Artur Kurasiński – Miałem okazję kilka razy obserwować Cię podczas prezentacji dla małych grup słuchaczy (głównie z korporacji) i za każdym razem byłem pod wrażeniem jak bardzo dużo prostych trików działa na ludzi. Człowiek to najmniej godna zaufania cześć systemu?
Piotr Konieczny (Niebezpiecznik.pl) – Niestety. Ale nie zawsze winę za incydenty należy upatrywać w zwykłym pracowniku, choć to najczęściej właśnie stereotypowej Halince czy typowemu Heńkowi przypisuje się całą odpowiedzialność np. za wyciek danych. Bo to on kliknął nie tam gdzie trzeba…
Osobiście uważam, że jeśli firma została zhackowana, to czasem nawet bardziej od osoby, która kliknęła w link winny jest dział IT supportu, który źle skonfigurował urządzenie pracownikowi (umożliwił negatywne następstwa kliknięcia).
Winni są administratorzy, którzy nieposegmentowali sieci. Winny jest dział HR, który nie wysłał pracownika na sensowne szkolenie. I wreszcie winny jest zarząd, który na te brakujące elementy bezpieczeństwa żałował pieniędzy „bo do tej pory przecież nikt nas nie atakował”…
Żyjemy w czasach kiedy utraciliśmy kontrolę nad platformami społecznościowymi, telefonami z których wysyłamy ważne informacje, urządzeniami jakie wykorzystujemy do nawigacji czy uprawiania sportu. Z drugiej strony nie jesteśmy gotowi żeby żyć bez nich. To ja się zatem zapytam „Panie Piotrze – jak żyć?”
Ci najmniej świadomi mają najłatwiej. Nie wiedzą, jak bardzo ktoś może naruszać ich prywatność i bezpieczeństwo, kiedy beztrosko smyrając smartfona strzelają lajkami na prawo i lewo. Tym bardziej świadomym, aby nie zwariować polecam wykonać coś, co fachowo nazywamy w branży „analizą ryzyka”.
Brzmi poważnie, ale można to uprościć do odpowiedzi zadania sobie dwóch bardzo ważnych pytań: CO jest dla mnie najważniejsze i PRZED KIM chcę to ochronić. A następnie tak dobierzmy możliwe „zabezpieczenia”, aby były one wystarczające na tego najbardziej prawdopodobnego atakującego, przed którym chcemy się ochronić.
Często podaję przykład zabezpieczenia smartfona — w końcu jest to jedno z istotniejszych, pod kątem informacji na nasze temat, urządzeń. Musimy go inaczej skonfigurować, jeśli chcemy go zabezpieczyć przed np. wścibskim partnerem lub partnerką (wystarczy kod blokady ekranu, wpisywany tak aby nikt go nie widział), a inaczej jeśli smartfona chcemy zabezpieczyć przed złodziejem Sebą, który wyciągnie nam smartfona z kieszeni w kolejce na poczcie -tu przyda się skonfigurowanie tzw. trybu SOS i „Find My Device” i ustawienie PIN-u na karcie SIM, bo Seba zainteresowany będzie zastawieniem telefonu, w lombardzie lub wysłaniem SMS-ów na bramki bitcoinowe z naszej karty SIM przez swój telefon.
A żadnej z tych rzeczy nie zrobi, jeśli telefon zdalnie zablokujemy, a karta SIM będzie chroniona PIN-em. A jeśli ktoś chce zabezpieczyć smartfona przed służbami, to… próbować może, ale jeśli trafi na silnie zmotywowaną służbę, niczego nie wskóra, czegokolwiek by nie zrobił.
Służby mogą dane, które mamy na smartfonie, pozyskać nie tylko za pomocą przełamania zabezpieczeń specjalnymi urządzeniami, ale też na kilka innych sposobów. To jednak temat na inną rozmowę :)
Media nas bombardują doniesieniami o kolejnym wypływie danych z ważnych serwisów czy urzędów i możliwości ich zakupu w darknecie. Faktycznie stanie się przestępcą jest takie proste? Wystarczy kupić w darknecie dane i ziuuum – stajemy się cyberprzestępcami?
