Bezpieczeństwo

Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

26 października 2018

Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

Gościem konferencji Secure jestem od kiedy pamiętam, ale nawet ja nie pracuję w bezpieczeństwie tak długo, by pamiętać pierwszą, sprzed… 22 lat. Najstarsza bezpieczniacka konferencja w Polsce rokrocznie stara się pogodzić wszystkich. Zarówno tych, którzy szukają wieści totalnie technicznych, poprzez tych, którzy chcą posłuchać o cyberbezpieczeństwie bardziej „miękkim”, skończywszy na tych… cóż, ktoś słucha biznesowych prezentacji partnerów? 🙂

One ring to rule them all

Dobra, z tym ostatnim trochę przesadziłem, choćby dlatego, że kilka lat temu sam byłem współprezenterem na Secure właśnie w slocie partnerskim. Firmy, wspomagające tego typu przedsięwzięcia, zdają sobie sprawę z tego, że ostentacyjny marketing jest raczej wizerunkowym strzałem w stopę i nawet ich wykładów daje się słuchać. Nierzadko nawet z przyjemnością 😉

Co było najciekawsze? Choćbym się bardzo starał, nie dam rady obejrzeć 40 prezentacji. Tym bardziej, że spora część z nich była rozkładana na trzy równoległe sesje. Mam nieco żalu do organizatorów, że w jednym slocie znalazły się występy Adama Lange i Inbara Raza. Zmusiło mnie to do rezygnacji z prezentacji tego drugiego (wiem, agendy nie robi się pod jedną osobę, ale dwaj charyzmatyczni prelegenci na raz?). Nie żałowałem, bo dowiedziałem się jak łatwo, korzystając z darmowych rozwiązań (i obcej mi umiejętności programowania) można zbudować całkiem rozbudowane, wyrafinowane narzędzie, samo wyszukujące i proaktywnie przeciwdziałające phishingom.

Przede wszystkim warto jednak zaznaczyć keynote, czyli z założenia najciekawszą i przyciągającą wszystkich na wczesny poranek prezentację. Aleksandra Przegalińska, dr w dziedzinie filozofii sztucznej inteligencji, prowadząca badania na legendarnym Massachusetts Institute of Technology (MIT) bezdyskusyjnie poradziła sobie z wyzwaniem. Co najbardziej zapamiętałem? Że millenialsi szukają jednego rozwiązania na wszystko (np. Alexy, czy Asystenta Google). O badaniach, które wykazały, że bot obsługujący klienta jest lepiej odbierany, gdy tylko pisze, a nie jest multimedialny. No i o bocie dla studentów Akademii Leona Koźmińskiego, „wiszącym” testowo na stronie uczelni, zyskał swoją osobowość, został ekologiem i chętnie dostosowywał swoje „poglądy” do oczekiwań rozmówcy.

Czytaj na co się zgadzasz – nie tylko na Secure 🙂

A skoro mówimy o oczekiwaniach rozmówcy to w oryginalny sposób sprawdzono je na stanowisku Niebezpiecznika. Ankieta, po której wypełnieniu można było wziąć udział w losowaniu nagród, miała na końcu opcję „odhaczenia” zgód. Albo każdej pojedynczo, albo wszystkich naraz. Wszystkich – również tej, mówiącej o zgodzie na przyklejenie na czoło naklejki popularnego serwisu, zrobienie nam zdjęcia i późniejsze go wykorzystanie. Brzmi jak trolling? No ba! Myślicie, że nikt się nie złapał? Przeceniacie ludzi, nawet tych, którzy przychodzą na bezpieczniackie konferencje. Na pięknym grupowym zdjęciu stanęło przeszło 20 osób.

Skoro mowa o fachowcach, nie zabrakło również tematów zdecydowanie niskopoziomowych. „Oj, przydałyby się logi…” – gdybym za każdego admina, który kiedykolwiek powiedział te słowa po włamaniu do jego systemu dostawał złotówkę… Cóż, mógłbym Wam pomachać z Malediwów, czy innego tropikalnego raju 🙂 To trochę tak jak z podziałem na tych, co robią backupy i tych, co będą je robić. Z tą różnicą, że w przypadku analizy logów mamy dość sporą barierę wejścia – zarówno wiedzową, jak i finansową. Z drugiej jednak strony – o czym wspominała zresztą dr Przegalińska – szukamy „one ring to rule them all”. Rozwiązanie LOGmanager to po prostu… pudełko. Duży bufor, zależny od zakupionego przez nas rozmiaru (niczym koszulki, od S do XL 🙂 ), parser, engine, proste UI, łatwość programowania (praktycznie tak samo, jak Scratch, którego mój starszy syn uczył się w podstawówce) i przeszło 120 znanych źródeł logów. O takie sprzęty do logów nic nie robiłem 🙂

