Bezpieczeństwo

Secure 2020 czyli jak wyszło za darmo?

8 października 2020

Secure 2020 czyli jak wyszło za darmo?

Sezon, sezon i… po sezonie. Konferencyjnym sezonie, przynajmniej jeśli chodzi o imprezy, związane z cyberbezpieczeństwem. Październikowy Secure standardowo zamyka serię bezpieczniackich imprez. Secure w tym roku zupełnie inny, bowiem – ku zaskoczeniu branży – darmowy. A to nie są tanie rzeczy. Udział w konferencji tematycznej z krajowego topu przez pandemią to koszt, który zamykał się w czterocyfrowej kwocie. Do nowych czasów, które wszystkich zaskoczyły, organizatorzy próbowali się dostosować na różne sposoby. Jedni „welcome packiem”, wysyłanym do posiadaczy biletów. Inni przeniesieniem imprezy do rzeczywistości wirtualnej. No i jak w tym przypadku – z racji znaczącego spadku kosztów przy wersji online – zaproponowaniem udziału nawet tym, którzy z racji na koszt wstępu w ogóle by tego nie rozważali.

Trolle w prezentacji, trolle na czacie

Zacznę od najgorszego. To chyba dobry pomysł, bo potem będzie już tylko lepiej 🙂 W tym roku miała już miejsce 24. edycja Secure, ja miałem przyjemność brać udział w bodaj 9 podczas ostatniej dekady. I może zabrzmi to snobistycznie, ale początek tegorocznej potwierdził starą prawdę, że jeśli ktoś zapłaci, to przynajmniej wie, czemu się w danym miejscu znalazł. A to dlatego, że – wybaczcie kolokwializm – opadła mi szczęka, gdy na czacie podczas prezentacji Anny Gielewskiej z renomowanego Uniwerstytetu Stanforda czytałem mocno niewybredne komentarze na temat prelegentki, wartości merytorycznej jej prezentacji i sensowności umieszczenia jej w agendzie.

Zastanawiam się, czy komentujący troll (co ciekawe, prezentacja w sporej części dotyczyły trolli (acz sponsorowanych przez państwa, w sensie kraje) właśnie) miałby odwagę powiedzieć Annie te uwagi prosto w twarz? Na szczęście, gdy podczas sesji Q&A prowadzący ją Przemysław Jaroszewski z NASK zmitygował napastnika, zaznaczając, że czat jest moderowany i tego typu zachowania będą piętnowane, odniosłem wrażenie, że sytuacja się uspokoiła.

Edukacja, czyli Human OS jak zawsze dziurawy

Jednym z powodów z którego lubię Secure jest idealny dobór keynoterów. Nigdy – serio, nigdy! – nie spotkałem się na tej imprezie z sytuacją, by konferencję zaczynał ktoś, kogo prezentacja nie wbija w fotel (w kanapę w tym przypadku), a pod jej koniec dziwiłem się, że trzy kwadranse minęły tak szybko. Nie inaczej było z Lancem Spitznerem z SANS Institute. Wiecie, czemu od 2004 obserwujemy znaczny wzrost ataków opartych o socjotechnikę i powolny zmierzch wirusów per se? Bo wtedy wzmocniono znacznie zabezpieczenia Windowsa, do tego stopnia, że przestało się opłacać atakować system (podatności to inna sprawa, ale to historia na inną opowieść). Ludzie nie doceniają ryzyka w internecie, bo nie widzą efektów, bo nie jest spektakularne. Gdyby Was spytać, jakie zwierzę jest bardziej niebezpieczne, rekin, czy komar, co byście powiedzieli? Zgłupiał Rosiak, przecież wiadomo, że… Dobra, poczekajcie. A najlepiej spójrzcie niżej:

Komary: 1470 ofiar

Rekiny: 1035 ofiar

Ale to nie wszystko. Brakuje Wam czegoś? No czasokresu oczywiście. No to jeśli chodzi o komary, dane dotyczą 2016 roku. W przypadku rekinów natomiast – 2016 i… poprzedzających go 100 lat. Tak. Komary zabiły w ciągu roku więcej osób, niż rekin w ciągu stu lat! Zszokowani? Ja tak. I dlatego tak wiele osób łapało się na phishingi „covidowe” jeszcze na początku pandemii.

