Bezpieczeństwo

(nie)Bezpieczna Sieć #16 – Baw się bezpiecznie!

13 czerwca 2019

(nie)Bezpieczna Sieć #16 – Baw się bezpiecznie!

Przeszedłem się ostatnio na Orange Warsaw Festival. Nie do końca dla muzyki, bo klimaty raczej nie moje. Wciąż jednak bardzo fajnie mi się patrzyło, na śmiejący się, radosny, barwny tłum ludzi o pełnej wiekowej rozpiętości. Każdy fantastycznie się bawił nie tylko pod scenami stołecznej imprezy.

I wtedy wjeżdżam ja, na bia… No dobra, bez przesady 🙂 Tak na serio – skorzystałem z okazji i OWFu, żeby pokazać Wam jakie zagrożenia, mniej lub bardziej „cyber” mogą na Was czyhać na imprezach masowych w dzisiejszym cyfrowym świecie. Tylko kilka, tych najważniejszych. Żeby nie zaprzątać Wam zbytnio głów, ale też pomóc coś zrozumieć, nie wychodząc z niebywale dynamicznego klimatu Orange Warsaw Festival 🙂

Miłego oglądania, chętnie poczytam i odpowiem na wszelkie Wasze uwagi, czy to na YT, czy tutaj w komentarzach.

Oczywiście te same niebezpieczeństwa czają na Was na innych festiwalach – Orange Warsaw Festival Open’er, czy Kraków Live to tylko niewielka część z mniejszych czy większych imprez muzycznych, które każdego roku odbywają się w Polsce.

Jeżeli mało Wam oglądania zabawy z tegorocznego Orange Warsaw Festival zajrzyjcie do wpisu Kasi Barys, gdzie jest przepiękny reportaż z dwóch dni OWF 2019.

Udostępnij: (nie)Bezpieczna Sieć #16 – Baw się bezpiecznie!

Bezpieczeństwo

Confidence stał się pełnoletni

7 czerwca 2019

Confidence stał się pełnoletni

1300 osób. Na raz, w jednym miejscu, na imprezie poświęconej cyberbezpieczeństwu. Gdyby 18 lat temu, gdy na krajowej scenie branżowych konferencji pojawiał się Confidence, mało kto przypuszczał, że: po pierwsze – wytrwa 18 lat; po drugie zaś – jego organizatorzy ściągną na dwa dni do Krakowa ludność całkiem solidnej wsi 🙂

60 prelegentów w ciągu dwóch dni na trzech równoległych ścieżkach. Choćby się bardzo chciało, nie da się obejrzeć wszystkiego na raz. Inna sprawa, że organizatorzy – jak zawsze w przypadku takich imprez – starali się, by równoległe wykłady znacząco różniły się tematami. Czasami się nie udawało, ale cóż – jak mawia przysłowie – jeszcze się taki nie urodził, co by wszystkim dogodził.

Nie tylko dla hardkorów

Confidence to nie bez przyczyny jedna z konferencji, na które zawsze chętnie jeżdżę. A to dlatego, że – co chyba co roku zaznaczam 🙂 – choć wśród jej uczestników można wypatrzeć wielu naprawdę hardkorowych hackerów, bez problemu mogłem znaleźć tematy dla siebie. Czasami starałem się zrozumieć nieco więcej, ale gdy Michał Sajdak opowiadał o szczegółach niezałatanych podatności za lat… 80. i 90., to tylko patrzyłem z otwartymi ustami. Pilot do prezentacji, którego można użyć (zdalnie rzecz jasna) do wstrzyknięcia dowolnej sekwencji przycisków na komputerze prelegenta? Robi wrażenie, a to wcale nie była najstarsza, najbardziej abstrakcyjna i najprostsza do zexploitowania podatność.

Później wybierałem już prelekcje, które rozumiałem, a ciekawostek było sporo. Opowieści o CyberPolicji w wykonaniu Łukasza Pietrzaka z Komendy Wojewódzkiej Policji w Kielcach bawiły, ale był to śmiech przez łzy. Historia pana, który tak się przejął losem swojej wielkiej miłości z Nigerii (którą znał oczywiście tylko mailowo) do tego stopnia, by na jednej z komend powiatowych zgłosić jej… porwanie dowodzi, że przed ekspertami uczącymi świadomości zagrożeń w sieci jest jeszcze dużo pracy. Policyjne statystyki związane z cyberprzestępczością porażają. Wiecie, że ofiarą ataków w sieci tylko w Polsce statystycznie pada 18 osób… na sekundę? Straty finansowe to 110 mld $ rocznie na świecie, z czego równowartość niemal 5 mld PLN w naszym kraju.

Nieśmiertelne pory roku

Kirils Solovjovs opowiadał przez 45 minut o obrosłym legendą „Collection #1” – wycieku przeszło 3 miliardów unikalnych loginów i przyporządkowanych do nich haseł z całego świata. Najpopularniejsze? 123456 rzecz jasna! Można powiedzieć, że 0,32% całości to przecież niewiele, ale pamiętajmy, że mówimy o 0,32% z trzech miliardów! Jakby nie patrzeć to 10 milionów ludzi, którzy w tak oryginalny sposób postanowili zabezpieczyć swoje cyfrowe tożsamości!

Wśród najpopularniejszych haseł, obok klasyków w styli 1qazxsw2, czy qwerty, znajdowały się też hasła relatywnie trudne, ale nie przypominające „ścieżki” na klawiaturze. Na kilku prezentacjach podczas Confidence usłyszałem dotyczącą ich teorię, w którą jestem w stanie uwierzyć. Co byście powiedzieli na wspólne hasło dla grupy botów, czy też – bez spiskowych teorii „marketerów szeptanych”, dostających po kilka złotych za pozytywne recenzje produktów w sklepach i porównywarkach? Ma sens, prawda? Ciekawostką była jeszcze przygotowana przez Solovjovsa lista najpopularniejszych haseł w domenie gov.pl. Bez zaskoczeń jeśli chodzi o skalę „trudności”: katalog10, 123456, Wronia53 (ciekawostka, pod tym adresem mieści się siedziba Generalnej Dyrekcji Dróg Krajowych i Autostrad) oraz nieśmiertelna „Wiosna18”.

Confidence o socjotechnice

Na konferencji oczywiście nie mogło zabraknąć „Trzech Króli polskiego awarenessu” – Kacp… tzn. Piotra Koniecznego, Adama Haertle i Borysa Łąckiego 🙂 Opisywanie prezentacji całej trójki mija się z celem, bowiem kluczem do odbioru wygłaszanych przez nich treści jest charyzma prelegentów. Z wystąpienia Piotra warto zapamiętać stronę https://nbzp.cz/premium-stop/, ze szczegółowymi informacjami jak wyłączyć serwisy premium u wszystkich krajowych operatorów telefonicznych. Oczywiście jak za każdym razem kilkadziesiąt osób dało się złapać na stary trik o „QR-kodzie do zeskanowania zamiast spisywania długiego adresu”.

Adam opowiadał o tym jak bardzo ludzie chcą się zainfekować, do tego stopnia, że nie mogąc otworzyć maila z malwarem… piszą do nadawcy, że coś jest nie tak z załącznikiem. Skąd o tym wiedział? Ano stąd, że w jednej z ubiegłorocznych kampanii dowcipny sprawca jako adres zwrotny phishingowej korespondencji umieścił prywatnego Gmaila naczelnego Zaufanej Trzeciej Strony. Chciał mu zrobić przykrość, tymczasem dostarczył bardzo ciekawego materiału do analizy. Najbardziej zapamiętałem jednak końcówkę prezentacji, z komentarzami „najmądrzejszych” czytelników Z3S, piszących jakimi idiotami są ci, którzy łapią się na phishingi. Nie, panowie –

jeśli robicie w cyberbezpieczeństwie i wasi użytkownicy łapią się na proste phishingi, to idiotami jesteście WY

Bo mimo posiadanej wiedzy nie potraficie ich wyedukować.

Prezes w samolocie, pora na atak

O socjotechnice, ale od strony pentestera, opowiadał Borys. Wiecie jaka jest skuteczność takich testów? 100 procent, zawsze. A to dlatego, że do sukcesu nie muszą zainfekować się wszyscy – wystarczy jeden. Wniosek? Przygotuj się na incydent, bądź gotów na błyskawiczną reakcję, wyedukuj wszystkie szczeble pracowników. No i ustal „chain of command”, by nie zdarzały się sytuacje, gdy pod nieobecność prezesa, przy dobrze przygotowanym ataku, zanim ktoś dodzwoni się do szefa, na koncie firmy nie będzie już pieniędzy…

Notabene o takim prawdziwym – nie pentesterskim – przypadku opowiadał Jan Klima z Komendy Wojewódzkiej Policji w Krakowie. Wzorcowy OSINT (Open Source Intelligence), włamanie się do firmy-ofiary i obserwowanie formy, stylu i języka wysyłanych maili i wreszcie atak, gdy prezes był na pokładzie lecącego na Daleki Wschód samolotu. Efekt? 345 tysięcy euro „w plecy”, ale ostatecznie przestępcy wpadli w ręce sprawiedliwości.

O takich konferencjach jak Confidence można by pisać bardzo długo, a tematy dla siebie znajdą zarówno ci szukający „miękkiego” bezpieczeństwa jak i ci, którzy z wypiekami na twarzach patrzą w totalnie niezrozumiałe np. dla mnie linijki kodu. Za rok w czerwcu w Krakowie kolejny Confidence. Warto zajrzeć.

Udostępnij: Confidence stał się pełnoletni

Bezpieczeństwo

Ludzie i sprzęt to nie wszystko

23 maja 2019

Ludzie i sprzęt to nie wszystko

Znacie wzorzec hollywoodzkiego „hakiera”? Zazwyczaj to koleś (no chyba, że Lisbeth Salander) w brudnej powyciąganej bluzie, obłożony pudełkami z pizzą, włamujący się z szybkością zawodowej maszynistki i równie błyskawicznie „uciekający” wirtualną autostradą z danymi ofiary. Cóż – statystyki (np. Verizon Data Breach Investigation Report) wskazują, że jest, hmmm, „nieco” inaczej. O ile samo włamanie to najczęściej kwestia minut (choć zdarzają się też dni), to eksfiltracja danych potrafi trwać tygodniami, zaś wykrycie włamania to najczęście kwestia miesięcy, lub… lat!

Reklama nieco złośliwa

Przypomniałem sobie tematykę z leadu, gdy trafiłem na informację o włamaniu na stronę dla subskrybentów magazynu Forbes, gdzie przestępcy zainstalowali złośliwy kod, wykradający dane kart płatniczych. Wystarczyło – w sposób znany rzecz jasna wyłącznie przestępcom – wrzucić tam mały kawałek JavaScriptu, który dyskretnie przesyłał dane kart płatniczych do osób innych, niż planowali to ich właściciele. Niby nic takiego – dobra, specjalnie przesadzam, to dalekie od „nic takiego”, szczególnie dla subskrybentów Forbesa – ale nie to jest w całej historii najważniejsze.

Otóż badacz cyberbezpieczeństwa Troy Mursch wykrył infekcję malwarem Magecart na stronie gazety ok. 4 w nocy czasu uniwersalnego (UTC),

zaś witryna służąca dokonywaniu płatności zniknęła z sieci… 10 godzin później. Co działo się przez ten czas? Cóż – Mursch pisał na każdy dostępny w sieci adres e-mail wydawcy, na security@forbes.com który okazał się nie istnieć, nawet pisał do właściciela domeny. Efekt? Następnego dnia wciąż czekał na jakąkolwiek odpowiedź, informacje, czy podziękowania. Badacze podejrzewają, że Forbes padł ofiarą włamania do jednej z sieci, serwujących reklamy na stronach, a w tej sytuacji liczba potencjalnych ofiar może być naprawdę duża (choć oczywiście oficjalnie nikt nie mówi o faktycznych wyciekach).

Wszystko musi współgrać

Wnioski? Dla nas jako dla zwykłych internautów w zasadzie tylko smutne. Wielkość i renoma firmy, której powierzamy nasze wrażliwe dane nie musi w żaden sposób korelować z ich bezpieczeństwem. Co więcej, nawet poszczególne elementy cyberbezpieczniackiej układanki działają najlepiej, gdy są ze sobą połączone (to trochę jak komputer, który trzeba włączyć do sieci 🙂 ). Na co wyszkoleni ludzie, gdy nie mają wsparcia w systemach bezpieczeństwa? Na co wypasione systemy, gdy ich monity są ignorowane (historia zna takie przypadki nie tylko w cyber…)? Na co ludzie i systemy, gdy po godzinach pracy nie ma kto odebrać zgłoszenia? Bezdyskusjnie, gdy to wszystko współgra, przestępcom jest znacznie trudniej, a klienci mogą czuć się przynajmniej nieco spokojniejsi.

Udostępnij: Ludzie i sprzęt to nie wszystko

Bezpieczeństwo

(cyber)Bezpieczna majówka – garść porad

25 kwietnia 2019

(cyber)Bezpieczna majówka – garść porad

W sumie to dzisiaj nie ma co się przesadnie rozpisywać, nie sądzicie? Kto jedzie na majówkę, ręka do góry? A kto zaczyna już w poniedziałek? No właśnie. Komu zatem chciałoby się czytać cokolwiek – no, chyba że chodziłoby o porady co zrobić, by nasza majówka była bezpieczna? Stali czytelnicy powiedzą pewnie, że piszę to samo co roku. Zgrubnie tak – ale statystyki wskazują, że wciąż warto przypominać, bo nie jest problemem znaleźć kogoś, kto swoją niefrasobliwością sam daje przestępcom do rąk okazję.

Zapomnij o darmowym WiFi

Zastanawiam się, czy w czasach paczek po co najmniej kilka gigabajtów to jeszcze stanowi jakiś problem? Nie pamiętam kiedy ostatnio korzystałem z jakieś publicznego WiFi, jedynym wyjątkiem jest wyjazd za granicę, gdzie faktycznie warto oszczędzić na transmisji danych w roamingu.

Na co warto uważać? Przede wszystkim niezależnie od sieci WiFi nie wykonywać w niej operacji, związanych z danymi wrażliwymi. Żadnych transakcji bankowych, żadnego logowania do maila, czy serwisów społecznościowych. Jeśli hasło do sieci wisi na recepcji, to znaczy, że zna je każdy. „Przecież dane z Gmailem, czy bankiem, i tak są szyfrowane” – powiecie. Tak. Ale jaką mamy pewność, że sieć o nazwie „UroczyHotel” zapewnia rzeczony hotel, a nie przestępca, który wstawił mocniejsze urządzenia i nazwał swoją sieć tak samo? Jeśli tak, to on już może z Waszą transmisją danych zrobić wszystko. I majówka zepsuta.

Zrelaksuj się

Ale tak totalnie. Nie przejmuj się SMSami, czy mailami, grożącymi Ci karami finansowymi, każącymi coś zrobić „natychmiast”. Nie. Ty masz urlop, a przestępca liczy, że w takie informacje klikniesz „na odczepnego”. Tymczasem jeśli zrelaksujesz się naprawdę totalnie, nie będzie Cię po prostu interesować co do Ciebie piszą. Na takie maile zawsze można odpowiedzieć po powrocie z urlopu. Świat się nie zawali. W sumie to nie zaszkodzi w ogóle odciąć się od internetu, mediów społecznościowych. Niech to będzie chwila dla Ciebie i (jeśli nie jedziesz sam/a) Twoich bliskich. Kiedyś ludzie żyli bez internetu.

Ostrożnie z bankomatami…

…szczególnie w miejscowościach turystycznych. Przy wypłacie gotówki akurat się nie relaksuj. Obejrzyj dokładnie bankomat, czy nic nie wygląda nienaturalnie, nie odstaje, itp. Koniecznie zasłaniaj dłonią drugą dłoń, wpisującą PIN. Nie muszę chyba wspominać, że PINu nie naklejamy na kartę, prawda?

Bawcie się dobrze, niech ta majówka przyniesie Wam dużo wypoczynku i – tu ostatnia rada – pamiętajcie o powerbankach. To wbrew pozorom też uwaga związana z bezpieczeństwem, choć może nie do końca w wersji cyber. Na urlopie łatwo się zapomnieć, a gdy telefon „pożre” całą baterię na zdjęcia, wideo, czy słuchanie muzyki, prądu może zabraknąć, gdy trzeba będzie wezwać taksówkę, lub co gorsza – oby taka sytuacja się Wam nie zdarzyła – pomoc. Warto być zabezpieczonym.

Image by lecreusois from Pixabay

Udostępnij: (cyber)Bezpieczna majówka – garść porad

Bezpieczeństwo

Phishingowy SMS przychodzi we wtorek

4 kwietnia 2019

Phishingowy SMS przychodzi we wtorek

Coraz częściej rozbudowywane nie tylko przez nas systemy sztucznej inteligencji, przy wsparciu nieocenionych klientów nie tylko naszych usług, którzy kontaktują się z CERT Orange Polska, pomagają zapobiec skierowanej w Was aktywności cyber-przestępców. W ostatnim miesiącu nie tylko udało się zapobiec sporej liczbie SMSowych kampanii phishingowych. Mogliśmy też przyjrzeć się sposobom działania ich autorów.

Uwaga na SMS z „informacjami”

Informacja – to nadawca SMS w największej liczbie analizowanych przez nas kampanii. Specyfika tego typu wiadomości powoduje, że wysyłając możemy ustawić dowolną nazwę. Począwszy od spoofowania konkretnego numeru, skończywszy zaś właśnie na tego typu tzw. „nadpisie”, mającym wywołać w nas poczucie zaufania i jednocześnie bezpieczeństwa. Bardzo popularni byli też nadawcy, mający dla odmiany wzbudzić w ofierze poczucie obowiązku, stresu, czy braku czasu. Tak bowiem zazwyczaj reagujemy, gdy przeczytamy informację o tytule „spłata”, „opłaty”, „ostrzeżenie”, czy „blokady”.

(nie) Dopłać dwa złote

Schemat kampanii phishingu SMS od początku 2019 jest niemal bliźniaczy w każdym przypadku, wielokrotnie opisywany w mediach, nie tylko bezpieczniackich. To nie są przypadkowe ataki. Przestępcy coraz częściej analizują aktywności w serwisach takich, jak Allegro, Otomoto, OLX, Gratka itp. Ten sprytny pomysł powoduje, że ofiara, widząc SMSa o konieczności dopłaty drobnej kwoty, w sytuacji, gdy kilka/naście minut wcześniej wstawiła swoją ofertę, może faktycznie złapać się na lep przestępców. A ci w kolejnym kroku podstawią jej łudząco podobny do prawdziwego panel płatności, a ta, nie martwiąc się, bo „przecież to mała kwota” wpisze swoje dane, nie zwracając uwagi na adres. A przestępcy, mając login i hasło, a niekiedy również autoryzacyjny SMS do serwisu bankowego, wyczyszczą konto do cna.

Niekoniecznie w weekend

Przestępcom zdarza się czasami spać, ale naszym systemom nie. CyberTarcza wyłapuje ruch sieciowych do podejrzanych adresów, udających serwisy płatności, blokując je dla użytkowników usług dostępu do internetu Orange Polska. Z tego typu analiz wynika, że o ile miesięczna liczba phishingowych SMSów może sięgać kilkunastu tysięcy.

O ile w przypadku klasycznego ataku phishingowego przestępcy wybierają głównie piątek po południu (tuż przed wyjściem z pracy, w weekendowej atmosferze łatwo coś przegapić lub niefrasobliwie kliknąć), w przypadku kampanii SMS najpopularniejsze są wtorek i poniedziałek. Można założyć, iż dzieje się tak dlatego, by przestępcy zdążyli jak najszybciej wykonać operacje bankowe przy użyciu wykradzionych danych i „wyprać” ukradzione pieniądze. Dlatego nieprzerwanie robimy wszystko, by zatrzymać te ataki zanim dotrą do Waszych telefonów.

Udostępnij: Phishingowy SMS przychodzi we wtorek

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej