Bezpieczeństwo

Konferencja Secure już po raz 23.!

24 października 2019

Konferencja Secure już po raz 23.!

Zawsze, gdy opisuję Wam którąś z wielu bezpieczniackich konferencji, na których bywam, staram się znaleźć jakiś główny przekaz, wiodący temat. Na tegorocznej, 23. już edycji Secure, jednej z najciekawszych tego typu imprez, takiego wyrazistego motywu nie wyłapałem. Nie zmienia to jednak faktu, że było – jak co roku – ciekawie.

Jak wygrać talent show?

Kiedyś ktoś mówił – zdaje się, że to cytat przypisywany Alfredowi Hitchcockowi – że każdy porządny scenariusz musi zacząć się do wybuchu atomowego, a potem musi być tylko coraz lepiej. Takim wybuchem w przypadku konferencji jest keynote, pierwsza prezentacja. Gdy ja zaczynałem przygodę z Secure poznałem w ten sposób Briana Krebsa, tym razem tę rolę pełnił Tony Gee, z Pen Test Partners. Wniosek z jego wystąpienia wysnułem jeden, kluczowy – kupować tylko markowe urządzenia Internetu Rzeczy. W świecie w którym najbardziej liczy się czas dotarcia na rynek kolejnego gadżetu, oszczędności trzeba szukać wszędzie. Na przykład kupując od firmy zewnętrznej API, które okazuje się być nie tylko dziurawe jak szwajcarski ser, ale także… wykorzystane wcześniej, w innym produkcie. Jeśli jest element internetowej aplikacji do monitorowania zegarków z GPS, to może warto poszukać, czy ktoś nie użył go do monitorowania samochodów? A może zrobił to na stronie nie wymagającej autoryzacji, gdzie wystarczy podać adres w konkretnej formie, numer auta w sieci firmy i ?id=0, by zdalnie unieruchomić samochód? Zobaczmy, może jeśli zmienimy numer o 1, to pokaże się panel innego auta?

To jak to jest z tymi talent shows? Prelegent przytoczył przykład z rosyjskiego „Voice Kids”, gdzie podejrzenia wywołało zwycięstwo córki miliardera. Szybko analiza wykazała, że 41 tysięcy SMSów z głosami na nią zostało wysłanych z jednego rejonu, z telefonów o kolejnych numerach… Ten przekręt był akurat grubymi nićmi szyty, ale gdyby tak „wbić” się do panelu zarządzania zegarkami dla dzieci i sprawić, by wysłały SMSy albo dzwoniły na numer premium?

Bez pieczy, czyli… bezpieczny?

Organizatorzy Secure czasami ulegają pokusie, by zaprosić kogoś totalnie niezwiązanego z branżą, kto w jakiś sposób do bezpieczeństwa nawiąże. Kilka lat temu był to – świetny notabene – iluzjonista, tym razem człowiek z zupełnie innej półki, profesor Jerzy Bralczyk. Ciężko opisać, o czym mówił, bowiem ci, którzy mieli przyjemność widzieć profesora w akcji, wiedzą, że jest niepodrabialny 🙂 Kilka rzeczy jednak sobie wynotowałem. Co ciekawe, profesor Bralczyk nie podziela obaw, dotyczących psucia języka przez mocno odmienne słownictwo, używane w internecie. Jest zwolennikiem spolszczania wyrażeń (mejl, nie mail; dżojstik zamiast joysticka), ciekawi go, jak słowa dzięki komputerom zyskują nowe znaczenia (plik, pulpit, a nawet… małpa!). Niepokoi go za to przyspieszenie życia dzięki internetowi, bo to sprzyja powierzchownemu odbiorowi komunikatów, a używanie anglizmów niekiedy może poważnie zniekształcać wymowę wypowiedzi (słowo „nienawiść” brzmi poważnie, a „hejt” – zdecydowanie łagodniej).

No i tytułowe bezpieczeństwo… Bez pieczy, czyli bez opieki – czyli bezpieczniej?

Uczynić życie łatwiejszym

W sumie gdyby się zastanowić, to jakiś główny motyw by się jednak znalazł. A byłaby nim… nasza ludzka niefrasobliwość oczywiście. Rozpoczynający drugi dzień konferencji Lance Spitzner z SANS z jednej strony przytoczył jakże trafne powiedzonko: „You can’t patch stupidity” (nie załatasz głupoty), od razu jednak skontrował je opinią, że ta głupota to nie jest wina użytkowników. To my, jako środowisko bezpieczniaków, zawiedliśmy tych, którzy łapią się phishingi. A wiecie dlaczego?