„Proszę załącznik jeszcze raz, ten się nie otwiera”

Ciekawy – jak zwykle, to nie jego pierwszy raz na Secure  – był wykład Stefana Tanase. Tym razem charyzmatyczny prelegent opowiadał o hakowaniu samochodów. Dzisiejsze auta są niczym sieci biurowe na kółkach (nawet te zwykłe, nie trzeba czekać na autonomiczne). Czasami wystarczy wetknąć pendrive’a ze spreparowanym autorunem, wyłączyć firewall, login i hasło do SSH są dostępne w internecie – dzień dobry, jesteś w systemie. A tam możesz sobie uruchomić GPS (chip i tak jest na płycie, trzeba go tylko uaktywnić) i np. uskuteczniać wardriving po prostu jeżdżąc po mieście. Gorzej, jak ktoś inny wbije się do naszego auta… Ransomware na samochody? W czym problem? Oszukanie przedniego radaru tak, by myślał, że stoi przed nim przeszkoda (i spowodował zatrzymanie auta) to nie są baśnie z mchu i paproci, to już się działo. Czy to oznacza, że do crash testów nowych aut dołączą testy penetracyjne? To wcale nie jest takie głupie, jak mogłoby się wydawać.

Tłumy stawiły się już tradycyjnie na prezentacjach Piotra Koniecznego i Adama Haertle. Kluczowym wnioskiem z prezentacji pierwszego z nich było dla mnie: „Nie ma separacji między służbowym i prywatnym „ja” przy aktywności w sieci”. To istotne w działaniach świadomościowych dla zwykłych internautów, czy pracowników firmy. Ucząc ich jak chronić siebie i rodzinę (dzieci, dziadków) tak naprawdę też wzbudzimy w nich świadomość bezpiecznych zachowań. Tylko bez poczucia, że do czegokolwiek ich zmuszamy. Haertle natomiast skupił się na ostatnim ataku „na długi z Kruka”, gdzie jednym z celów był… on i jeden z członków jego rodziny. Przestępcy umieścili bowiem w rubryce: „Odpowiedz do:” jego prywatny adres, zaś jako telefon do nadawcy maila widniał numer członka rodziny blogera.

Efekt? Kilka tysięcy prób połączenia telefonicznego i niezliczone maile do Adama. Wśród nich znalazły się prośby o ponowne wysłanie załącznika i obelgi (również te związane z… błędami gramatycznymi). Informacje, że mimo klikania załącznik się nie uruchomił. A także… zapewnienia, że odbiorca już przecież spłacił zaległy dług! W końcówce wydawało się, że prezenterowi nieco puściły nerwy. Głównie ze względu na przynajmniej dziesiątki „życzliwych”, sugerujących co należy zrobić z „idiotami, którzy to otwierają”. Ciężko się nie zgodzić z prelegentem, że jeśli stawiamy się w roli „fachowca od bezpieczeństwa”, sugerowanie ofierze nawet najbardziej prostackiego phishingu, by „strzeliła sobie w łeb” jest średnio profesjonalne.

GRU robi swoje

Gdyby próbować opisać przynajmniej połowę prezentacji z Secure’a, ten tekst byłby przynajmniej 3 razy większy. Warto napomknąć o tym, że przez ostatnie pół roku 53,5 procenta malware’u na Androida wykonywało nadużycia związane z SMSami, 22% to bankery, zaś ransomware to zaledwie 2 malware’y na 100 (Francisco Diaz, VirusTotal). Że 96,03% urządzeń mobilnych w Polsce to Android, 67% urządzeń bez biometrii nie ma bezpiecznej blokady ekranu, zaś w samym 2017 Google usunęło 39 mln potencjalnie szkodliwych aplikacji (!) ze Sklepu Play (Kamil Grondys, Samsung Research Polska). Że rosyjski wywiad wojskowy GRU… no dobra, tu akurat Christy Quinn z Accenture Security iDefense zastrzegł sobie, że nic z prezentacji nie może wyciec. O własnym zdjęciu nie mówił, ale na wszelki wypadek zostawiłem tylko jego kontury 😉 Jedno mogę powiedzieć – w kwestii GRU od Security Case Study nic się nie zmieniło.

 

Udostępnij: Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

Bezpieczeństwo

Pracy nam nie zabraknie

15 października 2015

Pracy nam nie zabraknie

Gościem konferencji Secure jestem od kiedy pamiętam, ale nawet ja nie pracuję w bezpieczeństwie tak długo, by pamiętać pierwszą, sprzed… 22 lat. Najstarsza bezpieczniacka konferencja w Polsce rokrocznie stara się pogodzić wszystkich. Zarówno tych, którzy szukają wieści totalnie technicznych, poprzez tych, którzy chcą posłuchać o cyberbezpieczeństwie bardziej „miękkim”, skończywszy na tych… cóż, ktoś słucha biznesowych prezentacji partnerów? 🙂

One ring to rule them all

Dobra, z tym ostatnim trochę przesadziłem, choćby dlatego, że kilka lat temu sam byłem współprezenterem na Secure właśnie w slocie partnerskim. Firmy, wspomagające tego typu przedsięwzięcia, zdają sobie sprawę z tego, że ostentacyjny marketing jest raczej wizerunkowym strzałem w stopę i nawet ich wykładów daje się słuchać. Nierzadko nawet z przyjemnością 😉

Co było najciekawsze? Choćbym się bardzo starał, nie dam rady obejrzeć 40 prezentacji. Tym bardziej, że spora część z nich była rozkładana na trzy równoległe sesje. Mam nieco żalu do organizatorów, że w jednym slocie znalazły się występy Adama Lange i Inbara Raza. Zmusiło mnie to do rezygnacji z prezentacji tego drugiego (wiem, agendy nie robi się pod jedną osobę, ale dwaj charyzmatyczni prelegenci na raz?). Nie żałowałem, bo dowiedziałem się jak łatwo, korzystając z darmowych rozwiązań (i obcej mi umiejętności programowania) można zbudować całkiem rozbudowane, wyrafinowane narzędzie, samo wyszukujące i proaktywnie przeciwdziałające phishingom.

Przede wszystkim warto jednak zaznaczyć keynote, czyli z założenia najciekawszą i przyciągającą wszystkich na wczesny poranek prezentację. Aleksandra Przegalińska, dr w dziedzinie filozofii sztucznej inteligencji, prowadząca badania na legendarnym Massachusetts Institute of Technology (MIT) bezdyskusyjnie poradziła sobie z wyzwaniem. Co najbardziej zapamiętałem? Że millenialsi szukają jednego rozwiązania na wszystko (np. Alexy, czy Asystenta Google). O badaniach, które wykazały, że bot obsługujący klienta jest lepiej odbierany, gdy tylko pisze, a nie jest multimedialny. No i o bocie dla studentów Akademii Leona Koźmińskiego, „wiszącym” testowo na stronie uczelni, zyskał swoją osobowość, został ekologiem i chętnie dostosowywał swoje „poglądy” do oczekiwań rozmówcy.

Czytaj na co się zgadzasz – nie tylko na Secure 🙂

A skoro mówimy o oczekiwaniach rozmówcy to w oryginalny sposób sprawdzono je na stanowisku Niebezpiecznika. Ankieta, po której wypełnieniu można było wziąć udział w losowaniu nagród, miała na końcu opcję „odhaczenia” zgód. Albo każdej pojedynczo, albo wszystkich naraz. Wszystkich – również tej, mówiącej o zgodzie na przyklejenie na czoło naklejki popularnego serwisu, zrobienie nam zdjęcia i późniejsze go wykorzystanie. Brzmi jak trolling? No ba! Myślicie, że nikt się nie złapał? Przeceniacie ludzi, nawet tych, którzy przychodzą na bezpieczniackie konferencje. Na pięknym grupowym zdjęciu stanęło przeszło 20 osób.

Skoro mowa o fachowcach, nie zabrakło również tematów zdecydowanie niskopoziomowych. „Oj, przydałyby się logi…” – gdybym za każdego admina, który kiedykolwiek powiedział te słowa po włamaniu do jego systemu dostawał złotówkę… Cóż, mógłbym Wam pomachać z Malediwów, czy innego tropikalnego raju 🙂 To trochę tak jak z podziałem na tych, co robią backupy i tych, co będą je robić. Z tą różnicą, że w przypadku analizy logów mamy dość sporą barierę wejścia – zarówno wiedzową, jak i finansową. Z drugiej jednak strony – o czym wspominała zresztą dr Przegalińska – szukamy „one ring to rule them all”. Rozwiązanie LOGmanager to po prostu… pudełko. Duży bufor, zależny od zakupionego przez nas rozmiaru (niczym koszulki, od S do XL 🙂 ), parser, engine, proste UI, łatwość programowania (praktycznie tak samo, jak Scratch, którego mój starszy syn uczył się w podstawówce) i przeszło 120 znanych źródeł logów. O takie sprzęty do logów nic nie robiłem 🙂

