po pierwsze - wytrwa 18 lat; po drugie zaś - jego organizatorzy ściągną na dwa dni do Krakowa ludność całkiem solidnej wsi :)
60 prelegentów w ciągu dwóch dni na trzech równoległych ścieżkach. Choćby się bardzo chciało, nie da się obejrzeć wszystkiego na raz. Inna sprawa, że organizatorzy - jak zawsze w przypadku takich imprez - starali się, by równoległe wykłady znacząco różniły się tematami. Czasami się nie udawało, ale cóż - jak mawia przysłowie - jeszcze się taki nie urodził, co by wszystkim dogodził.
Nie tylko dla hardkorów
Confidence to nie bez przyczyny jedna z konferencji, na które zawsze chętnie jeżdżę. A to dlatego, że - co chyba co roku zaznaczam :) - choć wśród jej uczestników można wypatrzeć wielu naprawdę hardkorowych hackerów, bez problemu mogłem znaleźć tematy dla siebie. Czasami starałem się zrozumieć nieco więcej, ale gdy Michał Sajdak opowiadał o szczegółach niezałatanych podatności za lat... 80. i 90., to tylko patrzyłem z otwartymi ustami. Pilot do prezentacji, którego można użyć (zdalnie rzecz jasna) do wstrzyknięcia dowolnej sekwencji przycisków na komputerze prelegenta? Robi wrażenie, a to wcale nie była najstarsza, najbardziej abstrakcyjna i najprostsza do zexploitowania podatność.
Później wybierałem już prelekcje, które rozumiałem, a ciekawostek było sporo. Opowieści o CyberPolicji w wykonaniu Łukasza Pietrzaka z Komendy Wojewódzkiej Policji w Kielcach bawiły, ale był to śmiech przez łzy. Historia pana, który tak się przejął losem swojej wielkiej miłości z Nigerii (którą znał oczywiście tylko mailowo) do tego stopnia, by na jednej z komend powiatowych zgłosić jej... porwanie dowodzi, że przed ekspertami uczącymi świadomości zagrożeń w sieci jest jeszcze dużo pracy. Policyjne statystyki związane z cyberprzestępczością porażają. Wiecie, że ofiarą ataków w sieci tylko w Polsce statystycznie pada 18 osób... na sekundę? Straty finansowe to 110 mld $ rocznie na świecie, z czego równowartość niemal 5 mld PLN w naszym kraju.
Nieśmiertelne pory roku
Kirils Solovjovs opowiadał przez 45 minut o obrosłym legendą "Collection #1" - wycieku przeszło 3 miliardów unikalnych loginów i przyporządkowanych do nich haseł z całego świata. Najpopularniejsze? 123456 rzecz jasna! Można powiedzieć, że 0,32% całości to przecież niewiele, ale pamiętajmy, że mówimy o 0,32% z trzech miliardów! Jakby nie patrzeć to 10 milionów ludzi, którzy w tak oryginalny sposób postanowili zabezpieczyć swoje cyfrowe tożsamości!
Wśród najpopularniejszych haseł, obok klasyków w styli 1qazxsw2, czy qwerty, znajdowały się też hasła relatywnie trudne, ale nie przypominające "ścieżki" na klawiaturze. Na kilku prezentacjach podczas Confidence usłyszałem dotyczącą ich teorię, w którą jestem w stanie uwierzyć. Co byście powiedzieli na wspólne hasło dla grupy botów, czy też - bez spiskowych teorii "marketerów szeptanych", dostających po kilka złotych za pozytywne recenzje produktów w sklepach i porównywarkach? Ma sens, prawda? Ciekawostką była jeszcze przygotowana przez Solovjovsa lista najpopularniejszych haseł w domenie gov.pl. Bez zaskoczeń jeśli chodzi o skalę "trudności": katalog10, 123456, Wronia53 (ciekawostka, pod tym adresem mieści się siedziba Generalnej Dyrekcji Dróg Krajowych i Autostrad) oraz nieśmiertelna "Wiosna18".
Confidence o socjotechnice
Na konferencji oczywiście nie mogło zabraknąć "Trzech Króli polskiego awarenessu" - Kacp... tzn. Piotra Koniecznego, Adama Haertle i Borysa Łąckiego :) Opisywanie prezentacji całej trójki mija się z celem, bowiem kluczem do odbioru wygłaszanych przez nich treści jest charyzma prelegentów. Z wystąpienia Piotra warto zapamiętać stronę https://nbzp.cz/premium-stop/, ze szczegółowymi informacjami jak wyłączyć serwisy premium u wszystkich krajowych operatorów telefonicznych. Oczywiście jak za każdym razem kilkadziesiąt osób dało się złapać na stary trik o "QR-kodzie do zeskanowania zamiast spisywania długiego adresu".
Adam opowiadał o tym jak bardzo ludzie chcą się zainfekować, do tego stopnia, że nie mogąc otworzyć maila z malwarem... piszą do nadawcy, że coś jest nie tak z załącznikiem. Skąd o tym wiedział? Ano stąd, że w jednej z ubiegłorocznych kampanii dowcipny sprawca jako adres zwrotny phishingowej korespondencji umieścił prywatnego Gmaila naczelnego Zaufanej Trzeciej Strony. Chciał mu zrobić przykrość, tymczasem dostarczył bardzo ciekawego materiału do analizy. Najbardziej zapamiętałem jednak końcówkę prezentacji, z komentarzami "najmądrzejszych" czytelników Z3S, piszących jakimi idiotami są ci, którzy łapią się na phishingi. Nie, panowie -
jeśli robicie w cyberbezpieczeństwie i wasi użytkownicy łapią się na proste phishingi, to idiotami jesteście WY
Bo mimo posiadanej wiedzy nie potraficie ich wyedukować.
Prezes w samolocie, pora na atak
O socjotechnice, ale od strony pentestera, opowiadał Borys. Wiecie jaka jest skuteczność takich testów? 100 procent, zawsze. A to dlatego, że do sukcesu nie muszą zainfekować się wszyscy - wystarczy jeden. Wniosek? Przygotuj się na incydent, bądź gotów na błyskawiczną reakcję, wyedukuj wszystkie szczeble pracowników. No i ustal "chain of command", by nie zdarzały się sytuacje, gdy pod nieobecność prezesa, przy dobrze przygotowanym ataku, zanim ktoś dodzwoni się do szefa, na koncie firmy nie będzie już pieniędzy...
Notabene o takim prawdziwym - nie pentesterskim - przypadku opowiadał Jan Klima z Komendy Wojewódzkiej Policji w Krakowie. Wzorcowy OSINT (Open Source Intelligence), włamanie się do firmy-ofiary i obserwowanie formy, stylu i języka wysyłanych maili i wreszcie atak, gdy prezes był na pokładzie lecącego na Daleki Wschód samolotu. Efekt? 345 tysięcy euro "w plecy", ale ostatecznie przestępcy wpadli w ręce sprawiedliwości.
O takich konferencjach jak Confidence można by pisać bardzo długo, a tematy dla siebie znajdą zarówno ci szukający "miękkiego" bezpieczeństwa jak i ci, którzy z wypiekami na twarzach patrzą w totalnie niezrozumiałe np. dla mnie linijki kodu. Za rok w czerwcu w Krakowie kolejny Confidence. Warto zajrzeć.
Komentarze
Żyjemy w czasach w jakich żyjemy – uważam że z każdym rokiem nasze poczucie niebezpieczeństwa w sieci będzie narastać. Ale……świat zmierza ku pełnej informatyzacji i sztucznej inteligencji – wszystko super. Tylko żeby od tego wszystkiego ludzie nie „pogupieli” i kiedyś nie zgubiło to naszego pięknego świata.
Odpowiedz