Bo większość z nas edukuje Was tak, jak by edukowało siebie. Efekt jest taki, że edukowani kiwają głową, bo tak wypada, ale tak naprawdę, nie mają bladego pojęcia. Może nawet nie o tym, „co” słyszą i „jak” mają to zrobić, ale… po co! To, co jest proste dla mnie, nie musi być – i pewnie nie będzie – proste dla większości z Was. Dlatego, jak coraz częściej zaznaczają prelegenci, poruszający ten temat, zamiast mówić, jak skomplikowane powinno być hasło, wytłumacz jak działa menedżer haseł. Naucz ich używać uwierzytelniania dwuskładnikowego. Nie sprzedawaj frazesów o zabezpieczeniu danych w pracy. Powiedz userom, jakie ryzyka im grożą przy niefrasobliwości na co dzień. Ich prywatności, ich pieniądzom. Jeśli nauczą się chronić „po godzinach” – będą to robić również w pracy. Rozmawiaj w ich języku i uczyń ich życie łatwiejszym. Ja staram się tak robić już od lat, mam nadzieję, że działa J

A taka świadomość się przyda, bo to, co pokazał Tom van de Wiele z F-Secure pokazuje, że przestępca może czaić się wszędzie. Facet z drabiną i w kombinezonie? Ochrona szybciutko go wpuści, żeby nie psuł pięknego widoku nowoczesnej korporacji, a on odpowiednim urządzeniem w kieszeni przeskanuje wszystkie sieci w biurowcu i rekonesans gotowy. Jak często chowacie swój identyfikator, wychodząc z pracy? Spójrzcie na Twittera, na #protectyouraccesscard

8 miliardów dolarów rocznie

Nie da się opisać wszystkiego, tym bardziej, że na konferencji z równoległymi ścieżkami nie da się wszędzie być. Duże wrażenie zrobiła na mnie prezentacja Aliyi Shandry o „Surkov Leaks”, rozbijająca na czynniki pierwsze schemat prowadzonej przez Rosję na Ukrainie wojny hybrydowej. Na szczęście Aliya i współautor dokumentu Robert Seely byli na tyle mili, by udostępnić go w internecie. Gorąco polecam. Na mnie wrażenie zrobił koszt utrzymania samozwańczych Ługańskiej i Donieckiej Republiki Ludowej, szacowany na… 8 miliardów dolarów rocznie.

Na sam koniec zasnąć uczestnikom nie dali Tomasz Bukowski z Banku Millenium, wyjaśniający już bardziej technicznie co robić od strony firmowej sieci, żeby przestępcy nie zrobili nam krzywdy; niezawodny jak zwykle Adam Haertle (Zaufana Trzecia Strona) pokazujący nieco przewrotnie schemat tworzenia i monetyzacji kampanii phishingowej od strony przestępcy i na koniec Adam Lange (Standard Chartered Bank), punktujący skąd – i dlaczego – mogą wyciekać dane.

W rosnącej lawinowo liczbie bezpieczniackich konferencji „dziadek Secure” (23 lata, nie do wiary!) co roku nie zawodzi jakością.

Udostępnij: Konferencja Secure już po raz 23.!

Bezpieczeństwo

Safer Internet po raz 13.

19 września 2019

Safer Internet po raz 13.

13 lat. To kawał czasu nawet patrząc przez pryzmat życia, a co dopiero cyfrowego świata i nowoczesnych technologii. Pierwsza edycja konferencji Międzynarodowej Konferencję „Bezpieczeństwo dzieci i młodzieży w internecie”, określanej potocznie jako Safer Internet, miała miejsce, gdy przychodził na świat mój starszy syn, który w tym roku kończy szkołę podstawową!

Garść cyber-historii

Ja akurat na Safer Internet przyszedłem po raz 10., tym niemniej mam okazję obserwować, jak przez lata ewoluowało spojrzenie nauczycieli i fachowców, zajmujących się bezpieczeństwem dzieci, na cyfrowe zagrożenia. A zmiana jest gigantyczna. Choćby dlatego, że w 2006 roku, gdy Safer Internet odbył się po raz pierwszy, nikt nie myślał nawet o systemie Android, którego pierwsza wersja, Apple Pie, miała premierę 23 września 2008! Smartfony, tablety – w życiu! O Facebooku dopiero coś tam się mówiło w USA (5 września 2006 ten mało znany serwis dopiero raczkował) i nikt nie marzył o kontaktowaniu się przez komunikatory. A teraz?

Ach, ta dzisiejsza młodzież

A teraz mamy choćby fake newsy. To nim właśnie swój keynote poświęcił dr hab Marcin Napiórkowski, zajmujący się m.in. badaniem popkulturowych mitów. Pamiętacie szokującą rodziców historie o zabawie w „słoneczko”, gdzie nastoletni chłopcy mieliby uprawiać losowo seks ze swoimi koleżankami ułożonymi w kształcie rzeczonego słońca? Głodne sensacji i klikalności media rzuciły się na takiego newsa (sex sells, od zawsze – niestety 🙁 ). Niestety nie zadały sobie trudu sprawdzenia, że jego źródłem jest licząca kilkadziesiąt lat miejska legenda i informacje z nierzetelnych for internetowych, kopiowane 1:1, z tymi samymi błędami ortograficznymi i składniowymi!

Lalka Momo? Gros światowych mediów wzięło informację o jej rzekomych ofiarach z brytyjskiego tabloidu „The Mirror”. Skąd o tym wiadomo? Bo gdy tamtejszy mediaworker znalazł plotkę w kolumbijskich gazetach, przepisując ją na swoich łamach popełnił literówkę w imieniu rzekomego rządowego oficjela (który okazał się samorządowcem z małego miasteczka). Tę samą literówkę można było potem przeczytać w każdym innym medium… W obu wystarczyłoby poświęcić zapewne maksimum godzinę na sprawdzenie innego źródła. No ale w dzisiejszych czasach liczą się kliki, prawda?

Powiecie: „Przecież to tylko fake newsy, co złego może się stać?”. Ano to, że przesuniemy punkt odniesienia. Przyzwyczaimy „plastyczne” mózgi młodych ludzi do rzeczy drastycznych (mimo, iż totalnie nieprawdziwych) i niejako „odczulimy” na faktyczne, istniejące problemy. Empatia? Zapomnijcie… A przy tym wszystkim będziemy wmawiać i im i sobie, że „kiedyś to było…” i, że „ta dzisiejsza młodzież”. Kto tak nigdy nie pomyślał, niech pierwszy rzuci kamieniem. A potem poczytać o pojęciu Juvenoi, ukutym przez socjologa Davida Finkelhora.

Młodzież nie jest problemem. I nie jest gorsza, niż za naszych czasów. Problemem jest świat, system i nie niebezpieczeństwo, którym się straszy, ale sam fakt straszenia.

„Gdzie są rodzice tych dzieci?”

Wystąpieniem, które mną wstrząsnęło był wykład Łukasza Wojtasika (na zdjęciu) z Fundacji Dajemy Dzieciom Siłę. Muszę się Wam do czegoś przyznać. Choć czytałem sporo tekstów o patostreamach, widziałem screenshoty, to dopiero na rozpoczynającym wykład Łukasza kilkuminutowym wideo zobaczyłem, co tam się dzieje…

Ciężko cokolwiek powiedzieć. Byłem świadom, że jest źle, ale nie, że AŻ TAK. Jedna sprawa to fakt, że komukolwiek chce się to robić, ale cóż – skoro jest popyt, to jest i podaż. A dzieci i młodzież, stanowiące znaczący odsetek widzów tego typu kanałów, potrafią płacić ich tfu-rcom swoje kieszonkowe, za to, że ci piją, obrzydliwie bluźnią, wymiotują, promują wśród małoletnich zachowania seksualne, używają przemocy…

Nas to szokuje, ale spora część młodych ludzi – jak wynika z badania FDDS – uważa, że to coś normalnego, a nawet śmiesznego (15% ogląda patostreamy regularnie, bo „w szkole trzeba być na bieżąco”! I tu aż się prosi, by wrócić do wykładu dr Napiórkowskiego i tego, iż młode mózgi oglądając regularnie tego typu zachowania zaczną je uznawać za normę… Nie dziwmy się potem, gdy widząc bandytę, kopiącego kogoś w biały dzień na ulicy, wyjmą komórkę i… nie, nie zadzwonią po policję. Zaczną wszystko streamować na żywo w mediach społecznościowych.

I o ile z jednej strony można oburzyć się na tupet bluzgających tfu-rców, bezczelnie odpowiadających na pytania o swoich małoletnich widzów: „A gdzie są rodzice tych dzieci?”, sami powiedzmy, czy nie mają choć trochę racji?

Czy wiesz, co robi w sieci Twoje dziecko?

Właśnie, rodzicu – wiesz? Czy zainstalowałeś mu oprogramowanie kontroli rodzicielskiej i puściłeś „na żywioł”? Czy żelazną ręką racjonujesz wydawanie smartfona, a na noc wyłączasz w domu WiFi? Czy siedzisz obok młodego człowieka zawsze, gdy korzysta z internetu?

Ja, zastanawiając się nad tym, co usłyszałem przez dwa dni konferencji Safer Internet doszedłem do wniosku, że ma idealnego rozwiązania. Czy raczej – żadne z powyższych nie jest dobre, do momentu, gdy nie zaakceptujemy, że internet jest częścią świata naszych dzieci. Limit wieku 13, czy nawet w niektórych przypadkach 16 lat do korzystania z niektórych aplikacji? Przecież to fikcja. Każdy z nas był kiedyś dzieckiem i wie, że zakazany owoc smakuje najlepiej i każdą formalną przeszkodę da się ominąć. Zamiast demonizować np. coraz popularniejszego w Polsce TikToka, po prostu zainstaluj aplikację, zobacz co tam się dzieje, na czym polega i obserwuj konto swojego dziecka. Nie musisz patrzeć mu przez ramię i analizować raportów z parental controla – wystarczy zapytać mimochodem, co fajnego dziś zobaczyło na Youtubie. Wielu z prelegentów na Safer Internet zaznaczało, że dzieci chętnie… uczą rodziców, wprowadzają ich w realia swojego świata, ciesząc się, że mogą podzielić się swoimi zainteresowaniami!

Mnie, dzięki tego typu rozmowom, udało się wyjaśnić moim synom na samym początku zainteresowania kontem czołowego niegdyś polskiego Youtubera, dlaczego jego tfu-rczość jest bezwartościowa i niewarta oglądania.

Bez nerwów, bez rodzicielskiej „spinki”. Oni naprawdę nie muszą rozumieć, że wyczyny niektórych tfu-rców na Youtubie to działania wyreżyserowane, obliczone na sensację i wyciągnięcie pieniędzy z donate’ów. Że seks, bliskość między ludźmi, nie jest tym, co widać na filmach pornograficznych (48% brytyjskich dzieci i młodzieży w wieku 11-16 lat miało styczność z takimi treściami!). Że niektóre z jakże modnych ostatnimi czasy „challenge’ów” mogą się skończyć wizytą w szpitalu, czy też stałymi przenosinami na cmentarz. No i wreszcie – jakimi jesteśmy wzorami, jeśli sami często nie potrafimy „odkleić” się od naszego smartfona?

Komu zabrać smartfon?

Podczas kończącej konferencję Safer Internet debaty, gdy przyszła pora na rady dla „cyfrowych rodziców”, podobnie jak przez ostatnie lata wielokrotnie padły propozycje o aktywnościach offline, o niekorzystaniu ze smartfonów w domu, pokazaniu świata poza internetem… A ja lubię stawać w kontrze do takich pomysłów i powiem: „Nie”. Nie musimy wracać do jazdy konno, skoro mamy auta, ale nie musimy też naszym „cyfrowym samochodem” wjeżdżać na stół podczas rodzinnego obiadu.

Piszę to od kilku lat, podsumowując Safer Internet, mówię to też rodzicom, podczas moich prezentacji. Nie demonizujmy internetu, nie demonizujmy technologii, nie bójmy się jej. Nauczmy się z nią żyć, postarajmy się, by wniknęła w nasze życie (tego nie unikniemy) na naszych prawach. Internet nie jest siedliskiem zła, Youtube jest pełen wartościowych treści, smartfon może się przydać do wielu ciekawych rzeczy, od szukania materiałów do zadań domowych, do budowania współpracy grupowej przy grze w Fortnite (tak, o nim też było 🙂 ). Bądźmy przy dziecku tak, jak byliśmy 13 lat temu i niech wie, że może na nas zawsze liczyć. Po prostu bądźmy przy nich, tak jak byliśmy w erze offline. A jeśli mamy komuś zabrać smartfon, to zacznijmy od siebie…

 

 

Udostępnij: Safer Internet po raz 13.

Bezpieczeństwo

Confidence stał się pełnoletni

7 czerwca 2019

Confidence stał się pełnoletni

1300 osób. Na raz, w jednym miejscu, na imprezie poświęconej cyberbezpieczeństwu. Gdyby 18 lat temu, gdy na krajowej scenie branżowych konferencji pojawiał się Confidence, mało kto przypuszczał, że: po pierwsze – wytrwa 18 lat; po drugie zaś – jego organizatorzy ściągną na dwa dni do Krakowa ludność całkiem solidnej wsi 🙂

60 prelegentów w ciągu dwóch dni na trzech równoległych ścieżkach. Choćby się bardzo chciało, nie da się obejrzeć wszystkiego na raz. Inna sprawa, że organizatorzy – jak zawsze w przypadku takich imprez – starali się, by równoległe wykłady znacząco różniły się tematami. Czasami się nie udawało, ale cóż – jak mawia przysłowie – jeszcze się taki nie urodził, co by wszystkim dogodził.

Nie tylko dla hardkorów

Confidence to nie bez przyczyny jedna z konferencji, na które zawsze chętnie jeżdżę. A to dlatego, że – co chyba co roku zaznaczam 🙂 – choć wśród jej uczestników można wypatrzeć wielu naprawdę hardkorowych hackerów, bez problemu mogłem znaleźć tematy dla siebie. Czasami starałem się zrozumieć nieco więcej, ale gdy Michał Sajdak opowiadał o szczegółach niezałatanych podatności za lat… 80. i 90., to tylko patrzyłem z otwartymi ustami. Pilot do prezentacji, którego można użyć (zdalnie rzecz jasna) do wstrzyknięcia dowolnej sekwencji przycisków na komputerze prelegenta? Robi wrażenie, a to wcale nie była najstarsza, najbardziej abstrakcyjna i najprostsza do zexploitowania podatność.

Później wybierałem już prelekcje, które rozumiałem, a ciekawostek było sporo. Opowieści o CyberPolicji w wykonaniu Łukasza Pietrzaka z Komendy Wojewódzkiej Policji w Kielcach bawiły, ale był to śmiech przez łzy. Historia pana, który tak się przejął losem swojej wielkiej miłości z Nigerii (którą znał oczywiście tylko mailowo) do tego stopnia, by na jednej z komend powiatowych zgłosić jej… porwanie dowodzi, że przed ekspertami uczącymi świadomości zagrożeń w sieci jest jeszcze dużo pracy. Policyjne statystyki związane z cyberprzestępczością porażają. Wiecie, że ofiarą ataków w sieci tylko w Polsce statystycznie pada 18 osób… na sekundę? Straty finansowe to 110 mld $ rocznie na świecie, z czego równowartość niemal 5 mld PLN w naszym kraju.

Nieśmiertelne pory roku

Kirils Solovjovs opowiadał przez 45 minut o obrosłym legendą „Collection #1” – wycieku przeszło 3 miliardów unikalnych loginów i przyporządkowanych do nich haseł z całego świata. Najpopularniejsze? 123456 rzecz jasna! Można powiedzieć, że 0,32% całości to przecież niewiele, ale pamiętajmy, że mówimy o 0,32% z trzech miliardów! Jakby nie patrzeć to 10 milionów ludzi, którzy w tak oryginalny sposób postanowili zabezpieczyć swoje cyfrowe tożsamości!

Wśród najpopularniejszych haseł, obok klasyków w styli 1qazxsw2, czy qwerty, znajdowały się też hasła relatywnie trudne, ale nie przypominające „ścieżki” na klawiaturze. Na kilku prezentacjach podczas Confidence usłyszałem dotyczącą ich teorię, w którą jestem w stanie uwierzyć. Co byście powiedzieli na wspólne hasło dla grupy botów, czy też – bez spiskowych teorii „marketerów szeptanych”, dostających po kilka złotych za pozytywne recenzje produktów w sklepach i porównywarkach? Ma sens, prawda? Ciekawostką była jeszcze przygotowana przez Solovjovsa lista najpopularniejszych haseł w domenie gov.pl. Bez zaskoczeń jeśli chodzi o skalę „trudności”: katalog10, 123456, Wronia53 (ciekawostka, pod tym adresem mieści się siedziba Generalnej Dyrekcji Dróg Krajowych i Autostrad) oraz nieśmiertelna „Wiosna18”.

Confidence o socjotechnice

Na konferencji oczywiście nie mogło zabraknąć „Trzech Króli polskiego awarenessu” – Kacp… tzn. Piotra Koniecznego, Adama Haertle i Borysa Łąckiego 🙂 Opisywanie prezentacji całej trójki mija się z celem, bowiem kluczem do odbioru wygłaszanych przez nich treści jest charyzma prelegentów. Z wystąpienia Piotra warto zapamiętać stronę https://nbzp.cz/premium-stop/, ze szczegółowymi informacjami jak wyłączyć serwisy premium u wszystkich krajowych operatorów telefonicznych. Oczywiście jak za każdym razem kilkadziesiąt osób dało się złapać na stary trik o „QR-kodzie do zeskanowania zamiast spisywania długiego adresu”.

Adam opowiadał o tym jak bardzo ludzie chcą się zainfekować, do tego stopnia, że nie mogąc otworzyć maila z malwarem… piszą do nadawcy, że coś jest nie tak z załącznikiem. Skąd o tym wiedział? Ano stąd, że w jednej z ubiegłorocznych kampanii dowcipny sprawca jako adres zwrotny phishingowej korespondencji umieścił prywatnego Gmaila naczelnego Zaufanej Trzeciej Strony. Chciał mu zrobić przykrość, tymczasem dostarczył bardzo ciekawego materiału do analizy. Najbardziej zapamiętałem jednak końcówkę prezentacji, z komentarzami „najmądrzejszych” czytelników Z3S, piszących jakimi idiotami są ci, którzy łapią się na phishingi. Nie, panowie –

jeśli robicie w cyberbezpieczeństwie i wasi użytkownicy łapią się na proste phishingi, to idiotami jesteście WY

Bo mimo posiadanej wiedzy nie potraficie ich wyedukować.

Prezes w samolocie, pora na atak

O socjotechnice, ale od strony pentestera, opowiadał Borys. Wiecie jaka jest skuteczność takich testów? 100 procent, zawsze. A to dlatego, że do sukcesu nie muszą zainfekować się wszyscy – wystarczy jeden. Wniosek? Przygotuj się na incydent, bądź gotów na błyskawiczną reakcję, wyedukuj wszystkie szczeble pracowników. No i ustal „chain of command”, by nie zdarzały się sytuacje, gdy pod nieobecność prezesa, przy dobrze przygotowanym ataku, zanim ktoś dodzwoni się do szefa, na koncie firmy nie będzie już pieniędzy…

Notabene o takim prawdziwym – nie pentesterskim – przypadku opowiadał Jan Klima z Komendy Wojewódzkiej Policji w Krakowie. Wzorcowy OSINT (Open Source Intelligence), włamanie się do firmy-ofiary i obserwowanie formy, stylu i języka wysyłanych maili i wreszcie atak, gdy prezes był na pokładzie lecącego na Daleki Wschód samolotu. Efekt? 345 tysięcy euro „w plecy”, ale ostatecznie przestępcy wpadli w ręce sprawiedliwości.

O takich konferencjach jak Confidence można by pisać bardzo długo, a tematy dla siebie znajdą zarówno ci szukający „miękkiego” bezpieczeństwa jak i ci, którzy z wypiekami na twarzach patrzą w totalnie niezrozumiałe np. dla mnie linijki kodu. Za rok w czerwcu w Krakowie kolejny Confidence. Warto zajrzeć.

Udostępnij: Confidence stał się pełnoletni

Bezpieczeństwo

Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

26 października 2018

Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

Gościem konferencji Secure jestem od kiedy pamiętam, ale nawet ja nie pracuję w bezpieczeństwie tak długo, by pamiętać pierwszą, sprzed… 22 lat. Najstarsza bezpieczniacka konferencja w Polsce rokrocznie stara się pogodzić wszystkich. Zarówno tych, którzy szukają wieści totalnie technicznych, poprzez tych, którzy chcą posłuchać o cyberbezpieczeństwie bardziej „miękkim”, skończywszy na tych… cóż, ktoś słucha biznesowych prezentacji partnerów? 🙂

One ring to rule them all

Dobra, z tym ostatnim trochę przesadziłem, choćby dlatego, że kilka lat temu sam byłem współprezenterem na Secure właśnie w slocie partnerskim. Firmy, wspomagające tego typu przedsięwzięcia, zdają sobie sprawę z tego, że ostentacyjny marketing jest raczej wizerunkowym strzałem w stopę i nawet ich wykładów daje się słuchać. Nierzadko nawet z przyjemnością 😉

Co było najciekawsze? Choćbym się bardzo starał, nie dam rady obejrzeć 40 prezentacji. Tym bardziej, że spora część z nich była rozkładana na trzy równoległe sesje. Mam nieco żalu do organizatorów, że w jednym slocie znalazły się występy Adama Lange i Inbara Raza. Zmusiło mnie to do rezygnacji z prezentacji tego drugiego (wiem, agendy nie robi się pod jedną osobę, ale dwaj charyzmatyczni prelegenci na raz?). Nie żałowałem, bo dowiedziałem się jak łatwo, korzystając z darmowych rozwiązań (i obcej mi umiejętności programowania) można zbudować całkiem rozbudowane, wyrafinowane narzędzie, samo wyszukujące i proaktywnie przeciwdziałające phishingom.

Przede wszystkim warto jednak zaznaczyć keynote, czyli z założenia najciekawszą i przyciągającą wszystkich na wczesny poranek prezentację. Aleksandra Przegalińska, dr w dziedzinie filozofii sztucznej inteligencji, prowadząca badania na legendarnym Massachusetts Institute of Technology (MIT) bezdyskusyjnie poradziła sobie z wyzwaniem. Co najbardziej zapamiętałem? Że millenialsi szukają jednego rozwiązania na wszystko (np. Alexy, czy Asystenta Google). O badaniach, które wykazały, że bot obsługujący klienta jest lepiej odbierany, gdy tylko pisze, a nie jest multimedialny. No i o bocie dla studentów Akademii Leona Koźmińskiego, „wiszącym” testowo na stronie uczelni, zyskał swoją osobowość, został ekologiem i chętnie dostosowywał swoje „poglądy” do oczekiwań rozmówcy.

Czytaj na co się zgadzasz – nie tylko na Secure 🙂

A skoro mówimy o oczekiwaniach rozmówcy to w oryginalny sposób sprawdzono je na stanowisku Niebezpiecznika. Ankieta, po której wypełnieniu można było wziąć udział w losowaniu nagród, miała na końcu opcję „odhaczenia” zgód. Albo każdej pojedynczo, albo wszystkich naraz. Wszystkich – również tej, mówiącej o zgodzie na przyklejenie na czoło naklejki popularnego serwisu, zrobienie nam zdjęcia i późniejsze go wykorzystanie. Brzmi jak trolling? No ba! Myślicie, że nikt się nie złapał? Przeceniacie ludzi, nawet tych, którzy przychodzą na bezpieczniackie konferencje. Na pięknym grupowym zdjęciu stanęło przeszło 20 osób.

Skoro mowa o fachowcach, nie zabrakło również tematów zdecydowanie niskopoziomowych. „Oj, przydałyby się logi…” – gdybym za każdego admina, który kiedykolwiek powiedział te słowa po włamaniu do jego systemu dostawał złotówkę… Cóż, mógłbym Wam pomachać z Malediwów, czy innego tropikalnego raju 🙂 To trochę tak jak z podziałem na tych, co robią backupy i tych, co będą je robić. Z tą różnicą, że w przypadku analizy logów mamy dość sporą barierę wejścia – zarówno wiedzową, jak i finansową. Z drugiej jednak strony – o czym wspominała zresztą dr Przegalińska – szukamy „one ring to rule them all”. Rozwiązanie LOGmanager to po prostu… pudełko. Duży bufor, zależny od zakupionego przez nas rozmiaru (niczym koszulki, od S do XL 🙂 ), parser, engine, proste UI, łatwość programowania (praktycznie tak samo, jak Scratch, którego mój starszy syn uczył się w podstawówce) i przeszło 120 znanych źródeł logów. O takie sprzęty do logów nic nie robiłem 🙂