Zaintrygowała mnie teza Lance’a, jako phishing telefoniczny był częstszy i groźniejszy, niż mailowy. O ile z tym pierwszy w naszych polskich warunkach się nie zgadzam, to w tej „groźności” coś jednak jest… Przecież do ataków mailowych w końcu się przyzwyczajamy, a rozmowy telefonicznej tak łatwo nie zablokujemy. I o ile prościej jest przekazać w ten sposób emocje…

No i ransomware… Ale nie ten staromodny, gdzie szyfrujemy dane i prosimy o zakup klucza szyfrującego. Takie araki już są passe. Teraz wbijamy się do sieci, tam panoszymy się jak u siebie. Wykradamy dane i grozimy ich upublicznieniem, jeśli nie dostaniemy okupu. Że okup za duży? Ależ my prosimy cię „tylko” o 1 procent obrotów, z RODO/GDPR dostaniesz z automatu 4%, jeśli pociekną dane klientów. To jak, co wybierasz?

Sklepy „bezsłupowe”

Wrócę na chwilę do wspominanej wcześniej prezentacji Anny Gielewskiej, traktującej o wojnie informacyjnej. Temat jak najbardziej na czasie i zdecydowanie pasujący do profilu Secure’a. W pamięć wbiło mi się przede wszystkim case study ataku dezinformacyjnego na Akademię Sztuki Wojennej. Wszystko zaczęło się od fałszywego listu rektora uczelni, prezentowanego następnie z różnych punktów widzenia w internetowych mediach zarówno mocno prawicowych, jak i mocno lewicowych. Trolling na tyle uniwersalny, by poruszył zarówno tych na lewy.pl jak i prawy.pl? Dla mnie mistrzostwo, czapki z głów przed autorami zza naszej wschodniej granicy. Prelegentka napomknęła o planach, by dezinformację zatrzymać na poziomie regulacji w amerykańskim prawie. Ciekawe, czy się uda, ale słabo to raczej widzę.

Nie mogło mnie oczywiście zabraknąć przed monitorem podczas prezentacji prok. Agnieszki Gryszczyńskiej, opisującej schematy działania sieciowych oszustów i problemy, jakie z doprowadzeniem ich przed oblicze sprawiedliwości mają organy ścigania. Oczywiście dlatego, że prawo wciąż niedostosowane jest do czasów cyber. Choć temat jest mi bliski, prelegentce udało się mnie zaskoczyć fragmentem o fałszywych sklepach w formule „bezsłupowej”. W klasycznym tego typu przedsięwzięciu przelewy trafiają na konta mniej lub bardziej świadomych uczestników. Ci następnie piorą pieniądze z kradzieży i jest po wszystkim. Są jednak sklepy, gdzie „w międzyczasie”, w czasie rzeczywistym procesując zamówienie ofiary oszust szuka towaru w innym sklepie, na podobną kwotę. To przelew nań podsuwa ostatecznie do wysłania niefrasobliwemu internaucie. Czyli przykładowo ja myślę, że kupuję w sklepie A lodówkę za 1500 PLN, płacąc za telefon komórkowy ze sklepu B za 1503,5. Na drobną różnicę nie zwracam uwagi, przestępca telefon potem sprzedaje i biznes się kręci.

Jak to się udało?

Secure to jednak w znaczniej części konferencja techniczna. Pełna prezentacji o śledzeniu twórcy exploitów po charakterystycznych dla niego śladach, zostawionych w kodzie, problemach z protokołami używanymi w urządzeniach przemysłowych, podatnościach, czy hakowaniu WordPressa. W zalewie tych istotnych, profesjonalnych i raczej niezrozumiałych dla mnie treści drugiego dnia wyłowiłem jeszcze występ Adama Haertle. Założyciel Zaufanej Trzeciej Strony z właściwą tylko sobie charyzmą opowiadał na prawdziwych przykładach jak przestępcy wyłącznie mailami przekonują ofiary, by to im przelewały miliony euro. Warto było także posłuchać Jerzego Kosińskiego i jego bardzo szczegółowych przykładów oszustw bankowych, które trafiły na sądowe wokandy. I o ile zabrakło mi oczywiście niepodrabialnej atmosfery imprezy „offline”, merytorycznie tegoroczny Secure zdecydowanie się obronił.

PS: Tak, wiem, że odbijam się w telewizorze na zdjęciu. Tak miało być 🙂

 

Udostępnij: Secure 2020 czyli jak wyszło za darmo?

Bezpieczeństwo

Konferencja Secure już po raz 23.!

24 października 2019

Konferencja Secure już po raz 23.!

Zawsze, gdy opisuję Wam którąś z wielu bezpieczniackich konferencji, na których bywam, staram się znaleźć jakiś główny przekaz, wiodący temat. Na tegorocznej, 23. już edycji Secure, jednej z najciekawszych tego typu imprez, takiego wyrazistego motywu nie wyłapałem. Nie zmienia to jednak faktu, że było – jak co roku – ciekawie.

Jak wygrać talent show?

Kiedyś ktoś mówił – zdaje się, że to cytat przypisywany Alfredowi Hitchcockowi – że każdy porządny scenariusz musi zacząć się do wybuchu atomowego, a potem musi być tylko coraz lepiej. Takim wybuchem w przypadku konferencji jest keynote, pierwsza prezentacja. Gdy ja zaczynałem przygodę z Secure poznałem w ten sposób Briana Krebsa, tym razem tę rolę pełnił Tony Gee, z Pen Test Partners. Wniosek z jego wystąpienia wysnułem jeden, kluczowy – kupować tylko markowe urządzenia Internetu Rzeczy. W świecie w którym najbardziej liczy się czas dotarcia na rynek kolejnego gadżetu, oszczędności trzeba szukać wszędzie. Na przykład kupując od firmy zewnętrznej API, które okazuje się być nie tylko dziurawe jak szwajcarski ser, ale także… wykorzystane wcześniej, w innym produkcie. Jeśli jest element internetowej aplikacji do monitorowania zegarków z GPS, to może warto poszukać, czy ktoś nie użył go do monitorowania samochodów? A może zrobił to na stronie nie wymagającej autoryzacji, gdzie wystarczy podać adres w konkretnej formie, numer auta w sieci firmy i ?id=0, by zdalnie unieruchomić samochód? Zobaczmy, może jeśli zmienimy numer o 1, to pokaże się panel innego auta?

To jak to jest z tymi talent shows? Prelegent przytoczył przykład z rosyjskiego „Voice Kids”, gdzie podejrzenia wywołało zwycięstwo córki miliardera. Szybko analiza wykazała, że 41 tysięcy SMSów z głosami na nią zostało wysłanych z jednego rejonu, z telefonów o kolejnych numerach… Ten przekręt był akurat grubymi nićmi szyty, ale gdyby tak „wbić” się do panelu zarządzania zegarkami dla dzieci i sprawić, by wysłały SMSy albo dzwoniły na numer premium?

Bez pieczy, czyli… bezpieczny?

Organizatorzy Secure czasami ulegają pokusie, by zaprosić kogoś totalnie niezwiązanego z branżą, kto w jakiś sposób do bezpieczeństwa nawiąże. Kilka lat temu był to – świetny notabene – iluzjonista, tym razem człowiek z zupełnie innej półki, profesor Jerzy Bralczyk. Ciężko opisać, o czym mówił, bowiem ci, którzy mieli przyjemność widzieć profesora w akcji, wiedzą, że jest niepodrabialny 🙂 Kilka rzeczy jednak sobie wynotowałem. Co ciekawe, profesor Bralczyk nie podziela obaw, dotyczących psucia języka przez mocno odmienne słownictwo, używane w internecie. Jest zwolennikiem spolszczania wyrażeń (mejl, nie mail; dżojstik zamiast joysticka), ciekawi go, jak słowa dzięki komputerom zyskują nowe znaczenia (plik, pulpit, a nawet… małpa!). Niepokoi go za to przyspieszenie życia dzięki internetowi, bo to sprzyja powierzchownemu odbiorowi komunikatów, a używanie anglizmów niekiedy może poważnie zniekształcać wymowę wypowiedzi (słowo „nienawiść” brzmi poważnie, a „hejt” – zdecydowanie łagodniej).

No i tytułowe bezpieczeństwo… Bez pieczy, czyli bez opieki – czyli bezpieczniej?

Uczynić życie łatwiejszym

W sumie gdyby się zastanowić, to jakiś główny motyw by się jednak znalazł. A byłaby nim… nasza ludzka niefrasobliwość oczywiście. Rozpoczynający drugi dzień konferencji Lance Spitzner z SANS z jednej strony przytoczył jakże trafne powiedzonko: „You can’t patch stupidity” (nie załatasz głupoty), od razu jednak skontrował je opinią, że ta głupota to nie jest wina użytkowników. To my, jako środowisko bezpieczniaków, zawiedliśmy tych, którzy łapią się phishingi. A wiecie dlaczego?

Bo większość z nas edukuje Was tak, jak by edukowało siebie. Efekt jest taki, że edukowani kiwają głową, bo tak wypada, ale tak naprawdę, nie mają bladego pojęcia. Może nawet nie o tym, „co” słyszą i „jak” mają to zrobić, ale… po co! To, co jest proste dla mnie, nie musi być – i pewnie nie będzie – proste dla większości z Was. Dlatego, jak coraz częściej zaznaczają prelegenci, poruszający ten temat, zamiast mówić, jak skomplikowane powinno być hasło, wytłumacz jak działa menedżer haseł. Naucz ich używać uwierzytelniania dwuskładnikowego. Nie sprzedawaj frazesów o zabezpieczeniu danych w pracy. Powiedz userom, jakie ryzyka im grożą przy niefrasobliwości na co dzień. Ich prywatności, ich pieniądzom. Jeśli nauczą się chronić „po godzinach” – będą to robić również w pracy. Rozmawiaj w ich języku i uczyń ich życie łatwiejszym. Ja staram się tak robić już od lat, mam nadzieję, że działa J

A taka świadomość się przyda, bo to, co pokazał Tom van de Wiele z F-Secure pokazuje, że przestępca może czaić się wszędzie. Facet z drabiną i w kombinezonie? Ochrona szybciutko go wpuści, żeby nie psuł pięknego widoku nowoczesnej korporacji, a on odpowiednim urządzeniem w kieszeni przeskanuje wszystkie sieci w biurowcu i rekonesans gotowy. Jak często chowacie swój identyfikator, wychodząc z pracy? Spójrzcie na Twittera, na #protectyouraccesscard

8 miliardów dolarów rocznie

Nie da się opisać wszystkiego, tym bardziej, że na konferencji z równoległymi ścieżkami nie da się wszędzie być. Duże wrażenie zrobiła na mnie prezentacja Aliyi Shandry o „Surkov Leaks”, rozbijająca na czynniki pierwsze schemat prowadzonej przez Rosję na Ukrainie wojny hybrydowej. Na szczęście Aliya i współautor dokumentu Robert Seely byli na tyle mili, by udostępnić go w internecie. Gorąco polecam. Na mnie wrażenie zrobił koszt utrzymania samozwańczych Ługańskiej i Donieckiej Republiki Ludowej, szacowany na… 8 miliardów dolarów rocznie.

Na sam koniec zasnąć uczestnikom nie dali Tomasz Bukowski z Banku Millenium, wyjaśniający już bardziej technicznie co robić od strony firmowej sieci, żeby przestępcy nie zrobili nam krzywdy; niezawodny jak zwykle Adam Haertle (Zaufana Trzecia Strona) pokazujący nieco przewrotnie schemat tworzenia i monetyzacji kampanii phishingowej od strony przestępcy i na koniec Adam Lange (Standard Chartered Bank), punktujący skąd – i dlaczego – mogą wyciekać dane.

W rosnącej lawinowo liczbie bezpieczniackich konferencji „dziadek Secure” (23 lata, nie do wiary!) co roku nie zawodzi jakością.

Udostępnij: Konferencja Secure już po raz 23.!

Bezpieczeństwo

Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

26 października 2018

Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

Gościem konferencji Secure jestem od kiedy pamiętam, ale nawet ja nie pracuję w bezpieczeństwie tak długo, by pamiętać pierwszą, sprzed… 22 lat. Najstarsza bezpieczniacka konferencja w Polsce rokrocznie stara się pogodzić wszystkich. Zarówno tych, którzy szukają wieści totalnie technicznych, poprzez tych, którzy chcą posłuchać o cyberbezpieczeństwie bardziej „miękkim”, skończywszy na tych… cóż, ktoś słucha biznesowych prezentacji partnerów? 🙂

One ring to rule them all

Dobra, z tym ostatnim trochę przesadziłem, choćby dlatego, że kilka lat temu sam byłem współprezenterem na Secure właśnie w slocie partnerskim. Firmy, wspomagające tego typu przedsięwzięcia, zdają sobie sprawę z tego, że ostentacyjny marketing jest raczej wizerunkowym strzałem w stopę i nawet ich wykładów daje się słuchać. Nierzadko nawet z przyjemnością 😉

Co było najciekawsze? Choćbym się bardzo starał, nie dam rady obejrzeć 40 prezentacji. Tym bardziej, że spora część z nich była rozkładana na trzy równoległe sesje. Mam nieco żalu do organizatorów, że w jednym slocie znalazły się występy Adama Lange i Inbara Raza. Zmusiło mnie to do rezygnacji z prezentacji tego drugiego (wiem, agendy nie robi się pod jedną osobę, ale dwaj charyzmatyczni prelegenci na raz?). Nie żałowałem, bo dowiedziałem się jak łatwo, korzystając z darmowych rozwiązań (i obcej mi umiejętności programowania) można zbudować całkiem rozbudowane, wyrafinowane narzędzie, samo wyszukujące i proaktywnie przeciwdziałające phishingom.

Przede wszystkim warto jednak zaznaczyć keynote, czyli z założenia najciekawszą i przyciągającą wszystkich na wczesny poranek prezentację. Aleksandra Przegalińska, dr w dziedzinie filozofii sztucznej inteligencji, prowadząca badania na legendarnym Massachusetts Institute of Technology (MIT) bezdyskusyjnie poradziła sobie z wyzwaniem. Co najbardziej zapamiętałem? Że millenialsi szukają jednego rozwiązania na wszystko (np. Alexy, czy Asystenta Google). O badaniach, które wykazały, że bot obsługujący klienta jest lepiej odbierany, gdy tylko pisze, a nie jest multimedialny. No i o bocie dla studentów Akademii Leona Koźmińskiego, „wiszącym” testowo na stronie uczelni, zyskał swoją osobowość, został ekologiem i chętnie dostosowywał swoje „poglądy” do oczekiwań rozmówcy.

Czytaj na co się zgadzasz – nie tylko na Secure 🙂

A skoro mówimy o oczekiwaniach rozmówcy to w oryginalny sposób sprawdzono je na stanowisku Niebezpiecznika. Ankieta, po której wypełnieniu można było wziąć udział w losowaniu nagród, miała na końcu opcję „odhaczenia” zgód. Albo każdej pojedynczo, albo wszystkich naraz. Wszystkich – również tej, mówiącej o zgodzie na przyklejenie na czoło naklejki popularnego serwisu, zrobienie nam zdjęcia i późniejsze go wykorzystanie. Brzmi jak trolling? No ba! Myślicie, że nikt się nie złapał? Przeceniacie ludzi, nawet tych, którzy przychodzą na bezpieczniackie konferencje. Na pięknym grupowym zdjęciu stanęło przeszło 20 osób.

Skoro mowa o fachowcach, nie zabrakło również tematów zdecydowanie niskopoziomowych. „Oj, przydałyby się logi…” – gdybym za każdego admina, który kiedykolwiek powiedział te słowa po włamaniu do jego systemu dostawał złotówkę… Cóż, mógłbym Wam pomachać z Malediwów, czy innego tropikalnego raju 🙂 To trochę tak jak z podziałem na tych, co robią backupy i tych, co będą je robić. Z tą różnicą, że w przypadku analizy logów mamy dość sporą barierę wejścia – zarówno wiedzową, jak i finansową. Z drugiej jednak strony – o czym wspominała zresztą dr Przegalińska – szukamy „one ring to rule them all”. Rozwiązanie LOGmanager to po prostu… pudełko. Duży bufor, zależny od zakupionego przez nas rozmiaru (niczym koszulki, od S do XL 🙂 ), parser, engine, proste UI, łatwość programowania (praktycznie tak samo, jak Scratch, którego mój starszy syn uczył się w podstawówce) i przeszło 120 znanych źródeł logów. O takie sprzęty do logów nic nie robiłem 🙂

„Proszę załącznik jeszcze raz, ten się nie otwiera”

Ciekawy – jak zwykle, to nie jego pierwszy raz na Secure  – był wykład Stefana Tanase. Tym razem charyzmatyczny prelegent opowiadał o hakowaniu samochodów. Dzisiejsze auta są niczym sieci biurowe na kółkach (nawet te zwykłe, nie trzeba czekać na autonomiczne). Czasami wystarczy wetknąć pendrive’a ze spreparowanym autorunem, wyłączyć firewall, login i hasło do SSH są dostępne w internecie – dzień dobry, jesteś w systemie. A tam możesz sobie uruchomić GPS (chip i tak jest na płycie, trzeba go tylko uaktywnić) i np. uskuteczniać wardriving po prostu jeżdżąc po mieście. Gorzej, jak ktoś inny wbije się do naszego auta… Ransomware na samochody? W czym problem? Oszukanie przedniego radaru tak, by myślał, że stoi przed nim przeszkoda (i spowodował zatrzymanie auta) to nie są baśnie z mchu i paproci, to już się działo. Czy to oznacza, że do crash testów nowych aut dołączą testy penetracyjne? To wcale nie jest takie głupie, jak mogłoby się wydawać.

Tłumy stawiły się już tradycyjnie na prezentacjach Piotra Koniecznego i Adama Haertle. Kluczowym wnioskiem z prezentacji pierwszego z nich było dla mnie: „Nie ma separacji między służbowym i prywatnym „ja” przy aktywności w sieci”. To istotne w działaniach świadomościowych dla zwykłych internautów, czy pracowników firmy. Ucząc ich jak chronić siebie i rodzinę (dzieci, dziadków) tak naprawdę też wzbudzimy w nich świadomość bezpiecznych zachowań. Tylko bez poczucia, że do czegokolwiek ich zmuszamy. Haertle natomiast skupił się na ostatnim ataku „na długi z Kruka”, gdzie jednym z celów był… on i jeden z członków jego rodziny. Przestępcy umieścili bowiem w rubryce: „Odpowiedz do:” jego prywatny adres, zaś jako telefon do nadawcy maila widniał numer członka rodziny blogera.

Efekt? Kilka tysięcy prób połączenia telefonicznego i niezliczone maile do Adama. Wśród nich znalazły się prośby o ponowne wysłanie załącznika i obelgi (również te związane z… błędami gramatycznymi). Informacje, że mimo klikania załącznik się nie uruchomił. A także… zapewnienia, że odbiorca już przecież spłacił zaległy dług! W końcówce wydawało się, że prezenterowi nieco puściły nerwy. Głównie ze względu na przynajmniej dziesiątki „życzliwych”, sugerujących co należy zrobić z „idiotami, którzy to otwierają”. Ciężko się nie zgodzić z prelegentem, że jeśli stawiamy się w roli „fachowca od bezpieczeństwa”, sugerowanie ofierze nawet najbardziej prostackiego phishingu, by „strzeliła sobie w łeb” jest średnio profesjonalne.

GRU robi swoje

Gdyby próbować opisać przynajmniej połowę prezentacji z Secure’a, ten tekst byłby przynajmniej 3 razy większy. Warto napomknąć o tym, że przez ostatnie pół roku 53,5 procenta malware’u na Androida wykonywało nadużycia związane z SMSami, 22% to bankery, zaś ransomware to zaledwie 2 malware’y na 100 (Francisco Diaz, VirusTotal). Że 96,03% urządzeń mobilnych w Polsce to Android, 67% urządzeń bez biometrii nie ma bezpiecznej blokady ekranu, zaś w samym 2017 Google usunęło 39 mln potencjalnie szkodliwych aplikacji (!) ze Sklepu Play (Kamil Grondys, Samsung Research Polska). Że rosyjski wywiad wojskowy GRU… no dobra, tu akurat Christy Quinn z Accenture Security iDefense zastrzegł sobie, że nic z prezentacji nie może wyciec. O własnym zdjęciu nie mówił, ale na wszelki wypadek zostawiłem tylko jego kontury 😉 Jedno mogę powiedzieć – w kwestii GRU od Security Case Study nic się nie zmieniło.

 

Udostępnij: Konferencja Secure 2018 – Nie ma internetu „służbowego” i „prywatnego”

Bezpieczeństwo

Pracy nam nie zabraknie

15 października 2015

Pracy nam nie zabraknie

Sezon, sezon i… po sezonie. Konferencyjnym sezonie, przynajmniej jeśli chodzi o imprezy, związane z cyberbezpieczeństwem. Październikowy Secure standardowo zamyka serię bezpieczniackich imprez. Secure w tym roku zupełnie inny, bowiem – ku zaskoczeniu branży – darmowy. A to nie są tanie rzeczy. Udział w konferencji tematycznej z krajowego topu przez pandemią to koszt, który zamykał się w czterocyfrowej kwocie. Do nowych czasów, które wszystkich zaskoczyły, organizatorzy próbowali się dostosować na różne sposoby. Jedni „welcome packiem”, wysyłanym do posiadaczy biletów. Inni przeniesieniem imprezy do rzeczywistości wirtualnej. No i jak w tym przypadku – z racji znaczącego spadku kosztów przy wersji online – zaproponowaniem udziału nawet tym, którzy z racji na koszt wstępu w ogóle by tego nie rozważali.

Trolle w prezentacji, trolle na czacie

Zacznę od najgorszego. To chyba dobry pomysł, bo potem będzie już tylko lepiej 🙂 W tym roku miała już miejsce 24. edycja Secure, ja miałem przyjemność brać udział w bodaj 9 podczas ostatniej dekady. I może zabrzmi to snobistycznie, ale początek tegorocznej potwierdził starą prawdę, że jeśli ktoś zapłaci, to przynajmniej wie, czemu się w danym miejscu znalazł. A to dlatego, że – wybaczcie kolokwializm – opadła mi szczęka, gdy na czacie podczas prezentacji Anny Gielewskiej z renomowanego Uniwerstytetu Stanforda czytałem mocno niewybredne komentarze na temat prelegentki, wartości merytorycznej jej prezentacji i sensowności umieszczenia jej w agendzie.

Zastanawiam się, czy komentujący troll (co ciekawe, prezentacja w sporej części dotyczyły trolli (acz sponsorowanych przez państwa, w sensie kraje) właśnie) miałby odwagę powiedzieć Annie te uwagi prosto w twarz? Na szczęście, gdy podczas sesji Q&A prowadzący ją Przemysław Jaroszewski z NASK zmitygował napastnika, zaznaczając, że czat jest moderowany i tego typu zachowania będą piętnowane, odniosłem wrażenie, że sytuacja się uspokoiła.

Edukacja, czyli Human OS jak zawsze dziurawy

Jednym z powodów z którego lubię Secure jest idealny dobór keynoterów. Nigdy – serio, nigdy! – nie spotkałem się na tej imprezie z sytuacją, by konferencję zaczynał ktoś, kogo prezentacja nie wbija w fotel (w kanapę w tym przypadku), a pod jej koniec dziwiłem się, że trzy kwadranse minęły tak szybko. Nie inaczej było z Lancem Spitznerem z SANS Institute. Wiecie, czemu od 2004 obserwujemy znaczny wzrost ataków opartych o socjotechnikę i powolny zmierzch wirusów per se? Bo wtedy wzmocniono znacznie zabezpieczenia Windowsa, do tego stopnia, że przestało się opłacać atakować system (podatności to inna sprawa, ale to historia na inną opowieść). Ludzie nie doceniają ryzyka w internecie, bo nie widzą efektów, bo nie jest spektakularne. Gdyby Was spytać, jakie zwierzę jest bardziej niebezpieczne, rekin, czy komar, co byście powiedzieli? Zgłupiał Rosiak, przecież wiadomo, że… Dobra, poczekajcie. A najlepiej spójrzcie niżej:

Komary: 1470 ofiar

Rekiny: 1035 ofiar

Ale to nie wszystko. Brakuje Wam czegoś? No czasokresu oczywiście. No to jeśli chodzi o komary, dane dotyczą 2016 roku. W przypadku rekinów natomiast – 2016 i… poprzedzających go 100 lat. Tak. Komary zabiły w ciągu roku więcej osób, niż rekin w ciągu stu lat! Zszokowani? Ja tak. I dlatego tak wiele osób łapało się na phishingi „covidowe” jeszcze na początku pandemii.

Zaintrygowała mnie teza Lance’a, jako phishing telefoniczny był częstszy i groźniejszy, niż mailowy. O ile z tym pierwszy w naszych polskich warunkach się nie zgadzam, to w tej „groźności” coś jednak jest… Przecież do ataków mailowych w końcu się przyzwyczajamy, a rozmowy telefonicznej tak łatwo nie zablokujemy. I o ile prościej jest przekazać w ten sposób emocje…

No i ransomware… Ale nie ten staromodny, gdzie szyfrujemy dane i prosimy o zakup klucza szyfrującego. Takie araki już są passe. Teraz wbijamy się do sieci, tam panoszymy się jak u siebie. Wykradamy dane i grozimy ich upublicznieniem, jeśli nie dostaniemy okupu. Że okup za duży? Ależ my prosimy cię „tylko” o 1 procent obrotów, z RODO/GDPR dostaniesz z automatu 4%, jeśli pociekną dane klientów. To jak, co wybierasz?

Sklepy „bezsłupowe”

Wrócę na chwilę do wspominanej wcześniej prezentacji Anny Gielewskiej, traktującej o wojnie informacyjnej. Temat jak najbardziej na czasie i zdecydowanie pasujący do profilu Secure’a. W pamięć wbiło mi się przede wszystkim case study ataku dezinformacyjnego na Akademię Sztuki Wojennej. Wszystko zaczęło się od fałszywego listu rektora uczelni, prezentowanego następnie z różnych punktów widzenia w internetowych mediach zarówno mocno prawicowych, jak i mocno lewicowych. Trolling na tyle uniwersalny, by poruszył zarówno tych na lewy.pl jak i prawy.pl? Dla mnie mistrzostwo, czapki z głów przed autorami zza naszej wschodniej granicy. Prelegentka napomknęła o planach, by dezinformację zatrzymać na poziomie regulacji w amerykańskim prawie. Ciekawe, czy się uda, ale słabo to raczej widzę.

Nie mogło mnie oczywiście zabraknąć przed monitorem podczas prezentacji prok. Agnieszki Gryszczyńskiej, opisującej schematy działania sieciowych oszustów i problemy, jakie z doprowadzeniem ich przed oblicze sprawiedliwości mają organy ścigania. Oczywiście dlatego, że prawo wciąż niedostosowane jest do czasów cyber. Choć temat jest mi bliski, prelegentce udało się mnie zaskoczyć fragmentem o fałszywych sklepach w formule „bezsłupowej”. W klasycznym tego typu przedsięwzięciu przelewy trafiają na konta mniej lub bardziej świadomych uczestników. Ci następnie piorą pieniądze z kradzieży i jest po wszystkim. Są jednak sklepy, gdzie „w międzyczasie”, w czasie rzeczywistym procesując zamówienie ofiary oszust szuka towaru w innym sklepie, na podobną kwotę. To przelew nań podsuwa ostatecznie do wysłania niefrasobliwemu internaucie. Czyli przykładowo ja myślę, że kupuję w sklepie A lodówkę za 1500 PLN, płacąc za telefon komórkowy ze sklepu B za 1503,5. Na drobną różnicę nie zwracam uwagi, przestępca telefon potem sprzedaje i biznes się kręci.

Jak to się udało?

Secure to jednak w znaczniej części konferencja techniczna. Pełna prezentacji o śledzeniu twórcy exploitów po charakterystycznych dla niego śladach, zostawionych w kodzie, problemach z protokołami używanymi w urządzeniach przemysłowych, podatnościach, czy hakowaniu WordPressa. W zalewie tych istotnych, profesjonalnych i raczej niezrozumiałych dla mnie treści drugiego dnia wyłowiłem jeszcze występ Adama Haertle. Założyciel Zaufanej Trzeciej Strony z właściwą tylko sobie charyzmą opowiadał na prawdziwych przykładach jak przestępcy wyłącznie mailami przekonują ofiary, by to im przelewały miliony euro. Warto było także posłuchać Jerzego Kosińskiego i jego bardzo szczegółowych przykładów oszustw bankowych, które trafiły na sądowe wokandy. I o ile zabrakło mi oczywiście niepodrabialnej atmosfery imprezy „offline”, merytorycznie tegoroczny Secure zdecydowanie się obronił.

PS: Tak, wiem, że odbijam się w telewizorze na zdjęciu. Tak miało być 🙂

 

Udostępnij: Pracy nam nie zabraknie

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej