Bezpieczeństwo

Pracy nam nie zabraknie

Michał Rosiak Michał Rosiak
15 października 2015
Pracy nam nie zabraknie

Dzisiaj wyjątkowo długo szykowałem cotygodniowy wpis o bezpieczeństwie, ale nie bez przyczyny - dopiero bowiem wczesnym wieczorem wyszedłem z Centrum Nauki Kopernik po drugim dniu 19. już edycji konferencji "Secure" - jak dla mnie najciekawszej konferencji w Polsce w tej dziedzinie. Nie mogłem oczywiście zobaczyć wszystkich prelekcji, choćby dlatego, że przez większość czasu odbywały się równolegle, ale jedno mogę powiedzieć - pracy dla moich kolegów po fachu i dla mnie jeszcze dłuuugo nie zabraknie.

Zacznę od końca, a to dlatego, że prezentacja Inbara Raza z izraelskiego startupu Perimeter X (lecz z kilkunastoletnim doświadczeniem w firmie Checkpoint) zrobiła na wszystkich bardzo duże wrażenie. Ja zapamiętam Inbara (do spółki z Davidem Jacobym z Kaspersky'ego) nie tylko jako kolesi z niesamowitym poczuciem humoru prowadzących prezentacje na bosaka ale przede wszystkim jako kolesi, którym rozjaśniają się oczy, gdy tylko gdzieś zobaczą dostępne gniazdo sieciowe, a widząc monitor dotykowy macają jego rogi, czy przypadkiem nie odpali się menu. Żarty żartami, ale Inbar pokazał obecnym kilkanaście przykładów, gdy takie podejście działało! Gdy bez problemu wszedł do menu Windowsa w automacie biletowym w kinie, a zamiast biletu wydrukował... niezaszyfrowane dane karty płatniczej z pliku, który znalazł. Zajęło mu to 65 sekund, w trakcie których odpowiedział menedżerowi kina, który zainteresował się tym co, robi: "Nic takiego, macie lukę bezpieczeństwa, ale już się tym zająłem". Restauracja z gniazdem sieciowym w ogródku, do którego podpinana jest kasa? Chwila roboty i wewnętrzna sieć knajpy rozpoznana, kolejne dane kart kredytowych pozyskane, a na routerze DSL uruchomiony zdalny dostęp! Zły człowiek mógł wysysać regularnie przydatne informacje (w końcu w cyber-świecie możemy coś ukraść i jednocześnie zostawić u ofiary), ale Invar oczywiście za każdym razem tworzył raport, dostarczając go następnie lekkomyślnym firmom wraz z informacją, co należy zrobić, by się zabezpieczyć. Hobby takie. Ciekawa była też sytuacja, gdy przez system rozrywki włamał się do sieci szpitala, w którym leżał jego ojciec i pokazał jak z 3500 komputerów przy każdym z łóżek zrobić... botnet.

Załatwienie sprawy menedżera kina to idealny przykład na zastosowanie socjotechniki, a w tym mistrzem tegorocznego Secure'a okazał się Piotr Konieczny z Niebezpiecznika. Opisał on obecnym w pełnej - jak zwykle - sali przykłady trzech firm, które zamówiły u niego testy penetracyjne z zastosowaniem wyłącznie socjotechniki. Nie spodziewałem się dobrze, drobiazgowo przygotowany atak tego typu ma skuteczność bliską stu procent, do której nie zbliży się nawet najbardziej zaawansowany malware. Gdy Piotr opisywał jak jego pracownicy "rozgrywali" ofiarami za pomocą przejętych kont e-mail, siejąc niepokój i obsesję do tego stopnia, że w pewnym momencie już nikt nie wiedział, które konta są w rękach "przestępców" i co w treści maili jest prawdą, z jednej strony zazdrościłem im niezłej zabawy, z drugiej zaś - chyba nawet bardziej - współczułem ofiarom. W sumie jednak jeśli już paść ofiarą ataku to lepiej ze strony pentestera, niż faktycznego kryminalisty.