„Proszę załącznik jeszcze raz, ten się nie otwiera”

Ciekawy – jak zwykle, to nie jego pierwszy raz na Secure  – był wykład Stefana Tanase. Tym razem charyzmatyczny prelegent opowiadał o hakowaniu samochodów. Dzisiejsze auta są niczym sieci biurowe na kółkach (nawet te zwykłe, nie trzeba czekać na autonomiczne). Czasami wystarczy wetknąć pendrive’a ze spreparowanym autorunem, wyłączyć firewall, login i hasło do SSH są dostępne w internecie – dzień dobry, jesteś w systemie. A tam możesz sobie uruchomić GPS (chip i tak jest na płycie, trzeba go tylko uaktywnić) i np. uskuteczniać wardriving po prostu jeżdżąc po mieście. Gorzej, jak ktoś inny wbije się do naszego auta… Ransomware na samochody? W czym problem? Oszukanie przedniego radaru tak, by myślał, że stoi przed nim przeszkoda (i spowodował zatrzymanie auta) to nie są baśnie z mchu i paproci, to już się działo. Czy to oznacza, że do crash testów nowych aut dołączą testy penetracyjne? To wcale nie jest takie głupie, jak mogłoby się wydawać.

Tłumy stawiły się już tradycyjnie na prezentacjach Piotra Koniecznego i Adama Haertle. Kluczowym wnioskiem z prezentacji pierwszego z nich było dla mnie: „Nie ma separacji między służbowym i prywatnym „ja” przy aktywności w sieci”. To istotne w działaniach świadomościowych dla zwykłych internautów, czy pracowników firmy. Ucząc ich jak chronić siebie i rodzinę (dzieci, dziadków) tak naprawdę też wzbudzimy w nich świadomość bezpiecznych zachowań. Tylko bez poczucia, że do czegokolwiek ich zmuszamy. Haertle natomiast skupił się na ostatnim ataku „na długi z Kruka”, gdzie jednym z celów był… on i jeden z członków jego rodziny. Przestępcy umieścili bowiem w rubryce: „Odpowiedz do:” jego prywatny adres, zaś jako telefon do nadawcy maila widniał numer członka rodziny blogera.

Efekt? Kilka tysięcy prób połączenia telefonicznego i niezliczone maile do Adama. Wśród nich znalazły się prośby o ponowne wysłanie załącznika i obelgi (również te związane z… błędami gramatycznymi). Informacje, że mimo klikania załącznik się nie uruchomił. A także… zapewnienia, że odbiorca już przecież spłacił zaległy dług! W końcówce wydawało się, że prezenterowi nieco puściły nerwy. Głównie ze względu na przynajmniej dziesiątki „życzliwych”, sugerujących co należy zrobić z „idiotami, którzy to otwierają”. Ciężko się nie zgodzić z prelegentem, że jeśli stawiamy się w roli „fachowca od bezpieczeństwa”, sugerowanie ofierze nawet najbardziej prostackiego phishingu, by „strzeliła sobie w łeb” jest średnio profesjonalne.

GRU robi swoje

Gdyby próbować opisać przynajmniej połowę prezentacji z Secure’a, ten tekst byłby przynajmniej 3 razy większy. Warto napomknąć o tym, że przez ostatnie pół roku 53,5 procenta malware’u na Androida wykonywało nadużycia związane z SMSami, 22% to bankery, zaś ransomware to zaledwie 2 malware’y na 100 (Francisco Diaz, VirusTotal). Że 96,03% urządzeń mobilnych w Polsce to Android, 67% urządzeń bez biometrii nie ma bezpiecznej blokady ekranu, zaś w samym 2017 Google usunęło 39 mln potencjalnie szkodliwych aplikacji (!) ze Sklepu Play (Kamil Grondys, Samsung Research Polska). Że rosyjski wywiad wojskowy GRU… no dobra, tu akurat Christy Quinn z Accenture Security iDefense zastrzegł sobie, że nic z prezentacji nie może wyciec. O własnym zdjęciu nie mówił, ale na wszelki wypadek zostawiłem tylko jego kontury 😉 Jedno mogę powiedzieć – w kwestii GRU od Security Case Study nic się nie zmieniło.

 

Udostępnij: Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

Bezpieczeństwo

„Nie mówmy – działajmy!”

21 września 2018

„Nie mówmy – działajmy!”

Właśnie tytułowa wypowiedź prof. Jacka Pyżalskiego najbardziej wbiła mi się w pamięć podczas 12. konferencji Safer Internet. Przez te wszystkie lata (a konferencję o bezpieczeństwie dzieci i młodzieży w internecie odwiedziłem już 9. raz) wyraźnie widać przesunięcie środka ciężkości z sieciowych zagrożeń, na współpracę, partnerstwo i działanie w internecie wspólnie z dziećmi. Czyżby wreszcie „zły” internet został odczarowany?