Dostęp do danych swoich sąsiadów masz na kilka kliknięć. Wystarczy że znasz jakikolwiek identyfikator, jakim się posługują – idealnie numer telefonu lub adres e-mail, bo te dwie dane są w wielu wykradzionych i krążących po internecie bazach danych.
Z jednej pozyskasz dodatkowo numer PESEL, z kolejnej (używając już numeru PESEL) dowiesz się, gdzie sąsiedzi wcześniej mieszkali, co i skąd zamawiali, że mieli psa, kota, rybki, albo w weekend jeździli jeepami po lasach i kupowali odzież patriotyczną, a w sewisach dla dorosłych najbardziej interesowała ich kategoria hentai.
Niebawem pewnie (choć póki co takie informacje nie krążą po sieci) dowiesz się na co chorują i jakie leki zażywają. Bo coraz więcej systemów, nie tylko państwowych, się informatyzuje i przetrzymuje dane na nie zawsze zabezpieczonych serwerach.
Tak powszechny dostęp do cudzych danych oczywiście powoduje, że niektórzy chcą na tych danych „pracować”. To już nie tylko spam i SMS-y o przesyłkach, na które czekamy, a które okazały się za ciężkie i trzeba dopłacić złotówkę.
To nawet włamy na cudze konta Ikea by wyciągnąć z nich kody bonów rabatowych… Odrobina kreatywności i raz wykradzione dane można monetyzować w zasadzie bez końca…
Dostęp do danych swoich sąsiadów masz na kilka kliknięć. Wystarczy że znasz jakikolwiek identyfikator, jakim się posługują — idealnie numer telefonu lub adres e-mail, bo te dwie dane są w wielu wykradzionych i krążących po internecie bazach danych.
Na jednym ze swoich szkoleń pokazywałeś serwis agregujący informacje o zdalnym dostępie do różnych urządzeń – niesamowite jest to, że w sumie bez włamywania się można albo podejrzeć pracę takich urządzeń albo wręcz je przejąć. Dlaczego taki dostęp jest tak prosty? Nikomu nie zależy na tym żeby utrudnić
Niektórym zależy. Ale na pewno nie są to producenci sprzętu, tzw. IoT, który coraz częściej musi być podpięty do internetu. Oni chcą jak najszybciej i jak najtaniej wypuścić jak najprostszy w użyciu sprzęt do klientów. A jakakolwiek warstwa bezpieczeństwa, to czas, koszt i utrudnienia.
Niestety, ludzie oczekują sterowania swoim oczyszczaczem powietrza z aplikacji, przez smartfona. Chociaż oczyszczacz mają na wyciągnięcie ręki wolą wysłać do niego sygnał przez Chiny i z powrotem, aby go włączyć.
A to oznacza, że oczyszczacz może być w wielu sytuacjach widzialny z internetu. I zauważy go nie tylko serwer producenta. Zauważyć może go każdy, kto przeskanuje wszystkie adresy IP, co dla jednego portu na IPv4 można zrobić w ok. 5 minut.
Wyobraź sobie, że po 5 minutach masz listę tysięcy kamer, które możesz podejrzeć, bo albo producent w ogóle nie ustawił na nich żadnego hasła dostępowego albo właściciel hasła domyślnego nie zmienił.
Po kolejnych 5 minutach widzisz wszystkie drukarki (i możesz ludziom z całego świata puścić do druku przepis na bigos), komputery z włączonym zdalnym dostępem, wyciągi narciarskie, a nawet przydomowe baseny, czy miejskie elektrownie i tamy.
Rozmawiałem kiedyś z dziennikarzem na temat jego metod pracy i pokazał mi swój warsztat – numer telefonu i adres mieszkania polityka zdobył po kilku minutach szukania w Google. Dokładając do tego kilka popularnych narzędzi możemy zdobywać dane dotyczące bardzo ciekawych osób i spraw. Nie trzeba mieć narzędzi NSA żeby zdobyć dużo informacji o każdym z nas…
A czego nie znalazłby w Google, mógłby wyłowić z wykradzionych już baz danych. Polityk na pewno robił zakupy w internecie, a jak nie on, to jego rodzina.
Ich dane latają po sieci. Samą rodzinę dziennikarz namierzyłby przez serwisy społecznościowe, a potem odpalając jedno z narzędzi, jakie pokazujemy w trakcie naszych warsztatów z OSINT, czyli technik namierzania informacji o ludziach i firmach, miałby po kilku dodatkowych minutach ustalone gdzie ów polityk przebywał na przestrzeni ostatnich kilku lat, nie mówiąc już o tym, jaki majątek faktycznie posiada i w zarządach których spółek zasiadał osobiście, a w których przez „krewnych”.
A gdyby dziennikarz był bardziej „odważny” i mniej zwracający uwagę na przestrzeganie prawa, mógłby pozyskać jeszcze więcej danych, stosując mniej etyczne metody, ale tu może postawmy kropkę. Podsumowując, dziś każdy może być „agentem specjalnym”, jeśli wie gdzie i czym zajrzeć.
Jesteś redaktorem najpopularniejszego polskiego serwisu o cyberbezpieczeństwie niebezpiecznik.pl oraz robisz szkolenia z tego zakresu. Pracy na pewno Ci nie zabraknie – czy nie widzisz jednak, że to jest trochę walka z wiatrakami? Przeszkolisz kilkaset osób, a na rynku pracy pojawi się kolejne tysiące osób, które firmowy router „zabezpieczą” hasłem „admin123”?
Nie unikniemy tego, że zawsze będą osoby, które popełnią znane błędy. Tak samo jak co roku na drogach giną przechodnie, bo przekraczają ją w złym miejscu. Rolą ludzi od bezpieczeństwa jest jednak nie tylko ostrzegać przechodniów przed tym co może im grozić, wyposażać w odblaski i uczyć jak poprawnie przechodzi się przez torowisko.
Trzeba budować szersze, bezpieczniejsze chodniki, barierki, których nie przeskoczą, aby skrócić sobie drogę albo innymi metodami zachęcić do tego, aby drogę przekraczali w miejscach do tego wyznaczonych. Pracy w branży bezpieczeństwa nie brakuje. Technicznie, postęp w ostatnich latach był ogromny.
Narzędzia mamy, choćby takie klucze U2F, które w 100% chronią przed jednym z najpopularniejszych ataków, przed phishingiem. Niestety, póki co mało kto się w nie wyposażył i korzysta, choć coraz więcej serwisów pozwala je skonfigurować.
Jestem fanem transparentnego bezpieczeństwa. Takiego, które użytkownik dostaje wbudowane w produkt lub usługę, wykorzystuje i nawet o tym nie wie, ale przede wszystkim w ogóle o tym nie myśli. Jeszcze trochę przed nami, ale krok po kroczku, wyciek po wycieku, docieramy tam…
O czym będziesz mówił podczas swojej prelekcji na Infoshare 2020?
Chcę pokazać, jak niewiele prywatności mamy, jeśli korzystamy z internetu. Zademonstruję, jak każdy może się wielu rzeczy na temat danej osoby nie ruszając się z fotela.
A pokazując różne źródła danych i metody ich pozyskiwania, przy okazji zdeanonimizuję postać pewnego znanego polskiego szpiega. Będzie ciekawie. I strasznie. Dlatego, na koniec, chciałbym abyś odnotował, że nie mam myśli samobójczych i nigdy nie planowałem popełnić samobójstwa.
***
Piotr Konieczny jest prelegentem podczas konferencji @Infoshare
Infoshare 2020 Online – wirtualny festiwal społeczności napędzanej technologią!
Najnowsze trendy technologiczne, startupy, innowacje, wyzwania biznesu w czasach pandemii. To wszystko podczas Infoshare 2020. Największa konferencja technologiczna w Europie Środkowo-Wschodniej w formacie online, transmitowanym na cały świat z Gdańska potrwa 6 dni i odbędzie się w dniach 23-25 i 28-30 września. Na uczestników czeka aż 9 scen tematycznych z prelekcjami na żywo i niespotykane dotąd możliwości networkingu. Kup bilet już dziś!