„Proszę załącznik jeszcze raz, ten się nie otwiera”

Ciekawy – jak zwykle, to nie jego pierwszy raz na Secure  – był wykład Stefana Tanase. Tym razem charyzmatyczny prelegent opowiadał o hakowaniu samochodów. Dzisiejsze auta są niczym sieci biurowe na kółkach (nawet te zwykłe, nie trzeba czekać na autonomiczne). Czasami wystarczy wetknąć pendrive’a ze spreparowanym autorunem, wyłączyć firewall, login i hasło do SSH są dostępne w internecie – dzień dobry, jesteś w systemie. A tam możesz sobie uruchomić GPS (chip i tak jest na płycie, trzeba go tylko uaktywnić) i np. uskuteczniać wardriving po prostu jeżdżąc po mieście. Gorzej, jak ktoś inny wbije się do naszego auta… Ransomware na samochody? W czym problem? Oszukanie przedniego radaru tak, by myślał, że stoi przed nim przeszkoda (i spowodował zatrzymanie auta) to nie są baśnie z mchu i paproci, to już się działo. Czy to oznacza, że do crash testów nowych aut dołączą testy penetracyjne? To wcale nie jest takie głupie, jak mogłoby się wydawać.

Tłumy stawiły się już tradycyjnie na prezentacjach Piotra Koniecznego i Adama Haertle. Kluczowym wnioskiem z prezentacji pierwszego z nich było dla mnie: „Nie ma separacji między służbowym i prywatnym „ja” przy aktywności w sieci”. To istotne w działaniach świadomościowych dla zwykłych internautów, czy pracowników firmy. Ucząc ich jak chronić siebie i rodzinę (dzieci, dziadków) tak naprawdę też wzbudzimy w nich świadomość bezpiecznych zachowań. Tylko bez poczucia, że do czegokolwiek ich zmuszamy. Haertle natomiast skupił się na ostatnim ataku „na długi z Kruka”, gdzie jednym z celów był… on i jeden z członków jego rodziny. Przestępcy umieścili bowiem w rubryce: „Odpowiedz do:” jego prywatny adres, zaś jako telefon do nadawcy maila widniał numer członka rodziny blogera.

Efekt? Kilka tysięcy prób połączenia telefonicznego i niezliczone maile do Adama. Wśród nich znalazły się prośby o ponowne wysłanie załącznika i obelgi (również te związane z… błędami gramatycznymi). Informacje, że mimo klikania załącznik się nie uruchomił. A także… zapewnienia, że odbiorca już przecież spłacił zaległy dług! W końcówce wydawało się, że prezenterowi nieco puściły nerwy. Głównie ze względu na przynajmniej dziesiątki „życzliwych”, sugerujących co należy zrobić z „idiotami, którzy to otwierają”. Ciężko się nie zgodzić z prelegentem, że jeśli stawiamy się w roli „fachowca od bezpieczeństwa”, sugerowanie ofierze nawet najbardziej prostackiego phishingu, by „strzeliła sobie w łeb” jest średnio profesjonalne.

GRU robi swoje

Gdyby próbować opisać przynajmniej połowę prezentacji z Secure’a, ten tekst byłby przynajmniej 3 razy większy. Warto napomknąć o tym, że przez ostatnie pół roku 53,5 procenta malware’u na Androida wykonywało nadużycia związane z SMSami, 22% to bankery, zaś ransomware to zaledwie 2 malware’y na 100 (Francisco Diaz, VirusTotal). Że 96,03% urządzeń mobilnych w Polsce to Android, 67% urządzeń bez biometrii nie ma bezpiecznej blokady ekranu, zaś w samym 2017 Google usunęło 39 mln potencjalnie szkodliwych aplikacji (!) ze Sklepu Play (Kamil Grondys, Samsung Research Polska). Że rosyjski wywiad wojskowy GRU… no dobra, tu akurat Christy Quinn z Accenture Security iDefense zastrzegł sobie, że nic z prezentacji nie może wyciec. O własnym zdjęciu nie mówił, ale na wszelki wypadek zostawiłem tylko jego kontury 😉 Jedno mogę powiedzieć – w kwestii GRU od Security Case Study nic się nie zmieniło.

 

Udostępnij: Pracy nam nie zabraknie

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej