W kolejnej Ofercie tygodnia właśnie obniżyliśmy cenę bestsellerowego Xiaomi Redmi Note 11 Pro 5G 6/128 GB. Smartfon jest tańszy o 168 zł z wybranymi ofertami abonamentowymi i pakietami Orange Love. W ofercie bez abonamentu cena spada o 100 zł. Oferta obowiązuje do 17 sierpnia br. Szczegóły znajdziecie tutaj.
Nasz bohater to prawdziwy sprinter wśród smartfonów. Ma wydajny procesor i pojemną baterię, którą można naładować do połowy w 15 minut. Xiaomi Redmi Note 11 Pro 5G wyposażony jest w 6,67-calowyekran, który przed uszkodzeniem chroni powłoka Gorilla Glass 5. Aparat o potężnej matrycy 108 megapikseli jest gwarancją zachwycających zdjęć. Zwłaszcza, że cennym uzupełnieniem jest obiektyw szerokokątny o polu widzenia 118°.
Mam dobrą wiadomość dla wszystkich miłośników Samsunga. Właśnie ruszyliśmy z przedsprzedażą dwóch nowości koreańskiego koncernu: modeli Galaxy Z Flip4 5G i Z Fold4 5G. Wysyłka smartfonów ruszy już 19 sierpnia.
Zamawiając te wyjątkowe smartfony w przedsprzedaży, możecie zyskać nawet 5000 zł gwarantowanego zwrotu w programie „Odkup” poprzez aplikację Samsung Members oraz roczne ubezpieczenie Samsung Care+. Dodatkowo - w ofercie Orange - przy ich zakupie otrzymacie słuchawki Buds2 w prezencie za 1 zł. Więcej informacji na stronie. Przedsprzedaż potrwa do 25 sierpnia.
Samsung ogłosił dziś również inne nowości: słuchawki Samsung Galaxy Buds2 Pro i gamę nowych smartwatchy z serii Galaxy Watch5: Samsung Galaxy Watch5 Pro 45mm eSIM, Samsung Galaxy Watch5 44mm eSIM oraz Samsung Galaxy Watch5 40mm eSIM. Propozycje dodatkowo warte rozważenia, ponieważ przy zakupie produktów z serii Watch5 i rejestracji w aplikacji Samsung Members - otrzymujecie słuchawki Buds2. Natomiast kupując nowe słuchawki Buds2 Pro, zyskujecie 200 zł z powrotem. Szczegóły na stronie.
Noszą czarne kaptury, żywią się pizzą, pracują w piwnicy otoczeni dziesiątkami ekranów i paroma kliknięciami łamią zabezpieczenia na drugim końcu świata. Hollywoodzkie wyobrażenia o hakerach nie mają wiele wspólnego z rzeczywistością. Przynajmniej, gdy mówimy o tych działających w cyberbezpieczeństwie, czyli bezpiecznikach.
- Często najlepsi bezpiecznicy doświadczenie zdobywali po ciemnej stronie mocy – przyznaje Robert Grabowski, szef CERT Orange Polska. Jego zespół zajmuje się wykrywaniem i zwalczaniem cyberprzestępstw w sieci Orange Polska. W ubiegłym roku powstrzymali ponad 335 milionów incydentów phishingowych i uchronili w ten sposób 4,5 miliona osób*.
Kiedy pytam o popularne wyobrażenia na temat hakera, wyjaśnia:
- Powszechnie uważa się, że to osoba łamiąca zabezpieczenia informatyczne. W rzeczywistości są to crackerzy, czyli osoby, które często nie mają nawet umiejętności hakerskich i korzystają z gotowych programów do łamania zabezpieczeń, czyli crackingu. Nazywanie ich hakerami jest źle obierane przez społeczność hakerską, bo to środowisko zdecydowanie sprzeciwia się cyberprzestępczości.
Robert i jego zespół szukają luk i podatności w systemach, żeby je naprawić i zwiększyć bezpieczeństwo. Robią na zamówienie tzw. pentesty, polegające na przeprowadzeniu kontrolowanego ataku na systemy teleinformatyczne, żeby pokazać jego podatności. Wcielają się także w tzw. red team, czyli włamują się do systemów bez zapowiedzi.
Jak na bezpiecznika przystało, Robert niechętnie ujawnia szczegóły hakerskiego rzemiosła. Gdy pytam o przedsięwzięcie, które dało mu najwięcej satysfakcji, wspomina audyt sieci w jednym z krajów Grupy Orange.
- Przyjechaliśmy z kolegą z Polski i w ciągu kilku dni udało się nam przełamać ich sieć, uzyskując w niej najwyższe uprawnienia. To dało możliwość poprawienia zabezpieczeń. Teraz już nie byłoby tak łatwo i właśnie na tym polega ta praca - przyznaje.
Nowe scenariusze, stare metody
Bezpiecznicy kompromitują zabezpieczenia, czyli w ich języku obnażają podatności sieci, w dobrym celu. Cyberprzestępcy - żeby mieć z tego korzyść. Kiedy pytam Roberta, czy haker potrafi włamać się do banku w hollywoodzkim stylu, za pomocą paru kliknięć i kilku linijek kodu, szybko studzi mój zapał.
- Obecnie większość włamań do banków odbywa się przez ludzi - to oni stanowią najsłabsze ogniwo i cel ataków przestępców, którzy różnymi sposobami nakłaniają ich do ujawnienia danych do logowania - wyjaśnia.
Robert od pięciu lat jest szefem zespołu CERT Orange Polska
Cyberprzestępcy najczęściej wyłudzają dane za pomocą fałszywych stron, SMS-ów, linków. To tzw. phishing, który nadal jest najbardziej powszechnym sposobem działania. W ubiegłym roku stanowił 40% zagrożeń wykrytych w sieci Orange.
- Trzeba przyznać, że przestępcy mają zawsze aktualne scenariusze. W okresie pandemii najczęstsze były wyłudzenia na dopłatę do dezynfekcji paczek, fałszywe sklepy z maseczkami i płynami odkażającymi. Po rozpoczęciu wojny w Ukrainie szerzyli dezinformację o braku paliwa, czy zagrożeniach spowodowanych atakami na elektronie jądrowe i braku płynu Lugola. Ciągle aktualne są ataki na sprzedających w sieci, próby wyłudzania danych na kryptowaluty, fałszywe inwestycje, dopłaty do energii – wyjaśnia Robert.
Drugi najczęstszy sposób działania cyberprzestępców polega na nakłanianiu użytkowników, by samodzielnie zainstalowali w telefonie oprogramowanie, które uzyskuje dostęp do ich danych. W 2021 r. było to blisko 18% prób zarejestrowanych przez CERT Orange Polska*.
- Wykrywany coraz więcej cyberprzestępstw. Jednak rośnie także ich skala. Po inwazji na Ukrainę zaobserwowaliśmy wzrost o ok. 20% – przyznaje Robert.
Dlatego tak istotne jest ciągłe doskonalenie metod pracy. Najważniejsze aby odpowiednio wcześnie wykrywać przestępstwa i edukować użytkowników, jak się przed nimi bronić. Tym zajmują się Grzesiek i Michał.
Zamienił beaty na bity
Grzegorz Zembrowski pracujący w zespole CERT Orange już na wstępie zastrzega: nie jestem hakerem. Woli mówić o sobie „data scientist w dziedzinie cyberbezpieczeństwa”. Na co dzień uczy sztuczną inteligencję, jak rozpoznawać phishing w sieci.
- Codziennie w naszej sieci pojawia się ok. 700 tys. nowych domen. Algorytm, którzy tworzę sprawdza je pod kątem bezpieczeństwa. Jeśli któraś z nich powstała, żeby wyłudzać dane, wykryje to i ją zablokuje. Algorytm ciągle się uczy. Teraz wykrywa nawet ok. 5000 fałszywych stron tygodniowo - wyjaśnia Grzesiek.
Grzesiek łączy data science z cyberbezpieczeństwem
Zaprzęgnięcie sztucznej inteligencji na potrzeby walki z phishingiem to nowatorski pomysł. Okazuje się, że inspiracją mogła być muzyka.
- Przez 15 lat pracowałem jako dziennikarz i wydawca w radiowej Trójce. Tygodniowo przesłuchiwałem nawet 100 płyt, żeby wybrać z nich 15-20 utworów do zaprezentowania na antenie. Teraz przeszukuję bazy danych serwerów DNS w poszukiwaniu phishingu. To w gruncie rzeczy podobna praca, tylko niemal w 100% automatyczna – mówi z uśmiechem.
Jak z dziennikarza radiowego przeistoczył się w specjalistę od cyberbezpieczeństwa?
- Praca w radiu to była pasja. Oprócz tego miałem też drugie zajęcie - pracowałem jako administrator systemów komputerowych w przychodni. Tworzyłem raporty, z czasem coraz bardziej zaawansowane. Wieczorami uczyłem się programowania w Pythonie, robiłem kursy internetowe. Po pewnym czasie zacząłem trenować pierwsze algorytmy. Stworzyłem mechanizm, który na podstawie historii wizyt z dużą trafnością przewidywał, który pacjent nie stawi się na umówioną wizytę - wspomina Grzesiek.
Kiedy uznał, że potrafi już wystarczająco dużo, postanowił poszukać pracy w data science. Tak trafił do zespołu CERT Orange Polska, w którym pracuje od trzech lat.
