"Ależ ja na to czekałem!" - wydawali się mówić wszyscy obecni osobiście w Krakowie na Confidence 2022. Czołowa polska - i popularna w Europie - konferencja cyberbezpieczniaków to kolejna impreza, która po pandemii wróciła do formuły "na miejscu".
"Martwi mnie średnia wieku obecnych na Confidence 2022" - to jeden z wniosków z prezentacji Andrzeja Karpińskiego, dyrektora cyberbezpieczeństwa w Biurze Informacji Kredytowej. Popularny "Karpio", który lata przepracował w Orange Polska, w mojej opinii przesadził po dwakroć. Po pierwsze - nie wiem, gdzie patrzył, ale ja widziałem w krakowskim Muzeum Lotnictwa sporo młodzieży. Po drugie, Confidence akurat od zawsze pełni rolę takiego "zlotu dinozaurów" naszej branży. To spory plus i powód do chwały dla organizatorów imprezy, którzy rokrocznie gromadzą top krajowych ekspertów z branży.
O czym tak rozprawialiśmy
Tym razem nieco zmienię tradycję relacjonowania najciekawszych wykładów najpierw pierwszego, a potem drugiego dnia konferencji. Z występu nadkom. Dominika Rozdziałowskiego, naczelnika wydziału do walki z cyberprzestępczością KWP w Kielcach zapamiętałem najbardziej jedną rzecz. Do wybuchu wojny w Ukrainie telefoniczni spooferzy podszywali się pod banki, używając stron/bramek spoofingowych i mówiąc ze wschodnim akcentem. Niemal od razu skończył się ruch z bramek, atakujący zaczęli mówić dobrą polszczyzną, porządnie przygotowując się do ataków. Skąd wiadomo? Sugerując np. ofierze spacer do banku i wypłatę pieniędzy, używali regionalizmów w języku "na dwór" vs. "na pole" i kierowali ją do banku przez telefon, używając nazewnictwa charakterystycznego dla "lokalsów".
I Ty możesz być debilem
Głównym motywem zarówno nadkom. Rozdziałowskiego, jak też rozpoczynającego w poniedziałek konferencję Piotra Koniecznego z Niebezpiecznika była gra na emocjach. Przestępcy, którzy chcą nas przekonać do wypłaty pieniędzy, czy wpisania na podstawionej stronie loginu i hasła do banku, są - o czym regularnie piszę i tutaj i na stronie CERT Orange Polska - wytrawnymi socjotechnikami. Dlatego zanim czytając o kolejnej ofierze bezmyślnie napiszesz w sieci: "Co za debil daje się na coś takiego oszukać?!" - najpierw zajrzyj na tę stronę, a potem zastanów się, czy na pewno nie dałbyś się złapać na dowolny phishing? Jeśli nie jesteś bezpieczniackim hardkorem, idę o zakład, że byś się dał. I co, wtedy spojrzysz w lustro i sam odpowiesz na cytowane wcześniej pytanie?
To dla nas bezpieczniaków sieć to życie. Dla zwykłego człowieka internet jest jak samochód. Ma go dowieźć z punktu A do punktu B, a on tylko dolewa benzynę, czyli u nas włącza komputer. Przyznam, że potrafiłem empatycznie wczuć się w opowieść Piotra o tym, że trudno jest przejść obojętnie i nie wzruszyć się w sytuacji, gdy 70-letnia starsza pani mówi, że oszust pozbawił ją oszczędności całego życia, a 22-letnia studentka, że straciła na szczęście "tylko" 600 złotych, ale to oznacza, że do końca miesiąca nie ma za co kupić jedzenia.
Confidence 2022, czyli jak włamać się do sieci
Cóż, przede wszystkim etycznie i podpisując uprzednio umowę. Prezentacje Borysa Łąckiego i Jakuba Nawalańca mocno wbiły mi się w głowę, bo miały klimat dobrego szpiegowskiego filmu. Takiego, gdzie szpieg długo rozważa i planuje w jaki sposób dostać się do siedziby wrogiej firmy/agencji, a potem waląc w klawiaturę, niczym zawodowa maszynistka, wykrada tajne dane.
Okazuje się, że dla niektórych tak wygląda codzienne życie. O ile o testach penetracyjnych stron/aplikacji sieciowych dowiedziałem się przez lata sporo, o tyle o tzw. redteamingu w wersji siłowej tak dużo usłyszałem po raz pierwszy. W sumie skoro firmy coraz bardziej inwestują w wyrafinowane zabezpieczenia techniczne, to czemu nie wejść do jednego z sieci kilkudziesięciu sklepów i po prostu, "na chama" nie wpiąć pendrive'a ze złośliwym kodem albo wleźć na zaplecze i na jednym z komputerów ręcznie zainstalować program, gwarantujący wejście?
Nie bez przyczyny prezentacje obu prelegentów miały oznaczenie "Live-only", więc szczegółową kuchnią wejść siłowych nie mogę się tutaj podzielić. Wrażenie było spore, gdy dowiedziałem się jak długo może trwać sam rekonesans przed atakiem, a istotne są nawet drobne rzeczy, jak to, w którą stronę otwierają się drzwi na zaplecze.
Podsumowanie, czyli nie wierzcie (wszystkim) bezpieczniakom
Ten nieco przewrotny śródtytuł to nawiązanie do prezentacji Adama Haertle, którą można by też nazwać "sprzedawcy bull***tu". Naczelny Zaufanej Trzeciej Strony przyjrzał się publikowanym od kilku lat w jednym medium informacjom prasowym pewnej kojarzonej z branżą firmy, a szczegółowa analiza wykazała, iż czytelnicy karmieni są każdego miesiąca bredniami, których nie rozumie nawet autor przedrukowywanego 1:1 komunikatu prasowego. Przyjrzenie się praktykom innych wykazało, że niektórych - choć rzadko i bez regularności - też się zdarza...
To smutna konkluzja, że w dzisiejszych czasach, gdy sieć stała dużo bardziej niebezpieczna od prawdziwego, realnego świata w aspekcie cyberzagrożeń wciąż mamy w niej dużo bełkotu dla bełkotu. Tym samym odnalezienie wartościowych treści, może okazać się dla niektórych zbyt trudne. A w tej materii brak świadomości skończy się może brakiem... zbieranych przez lata oszczędności.
Na koniec zacytuję ostatnie słowa Piotrka Koniecznego z pierwszej prezentacji Confidence 2022.
Nie marnuj czasu. Zadzwoń do babci, dziadka, wujka, cioci, mamy czy taty i spytaj, czy przypadkiem ostatnio nikt im nie proponował "inwestycji w kryptowaluty" albo nie informował ich o "podejrzanym ruchu na koncie bankowym".
Ewa Wróbel 
Hanna Jaworska-Orthwein 
Michał Rosiak 
Komentarze
Fajne są te Wasze akcje z odnawianymi smartfonami, tylko……..ich cena. Między nowym a używanym różnica ok 400 zł. Dużo, nie dużo….ja osobiście wolałbym dołożyć te 400 zł i mieć nowy sprzęt.
Odpowiedz