Michał Rosiak 
Sezon, sezon i... po sezonie. Konferencyjnym sezonie, przynajmniej jeśli chodzi o imprezy, związane z cyberbezpieczeństwem. Październikowy Secure standardowo zamyka serię bezpieczniackich imprez. Secure w tym roku zupełnie inny, bowiem - ku zaskoczeniu branży - darmowy. A to nie są tanie rzeczy. Udział w konferencji tematycznej z krajowego topu przez pandemią to koszt, który zamykał się w czterocyfrowej kwocie. Do nowych czasów, które wszystkich zaskoczyły, organizatorzy próbowali się dostosować na różne sposoby. Jedni "welcome packiem", wysyłanym do posiadaczy biletów. Inni przeniesieniem imprezy do rzeczywistości wirtualnej. No i jak w tym przypadku - z racji znaczącego spadku kosztów przy wersji online - zaproponowaniem udziału nawet tym, którzy z racji na koszt wstępu w ogóle by tego nie rozważali.
Trolle w prezentacji, trolle na czacie
Zacznę od najgorszego. To chyba dobry pomysł, bo potem będzie już tylko lepiej :) W tym roku miała już miejsce 24. edycja Secure, ja miałem przyjemność brać udział w bodaj 9 podczas ostatniej dekady. I może zabrzmi to snobistycznie, ale początek tegorocznej potwierdził starą prawdę, że jeśli ktoś zapłaci, to przynajmniej wie, czemu się w danym miejscu znalazł. A to dlatego, że - wybaczcie kolokwializm - opadła mi szczęka, gdy na czacie podczas prezentacji Anny Gielewskiej z renomowanego Uniwerstytetu Stanforda czytałem mocno niewybredne komentarze na temat prelegentki, wartości merytorycznej jej prezentacji i sensowności umieszczenia jej w agendzie.
Zastanawiam się, czy komentujący troll (co ciekawe, prezentacja w sporej części dotyczyły trolli (acz sponsorowanych przez państwa, w sensie kraje) właśnie) miałby odwagę powiedzieć Annie te uwagi prosto w twarz? Na szczęście, gdy podczas sesji Q&A prowadzący ją Przemysław Jaroszewski z NASK zmitygował napastnika, zaznaczając, że czat jest moderowany i tego typu zachowania będą piętnowane, odniosłem wrażenie, że sytuacja się uspokoiła.
Edukacja, czyli Human OS jak zawsze dziurawy
Jednym z powodów z którego lubię Secure jest idealny dobór keynoterów. Nigdy - serio, nigdy! - nie spotkałem się na tej imprezie z sytuacją, by konferencję zaczynał ktoś, kogo prezentacja nie wbija w fotel (w kanapę w tym przypadku), a pod jej koniec dziwiłem się, że trzy kwadranse minęły tak szybko. Nie inaczej było z Lancem Spitznerem z SANS Institute. Wiecie, czemu od 2004 obserwujemy znaczny wzrost ataków opartych o socjotechnikę i powolny zmierzch wirusów per se? Bo wtedy wzmocniono znacznie zabezpieczenia Windowsa, do tego stopnia, że przestało się opłacać atakować system (podatności to inna sprawa, ale to historia na inną opowieść). Ludzie nie doceniają ryzyka w internecie, bo nie widzą efektów, bo nie jest spektakularne. Gdyby Was spytać, jakie zwierzę jest bardziej niebezpieczne, rekin, czy komar, co byście powiedzieli? Zgłupiał Rosiak, przecież wiadomo, że... Dobra, poczekajcie. A najlepiej spójrzcie niżej:
Komary: 1470 ofiar
Rekiny: 1035 ofiar
Ale to nie wszystko. Brakuje Wam czegoś? No czasokresu oczywiście. No to jeśli chodzi o komary, dane dotyczą 2016 roku. W przypadku rekinów natomiast - 2016 i... poprzedzających go 100 lat. Tak. Komary zabiły w ciągu roku więcej osób, niż rekin w ciągu stu lat! Zszokowani? Ja tak. I dlatego tak wiele osób łapało się na phishingi "covidowe" jeszcze na początku pandemii.
Zaintrygowała mnie teza Lance'a, jako phishing telefoniczny był częstszy i groźniejszy, niż mailowy. O ile z tym pierwszy w naszych polskich warunkach się nie zgadzam, to w tej "groźności" coś jednak jest... Przecież do ataków mailowych w końcu się przyzwyczajamy, a rozmowy telefonicznej tak łatwo nie zablokujemy. I o ile prościej jest przekazać w ten sposób emocje...
No i ransomware... Ale nie ten staromodny, gdzie szyfrujemy dane i prosimy o zakup klucza szyfrującego. Takie araki już są passe. Teraz wbijamy się do sieci, tam panoszymy się jak u siebie. Wykradamy dane i grozimy ich upublicznieniem, jeśli nie dostaniemy okupu. Że okup za duży? Ależ my prosimy cię "tylko" o 1 procent obrotów, z RODO/GDPR dostaniesz z automatu 4%, jeśli pociekną dane klientów. To jak, co wybierasz?
Sklepy "bezsłupowe"
Wrócę na chwilę do wspominanej wcześniej prezentacji Anny Gielewskiej, traktującej o wojnie informacyjnej. Temat jak najbardziej na czasie i zdecydowanie pasujący do profilu Secure'a. W pamięć wbiło mi się przede wszystkim case study ataku dezinformacyjnego na Akademię Sztuki Wojennej. Wszystko zaczęło się od fałszywego listu rektora uczelni, prezentowanego następnie z różnych punktów widzenia w internetowych mediach zarówno mocno prawicowych, jak i mocno lewicowych. Trolling na tyle uniwersalny, by poruszył zarówno tych na lewy.pl jak i prawy.pl? Dla mnie mistrzostwo, czapki z głów przed autorami zza naszej wschodniej granicy. Prelegentka napomknęła o planach, by dezinformację zatrzymać na poziomie regulacji w amerykańskim prawie. Ciekawe, czy się uda, ale słabo to raczej widzę.
Nie mogło mnie oczywiście zabraknąć przed monitorem podczas prezentacji prok. Agnieszki Gryszczyńskiej, opisującej schematy działania sieciowych oszustów i problemy, jakie z doprowadzeniem ich przed oblicze sprawiedliwości mają organy ścigania. Oczywiście dlatego, że prawo wciąż niedostosowane jest do czasów cyber. Choć temat jest mi bliski, prelegentce udało się mnie zaskoczyć fragmentem o fałszywych sklepach w formule "bezsłupowej". W klasycznym tego typu przedsięwzięciu przelewy trafiają na konta mniej lub bardziej świadomych uczestników. Ci następnie piorą pieniądze z kradzieży i jest po wszystkim. Są jednak sklepy, gdzie "w międzyczasie", w czasie rzeczywistym procesując zamówienie ofiary oszust szuka towaru w innym sklepie, na podobną kwotę. To przelew nań podsuwa ostatecznie do wysłania niefrasobliwemu internaucie. Czyli przykładowo ja myślę, że kupuję w sklepie A lodówkę za 1500 PLN, płacąc za telefon komórkowy ze sklepu B za 1503,5. Na drobną różnicę nie zwracam uwagi, przestępca telefon potem sprzedaje i biznes się kręci.
Jak to się udało?
Secure to jednak w znaczniej części konferencja techniczna. Pełna prezentacji o śledzeniu twórcy exploitów po charakterystycznych dla niego śladach, zostawionych w kodzie, problemach z protokołami używanymi w urządzeniach przemysłowych, podatnościach, czy hakowaniu Wordpressa. W zalewie tych istotnych, profesjonalnych i raczej niezrozumiałych dla mnie treści drugiego dnia wyłowiłem jeszcze występ Adama Haertle. Założyciel Zaufanej Trzeciej Strony z właściwą tylko sobie charyzmą opowiadał na prawdziwych przykładach jak przestępcy wyłącznie mailami przekonują ofiary, by to im przelewały miliony euro. Warto było także posłuchać Jerzego Kosińskiego i jego bardzo szczegółowych przykładów oszustw bankowych, które trafiły na sądowe wokandy. I o ile zabrakło mi oczywiście niepodrabialnej atmosfery imprezy "offline", merytorycznie tegoroczny Secure zdecydowanie się obronił.
PS: Tak, wiem, że odbijam się w telewizorze na zdjęciu. Tak miało być :)
Kasia Barys 
Wojtek Jabczyński 
Komentarze
Do takich e-konferencji powinni mieć dostęp tylko zalogowani i zweryfikowani użytkownicy. Ale w sieci jest dużo „mocarzy”, są silni we własnym M przed klawiaturą, a w realu są „pikusiami”.
Odpowiedz