Kończy się lato, mamy wysyp konferencji, w tym tych traktujących mniej lub bardziej o bezpieczeństwie w internecie. Niejako na ostatnią chwilę zajrzałem we wtorek i środę na konferencję Security Case Study. Warto było - przynajmniej w kilku przypadkach dowiedziałem się czegoś nowego, bądź zyskałem zupełnie nowe spojrzenie na teoretycznie znane mi kwestie.
Przed- i wczorajsza konferencja nie bez przyczyny nosi tę nazwę - nic nie wpływa lepiej na naszą wyobraźnię, jak fakt, że taka sytuacja komuś już się zdarzyła. Nie zabrakło na niej oczywiście naszego przedstawiciela - dowodzący CERT Orange Polska Krzyszfof Białek opowiadał o atakach phishingowych na nasze faktury, jak sobie z nimi poradziliśmy i jak to początkowo złe wyszło na dobre (nie dość, że maile z fakturami są bezpieczniejsze, to na dodatek jeszcze ładniejsze :)
Czego ciekawego jeszcze się dowiedziałem? O, na przykład tego, jak rozpoznać skąd pochodzi malware. Firma FireEye rozpoznała z niemal stuprocentową pewnością, iż ataki grupy APT29, Advanced Persistent Threat wychodzą z Rosji. Jak na to wpadli? Ano dlatego, że wszelkie aktywności grupy miały miejsce w godz. 9-17 czasu moskiewskiego! Brzmi absurdalnie, niczym olbrzymi - lubię ten angielski zwrot - long shot? Teoretycznie tak - ale jeśli dodamy do tego fakt, że "w eterze" była cisza w dni tamtejszych świąt, a dodatkowo ostatnia aktywność była ukierunkowana na dostanie się do danych związanych z konfliktem rosyjsko-ukraińskim, to układanka składa się już nieco lepiej. Inżynier z FireEye opowiedział tez o mechanizmie użycia przez cyber-przestępców Twittera i maskowania docelowej aktywności. Malware wybierał "rdzeń" ID użytkownika z wewnętrznej listy, dodawał prefiks i sufiks charakterystyczne dla aktualnej daty, a następnie szukał na Twitterze kont o takich nazwach. Na koncie szukał linku do serwisu GitHub, gdzie znajdował się niepozornie wyglądający obrazek. W owym obrazku, metodą steganografii, ukryty był adres serwera Command&Control. Nieźle...
Oguz Yilmaz z Labris Networks odpowiedzial o podstępnych atakach DDoS. Podstępność polegała na uzmysłowieniu obecnym, że DDoS na witrynę WWW wcale nie musi oznaczać uderzenia w "twarz" naszego biznesu. Był on tylko zasłoną dymną - w wielu przypadkach DDoSy na banki zdarzały się krótko po dużych nieautoryzowanych transferach. Prelegent opisał też - skoro już mówimy o podstępach - DDoS na... urządzenie IPS (Intrusion Protection System). Nic nie wskazywało faktycznego ataku, IPS pokazywał tylko alerty o średnim poziomie ryzyka, a tymczasem okazało sie, że IPS jest przeładowany i nie jest w stanie analizować ruchu... Co zrobić? Zawsze można skorzystać z usługi DDoS Protection, oferowanej przez Orange Polska, używanej już przez ponad 20 firm w naszym kraju, głównie z sektora finansowego.
W kontekście dwóch opisanych prezentacji ciekawie wyglądał wynik ankiety (uczestnicy konferencji korzystali z pilotów, wyniki ankiet podawano natychmiast), jakoby zaledwie 27% reprezentowanych przedsiębiorstw padło ofiarą cyber-ataków, zaś 45% nie. Hmmm, ja bym im pozazdrościł życia w błogiej nieświadomości...
Nie ukrywam, że najbardziej czekałem na prezentację Adama Haertle, którego - do spółki z Piotrkiem Koniecznym - uważam za najlepszego mówcę na tematy bezpieczeństwa, z charyzmą i umiejętnością przedstawienia trudnych tematów w sposób zrozumiały dla każdego. Nie zawiodłem się, choć akurat stricte bezpieczeństwa IT było mało - warto było jednak posłuchać o meksykańskich gangach tworzących własne (!) sieci komórkowe, magicznych "skałach" izraelskiego wywiadu, podsłuchujących libańskie światłowody i filmujących okolicę, czy o... piosence, w refrenie której kolumbijska armia ukryła nadany alfabet Morse'a komunikat do więzionych przez FARC żołnierzy.
Teraz w ogóle szykuje się nawał konferencji, w ciągu najbliższych czterech tygodni pojawię się na trzech, a przynajmniej o dwóch napiszę dla Was: w przyszłym tygodniu Safer Internet w stołecznym Novotelu, w kolejnym Polish Network Operators Group (techniczna do bólu) w Krakowie, zaś w drugim tygodniu października Secure, również w Warszawie. Mózgu - szykuj się na nasiąkanie wiedzą :)