Zabawnie już nie było w przypadku wystąpienia Adama Haertle z UPC. Na pewno nie byłemu premierowi Libanu Rafikowi Haririemu, czy agentom CIA którzy porwali w Rzymie pewnego Egipcjanina. Ten pierwszy zginął tragicznie w 2005 roku w zamachu w Bejrucie, a obecni na prezentacji dowiedzieli się jak ONZ (Organizacja Narodów Zjednoczonych z jakiegoś powodu była wyjątkowo zainteresowana odnalezieniem sprawców tej tragedii) wyłącznie dzięki analizie metadanych związanych z połączeniami komórkowymi była w stanie nie tylko dokładnie prześledzić trasy, które przemierzali zamachowcy, ale także dokładnie rozpoznać ich schemat łączności oraz zidentyfikować personalnie najważniejszych pięciu sprawców. W drugim przypadku mieliśmy za to do czynienia z komedią pomyłek szpiegowskich wydawać by się mogło fachowców, w efekcie której Włosi zaczynając od analizy wspominanych metadanych byli w stanie zidentyfikować wszystkich (!) członków ekipy porywaczy, a nawet odnaleźć skany ich paszportów i udowodnić ponad wszelką miarę, że porwanie było zlecone i wykonane przez USA.

W ogóle o wykładach na tegorocznym Secure mógłbym napisać książkę wielkości niezłej nowelki, a przez dwa dni każdy mógł znaleźć coś dla siebie: były zarówno prezentacje mocno techniczne (na wieść o kryptografii krzywych eliptycznych zrobiłem wieeelkie oczy) ale nie zabrakło też tych zrozumiałych dla normalnych ludzi :), mimo tego i tak budzących zainteresowanie ludzi żyjących z bezpieczeństwa. Na początku pierwszego dnia udało się również zadebiutować mnie w roli prelegenta na Secure - wraz z Albertem Borowskim z Comp SA opowiadaliśmy o CyberTarczy.

Secure 2015 po raz kolejny umocnił swoją markę jako najbardziej uniwersalnej i - w mojej opinii - najciekawszej konferencji bezpieczniackiej w Polsce. 43 wykłady w dwa dni, wiele dylematów, którą z równoległych sesji wybrać, czołówka prelegentów z olbrzymią wiedzą i bardzo często nie mniejszą charyzmą. Ja już rezerwuję sobie miejsce na przyszły rok.


Oferta

Internet na kartę za darmo

Stella Widomska Stella Widomska
15 października 2015
Internet na kartę za darmo

Słyszeliście już o naszej promocji? Za każde doładowanie Orange na kartę dostajecie darmowy internet, nawet 36 GB! Tu znajdziecie szczegóły.

W ofercie opowiada też nasz nowy spot z Robertem Górskim. Zobaczycie go od dziś m.in. w telewizji. Za kreację odpowiada Publicis, produkcję Lemon, a postprodukcję Platige Image. Zakup mediów przy tej kampanii to oczywiście dom mediowy Initiative Media. Jak Wam się podoba?

 


Oferta

Nie używasz, nie płacisz. Gdzie? Oczywiście w nju!

Piotr Domański Piotr Domański
14 października 2015
Nie używasz, nie płacisz. Gdzie? Oczywiście w nju!

Nju, jak to nju – proste i skuteczne. Teraz w nju na kartę za rozmowy z komórkowymi, SMSy/MMSy i 2 GB internetu nie zapłacicie więcej niż 29 zł. Gdy osiągniecie tę kwotę, to możecie dalej korzystać bez żadnych oporów  i nie zapłacicie już ani grosza więcej. Jeżeli dzwonicie na numery stacjonarne to zapłacicie maksymalnie 10 złotych, później rozmowy ze stacjonarnymi będą już bezpłątne.

1c2547cacf8ecdc941428472969532a3127W przypadku, gdy nie przekroczycie ani 29 zł ani 10 za korzystanie z telefonu zapłacicie tylko za to, co faktycznie wydzwonicie, powysyłacie i wysurfujecie. Jeżeli nie wystarcza Wam 2 GB na internet to możecie dokupić jeden z dodatkowych pakietów jednorazowych, w nju na kartę są one naprawdę atrakcyjne. Pamiętajcie tylko, że jeżeli skończy się Wam pakiet internetowy płacicie dalej zgodnie z cennikiem, niestety nie ma także szansy by dokupić dodatkowy pakiet internetu w czasie, gdy korzystacie z wspomnianych 2 GB. Ale nie martwcie się, prześlemy Wam SMS z informacją, że pakiet został wykorzystany.

Zresztą, nie będę się rozpisywał, zajrzyjcie tutaj!  Tutaj macie też regulamin, by nie musieć daleko szukać :)

Scroll to Top