Edukuje z misją
Michała nikomu przedstawiać nie trzeba. Rosiu od ponad 12 lat edukuje na blogu Orange. - I wszędzie, gdzie się da - dodaje. O sobie mówi „edukator i tłumacz”. Tłumacz, bo przekłada technologiczne, często skomplikowane aspekty cyberbezpieczeństwa na język zrozumiały dla każdego. Przydaje mu się doświadczenie dziennikarskie zdobyte w „Przeglądzie Sportowym”.
Rosiu od 12 lat edukuje na blogu Orange o cyberbezpieczeństwie
- Praca bezpiecznika każdego dnia jest inna. Zdarza się, że kryzys wybucha o godzinie 22.00, a praca trwa przez całą noc. Taka sytuacja zdarzyła się na początku mojej pracy w CERT Orange Polska. Odkryliśmy zamianę serwerów w adresach DNS, czyli klasyczny phishing z fałszywą stroną logowania do banku wyłudzającą dane. Szybko zareagowaliśmy, blokując w naszej sieci dostęp do podstawionych serwerów DNS. To niestety wiązało się z odcięciem od internetu dużej liczby klientów. Początkowo spadło na nas z tego powodu sporo hejtu. Jednak chwilę potem, gdy okazało się, że uratowaliśmy wielu z nich przed utratą oszczędności, hejt zmienił się w uznanie - wspomina Michał.
Takie momenty lubi w swojej pracy najbardziej. Podobnie, jak chwile, gdy koledzy zwracają się do niego z pytaniem, czy podejrzany SMS, który dostali od operatora energii, to phishing.
- Wtedy czuję, że moja praca ma sens. Postawiłem sobie cel - będę tak wytrwale edukować ludzi, żeby nikt już nie klikał w ten cholerny phishing – dodaje Michał.
Edukację prowadzi także na żywym organizmie. Razem z kolegami z CERT przygotowują wewnętrzne phishingi. Wysyłają pracownikom w firmie maile z anonimowych kont z linkami kuszącymi, by w nie kliknąć. Jeśli ktoś się nabierze, trafi na stronę wyjaśniającą, dlaczego nie powinien tego robić.
- Stosujemy zasadę „im więcej potu na ćwiczeniach, tym mniej krwi w boju”. Wszystko w słusznej sprawie - dodaje Rosiu.
Ostatnio zdobył certyfikat etycznego hakera, a już we wrześniu będzie opowiadał o komunikacji cyberbezpieczeństwa na Kongresie PR w Rzeszowie.
Jak zostać bezpiecznikiem
Spośród moich rozmówców wykształcenie kierunkowe ma Robert. Czy to oznacza, że karierę w cyberbezpieczeństwie można zrobić bez studiów informatycznych?
- Znajomość języka programowania jest przydatna. Jednak ważniejsza jest intuicja, wyobraźnia i chęć zrozumienia, dlaczego coś działa tak, a nie inaczej. Dobry bezpiecznik ma umiejętność tworzenia tzw. najgorszych możliwych scenariuszy, wymyślania potencjalnych luk, błędów, o których nikt inny nie pomyślał – wyjaśnia Robert.
Wyobraźnię znakomicie poszerzają zawody hakerskie CTF, Capture The Flag. Uczestnicy szukają flag, czyli ciągu znaków w kodzie źródłowym, aplikacji, niezabezpieczonej witrynie, czy pliku audio. Szef CERT przyznaje także, że wielu młodych ludzi zdobywa hakerskie szlify w niezupełnie legalny sposób.
- Niektóre dzieciaki mają w sobie to „coś”. Grają w gry i szukają sposobu na podkręcenie wyniku, niekoniecznie zgodnie z zasadami. Albo widzą sklep internetowy i kombinują, jak przełamać zabezpieczenia. Takie doświadczenia, choć niekoniecznie godne pochwały, pozwalają się sporo nauczyć. Ważne, żeby w porę powiedzieć sobie „stop” i ten talent wykorzystać w dobrym celu – mówi Robert.
Od paru lat widać coraz większe zainteresowanie letnimi praktykami „Let’s Orange” w zespole naszego CERT. Część praktykantów po zakończeniu zostaje u nas w pracy.
- Żałuję tylko, że tak mało jest dziewczyn. Z doświadczenia wiem, że różnorodne zespoły lepiej funkcjonują, więc zapraszamy do CERT Orange Polska - namawia Robert.
Na uczelniach już od kilku lat powstają kierunki związane z cyberbezpieczeństwem, które cieszą się zasłużoną popularnością. W roku akademickim 2021/22 na Politechnice Warszawskiej było 22 chętnych na jedno miejsce.
Ewa Wróbel 
Marta Krajewska 
Komentarze