Gdybym swoje opinie o życiu w cyber-przestrzeni czerpał tylko z branżowych konferencji, podejrzewam, że wyprowadziłbym się w Bieszczady i żył w samotni w towarzystwie niedźwiedzi i innych równie uroczych okazów tamtejszej flory. A na pewno z dala od internetu… Takie wrażenia towarzyszyły mi podczas słuchania kolejnych prezentacji na konferencji CONFidence 2014. W tym roku post-industrialne wnętrza wymarłego krakowskiego hotelu Forum gościły czołowych specjalistów od bezpieczeństwa IT z Polski i Europy, którzy pojawili się pod Wawelem już 10. raz. Jak było?
Różnie. Chwilami wesoło, jak podczas prezentacji niezwykle charyzmatycznego Chrisa Nickersona, ciekawie (gdy Paweł Goleń opowiadał o tym, jak najbezpieczniej potwierdzać e-przelewy), czasami… niezrozumiale – w moim przypadku zawsze, gdy prezentacja okazywała się być baaardzo techniczna (dla mnie nazwa C++ to wciąż tylko dziwna mieszanka liter i matematyki), zazwyczaj jednak po prostu smutno, lub wręcz przerażająco. No bo jak określić sytuację, gdy prezenter sypie jak z rękawa rozmaitymi podatnościami systemów SCADA (Supervisory Control And Data Acquisition), odpowiedzialnych za zarządzanie np. elektrowniami, czy miejskimi wodociągami? Albo opowiada jak duże systemy biznesowe wystarczająco ładnie poproszone same podadzą nam hasła, pozwalające na wprowadzanie w nich zmian? Jak rozwiązania, pozwalające np. zdalną kontrolę systemów alarmowych mają domyślnie ustawiane hasła o długości… czterech znaków, a na dodatek mogą je wysłać do napastnika otwartym tekstem?
Uważacie, że tak naprawdę wy, jako użytkownicy, nie macie z tym wszystkim nic wspólnego? A co powiecie na to, że – przynajmniej w opinii Yaniva Mirona i tajemniczego „M C” – nie ma bankomatu, którego nie da się okraść (a przynajmniej oni takiego nie spotkali)? Urządzenia, których odporność na atak testowali, okazywały się być wyposażone w trywialnie łatwe do otworzenia zamki, niedziałające (!) systemy alarmowe, dyski na których (zamiast niegdysiejszych drukarek) gromadzone są pełne dane milionów (!) kart, z których dokonywano wypłat, okazały się być nieszyfrowane i łatwe do skopiowania, oprogramowanie urządzenia bez problemów pozwalało na instalację złośliwego oprogramowania, zaś kamery albo nie działały, albo nie wywoływały reakcji ochrony. A przecież, żeby okraść bankomat, niekoniecznie trzeba wyciągać z niego pieniądze…
Jeśliby poszukać części wspólnej w prezentacjach, które zrozumiałem ;), w większości przypadków był nią – cóż za niespodzianka – człowiek. Najpierw ten, który oszczędza na zasobach (czasie/pracy/pieniądzach) i albo wypuszcza na rynek „dziurawy” produkt. Potem ten, który świadom kosztów wprowadzenia zmian, udaje, że nic się nie dzieje. Na koniec zaś ten, któremu nie chce się zastanowić zanim coś zrobi, reaguje automatycznie, a potem płacze. Co ciekawe, Chris Nickerson wcale nie odsądza od czci i wiary tych ostatnich, wysuwając teorię, że skoro użytkownik robi coś głupiego, to znaczy, że został źle nauczony. A kto miał go nauczyć? Oczywiście „branża”, czyli my. Nie da się ukryć, że coś w tym jest. Szereg przytoczonych przez Chrisa przykładów udanych socjotechnicznych ataków (najbardziej podobał mi się ten, gdy wraz z kolegą przebrali się za pracowników elektrowni i nawet nie musieli się zbytnio starać, bo ochroniarze wręcz wciągnęli ich do pomieszczeń serwerowni dużej firmy i… zostawili samych) wskazuje, że roboty niestety nie zabraknie. A jeśli ktoś wciąż nie daje się przekonać, zamiast mówić, co złego może się stać, trzeba po prostu to zrobić. Nic lepiej nie uświadomi ryzyka kradzieży kieszonkowej, niż stukający nas w ramię policjant w cywilu, wręczający nam „bezpiecznie” schowany portfel.