Gwiazda w klasie

Ciekawym doświadczeniem okazały się być wyniki badań pod kierownictwem prof. Pyżalskiego właśnie, w których przebadano przeszło setkę osób w wieku 13-18 lat, wykorzystujących internet w sposób określany jako „ponadprzeciętny”. Chodzi przede wszystkim o sieciowych twórców, którzy mimo młodego wieku gromadzą wokół siebie nawet kilkusettysięczne społeczności. Kiedyś „ryzykiem” dla nauczyciela mogło być najwyżej to, że do jego klasy trafi dziecko „kogoś znanego”. Teraz może się okazać, że w ławce siedzi młody człowiek, którego zna cała nastoletnia Polska.

Wyniki badań pozytywnie mnie zaskoczyły. Większość z młodzieży do „wzięcia się za siebie” zmotywowali rówieśnicy, bądź po prostu chęć samokształcenia i ekspresji. Znaczna większość z nich wie czego chce, zachowuje się profesjonalnie w sieci i poza nią, mając świadomość, że za popularnością idzie odpowiedzialność. A w centrum wszystkiego jest dla nich człowiek. Mocne słowa w ustach trzynastolatka, nieprawdaż?

Baw się ze mną, nie ze smartfonem

Wiedzieliście, że niedawno w Niemczech odbyła się manifestacja… dzieci w wieku wczesnoszkolnym, gdzie 70 maluchów niosło transparenty z takim przekazem, jak w powyższym śródtytule? Mnie to trochę – wybaczcie kolokwializm – zryło beret, między innymi dlatego, że sam nie rzuciłbym pierwszy kamieniem, mnie też zdarza się „uciekać w telefon”. 80% dzieci w wieku przedszkolnym dostaje po prostu tablet „na odwal się”, bo chcemy mieć więcej czasu dla siebie. Gdy dziwimy się potem, że dziecko nie ma z nami kontaktu, zastanówmy się co było przedtem? W większości przypadków jest jeszcze czas, by zamiast poświęcać się telefonom, ustalić w domu, że każdego dnia pewien czas poświęcamy sobie. Włączamy „tryb offline”. Lada moment rozpocznie się kampania społeczna firmowana przez NASK, Fundację Dajemy Dzieciom Siłę i Fundację Orange, sugerująca podjęcie 48-godzinnego „wyzwania offline”. Kto jest gotów na 48-godzinny cyfrowy detoks? To tylko dwa dni! Ja zbieram siły i myślę, że jeśli mam się wymądrzać, jak bardzo to pomaga, to muszę po prostu zacząć od siebie. Ale wiem, że łatwo nie będzie. Ale to naprawdę potrzebne, szczególnie w świetle badań, wskazujących, że dla 61% młodzieży smartfon jest sposobem na… zabijanie nudy. A to oznacza, że nie mając go pod ręką, mogliby sięgnąć po jakieś aktywności offline!

Internet po wielekroć niebezpieczny

Sporo czasu poświęcono podczas konferencji mediom społecznościowym, podkreślając potencjalnie związane z nimi ryzyka (o plusach tym razem tylko napomykając). Choćby kwestie prywatności – w dużych serwisach dotarcie do ustawień prywatności potrafi zająć nawet 30(!) kliknięć, do akceptacji warunków postawionych przez dostawcę wystarczy jeden. Anglojęzyczni określają to jakże trafnym mianem „deceived by design”. Efekt profilowania widać najlepiej, gdy zalogujemy się na znaną nam stronę w trybie anonimowym i często zobaczymy kopletnie inne treści! Jakie? Jak pokazuje doświadczenie, coraz częściej nieprawdziwe, takie, które mogą wpłynąć na nasze poglądy, a w efekcie nawet na wyniki wyborów… Korzystanie z mediów społecznościowych to również ryzyko, które we wstrząsający chwilami sposób pokazał Michał Marańda z dyzurnet.pl. Człowiek-skała, biorąc pod uwagę, że to do niego głównie trafiają materiały, dotyczące seksualnego wykorzystywania nieletnich. Nastolatki mniej lub bardziej świadomie kuszące niekoniecznie równolatków w absolutnie niedwuznacznych serwisach, a to wszystko okraszone niewybrednymi komentarzami sugerującymi, że oglądający chcą zobaczyć więcej. Cóż – ja chciałbym to raczej od-zobaczyć…

Nie jest dobrze…

…ale czy kiedykolwiek było? Na pewno krzepiące jest to, że rodzice chętnie rozmawiają z badaczami, nawet, gdy chodzi o długi, półtoragodzinny wywiad, za który nikt im nie zapłaci. Widać różnice – przynajmniej z punktu widzenia rodzica – w podejściu do dzieci 9-12 i 13-17 lat, gdzie faktycznie tym młodszym wolno wyraźnie mniej. Rodzice są świadomi zagrożeń, ale nie demonizują już wpływu sieci, zależy im po prostu na tym, by dzieciom pomóc.
Może nie będzie aż tak źle?

Udostępnij: „Nie mówmy – działajmy!”

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej