Naszej rozmowy w postaci podcastu posłuchaj tutaj
Artur Kurasiński: Witam bardzo serdecznie. Ja się nazywam Artur Kurasiński, a jest dzisiaj ze mną Piotr Konieczny, którego pewnie kojarzycie z niebezpiecznik.pl, czyli najlepszego bloga, serwisu informacyjnego o tym co się dzieje z cyberbezpieczeństwem i w cyberbezpieczeństwie. Cześć Piotrze!
Piotr Konieczny: Cześć.
Przedstawiłem cię tak dosyć zdawkowo, czy chciałbyś coś dodać? Mam wrażenie, że mogłem wsadzić cię w jakąś kategorię, a może chciałbyś się przedstawić trochę inaczej?
Ja się zazwyczaj przedstawiam: „Mam na imię Piotrek i znam Twoje hasło”, ale jeśli chodzi o szerszy zakres działania no to rzeczywiście jestem związany w zasadzie tylko i wyłącznie z bezpieczeństwem, teraz, zawodowo, komercyjnie. Natomiast jeśli pytasz o to jak chciałbym się przedstawiać, no to nie wiem… Ostatnio dostałem plakietkę na pewnym festiwalu – ‘artysta’. Może to już jest ten moment, kiedy powinienem zacząć malować obrazy? Chociaż… może nie. (śmiech)
Rozumiem. Możesz czuć się artystą, możesz być artystą, na co dzień jednak…
Nie no – absolutnie nie czuję się artystą! (śmiech)
No wiesz – możesz być artystą cyberbezpieczeństwa!
Nie widzisz mnie Arturze, ale jak powiedziałeś, że „najlepszy”, to ja się zaczerwieniłem…
Słuchaj – dzień bez wazeliny dniem straconym… Natomiast co tu ukrywać. Jak patrzę na medialny pejzaż polskiego Internetu i bym chciał pozyskać wiedzę na temat nie tylko cyberbezpieczeństwa, bo za chwilę o tym porozmawiamy – czym jest i jaka jest jego definicja – ale kurcze, czasami po prostu człowiek sięga po taką wiedzę: „A o co chodzi z tym Pegasusem?”, tak? „A czy naprawdę trzeba w tej knajpie zakrywać sobie torebką foliową głowę, bo nas wszyscy podsłuchują?” – tu pojawia się niebezpiecznik.pl czy też pojawiają się twoje teksty na różnych, socialowych mediach. Tak więc „najlepszy”? Kurcze no, chyba tak. Fałszywa skromność też jest zła, więc ja to powiedziałem i będę to podtrzymywał. A jak się będziesz czerwienił to cóż – nie widzę tego, więc przykro mi, ale będę nadal tkwił w swoim przekonaniu. To przejdźmy właśnie tak gładko do tego czym jest cyberbezpieczeństwo? Pewnie używane jest to w bardzo wielu znaczeniach, ale ty poproszony, jakbyś to zdefiniował?
Wiesz co, dla mnie jest to bardzo niefortunne określenie. W zasadzie chyba nawet nie po polsku trochę, bo ‘cyber’ – przedrostek czy też samo słowo – oznacza coś zupełnie innego niż to z czym kojarzymy to słowo, czyli z cyberprzestrzenią. Czegoś takiego też naprawdę nie ma.
Tu chodzi po prostu o bezpieczeństwo internetowe. Zauważ, że my jako niebezpiecznik.pl czy w ogóle ludzie, którzy myślą o cyberbezpieczeństwie często określają tym mianem, czy do tego worka ‘cyberbezpieczeństwo’ wrzucają na przykład – ostatnio bardzo modne – oszustwa z wykorzystaniem telefonu, kiedy dzwoni do Ciebie konsultant Twojego banku i mówi, że była do Ciebie nieautoryzowana transakcja i musisz szybko zainstalować aplikację aby przeskanowała Twój telefon. Czy to jest cyberbezpieczeństwo?
Czy to jest zwykłe oszustwo? Ja myślę, że dzisiaj, kiedy Internet nam towarzyszy na każdym etapie naszego życia, kiedy sporo rzeczy mamy w Internecie, robimy w Internecie; kiedy niektórzy z nas się z Internetu w ogóle nie wylogowują to tak naprawdę to bezpieczeństwo jest czymś, co towarzyszy nam cały czas. Ciężko jest element bezpieczeństwa odciąć od jakiejkolwiek usługi, jakiejkolwiek czynności, którą robimy w sieci. Może podsumujmy: cyberbezpieczeństwo to… wszystko.
(śmiech) Bardzo mi się podoba ta definicja, bo jest taka pojemna. I myślę, że wiele osób się zgodzi, że faktycznie, tak już odrzucając śmieszkowanie – tak naprawdę to czy ja zmienię hasło do Facebooka; to czy ja odbiorę dziś jakiś telefon albo kliknę w załącznik w mailu; jakie urządzenie kupię albo jaki router wybiorę do siebie – to jest de facto bardzo mocno związane z tym jak potem mogę być łatwo albo mniej łatwo atakowany i co mogę przez to stracić. Natomiast pewnie ze względu na to, że żyjemy w tak szybko zmieniających się czasach i biegnących do przodu wydarzeniach potrzebujemy jakiegoś worka pojęciowego, do którego możemy to wrzucić. Tak więc okej, dobrze – szanuję tę definicję. Powiedz mi, bo ja wielokrotnie zastanawiałem się jak ludzie odbierają – ja oczywiście jestem skromnym neofitą i staram się dużo rzeczy czytać, i próbować czasami może zbyt hałaśliwie swoje zdanie gdzieś tam wrzucać – natomiast mam wrażenie, że ludzie – w rozumieniu teraz społeczeństwa i ludzi, którzy się interesują, czytają coś – mogą odnieść wrażenie, że problemy związane z bezpieczeństwem w sieci czy w ogóle związane z bezpieczeństwem urządzeń elektronicznych dotyczą tylko celebrytów, ewentualnie jakichś zakładów pracy, elektrowni; bo tak naprawdę to nikt przecież nie będzie takiego biednego Kowalskiego w żaden sposób próbował naciąć na czymś. Czy powiedziałbyś, że to jest prawda? Czy raczej, że to jest fałsz?
Czy możemy przeklinać w podcaście?
Pewnie, że możemy!
Nie, bo pewnie „wypikasz” to i tak… Guzik prawda, Arturze! Guzik prawda! Dlaczego? Jest takie powiedzenie „Mądry Polak po szkodzie”. I to niestety jest bardzo prawdziwe powiedzenie jeżeli chodzi o osoby, które stały się ofiarami jakiegoś incydentu związanego z bezpieczeństwem. Bardzo często niektóre osoby – właśnie tak, jak to przedstawiłeś – mówią: „Kto by chciał mnie zhakować? Przecież ja nie mam nic wartościowego! Gdzie mi tam do elektrowni? Gdzie mi tam do Dody, Wojewódzkiego czy do znanego celebryty?” – i tak dalej.
Zwróćcie uwagę na jedną bardzo istotną rzecz, nad którą przeszliśmy do porządku dziennego – każdy z nas ma dzisiaj moc obliczeniową, którą nosi w kieszeni, prawdopodobnie jeszcze w plecaku czy ma na biurku; mamy sprzęt, mamy urządzenia. My nie musimy mieć wartościowych danych żeby być celem ataku. Dzisiaj są masowe ataki, czyli realizowane na całej przestrzeni adresów IP, kiedy nasze urządzenie jest podpięte do Internetu to może być celem takiego ataku. I efektem takiego ataku czy też może tym, czego tak naprawdę szuka przestępca, osoba, która te ataki wykonuje to jest ta moc obliczeniowa; bo na tych urządzeniach można kopać kryptowaluty.
Innymi słowy: Ty możesz nie mieć nic, możesz być przegrywem życiowym, ale tak czy inaczej będziesz wartościowym celem dla atakującego. Także jeśli ktoś uważa, że jego życie poszło źle, czuje się smutny, niedoceniony to niech ma świadomość, że dla takiego przestępcy internetowego on jest wartościowy i on zostanie zaatakowany prędzej czy później. Można byłoby tutaj znowu rzucić frazesem bardzo popularnym w naszej branży, że ludzi dzieli się na dwie kategorie: tych, którzy zostali zhakowani i tych, którzy będą zhakowani.
No, niestety – jest to takie równanie matematyczne czy pewien wniosek, który nasuwa się sam; prędzej czy później każdy z nas jakąś wpadkę bezpieczeństwa zaliczy. I absolutnie nie sugeruję, że będzie to na skutek naszego błędu, który my popełnimy, wynikającego z niewiedzy, z roztargnienia, z pijaństwa czasem, z pewnego niedopatrzenia. Bardzo często czy też najczęściej w przypadku osób, które nas słuchają to nie będzie błąd, który Wy popełnicie. To będzie błąd, który popełnią dostawcy Waszych usług.
Dostawcy, którzy przecież mają swoje systemy podpięte do Internetu; którzy przetwarzają Wasze dane; którzy nierzadko mają też Wasze pieniądze – giełdy kryptowalutowe są notorycznie atakowane. Środki są wykradane, giełdy padają. A jeśli nie są zaatakowane i nie padają to sami właściciele giełd robią tak zwany „exit” z kasą i znikają z pieniędzmi. Czy to nazwać teraz atakiem z warstwy cyberbezpieczeństwa, czy zwykłym chamstwem, oszustwem i złodziejstwem – no, ten cyber się trochę tutaj zaciera.
My dzisiaj żyjemy w cyber, więc tak naprawdę ciężko jest powiedzieć, że jakieś problemy związane z całym tym ekosystemem internetowym, elektronicznym nas nie dotyczą. Ja pamiętam jak jeszcze pare lat temu ludzie dziwnie na mnie patrzyli, bo gdziekolwiek jechałem do hotelu moje pierwsze pytanie to było – jak na przykład planowaliśmy podróż ze znajomymi – czy tam będzie Internet? Czy tam będzie Wi-Fi? I oni: „No, ale po co? Przecież to jest dodatek. To nie zawsze jest potrzebne, to nie jest wymagane”.
Dla mnie już wtedy ten dostęp do Internetu to było coś tak naturalnego jak dostęp do elektryczności. Jak jedziesz do hotelu to pytasz teraz: „Czy będzie prąd?”? Przecież możesz przy świeczce… Jakoś doszło do nas wszystkich, że ten prąd jest takim dobrem podstawowym, ale myślę, że na przestrzeni tych ostatnich kilku lat nastąpiła taka transformacja, że Internet traktujemy – i powinniśmy traktować – jako takie dobro podstawowe. Warto też znać pewne priorytety, pewne wagi przypisać różnego rodzaju technologiom. Nie ma też co ukrywać, że bez prądu nie będzie Internetu.
Hmm, to taka dosyć smutna konstatacja. Z drugiej strony bardzo prawdziwa. Stwierdziłeś, że pracujesz w takiej branży, że komercyjnie jesteś obecny; właściwie to chyba codziennie zdarza się – to znaczy tak patrzę na niebezpiecznika.pl jako medium – to właściwie codziennie aktualizujecie informacje; coś tam się pojawia, mniej lub bardziej jest to wysokopoziomowa jakaś wielka rzecz, która dotyczy nas wszystkich. A to jakieś serwery zostały zaatakowane i wypłynęły informacje; a to jakieś urządzenie zostało rozesłane z jakimś dziwnym wirusem – i tak dalej, i tak dalej. Czy to jest efekt tego, że po prostu jest tyle tych wydarzeń i one mają taką moc? Czy raczej tak, że media tak pokochały te tematy i uwielbiają nas walić po głowie, bo wiedzą, że się czytelnicy po prostu boją – a jak się boją, to sięgają po jakieś kolejne informacje na ten temat? Jak to wynika z twojej praktyki?
Myślę, że to słowo haker, które też oficjalnie, oryginalnie ma trochę inne znaczenie – etymologia tego słowa jest skomplikowana, ale zostawmy to. Używajmy tego medialnego sformułowania haker jako człowiek, który jest przestępcą internetowym, jeszcze często przez media pokazywanym w bluzie z kapturem czy w jakiejś masce na twarzy.
To jest coś, co jest oczywiście klikalne. „Hakerzy okradli bank!”; ale ja nie patrzę na media. Ja mam ofiary, które piszą do nas każdego dnia. I to nie w dziesiątkach, tylko w setkach osób, które są w jeden czy drugi sposób oszukane. Oczywiście część z nas i przypuszczam, że twoja grupa docelowa to są osoby, które jeśli straciłyby 100 czy 200 złotych to pewnie przeszłyby nad tym do porządku dziennego prędzej czy później; ale do nas piszą osoby, dla których tego typu strata jest naprawdę potężnym uderzeniem w budżet.
I to oczywiście nie są osoby z naszej, tej bardzo wygodnej banieczki. To są osoby, którym chciałoby się pomóc, ale to są osoby, które – no właśnie – są przez dzisiejszy świat zmuszone do korzystania z technologii, z urządzeń; z Facebooka, z Internetu, bankowości online, sklepów internetowych, no bo tak to wygląda. Zwłaszcza, że pandemia była takim katalizatorem przejścia i korzystania z tego wirtualnego świata. Niektórzy być może pierwszy raz zrobili zakupy, zapłacili kartą płatniczą w Internecie. Te osoby korzystają z tych „dóbr” – tak to nazwijmy – no, ale niestety, tam są oszuści. I oni się łapią na coś, na co nikt ich nie przygotował.
Ani dostawca danej usługi… Popatrz na banki. Banki dzisiaj uciekają do Internetu – te takie „marmurowe”, w tym klasycznym rozumieniu. Dlatego, że to jest tańszy kanał obsługi klienta, więc każdemu zależy na tym, żeby jak najwięcej zrobić przez Internet – żeby pisać swoje pytania na czacie, żeby poczekać na czacie, bo jest komunikacja synchroniczna, żeby połączyć się z systemem głosowym, nacisnąć ‘1’, ‘2’, ‘3’, przekierować się – i tak dalej, i tak dalej; ale nikt tym ludziom, których zmusza się do korzystania z tych systemów nie powiedział: „Słuchajcie, jak już z tego korzystacie to trzeba jeszcze zwrócić uwagę na takie aspekty bezpieczeństwa, pojawiają się takie i takie, a teraz trwa taki…”. Oczywiście, nie chcę tutaj używać dużych kwantyfikatorów, bo część banków bardzo odpowiedzialnie mówi: „Słuchajcie – my dajemy pewne bezpieczeństwo.
My dbamy o Wasze pieniądze i środki na tyle, na ile możemy, ale część rzeczy jest do zrobienia po Waszej stronie”. I to jest moim zdaniem fair zagrywka, czyli uświadomienie kogoś: „Słuchaj – jak chcesz korzystać z naszej usługi jest ryzyko, że na skutek swojej niewiedzy, swoich błędów, braku czasu – bo zajmujesz się zupełnie innymi rzeczami, jesteś kardiochirurgiem, prawnikiem; nie musisz czytać niebezpiecznika ani śledzić tego, co się dzieje w Internecie – ale Twoje środki czy jakaś Twoja usługa jest zagrożona”.
To jest moim zdaniem fair, a mało który dostawca usługi ma możliwość czy taką odwagę powiedzieć klientom, że korzystając z tego internetowego kanału komunikacji mogą zdarzyć się takie sytuacje, które są poza naszą kontrolą, ale które spowodują, że Twoje konto i wszystkie oszczędności zostaną przejęte. I tak dalej, i tak dalej, i tak dalej. To jest coś, czego nasze pokolenie chyba pomału się domyśla. Mówię tutaj o tobie i o mnie; do czego młodsze pokolenie dorasta. Nie wiem czy ma tę wiedzę, bo ofiar z młodszego pokolenia paradoksalnie wcale nie jest mniej, natomiast to jest największy problem dla tego starszego pokolenia, któremu nikt nie powiedział jak się w tym Internecie odnaleźć, a bardzo szybko muszą się odnaleźć. Dostali smartfona i wiesz; mówi się, że te Iphone’y są takie proste w obsłudze, dzieci nimi scrollując, wiedzą gdzie jest play i gdzie jest stop.
Tylko sorry, ale odtworzenie filmu na YouTube to nie jest to samo, co zrobienie transakcji w bankowości internetowej i zrozumienie czym się różni literówka w domenie, co jest ścieżką, co jest portem, co jest protokołem, dlaczego zielona kłódka nie ma znaczenia, chociaż przez wiele lat mówiło się, że ma znaczenie; i tak dalej, i tak dalej. To jest tak skomplikowane, że ja mogę to porównać do rzeczy, z którą być może każdy z nas się spotkał. Tu akurat powiem o swoim odczuciu, Wy dopasujcie sobie swoje. Jak ja jadę do warsztatu samochodowego i dostaję fakturę po naprawie, i widzę tam, że jest na fakturze pozycja ‘nakrętka korka spustowego do oleju C35’, i jest wysokość kwoty 47 złotych; no to ja mówię: „Kurde, mam nadzieję, że mnie nie oszukują” i płacę tę fakturę.
Oczywiście mógłbym dopytywać, tak? Dla mnie może to 47 złotych nie ma takiej dużej różnicy, ale to jest to samo zjawisko. Część osób się zawstydzi i nie dopyta. Część osób będzie się spieszyło i kliknie. Część osób w ogóle nie zrozumie co tam jest napisane i uzna, że tak powinno być, i to zaakceptuje. To są te same absolutnie mechanizmy, bo dzisiaj cyberbezpieczeństwo to niestety jest wiedza kierunkowa.
Nie można być ekspertem we wszystkim. Ba! Nawet eksperci w cyberbezpieczeństwie nie są ekspertami w całości obszar cyberbezpieczeństwa i da się ich podejść, zaatakować. Przecież my to robimy na co dzień. Niebezpiecznika ty kojarzysz i myślę, że większość słuchaczy jako serwis, który pisze o cyberbezpieczeństwie, ale my jesteśmy też prężnie działającą firmą na rynku tak zwanych audytów bezpieczeństwa czy też testów penetracyjnych, kiedy po prostu symulujemy pracę właśnie włamywaczy, przestępców internetowych, tych hakerów mitycznych i włamujemy się tymi samymi technikami, narzędziami, metodami do polskich, zagranicznych spółek.
Wykradamy im dane, a później mówimy: „Słuchajcie, to się udało dlatego, że…” – taki, taki, taki błąd techniczny był w tym, tym i tym obszarze, serwerze, aplikacji. Natomiast – również – w tym i tym procesie! Dlatego, że człowiek również jest elementem tej układanki i bardzo często jeśli klient nam powie: „Słuchajcie, jeśli mamy zgodę działu prawnego i HR-u, że możecie skupić swoje ataki na pracownikach”, to ja ci powiem szczerze – my zaczynamy nasz atak od atakowania pracowników, manipulowania i podszywania się pod ludzi, pracowników danej instytucji, spółki, firmy. I… na tym kończymy. Dlatego, że te ataki wymierzone w człowieka zawsze kończą się sukcesem.
Jeśli ktoś ma odrobinę oleju w głowie – żartujemy często, że ma IQ wyższe niż temperatura pokojowa – to jest w stanie po tygodniu spędzenia czasu na Facebooku, YouTube’ie, LinkedIn’ie danej firmy wypatrzeć pewne szczegóły, zrozumieć jak wygląda hierarchia zatrudnienia w danej spółce, połączyć to wszystko sobie w głowie i wyjść z takim scenariuszem ataku, który spowoduje, że wysłane, podrobione maile – co też dzisiaj każdy może zrobić, są do tego narzędzia, lepsze lub gorsze – ale jednak – tak prosty w przeprowadzeniu, tak szybki w przeprowadzeniu atak może spowodować, w zależności od spółki, opłacenie faktury na bardzo wysoką kwotę.
Wyłudzenie danych dostępowych do bardzo wartościowego serwera, na którym są jeszcze bardziej ciekawe dane, które można wykraść, sprzedać, zmonetyzować; zarobić na nich w inny sposób próbując wykorzystać je do włamywania się do innych infrastruktur, usług innych firm – bo ludzie mają to samo hasło w wielu różnych miejscach. Czy też wreszcie zaszyfrować i domagać się okupu – bardzo popularne teraz podejście. Także możliwości ataku w tym tak zwanym czarnym kapeluszu, czyli przejścia na ciemną stronę mocy są dzisiaj tak olbrzymie i niestety tak proste do zrealizowania, że nie ma się co dziwić, że tych ofiar jest naprawdę po setki dziennie, którzy łapią się na mniej lub bardziej wyrafinowane scamy.
Ja bym sobie życzył żeby to były mniej wyrafinowane scamy, bo w tym momencie ci ludzie tracą mniej. Natomiast dzisiaj często mamy kontakt z takimi osobami, które wprost mówią, że miały oszczędności całego swojego życia na tym rachunku bankowym, który został zaatakowany.
I już ich nie mają. Gdyby mieli je w skarpecie, gdyby mieli je w banku, takim tradycyjnym, do którego musisz pójść do okienka, pokazać dowód i robisz wypłatę – jasne, to jest szalenie niewygodne – no to nie byłoby tego problemu. Tutaj, w tym klasycznym modelu, idziesz do okienka, pokazujesz dowód, ktoś Cię weryfikuje i dostajesz pieniądze. Gdyby tutaj nastąpiła kradzież tych środków to nie odpowiadasz Ty jako właściciel tych pieniędzy, tylko odpowiada bank i pracownik, który Cię weryfikował.
Natomiast w online, jeśli Ty dasz się okraść to w 99 procentach przypadków bank Ci powie, że to jest Twoja wina. I tak naprawdę w dużym stopniu to będzie racja, tak? To Ty dałeś się zmanipulować, przekazałeś dane albo wyklikałeś tam wszystko mając wrażenie, że rozmawiasz z pracownikiem banku, ale… to nie był pracownik banku – bo w Internecie każdy może być psem.
Każdy może być pracownikiem banku.
Albo psem – bo to był taki komiks.
Wiem. Wiem do czego szczekasz! (śmiech) Powiem tak – do mnie wiele razy już, oczywiście jak do każdego z nas, dzwoniono i Pani czy Pan przedstawiał się, że jest pracownikiem banku i teraz to on będzie ze mną rozmawiał. I tak zastanawiałem się przy każdej tej rozmowie – jaką ja mam pewność czy to jest osoba, która pracuje w banku X czy Y? Oczywiście mogę się zapytać, a ta Pani czy Pan mi potwierdzą. Pewnie jeśli miałbym wątpliwości to by mnie skierowali do jakiejś instytucji, podając jakiś numer telefonu albo stronę internetową pewnie przygotowaną pod to… Pewnie mógłbym to badać wkoło i by się okazało, że się kręcę wokół takiej szopki, pewnego typu teatrzyku, który jest stworzony po to, żeby upewnić mnie. Powiem ci, że jestem przerażony tym jak dużo jest scamów, przekrętów i tych nawet nie do końca cybernetycznych oszustw, ale takich właśnie chamskich – prawie, że „wyrywania torebki i odbiegania”. Jak to szybko się zmienia, jak bardzo są to wyrafinowane techniki! Jak bardzo dużo ci ludzie, którzy chcą nam zaszkodzić robią tego… Testują, zmieniają to, bo to właściwie jest prawie jak pogoda. Była metoda na wnuczka, a teraz są metody na oficera bezpieczeństwa, który dzwoni do nas. Dzisiaj rozmawiałem o tym. Ktoś mi się chwalił, że trzy razy dzwoniła do niego osoba, która się podawała właśnie za takiego oficera, który przeprowadza śledztwo i prosi o odpowiedzenie na pare pytań związanych z tym, czy pieniądze z jego konta wypłynęły. To znaczy on – ten oficer – wie, że nie; ale chciałby zabezpieczyć to konto. W rezultacie wydobywa od Ciebie pod pozorem przeprowadzenia takiego prostego wywiadu bardzo dużą ilość krytycznych informacji. Potem – jak rozumiem – wykorzystuje to chociażby do zdobycia hasła do banku albo po prostu do Twojego hasła na serwer, albo do skrzynki pocztowej. To, co jeszcze przyszło mi do głowy kiedy mówiłeś – jestem ciekaw ile jest osób, które się zajmują cyberbezpieczeństwem, a w nocy zakładają pelerynę i są cyberprzestępcami, bo podejrzewam przecież, że ta wiedza tak korumpuje… Domyślam się, że jeżeli ty siedzisz i masz przed sobą rozłożone schematy tych największych oszustw, i możesz powiedzieć dokładnie gdzie trzeba kliknąć, co, żeby coś się zadziało to pokusa jest ogromna. Nie chcę nawet wiedzieć ile takich osób krąży, bo chyba chciałbym spać bezpiecznie i mieć to złudzenie, że jestem „pyłkiem” takim niezbyt nikomu potrzebnym; jednym z adresików IP w Internecie, do którego po co ktokolwiek miałby się tu pofatygować i cokolwiek zrobić. Z drugiej strony tak, jak powiedziałeś – mój sprzęt komputerowy może być jakąś maszyną wykorzystywaną do operacji i to też jest jakaś pokusa, z którą trzeba się liczyć. Powiedz mi teraz o takich najpopularniejszych mitach dotyczących cyberbezpieczeństwa, z którymi się pewnie spotykasz w wielu, wielu miejscach i również pewnie podczas swoich szkoleń. W jaki sposób je rozwiązujesz? Mogą być jakieś śmieszne, coś takiego absurdalnie prostego, co by się wydawało, że po prostu nie ma szans zaistnieć, ale ludzie w to wierzą.
Wiesz co, jeszcze nawiąże do tego, co powiedziałeś występując poniekąd w obronie naszej branży. Uważam, że specjaliści do spraw cyberbezpieczeństwa chociaż rzeczywiście mogliby nocą przywdziać te czarne kapelusze i się wzbogacać – no to raczej tego nie robią. Nie robią dlatego, że po pierwsze – to jest całkiem nieźle wynagradzana branża.
Po drugie – tajemnicą poliszynela jest to, że sporo z osób, które dzisiaj są szefami działów bezpieczeństwa w różnych znanych firmach i część z nich pewnie ty też prywatnie znasz; to są osoby, które 15, 20 lat temu coś tam robiły w tym Internecie. Może nie do końca legalnego, ale to też żeby było jasne – były trochę inne warunki, nie było jeszcze pieniędzy w Internecie. Ta podmiana stron była traktowana jako raczej takie wyzwanie, zagranie na nosie, pokazanie pewnych umiejętności. Natomiast techniki właśnie się rozwijają.
To jest ten problem czy też może pewien sposób myślenia o bezpieczeństwie nie jako o produkcie. My nie rozwiążemy problemów związanych z bezpieczeństwem w taki sposób, że wiesz, zapłacisz 500 złotych. Nawet jak masz te 500 złotych – kupisz sobie magiczne urządzenie czy oprogramowanie i od dzisiaj jesteś bezpieczny… No nie. Bezpieczeństwo to jest proces, co oznacza, że trzeba cały czas śledzić, monitorować, analizować, udoskonalać, łatać, śledzić, monitorowa – i tak dalej. Ta branża jest szalenie skomplikowana jeśli chodzi o to kto jest po dobrej, a kto po złej stronie.
Natomiast nie wydaje mi się, żeby ktokolwiek z naszej branży po nocach jeszcze musiał zakładać czarny kapelusz. To są na tyle inteligentni i etyczni ludzie, że jednak szukają dobrego wykorzystania tych swoich umiejętności. Są czarne owce, ale to są raczej osoby, które nie muszą pracować. Nie muszą mieć tego „day job” dlatego, że z tego, co robią źle się doskonale utrzymują i potrafią też te dochody zamaskować. Ja wiem, że sporo osób tak myśli, że firmy antywirusowe tworzą wirusy, żeby miały co robić.
Albo Niebezpiecznik wykrada dane po to, żeby pisać o wyciekach. No nie! Tego po prostu jest tak dużo, że to będzie się działo niezależnie od tego co zrobimy. Sporo osób często mówi: „ale po co opisywać jak działa taki atak? Ja wiem, że to pomaga ofiarom, ale też na pewno uczy tych ludzi, którzy teraz mogą ten atak z powrotem wykorzystać!”. No… Niestety ci ludzie, którzy mogą ten atak wykorzystać to i tak wiedzą jak ten atak wykorzystać i dlatego go wykorzystują. I tutaj lepiej jest moim zdaniem edukować ofiarę, bo ten interfejs białkowy, ten element pomiędzy monitorem, a krzesłem; to jest to coś, w co jest warto zainwestować.
Dlatego, że tu jest ta ostatnia, a czasami pierwsza i ostatnia linia obrony. Jeśli nie będziemy mieli w głowach poukładane to nie damy się podejść. No i nawiązując do twoich mitów – to też jest ten problem z naszym mózgiem. Ze sposobem myślenia. Dlatego, że my jako ludzie jesteśmy fatalni, absolutnie fatalni w szacowaniu ryzyka. Ja w ogóle miałem prezentację o takich mitach związanych z bezpieczeństwem na TEDx’ie – także zapraszam żeby obejrzeć ten wykład jeśli ktoś go nie oglądał.
I spoilerując trochę ten wykład wspominałem tam o tym, że sporo z nas, ludzi, obawia się pewnych ataków czy zagrożeń w Internecie; być może dlatego, że media je tak wykreowały. Albo być może dlatego, że nasza psychika uważa, że one są super straszne i się przed nimi chroni, zabezpiecza czy też wierzy pewnym radom, prostym radom, kiedy w rzeczywistości to nie tu jest zagrożenie.
Zagrożenie popularniejsze – to, które może nas bardziej kosztować, które może nas mocniej dotknąć – jest zupełnie w innych obszarach. I żeby nie być gołosłownym; mówi się o atakach i przekazuje się taką radę: „Nie łącz się do publicznych sieci Wi-Fi!”. Jestem pewien i dam sobie rękę obciąć, a nawet coś ważniejszego, że łączyłeś się do publicznych hotspotów i sieci Wi-Fi w hotelach, kawiarniach, pociągach, restauracjach. No powiedz mi, że nie?
Oczywiście, że tak.
I co, zhakowali cię?
Wiesz co, o tyle o ile wiem to nie. Żyję, chodzę, nadal mam swoje pieniądze na koncie bankowym. Nawet mam konta wszystkie, więc… chyba nie.
No właśnie. I na tym polega ten problem, że podłączanie się do cudzej sieci WiFi w pewnych przypadkach może okazać się zdradliwe, ale to miało miejsce czy też było większym zagrożeniem z 10 lat temu, kiedy nie mieliśmy na cały nasz ruch komputerowy, który opuszcza nasz komputer https’a.
Takie ataki ze złośliwym access pointem wykorzystuje się głównie do tego, żeby słuchać tego gdzie się ktoś łączy, ten ruch przechwytywać i modyfikować. No, ale dzisiaj nie ma banku do którego połączysz się bez szyfrowania. Jeśli ktoś takie połączenie szyfrowane będzie chciał w sieci, którą kontroluje, a z której Ty korzystasz zmodyfikować, no to Tobie się pojawi w przeglądarce bardzo ładny, czerwony ekran.
I on Ci powie: „Stary, jak pójdziesz dalej to zostaniesz okradziony!”. Naprawdę – ludzie, którzy nie potrafią czytać, ale widzą czerwony ekran wiedzą, że coś jest nie tak. Ja nie znam przypadku kogoś, kto by na takim ekranie kliknął ‘Pokaż szczegóły’ i… rura, dalej! Tak? Daj się okraść! To się nie zdarza. Także te techniczne aspekty bezpieczeństwa tutaj świetnie działają.
Natomiast z jakiegoś powodu dalej ten mit – „nie łącz się do publicznych sieci WiFi” – działa. W tej publicznej sieci WiFi, oczywiście jeśli jest jakiś przestępca – tylko on musi być fizycznie obok Ciebie, właśnie wtedy, teraz, na tej sieci. A przestępcy mogą więcej zarobić siedząc u siebie, w swojej piwnicy i atakując internautów.
On nie musi się ruszać na rynek główny, do Starbucksa czy w jakieś inne miejsce; jeszcze przy okazji ryzykując, że ktoś go nagra albo jak skończony debil zapłaci tam swoją kartą płatniczą i ktoś, kto będzie analizował dany incydent dojdzie do tego kto w danej chwili był w sklepie. Takie przypadki były. Może nawet kojarzysz? Tego brodatego konwojenta, który ukradł kupę kasy i jego ścigali przez 2 lata. Wiesz jak on wpadł?
Nie.
Oczywiście tam była cała szajka. Wpadli w ten sposób, że w jednym z supermarketów przed akcją kupili telefony komórkowe. Takie wiesz, no-name’y, ‘burnery’.
Tak… (śmiech)
No i super, nie?
(śmiech) Na filmach to pokazują!
To jest akurat sensowne podejście, tylko taka rada… To znaczy – nie rada! Jeśli jesteście przestępcami to się rozłączcie i nie słuchajcie tego; ale pewna uwaga. Jak już kupujesz burner-fona i jesteś w Tesco; powiedzmy, że Tesco – chociaż tam to nie było Tesco – i płacisz gotówką za to, a Pani mówi: „Czy ma Pan kartę stałego klienta żeby nabić punkciki?”; i Ty dajesz swoją kartę, która jest imienna no to… jesteś debilem, a nie przestępcą. Tam goście wpadli na tym, że do transakcji, która jest anonimowa skusili się na kilka punkcików lojalnościowych.
Może chcieli Gang Słodziaków? Czy… byli Gangiem Słodziaków! (śmiech)
To chyba Świeżaki są… (śmiech) Nie wiem czy wtedy były, ale tak. Jesteś blisko tej sieci sklepów. Widzisz, i to jest taki błąd. To ryzyko znajduje się w innych miejscach, nie w sieciach publicznych WiFi. A poza tym wszyscy powinni zdać sobie sprawę z tego, że operator – ten, który dostarcza Wam łącze internetowe do domu – to jest taka sieć WiFi.
Tylko, że nie WiFi, bo pewnie to Wifi zaczyna się na Waszym routerze; ale wszystko, co idzie dalej też przechodzi przez pewne urządzenia, na których jeśli ktoś jest, to ma prawie że taki sam dostęp jak osoba, która jest obok Was w kawiarence internetowej – bo jeszcze są WLAN’y, ale już nie wchodźmy w szczegóły.
Generalnie korzystanie z publicznych sieci WiFi jeśli ktoś ma zaktualizowany sprzęt, komputer; jest prawie że stuprocentowo bezpieczne chyba, że to jest hotel w Karpaczu, w którym jest międzynarodowa, polityczna konferencja i jest duże ryzyko, że będą tam rosyjskie czy izraelskie służby specjalne, które będą chciały podejść polityków. To wtedy trzymałbym się z daleka, bo jakby cały horyzont ryzyka nam się całkowicie zmienia.
Okej! Super wykład na temat taki, o jaki cię prosiłem właśnie, czyli o kwestii mitów. Myślę, że takich mitów mógłbyś wrzucić tutaj nam o wiele więcej.
Jasne – zaklejanie kamerek, niepłacenie kartami płatniczymi, obawa, że wszelkie Google Pay’e czy Apple Pay’e są mniej bezpieczne. Tego jest masa, ale to musielibyśmy chyba zrobić osobny odcinek.
Osobny podcast…
Tak, osobne podcasty na każdy z tych problemów, no bo właśnie. Bezpieczeństwo jest skomplikowane. Jest skomplikowane dlatego, że nie ma uniwersalnej rady. Ja bym bardzo chciał teraz wszystkim powiedzieć: „Słuchajcie! Zróbcie to, to i to!”, tak? Trzy rady od Piotrka i jesteście super-bezpieczni – ale to tak nie działa, niestety! Bardzo często to, co należy zrobić po zhakowaniu na przykład konta na Facebooku – weźmy taki przykład – zależy od tego jak to konto zhakowane.
Czy ktoś wyłudził Twoje hasło? Czy Ty kliknąłeś w jakiś link i masz malware na komputerze? Czy Ty może masz chiński telefon z Androidem, który już przyszedł z malware’m? Czy Ty może masz zainstalowaną aplikację do zdalnego ekranu? Czy Ty może masz dodatek do przeglądarki, który kradnie Ci cookies’y? Czy może nastąpiła kolizja sesji?
Widzisz, tego jest tak dużo… Jeszcze wchodzi oczywiście atak socjotechniczny na support i paręnaście innych, tak zwanych – jak my to mówimy – ‘wektorów ataku’, że trzeba wiedzieć dokładnie co się stało, żeby do tego dobrać poprawną metodę walczenia z tym incydentem w celu zabezpieczenia czy też przywrócenia tego konta. Nie ma jednej, uniwersalnej rady, nawet na „Zhakowali mi konto na Facebooku!”.
Natomiast dobrym punktem wyjścia jest pewien kwestionariusz: „Czy było…” to i to? No to to i to? Notabene jak już jesteśmy przy Facebooku to zdradźmy to. Jest taki magiczny WRell (??? 31:54) – facebook.com/hacked. Jak Was kiedyś ktoś zhakuje warto od tego zacząć, bo tam Facebook robi dokładnie taki kwestionariusz. Masz dostęp do konta? Kliknij tutaj. Nie masz? Kliknij tu. Kliknąłeś w linka złośliwego? Kliknij tu. Podałeś hasło? Kliknij tu. Korzystałeś z tego czy z tego? Kliknij tu.
Tam jest taki powiedzmy zautomatyzowany sposób skierowania ludzi na dobre rady, ale… życzę Wam powodzenia w przeklikaniu się przez całość. W sensie, to często będzie wielostopniowy proces, który oczywiście ofierze nie ułatwia życia w momencie, kiedy ona jest zestresowana i chciałaby jak najszybciej – a liczą się sekundy wtedy – odzyskać swoje konto.
Wiesz co, jak opowiadałeś o tym procesie i o tym jak wiele jest wątków, alternatyw i ‘wektorów ataku’ – jak to nazwałeś – to mi się skojarzyło z tym, że ty właściwie to jesteś lekarzem. To, co wykonujesz to jest de facto bardzo związane czy prawie lustrzane odbicie tego, co robią lekarze.
Tak. I to jest moja jedyna szansa w życiu – daj mi ją, proszę. Zacytuję Doktora House’a: „Każdy kłamie”. I dokładnie to chciałem powiedzieć. Bardzo często ofiary, które piszą do nas świadome tego, że zostały okradzione opisują incydent w taki sposób, że Ty dokładnie wiesz, że ściemniają! Na bank musiały podać pesel i panieńskie matki, bo inaczej ten atak by nie wyszedł.
One mówią: „ Nie, nie podawałem takich danych! Na pewno nie… A to żona w ogóle robiła, ja ją zapytam zaraz, ale nie, nie, nie… Nie podawała”. Dopiero jak wejdziesz w rozmowę i powiesz, że my chcemy pomóc, ale musimy ustalić co dokładnie się stało. I jest jedyna opcja, która tutaj wchodzi w grę – no, chyba, że szatan – to jest to, że jednak te dane były podane. I zazwyczaj – chociaż nie zawsze – kontakt milknie.
Czasem jest taki telefon albo mail po dwóch godzinach i ktoś mówi: „No, moja żona mnie oszukała…”, „Rozmawiałem z nią teraz i przyznała, że wstydziła się powiedzieć tego na początku, ale faktycznie – podała pesel i nazwisko panieńskie matki”. Ja tego nie wyśmiewam; ja wskazuję na to i wczujcie się w to: macie oszczędności całego swoje życia, bo to nie są osoby, które tak jak my są jeszcze w tym wieku produkcyjnym i jak stracą 15 milionów to je odrobią w najbliższe dwa tygodnie.
To są osoby, które absolutnie całe oszczędności, na które całe swoje życie pracowały mają na koncie w banku, bo ktoś im kiedyś powiedział, że tak trzeba albo że tak jest bezpiecznie. I one straciły tę kasę. Sporo osób mówi, że ma myśli samobójcze. My tutaj nie jesteśmy w stanie pomóc, możemy kogoś skierować w odpowiednie miejsce, ale to jest bardzo często… To są dramaty ludzkie. To są dramaty ludzkie i to jest problem, który narasta.
Mam niestety przekonanie graniczące z pewnością, że im więcej będzie jeżdżących odkurzaczy, inteligentnych szczoteczek do zębów, kolejnych zegarków na rękę i jeszcze innych urządzeń, które się łączą z Internetem, plus jakieś sto informacji o nas to tych przypadków będzie coraz, coraz, coraz to więcej. Ja się czasami śmieję, że jak czytam sobie jakąś literaturę science – fiction; w sensie – jak czytałem kiedyś na temat tego jak będzie wyglądał świat, to naprawdę nawet Stanisław Lem, z całym szacunkiem… Ja wiem, że teraz popełniam ogromne bluźnierstwo, bo wszyscy uważamy Lema za genialnego literata i on był genialny; ale jeżeli by wziąć właśnie taką osobę jak ty i posiedzieć z nią kilka dni, i posłuchać z nią tego co się dzieje albo nawet jak te ataki są przeprowadzane, jakim sposobem są informacje wydzierane ofiarom… To jest po prostu tak głębokie science – fiction połączone z jakimś nieprawdopodobnym, wysokopoziomowym elementem nawet filozoficznego czasem podejścia. Ja jestem fanem Kevina Mitnicka. Moja cała wiedza dotycząca cyberbezpieczeństwa zaczęła się i skończyła na przeczytaniu kilku książek o tym wybitnym hakerze, i o tej właśnie socjotechnice. Natomiast raz nawet zrobiłem taką próbę, przyznam się i zrobię tu taki mały coming-out, że pod wpływem właśnie Mitnicka postanowiłem kiedyś – ale nie miałem złych zamiarów, od razu uprzedzam – sprawdzić na ile faktycznie jestem w stanie wpłynąć na osobę i nakłonić ją do delikatnego złamania reguł. I poszedłem do Pani w kancelarii prawnej. Poprosiłem ją o to, żeby mi wydrukowała coś z mojego pendrive’a. Żeby było jasne – na pendrive’ie nic nie było, żadnego malware’a, żadnego wirusa. Po prostu chciałem zobaczyć czy ta kobieta weźmie ode mnie i wsadzi do swojego komputera potencjalnie zawirusowany pendrive. Oczywiście zrobiła to. Tutaj znowu – można się czaić i robić tysiące rzeczy, a można po prostu wejść na rympał i powiedzieć:
– Dzień dobry, jestem umówiony.
– A do kogo?
– A wie Pan, taki wysoki, przystojny…
– Aaa… To pewnie do Pana…
– Tak, dokładnie! Do niego. Wie Pani co, bo jest taki problem, nie miałem możliwości wydrukowania, a tu są dokumenty, są potrzebne Panu mecenasowi.
– Oczywiście, wydrukuję.
That’s it. Myślę, że skomplikowane jest bardzo wiele rzeczy, ale tak jak powiedziałeś już, że najbardziej ułomnymi i niestety, takimi zdolnymi do popełnienia największego błędu są po prostu ludzie. Przed tym nie uciekniemy, bo ludzi nie wyłączymy z tego równania.
Ale możemy ich edukować. Zobacz. Gdybyś rzeczywiście miał taki pendrive jak ja na przykład, który pokazuje na wykładzie, gdzie wkładasz go do portu USB i na ekranie wyskakuje Ci notatnik, na którym jest napisane, że ‘zostałeś zhakowany’ to myślę, że ta Pani drugi raz od takiego klienta by takiego pendrive’a nie włożyła.
I to jest właśnie pewna odpowiedzialność, której nas nikt nie nauczył, a którą właściciele firm czy właściciele projektów powinni w końcu wziąć na siebie i powiedzieć: „Słuchajcie, przeczytajmy sobie książkę, zamówmy jakiś wykład, obejrzyjmy bardzo dobry serial internetowy…” – którego nazwy teraz zapomniałem, ale który pewnie wszyscy przypomną gdzieś w komentarzach, gdzie był Pan Haker, który się włamywał; i tak dalej, i tak dalej. I to jest coś, co warto zrobić żeby się zaznajomić z tymi różnymi atakami, spróbować się przećwiczyć pod tym kątem, poatakować.
Nie każdy musi wydawać kilkadziesiąt tysięcy złotych na test penetracyjny czy audyt po to, żeby go tak przetrzepać już profesjonalnie, ale zrobienie minimalnych rzeczy, jak właśnie uświadomienie, że są takie ataki – właśnie podesłanie tego podcastu osobom, które siedzą na recepcji, tak? To już jest element, który pomoże. Znasz pewnie zasadę Pareto, że 20 procent czegoś robi 80 procent efektu, wysiłku.
I tutaj w tym cyber-security też to się sprawdza. Zwróćcie uwagę, że nie trzeba być najlepszym, super-zabezpieczonym zamkiem nie do zdobycia, twierdzą niehakowalną. Dlatego, że to nie jest prawda, coś takiego nie istnieje. Google, który ma miliony, jeśli nie setki milionów dolarów na bezpieczeństwo; który ma najlepszych ludzi w branży zajmujących się cyber-security – zostało zhakowane.
Ma incydenty bezpieczeństwa. To jest kwestia tego, żeby tym ryzykiem zarządzać. Tym bardziej kancelaria, bo z całym szacunkiem do tej kancelarii, w której ty byłeś i która cię obsługuje – ona nie za bardzo może się porównać z Google; ale jeśli ona zrobi 20 procent wysiłku po to, żeby sobie zbudować 80 procent security, jak chociażby wyedukowanie osoby na recepcji. „Ty nie wkładaj pendrive’ów, lockuj swój komputer gdy wychodzisz” – to, to i tamto jeszcze, bo jest kilka takich prostych rad, które naprawdę nie są drogie do wdrożenia, a które robią te 80 procent roboty.
Jeśli to spowoduje, że kiedy ja jako atakujący będę chciał kogoś zaatakować – byle kogo, bo chcę pokopać kryptowaluty, wykraść dane różnych spraw prawniczych po to, żeby później szantażować i zarobić. I jeśli ja zobaczę, że w tej kancelarii jest coś zrobione w bezpieczeństwie, to ja mówię wtedy: „Dobra, idę na drugi koniec ulicy, tam będzie druga, która pewnie tego nie ma”.
Czyli idę po coś, co jest łatwiejszym łupem, łatwiejszą ofiarą. Często na wykładzie podaję taki przykład, że jak jest grupa turystów na szlaku górskim i wyskakuje misiek, to wiesz – Ty nie musisz być turystą, który najszybciej ucieka przed niedźwiedziem. Ty po prostu nie możesz być tym turystą, który ucieka najwolniej. I z security jest dokładnie tak samo. Jeśli masz nic nie zrobione to prędzej padniesz.
Jeśli masz cokolwiek zrobione to często atakujący dzisiaj, w Internecie, mając do dyspozycji naprawdę bardzo dużo potencjalnych ofiar; jeśli zauważy, że musi się trochę z Tobą pomęczyć, to on woli zrobić „Alt + Tab” przysłowiowe i przejść na inną ofiarę, bo wie, że tam będzie mieć ten skutek być może natychmiastowo.
Jasne, on pewnie Ciebie zhakowałby – po dniu, może dwóch, po jednym ataku, po drugim telefonie, ale… po co? Jak on ten jeden dzień i te dwa telefony może wykonać do trzech czy czterech kolejnych ofiar i sobie pomnożyć ten zwrot na inwestycji. Atakujący dzisiaj są biznesmenami – tylko, że w czarnych kapeluszach, w czarnych garniturach. No… W czarnych garniturach to nie – pewnie siedzą w slipkach.
To są osoby, które myślą i naprawdę dobrze wiedzą gdzie swój wysiłek włożyć, żeby jak najwięcej wyjąć. Obserwujemy to od lat. Dlaczego wirusy są na Windowsa? Nie dlatego, że to jest kiepska platforma, zwłaszcza teraz, tak? To jest naprawdę już całkiem dobrze zabezpieczony system. Wirusy się pisze na takie oprogramowanie – czy tez złośliwe oprogramowanie, bo to już są nie tylko wirusy – które jest najczęściej i najszerzej wykorzystywane, bo wtedy ja raz wykonując pracę napisania takiego malware’u mogę go wykorzystać w wielu różnych miejscach.
Spoko, mogę też napisać malware na Mac’i, ale to jak chcę atakować jakieś hipsterskie firmy, start-up’y – wtedy to ma sens. Natomiast w momencie, kiedy ja chcę pójść szeroko to jednak w większości firm tego Windowsa będziesz miał. I dlatego więcej tych ataków dokładnie na Windowsa jest. Dlatego nikt nie atakuje Linuxa też.
Myślę, że teraz dosoliłeś i „linuxiarzom” i wszystkim „applowcom”.
Słuchaj – to jest taka socjotechnika, żeby oni teraz hejtowali za wszystko w komentarzach i żeby zasięgi rosły. My teraz hakujemy Arturze algorytmy!
Wiem! Myślę, że to jest tak diabelnie wielowątkowe i takie „meta”, że właśnie na to liczymy. Ja powiem, że chciałbym tutaj dołączyć do tego, co powiedziałeś jakieś inteligentne przedłużenie albo ripostę; i powiem tylko tyle, że jest mi nieprawdopodobnie smutno kiedy słyszę, że wiele organizacji wydaje na przykład dziesiątki, jak nie setki tysięcy złotych na jakąś formę boazerii czy wystroju wnętrza, tak? Albo kupuje jakieś biurka, a potem pytasz się na przykład jak wygląda ich dział IT? I działu IT nie ma, oni kupują jakieś usługi w chmurze. A jak wygląda właśnie kwestia zabezpieczeń? Jakie mają procedury? Nie, nie mają – przecież to się nigdy nie zdarza! A potem jest płacz. I Pani Basia przychodzi i mówi, że ona nie wiedziała, ale kliknęła. I potem wszystkie dane klientów zostały pobrane. I teraz będzie problem, będzie bigos, bo będzie RODO – przyjdą panowie, którzy… – i tak dalej. Jestem zdziwiony, bo powstało już dużo filmów, seriali i książek, a ludzie nadal mają takie poczucie, że „Na pewno u mnie to nie wystąpi!”; że „Dlaczego ktoś chciałby mnie hakować, moją firmę?”. I tu przychodzi mi taki przykład do głowy, który słyszałem od kolegi, który opowiadał mi jak to pewna firma zajmująca się przygotowywaniem rzeczy dla architektów; albo inaczej – firma projektująca, architektoniczna przegrywała swoje przetargi. Okazało się, że przegrywała je dlatego, że ktoś piętro wyżej wynajął pomieszczenie, był blisko ich routera. Po prostu do tego routera przez ‘admin / admin’ wszedł, po czym wszystkie dokumenty przejmował, dawał lepszą cenę i wygrywał przetargi. Oczywiście zostało to przez przypadek wykryte. Wszystko pewnie by się działo jeszcze przez kilka najbliższych lat. I można powiedzieć sobie tak: kto by się spodziewał, że ktoś chce po prostu wejść i zrobić jakiś wielki atak na malutką firemkę architektoniczną? Właśnie o to chodzi, że tam są pieniądze. Komuś zależało. Ktoś zlecił, zapłacił i ta firma po prostu nie była w stanie konkurować ze złymi hakerami, bo ci im po prostu te dane wyciągali – więc nie znacie dnia, ani godziny. Ja też Broń Boże nie mówię tego po to, żeby teraz siać jakąś panikę i mówić: słuchaj, za rogiem, za każdym rogiem w Internecie czai się zły człowiek, uważaj co klikasz, bo…
Musisz przenieść biuro na ostatnie piętro, żeby nikt nie był nad Tobą.
Tak, albo do schronu betonowego – i tak dalej; bo wiadomo, że wtedy krajzegą wytną i wparują… I tak dalej. Wiadomo, parę filmów już o tym było. Natomiast słuchajcie – każdy z nas musi wykonać te pare klików rano: dostać się do swojej poczty, wejść na ulubione serwis społecznościowy, zalogować się w aplikacji, wejść na konto bankowe, wejść na konto jakiegoś dostarczyciela usług typu elektryczność i tak dalej, więc zawsze musimy te dane podawać, coś się musi dziać. Jeszcze pewnie ktoś do nas zadzwoni i przez jakiegoś IVR’a musimy się przebić. Kurcze – nie uciekniemy od tego, więc tak jak powiedziałeś Piotrze: taka dobra znajomość tego, co się może wokół nas dziać, pewna taka higiena pracy. Pewnie – nie pokazujcie swojego hasła, nie wymachujcie nim. Nie chwalcie się tym, że macie hasło związane z Waszym imieniem i datą urodzin, bo to trochę są już takie bardzo głupie rzeczy.
Najlepiej w ogóle nie znajcie swojego hasła. To jest coś, co jest najlepszą radą.
Jak to zrobić?
Nie możesz ujawnić czegoś, czego nie znasz. I teraz wchodzę z najlepszą radą, którą jeśli mielibyście zapamiętać z naszego spotkania dzisiaj z Arturem, to jest to właśnie ta rada: stosujcie menadżera haseł! Dowolnego menadżera haseł. Tego wbudowanego w IPhone’a i Apple, czyli key-chain – pęk kluczy – jeśli macie narzędzia z tego ekosystemu. Jeśli nie? Nawet tego wbudowanego w przeglądarkę.
Mitem jest to, że one nie są bezpieczne. Jeśli komputer, urządzenie jest tylko Wasze to to jest dobre rozwiązanie, a na pewno lepsze niż brak menagera haseł. Menadżer haseł to jest rozwiązanie, które podczas zakładania konta generuje nam silne, losowe hasło, którego nie znamy. Właśnie o to chodzi. I sam za nas je wprowadza podczas logowania. Możemy go mieć na telefonie, na komputerze. Bazy się synchronizują, więc te hasła mamy pod sobą. W życiu musimy pamiętać tylko dwa hasła – do urządzenia i do menadżera haseł.
I w ten sposób mamy już dostęp do innych kont. I to jest najlepsze rozwiązanie, naprawdę warto to zastosować dlatego, że najpopularniejszym atakiem dzisiaj nie jest to, że właśnie ktoś nad Tobą wynajmie biuro i będzie Cię podsłuchiwał przez drukarkę czy routery; nie jest to, że ktoś Ci wrzuci pendrive’a do drukarki na recepcji; nie jest to, że ktoś Cię będzie hakował na sieci WiFi. Najpopularniejszym atakiem jest to, że dane wyciekają. Nasze dane wyciekają – i to praktycznie każdego z nas, jeśli są w Internecie dłużej niż 3 dni, to pewnie wyciekły z jakichś systemów.
A to oznacza, że jeśli ktoś sobie zada trud ściągnięcia tych baz z wycieków, które przecież latają w różnych miejscach – nie będziemy tu cytować – ale każdy naprawdę po dwóch minutach może trafić na odpowiednie miejsca w sieci, gdzie takie bazy wykradzione z morele.net, z cyfrowe.pl i z innych serwisów popularnych, polskich – w których sporo milionów Polaków jest – leżą; a to oznacza, że można je pobrać.
To oznacza, że można sobie sprawdzić co Kurasiński kupił. No, akurat tego nie, bo tego w tych bazach nie ma. Natomiast atakujący to mają – ale już mniejsza z tym. Nie profilujemy cię. Natomiast można zobaczyć na jaki numer telefonu założyłeś konto czy jaki numer telefonu podałeś przy dostawie, jaki był adres dostawy i jakie było twoje hasło. I teraz jeśli ja widzę, że ty masz hasło, powiedzmy – ‘kwiatuszek1234’ – do cyfrowe.pl, a do morele.net miałeś ‘kwiatuszek567’, to ja się zaczynam zastanawiać, czy do Allegro nie masz ‘kwiatuszek789’, tak? Albo czegoś podobnego.
Ej! Nie podawaj moich haseł publicznie! (śmiech)
I to jest właśnie to, co jest największym problemem internautów, a mianowicie korzystają oni z jednego, tego samego – a nawet jak nie tego samego, to właśnie generowanego pewnym wzorcem hasła, co dla osoby, która spojrzy w szereg takich wycieków jest jasne. I w ten sposób ona się domyśli i zaatakuje inne konto. Natomiast jeśli mamy menadżer haseł, to mamy gwarancję, że każde konto, które posiadamy ma inne hasło.
I to nas chroni. To hasło jest – niestety, czy chcemy, czy nie – takimi pierwszymi, frontowymi drzwiami, które zabezpieczają nasze cyfrowe dobra. Swoją drogą – my na Niebezpieczniku mamy usługi komercyjne: sprzedajemy szkolenia, szkolimy firmy na wyjazdach integracyjnych, szkolimy na Webinariach, mamy szkolenia dla programistów, sieciowców – i tak dalej.
I to jest nasza oferta komercyjna, która dla niektórych jest niedostępna, bo kosztuje; ale mamy zarąbisty, darmowy, godzinny webinar dla każdego, prostym, przystępnym językiem – „Jak zabezpieczyć swoje konta internetowe”. Wejdźcie sobie albo prześlijcie swoim pracownikom, mamie, babci, dzieciom – linka, który brzmi tak: niebezpiecznik.pl/ochrona. Tam możecie sobie zobaczyć za friko. Jak ktoś chce to może dać datek na polskich medyków – bo to jest na takiej zasadzie: zapłać ile chcesz, a cały dochód jest przeznaczony na polską ochronę zdrowia; ludzi, którzy walczą z innymi typami wirusów obecnie. Naprawdę zachęcam.
To jest godzina i tam jest wprost pokazane co należy zrobić, gdzie należy zrobić i dlaczego warto to zrobić, żeby nasze konta były bezpieczne i żeby nie zostały przejęte. To – jak pokazują badania – czego ludzie się najczęściej boją to to, że ich konto na Facebooku, mailu zostanie przejęte. Ba! Popatrz na ministra Dworczyka. Gdyby obejrzał ten webinar nie mielibyśmy tego, co mamy.
To jest dokładnie ten sam atak, przed którym absolutnie zabezpieczają rady w postaci nie łapania się na phishing – to w tym webinarze jest ujęte, tam akurat ochroną i do czego my zresztą zachęcamy od lat jest korzystanie z takich tokenów sprzętowych U2F – to jest niehakowalne. Rosyjscy hakerzy nie potrafią tego obejść. Niebezpiecznik na pen-teście nie potrafi tego wyłudzić. Amerykańskie NASA, Mosad – nie ma szans. Po prostu to jest zabezpieczenie i technologia prosta w użyciu, tylko kosztuje – kosztuje 160 złotych.
No i niech każdy sobie odpowie na pytanie, czy wbicie się na jego konto mailowe, wywleczenie tych wszystkich zdjęć z młodości, pokasowanie tych materiałów, ewentualnie zapoznanie się z wynikami badań medycznych, stanem konta – wszystkim, co na mailu mamy, bo to jest nasz cyfrowy paszport i nie oszukujmy się, że tak nie jest – jest tego warte? Każdy dzisiaj praktycznie trzyma historię swojej korespondencji – nie wiadomo po co – z dziesięciu lat wstecz.
A to, co robi atakujący kiedy się wbije komuś na maila to robi siedem różnych zapytań: bank, wyciąg, karta płatnicza, ubezpieczenie. Szereg takich zapytań, które od razu pokazują te najbardziej wartościowe rzeczy, które mamy na naszym mailu. Akt notarialny, umowa o pracę. Tam przecież są dane osobowe, które potem można wykorzystać w innych miejscach i jeszcze można potem w innych miejscach odesłać je do innych serwisów.
Zabezpieczcie swojego maila. I jeśli korzystacie z Gmaila to bardzo dobrze, bo to jest dobra poczta dla przeciętnego Kowalskiego pod kątem bezpieczeństwa – niekoniecznie pod kątem prywatności, ale gdzieś jednak trzeba tą równowagę postawić i tym ryzykiem zarządzić w odpowiedzialny sposób.
Tutaj możemy się zabezpieczyć takim tokenem sprzętowym. W innych serwisach też. W niektórych nie zawsze, ale tam gdzie się da warto sobie taki klucz skonfigurować, bo on gwarantuje, że obsługa incydentu, stres z tym związany, może i wstyd w niektórych przypadkach jest bardziej kosztowny niż te cholerne 160 złotych, które można byłoby raz w życiu wydać, poradzić sobie w ten sposób, ogarnąć temat wbicia czy nieautoryzowanego dostępu do naszych zasobów internetowych.
Rozumiem. Popraw mnie jeżeli się mylę – cały trik polega na tym, że konfigurujemy sobie klucz, który jest de facto jakąś postacią USB i za każdym razem musimy go wrzucić, to znaczy wkluczyć do naszego komputera jeżeli wchodzimy na daną stronę albo się logujemy do jakiegoś sytemu, prawda?
To działa tak, że jeśli macie włączone dwuetapowe uwierzytelnienie i przychodzi Wam jednorazowy kod smsem albo jako komunikat push w aplikacji; albo otwieracie Google identyfikatora czy aplikację OSI, która Wam generuje taki jednorazowy, zmieniający się kod to zamiast tego kodu z smsa czy z aplikacji trzeba wziąć klucz, który macie przy swoich kluczach do domu spięty, wpiąć go w USB – może to być USB A, USB C, może być też zbliżeniowy interfejs, który jest NFC ze smartfonami kompatybilny, bo takie klucze to mają – i go dotknąć.
I to jest tyle. To jest ten drugi krok uwierzytelnienia, tyle to wymaga. Czy trzeba robić to zawsze? Nie, bo jeśli podczas logowania zrobisz: ‘loguję się na zaufanym komputerze, do którego tylko ja mam dostęp’ to aplikacja podczas logowania nie będzie Cię przez miesiąc z reguły pytała o włożenie tego klucza.
Natomiast jakbyś Ty chciał się zalogować albo ktoś inny – o to chodzi – z innego urządzenia, czyli bez tego Twojego ciasteczka, które masz na tej przeglądarce to wtedy oczywiście będzie pytanie o klucz. I to o to chodzi, że ten haker, który wykradnie i pozna Twoje hasło; jeśli je wprowadzi będzie poproszony o włożenie klucza i naciśnięcie tego klucza. Co on może zrobić? No, musiałby przyjechać do Ciebie, dać Ci pałą po łbie, w tym momencie zabrać Ci ten token i dopiero wtedy dostać się na Twoje konto. Tylko zwróć uwagę, że jeśli ktoś ma na tyle odwagę czy na tyle możliwości, że może podjechać do Ciebie i dać Ci pałą po głowie, to prawdopodobnie wejście na Twojego maila jest… mniejszym problemem niż to, co może się zdarzyć jeszcze.
Oczywiście, ludzi się dzieli na tych, którzy są na celowniku Mosadu i całą resztę, ale jednak zakładam, że większość z nas słuchających nigdy nie będzie na celowniku Mosadu ani nawet Pegasusa, ani nawet wykwalifikowanych, targetowanych grup przestępczych. My powinniśmy się przed tym całym internetowym planktonem, czy też cyberplanktonem zabezpieczyć, a to są ludzie, którzy mają małą finezję.
To są strony na Facebooku, które mówią, że: „Porwano małą Zuzię z Dworca Kolejowego w Krakowie. Zobacz zdjęcia! Zobacz, czy jej nie widziałeś!”. My wzruszeni, klikamy, a tam jest informacja – „Zobacz film” – no to… klikamy „Zobacz film”! A tam jest informacja: „Żeby zobaczyć ten film musisz zalogować się do Facebooka, ponieważ musimy potwierdzić, że masz 18 lat”. Komunikat jest w ogóle kretyński, ale chcemy pomóc Zuzi, więc ludzie się logują do Facebooka, tylko że logują się na złej stronie. I w ten sposób przestępca ma ich konto.
A z ich konta prosi za chwilę ich wszystkich znajomych o pożyczkę przez kod BLIKa, na 100 czy 200 złotych. Znajomi są okradani, bo myślą, że rozmawiają z Wami, bo Wam ufają; bo to jest ta relacja na Facebooku – to jest najważniejsze. Sporo osób mi mówi: „Słuchaj… ale konto na Facebooku zabezpieczać? Po co, ja tam tylko koty znajomym lajkuję czy wrzucam zdjęcia moich dzieci. Jak ktoś mi to gwizdnie to to nie jest wartościowe”.
Jasne, że to nie jest wartościowe, ale to nie o to chodzi; chodzi o to, że Ty tam masz relacje ze swoimi bliskimi. Jak Ci ktoś gwizdnie konto na Facebooku to on Ci nie będzie przeglądał kotów czy kasował zdjęć Twoich dzieci. On to, co zrobi to odezwie się do Twoich znajomych i poprosi o kasę.
No i wtedy jest problem, bo tak naprawdę Twój egoizm typu: „Aaa, ja sobie nie zabezpieczę konta na Facebooku”, czy też niedbałość powoduje, że Ty narażasz najbliższe Ci osoby, z którymi jesteś w relacji przyjacielskiej i na Facebooku one potem zostaną oszukane. Ba; one dadzą się oszukać, bo przecież one rozmawiają z Tobą. To jest prawdziwe Twoje konto na Messengerze.
To nie jest jakiś lewy profil, który się do nich odezwał; to jesteś Ty! Ba; Ty się do nich odwołasz, do sytuacji, które miały miejsce w przeszłości, bo historia rozmów na Messengerze z jakiegoś powodu jest i jest strasznie ciężko kasowalna, więc przestępca sobie przejrzy – ‘Aha, to jest ciocia. Tutaj byliśmy razem na wakacjach. Aha, teraz się check-in’owałem w innym miejscu. To napiszę, że zgubiłem portfel i że muszę wrócić do domu’. Bach, bach, bach i 200 złotych na koncie, na BLIKu jest.
Przerażające. Opisałeś to tak dobrze, że myślę, że dokładnie tak to wygląda.
Każdy będzie teraz potrafił to odtworzyć. Od jutra mamy setki nowych tak zwanych ‘wyjebek’ na BLIKa. (śmiech)
Tak. Tylko ten klucz. Cholera, co zrobić z tym kluczem? Trzeba jakąś pałę przygotować taką, żeby faktycznie…
Kupcie sobie – w sklepie niebezpiecznik.pl/u2f. Nie no, ja oczywiście żartuję. Kupcie sobie gdziekolwiek, nie ma absolutnie znaczenia gdzie. My oczywiście mamy te klucze w ofercie, nie zarabiamy na nich nic w zasadzie, bo to nie o to chodzi, żeby na nich zarabiać.
Chodzi o to, żeby ludzie mogli je nabyć, żeby się nie bali ich nabyć i żeby w końcu je skonfigurowali. Naprawdę, polecam sobie zobaczyć ten niebezpiecznik.pl/ochrona, ponieważ tam jest to przystępniej wytłumaczone. Tam macie ładne grafiki pokazujące dlaczego da się zrobić pewne ataki z wyłudzeniem kodu z smsa, czy z wyłudzeniem kodu z aplikacji. Da się okraść Wasze konto, dostać się do niego jeśli macie dwuetapowe uwierzytelnienie włączone.
Natomiast nie da się tego zrobić jeśli tym dwuetapowym uwierzytelnieniem jest klucz. To jest jedyna metoda, która chroni przed phishingiem czy też negatywnymi skutkami phishingu, typu właśnie przejęcie konta.
Myślę, że zachęciłeś mnie, bo od wielu, wielu lat korzystam z takiego rozwiązania u siebie na desktopie, które się nazywa, hmm… To nie jest 1Password, to jest windowsowskie rozwiązanie… Roboform bodajże? Powiem ci, że od pewnego czasu – ponieważ on się musi podłączać pod przeglądarkę, musi być uwierzytelniony i tak dalej – zauważyłem jak wiele, tam dwa albo trzy kliki trzeba wykonać więcej żeby zalogować się na daną stronę. A przecież ten Chrome Password robi dokładnie to samo.
Absolutnie tak.
I robi to nawet lepiej, bo on za Ciebie wymyśla tą…
On jeszcze Ci zweryfikuje i uzupełni dane do logowania na fałszywym allegro, bo jak Ty wejdziesz na alllegro.pl, no to sobie tego Roboforma możesz wklikać, tak? I się zalogujesz na fałszywej stronie allegro, bo nie zauważyłeś dodatkowego ‘l’.
Natomiast Chrome Cię nie zaloguje, bo Chrome Ci powie: „Ty, koleś – ale co ja mam tutaj wpisać do logowania, jak ja nie mam tego url-a zapamiętanego? Ty tutaj nie masz konta!”, tak? I wiesz – Ty chcesz się zalogować, zawsze Ci to wypełniało, a teraz Ci nie wypełnia, hm… Aaa! Patrz Pan! Może to…
Może to nie jest to Allegro? Może jestem na innym świecie Allegro? W podświecie…
Tak. Oczywiście inne menadżery haseł spięte z przeglądarką też potrafią to zrobić – żeby mi zaraz ktoś nie wyskoczył i nie powiedział, że: „Są lepsze!”, i tak dalej. Absolutnie. Niech sobie każdy wybierze, jest tego masa. Niech sobie każdy wybierze taki, jaki lubi, ale niech z któregokolwiek zacznie korzystać. Każdy jest lepszy niż żaden.
Plus klucz i faktycznie jesteśmy punkt wyżej, jesteśmy prawie w zen cyberbezpieczeństwa. No dobra, ale powiedzmy, że jestem człowiekiem, który na przykład pracuje z dokumentami w domu, które powinny być jednak na moim komputerze, a nie wałęsać się po Internecie, bo są to rzeczy, które są tajne przez poufne albo nie powinny ujrzeć światła dziennego z uwagi na ich ważność polityczną. Co taki człowiek powinien zrobić albo może zrobić, żeby te dokumenty zabezpieczyć?
W 100 procentach? W 90? W 95? No to one w 95 procentach są bezpieczne tak jak są. W sensie wiesz, jak Cię ktoś zhakuje to masz pozamiatane. I nic z tym nie zrobisz, nawet jak masz to zaszyfrowane. Zwróć uwagę, że prędzej czy później ten dokument rozszyfrujesz.
Prędzej czy później go wyświetlisz na swoim komputerze; więc jak on jest przejęty to ja widzę to wszystko co masz na ekranie. Ja go i tak zobaczę. Ja i tak podsłucham Twoją klawiaturę i będę wiedział jakie jest hasło, więc i tak Ci wykradnę ten dokument zaszyfrowany. Za chwilę go rozszyfruję, bo poznałem do niego hasło. To jest to 95 procent. Dopóki nie zostaniesz zainfekowany na urządzeniu, na którym oglądasz, przeglądasz, edytujesz ten dokument – jesteś bezpieczny.
No, ale jest problem, bo może nie chciałbyś być zainfekowany. I co wtedy zrobić? Tu nie ma łatwej odpowiedzi dlatego, że bezpieczeństwo prawie nigdy nie idzie w parze z wygodą. Ciebie wkurzają trzy kliknięcia dodatkowe przy Roboformie. No, to na pewno Cię wkurzy to, co teraz powiem… Musisz mieć osobny komputer, nie podłączony do Internetu.
Oooooo, Panie Piotrze…
Idź Pan w cholerę z czymś takim, nie? Dokładnie, ale sam widzisz. To jest podejście, które jest stosowane przecież w wojsku, w różnych takich instytucjach, w których jest najwyższy poziom tajności. Nikt tam od komputerów nie ucieka, tam ludzie przecież nie piszą na maszynach do pisania – chociaż podobno niektórzy dalej twierdzą, że najlepsze i najtajniejsze dokumenty to dalej są te, które są w teczkach papierowych; ale wiemy, że teczki papierowe też wyciekały…
A poza tym są mniej podatne na różnego rodzaju kataklizmy, bo trudniej się je duplikuje niż dane cyfrowe. Wracając do głównego tematu – musisz odpowiedzieć sobie na jedno bardzo ważne pytanie: jak dużo naprawdę chcesz włożyć wysiłku w to, żeby te dane chronić?
Poza tym jeśli to są tak super tajne dane, to może one nigdy nie powinny być spisane? Jeśli to są dane, które były spisane to zastanów się czy możesz ograniczyć ryzyko związane z wypłynięciem tych danych w inny sposób. Załóżmy i powiedzmy, że jest to kwestia nieruchomości, którą nabywasz, masz ją opisaną i nie chciałbyś żeby ktoś wiedział, że to jest Twoja nieruchomość, bo jesteś… politykiem i bierzesz łapówki – nie wiem czemu taki pomysł mi przyszedł do głowy – ale załóżmy, że taki jest Twój scenariusz.
I teraz co możesz zrobić? Doradziłbym Ci, żebyś tę nieruchomość kupił na kogoś innego. W momencie kiedy to wycieknie to masz ślady niepowiązane ze sobą. Oczywiście tutaj w grę wchodzi jakie masz relacje z tą osobą, czy możesz jej zaufać. Zamieniasz jedno ryzyko na inne ryzyka, ale może dla Ciebie bardziej akceptowalne. No… Nie ma super odpowiedzi, bo jeśli ktoś Cię zainfekuje to jest game over.
A zainfekować urządzenie jest coraz trudniej, natomiast dalej da się to zrobić. Urządzenia mobilne, takie jak tablety – bo one działają na IOS’ie czy na Androidzie – to są trudniejsze do zaatakowania platformy niż Windows czy Mac. Wynika to z architektury. Ja nie chcę tu głęboko technicznie wchodzić, bo byśmy ludzi zanudzili, ale jest takie trudno słowo – ‘sandboxing’, to jest separacja procesów pamięci. Czyli jakby każdy proces i każdy program działa w osobnej aplikacji. Jest takim osobnym sejfem, da się z niego wyjść, ale jeden nie ma dostępu do pamięci drugiego, więc nawet jak masz wirusa to on nie widzi od razu wszystkiego, i tak dalej, i tak dalej.
To jest lepiej zrobione na urządzeniach mobilnych. Dlaczego? Dlatego, że te urządzenia powstały później. Na Android i na IOS to są stosunkowo nowe systemy operacyjne, tworzone na nowe platformy, które nam towarzyszą powiedzmy od 15 lat jeśli dobrze sięgam pamięcią. I to są rzeczy, które były projektowane z uwzględnieniem już pewnych problemów, które były znane w tamtym czasie na popularnych Windowsach 98 czy XP, które były hakowane i można było w nie wchodzić jak ciepły nóż wchodzi w masełko.
Także być może takim zdroworozsądkowym podejściem do tematu ochrony tych danych, o które pytałeś byłoby przetwarzanie, edytowanie i trzymanie tych danych na tablecie, na przykład na IPadzie. Tylko musisz też zdawać sobie sprawę z tego, że jak masz takiego IPada to oczywiście on jest mniej podatny na malware, złośliwe oprogramowanie, infekcje; ale on jest podatny na zgubienie. Jak masz do niego kod taki jak Paweł Kukiz, czyli: ‘1111’, no to… jesteś w czteroliterowym słowie, które zaczyna się na ‘d’, a kończy na ‘upa’.
Tutaj to znowu jest kwestia wyborów. Z jednej strony przejście na IPada daje plusy, a z drugiej strony daje minusy. Te minusy można oczywiście zamienić na plusy, jeśli będziesz mieć odpowiednio wdrożony mechanizm ochrony swojego urządzenia. I tutaj znowu stykamy się z tymi pierwszymi drzwiami pod tytułem ‘Hasło’. W tym przypadku – kod ekranu. A może… biometria?
Tak, biometria jest w sumie lepsza i wygodniejsza, ale do pewnego stopnia, bo w niektórych przypadkach nie. No i to trzeba się z tym zapoznać, i zrozumieć gdzie są te plusy i minusy jednego, jak i drugiego rozwiązania. I dobrać to pod – jak my to mówimy – ‘swój model ryzyka’.
Czyli kogo Ty się obawiasz: żony? Przestępcy, który Ci wyrwie takiego IPada jak jesteś w Starbucksie na kawie? Trochę inaczej się zabezpiecza przed żoną, która Ci cały czas patrzy przez ramię. Trochę inaczej się zabezpieczasz przed kimś, kto może Ci wyrwać taki tablet.
A jeszcze trochę inaczej się zabezpieczasz przed kimś, kto jest agencją rządową, która próbuje Cię zainfekować jako polityka, który potencjalnie ma mieszkania za łapówki. Tutaj inaczej trzeba dobrać ten stopień paranoi i rozwiązań technicznych. Nie ma też co ukrywać – inaczej trzeba zabudżetować wydatki na bezpieczeństwo.
Właśnie, powiedz mi, bo w ofercie Niebezpiecznika jest też kwestia związana z OSINT-em, czyli białym wywiadem. Wydaje się, że żyjemy w takich czasach, w których my wszystko wrzucamy już w media społecznościowe, a jak nie w media społecznościowe to gdzieś to jest widoczne, na jakichś forach na przykład. Dzielimy się tymi informacjami wszem i wobec. Czy prawdziwe jest powiedzenie, że właściwie teraz biały wywiad to jest bardziej przeglądanie kogoś w profilu na Fejsie? Czy to jednak jest o wiele większa sztuka?
Jeśli dobrze sięgam pamięcią to my w Niebezpieczniku mamy około 570 różnych źródeł danych, baz danych – oficjalnych rejestrów rządowych, różnych wyszukiwarek, różnych mniej oficjalnych miejsc w sieci, które można przeszukiwać; do których da się wprowadzić tak zwany ‘selektor’. Selektor to jest wszystko, co jest z Tobą związane.
To może być Twój numer telefonu, to może być Twój pesel, to może być Twój NIP, to mogą być jakieś inne dane, które mogą być z Tobą związane; Twój adres email – jeden, drugi, trzeci, czwarty; Twoja nazwa konta na Twitterze. Jak wrzucimy Twoją nazwę konta na Twitterze to nam wyskoczą lokalizacje z których postowałeś. Z metadanych zdjęć dostaniemy na przykład numer seryjny Twojego obiektywu w telefonie.
A tym numerem seryjnym, który pozyskaliśmy z jednego miejsca, kiedy tylko wrzuciliśmy Twój nickname na Twitterze i mamy ten numer seryjny Twojego aparatu czy tam obiektywu aparatu czy telefonu – to teraz tym selektorem idziemy w inne miejsce i dostajemy resztę Twoich zdjęć. Te zdjęcia, które robiłeś może jako Twoje alter-ego – bo masz powiedzmy portal randkowy, na którym się umawiasz. Masz tam zdjęcie i masz całkowicie anonimową tożsamość stworzoną na lewe dane.
Założyłeś ją przez VPN, ale co Cię zdradziło? Zrobiłeś sobie selfie – co prawda od pasa w dół, a nie od pasa w górę – ale tym samym telefonem, którym robiłeś wcześniej zdjęcia swoich dzieci, ze swoją prawdziwą małżonką i które wrzuciłeś na przykład na Twittera, z jakiejś tam wakacyjnej podróży. To już można skorelować ze sobą. OSINT tak naprawdę, jakbym miał w skrócie powiedzieć to jest nic innego jak sztuka namierzenia selektorów, identyfikatorów danej osoby. Różne, naprawdę różne rzeczy mogą być tymi selektorami.
To może być też lokalizacja, numer rejestracyjny – i tak dalej. Chociaż wiem, że Ty stronisz od samochodów; ale później bierzesz te wszystkie selektory, wrzucasz je w te 570 miejsc tam, gdzie pasują poszczególne. Mieli się to i wyskakują inne selektory. I te inne selektory znowu bierzesz i wrzucasz drugi raz, w inne bazy danych. I kolejne Ci wyskakują. I wiesz – buduje się z tego coś, co fachowo – chyba to się nazywa w amerykańskich filmach „crazy board”; czyli masz takiego wariata z roztrzęsionymi włosami, który na ścianie wkleja zdjęcia, łączy je nitką żółtą, czerwoną, zieloną.
I my robimy absolutnie, dokładnie to samo! Czasem na ścianie, czasem w odpowiednim oprogramowaniu, które do tego służy i które nam pomaga w tej analizie; ale tworzy się właśnie takie „crazy boardy”, tak? My wtedy widzimy co jest z czym związane. Z Arturem Kurasińskim? Sięgamy po stare rzeczy – odszukamy Twoje stare profile. Dowiemy się, że byłeś antysystemowcem stojącym za pewnym komiksem kiedyś. Innym niż ten, który teraz edukuje dzieci. Wtedy zobaczymy z kim to robiłeś, jakie są powiązania.
Spojrzymy sobie na to jak na usenecie działałeś i jakie miałeś maile. Dojdziemy być może do postów, których teraz się wstydzisz, ale przecież Google pamięta. A jak nie Google to inne archiwa. I już masz zbudowane potężne portfolio. I teraz się zastanawiasz jak taką osobę szturchnąć, bo może nie trzeba szturchać? Może wszystko masz na talerzu? Ty jesteś „dinozaurem” Internetu jeśli mogę tak powiedzieć, ale to w samych superlatywach…
Nie obrażam się jak coś! (śmiech)
… więc ten swój ślad węglowy masz potężny. Będzie z Ciebie dużo ropy naftowej, która napędza te machiny OSINT-owe! Natomiast są osoby, które mogą nie mieć takiego śladu jak Ty czy ja, może też nie dbały tak o prywatność albo raczej mocniej dbały o prywatność; w związku z czym je trzeba będzie lekko szturchnąć. I my na przykład wiedząc, że one się znają z tym i z tym możemy zrobić pewną prowokację.
Załóżmy… Nie chcę tutaj palić wszystkich naszych technik, które mamy – tutaj zapraszam na szkolenie: niebezpiecznik.pl/kurs; tam jest 25 godzin tego jak można z OSINT-u korzystać i jak go stosować, bo to jest absolutnie wiedza przydatna dla każdego; czy to jest sekretarka, czy sekretarz, czy to jest osoba, która pracuje w dziale prawnym i weryfikuje kontrahentów; czy to jest osoba z marketingu i chce poznać strategię marketingową konkurentów – to się da zrobić z otwartych źródeł. Ludzie nawet nie wiedzą, że w momencie kiedy sobie konfigurują landing-page na jakieś swoje akcje no to robią to wcześniej niż ta akcja wystartuje – a to można śledzić!
Konkurencja może zobaczyć jakie landing-page’e i jakie domeny rejestruje inna spółka, kiedy to robi, co na tych serwerach jest. To jest naprawdę coś takiego jakbyś miał agencję wywiadu pracującą na Twoje usługi. Tylko oczywiście bez zaglądania w bazy rządowe – jeśli nie chcesz płacić łapówek. To szturchanie jest właśnie takim elementem prowokacyjnym. To już nie jest OSINT, bo OSINT to jest właśnie taki biały wywiad.
Jest też czarny czy też szary OSINT i te prowokacje są takim szaro-czarnym OSINT-em, gdzie korzystając z technik spuffingu (??? 1:09:40), technik podszywania się czy też wprost nadużywania pewnych mechanizmów bezpieczeństwa Ty sprawiasz wrażenie tego, kim nie jesteś i wyłudzasz informacje od osoby. Ustawiasz konto na Facebooku osoby, którą ta osoba zna. Doda Cię do znajomych? Zobaczysz coś więcej.
Zadzwonisz do tej osoby z podrobionego numeru telefonu, przedstawisz się jako ubezpieczyciel i powiesz, że z polisą jest pewien problem, trzeba uzupełnić te i te dane – i ta osoba pewnie Ci te dane poda, tak? Technik jest naprawdę mega dużo; od technik związanych nawet z podrzucaniem GPS-a – co oczywiście jest nielegalne, ale w momencie kiedy niektórzy korzystają z tych technik i są przestępcami to oni nie stawiają sobie pytania czy to jest nielegalne, czy nie.
Ja bym tutaj jeszcze spojrzał na to, że OSINT to jest tutaj jedna strona medalu. Z drugiej strony medalu jest coś takiego co się nazywa OPSEC – ‘operation security’. I każdy z nas powinien mieć jakieś operation security, a to tłumaczy się po polsku na ‘prywatność’. Każdy z nas powinien sobie zdać sprawę z tego jak ludzie, którzy mają dostęp do technik OSINT-owych mogą nas zmapować, mogą sięgnąć w księgi wieczyste, mogą zobaczyć nasze sprawozdania finansowe.
Mogą udać się tu i tam, i namierzyć szereg informacji na nasz temat, które mogą nie być dla nas korzystne w pewnej sytuacji. I jeśli uda nam się samodzielnie do tego dotrzeć wcześniej to możemy trochę posprzątać – na tyle, na ile się da. Natomiast i tak jesteśmy na przegranej pozycji jeśli ktoś ma dostęp do pewnych baz rządowych, baz danych operatorów telekomunikacyjnych, bo tu już trzeba założyć tę aluminiową czapeczkę i rzeczywiście korzystać z różnych telefonów, pamiętać żeby nie włączać tego lewego telefonu w tym samym miejscu, gdzie masz prawdziwy telefon. To już nie jest dla każdego, ale też nie każdy tego potrzebuje.
Podsumowując – ja uważam, że OSINT to jest coś, co w ogóle powinno być zamiast jednej lekcji religii i jednej lekcji wf-u co najmniej już w podstawówce po to, żeby dzieciaki wiedziały na co zwracać uwagę, czego nie robić w Internecie; bo Ty czy ja prawdopodobnie jak robiliśmy głupie rzeczy w szkole, to robiliśmy je i one zostały w pamięci naszych znajomych, którzy już pewnie tego nie pamiętają, ewentualnie w jakiejś uwadze w dzienniku papierowym.
A teraz? Dzieciaki jak zrobią głupią rzecz to jest 15 nagrań filmików, które lądują na mediach społecznościowych, które nie daj Boże staną się memem i pojawi się problem. Przywołać tutaj możemy Pana od Mięsnego Jeża. Czy to jak on skończył jest powiązane z tym, co się stało? Nie wiem, ale to pokazuje, że ten cyfrowy dzisiejszy świat jest trochę inny i nikt nie nauczył ludzi życia w nim.
Nie ma jeszcze prawa do bycia zapomnianym, że ktoś Ci posprząta pewne rzeczy w Internecie; bo jak ktoś inny dotrze do nich wcześniej to już za bardzo nie da się tego posprzątać. To gdzieś zawsze zostanie.
Właśnie powiedziałeś pare rzeczy, a mi się otworzyła klapka co napisałem w 1989 roku po południu. I teraz się tego wstydzę. Cholera, będę musiał odtworzyć na pewnym forum dyskusyjnym… A nie; dawniej to nie było nawet forum tylko IRC. I tam się pisało różne rzeczy.
Challenge accepted!
(śmiech) Powiem szczerze, że mamy teraz taką uwagę i nasze głowy rejestrują tyle faktów, że nasza umiejętność łączenia faktów i pamiętania o tym, co było dawniej to jest taka mniej więcej perspektywa muchy i entki (??? 1:12:54), więc jakbyś powiedział mi, że wyciągasz dane sprzed kilku lat albo nawet dziesięciu, to ja bym powiedział, że to jakiś inny człowiek musiał pisać. Natomiast jest to przerażające faktycznie ile rzeczy już zostało przez nas wszystkich napisanych. I pewnie jeszcze nawet nie sięgamy w ogóle zupełnie do tych narzędzi google’owych, które też o nas wiedzą bardzo dużo. Oczywiście – trzeba się do nich zalogować, mieć hasło, i tak dalej. Ja kiedyś zrobiłem sobie taki test i właśnie sprawdzałem gdzie mnie logowało Google na mapie, bo on co miesiąc przysyła nam takie podsumowanie. Było to dramatycznie głupie w okresie pandemii, bo pokazywał nam, że jesteśmy po prostu w domu; ale było o tyle fajnie, że on czasami pokazywał gdzie byliśmy rok temu i tak dalej. Natomiast to są informacje, które są trochę jak wyroki śmierci, bo co – będziesz się potem przed żoną albo przed znajomymi tłumaczył, że nie byłeś tam, skoro jest po tym ślad? Nie wymażesz tego, to jest ślad cyfrowy.
Jeszcze ci powiem, że są ludzie, którzy mają takie zdrowe podejście do prywatności, ale z czasem ono nie działa na ich korzyść, bo nie są konsekwentni.
Przykładowo: mieliśmy kiedyś taką jedną sprawę, gdzie analizowaliśmy takiego jednego człowieka. I ten człowiek – nie wchodząc w szczegóły, bo nie chciałbym tutaj wskazać nawet profesji tego człowieka – czasem wrzucał do Internetu pewne dokumenty, na których był widoczny jego pesel, ale nie cały. On był na tyle świadomy, że go cenzurował. Zasłaniał go.
Po co to robił?
Po co to robił nie chcę powiedzieć, ale miał w tym cel. W sensie – to było uzasadnione, tak? Powiedzmy, że chciał mieć trochę fejmu na dzielni. A tam ten pesel się pojawiał, a on był świadomy pewnych zagrożeń, więc cenzurował ten pesel. Tylko wiesz co? On go raz cenzurował z przodu, a raz go cenzurował z tyłu. Raz cenzurował pięć pierwszych cyfr, raz pięć ostatnich, a czasem cztery ostatnie…
Jezu…
Teraz już wiesz do czego zmierzam. Jeśli ktoś miał jedną jego fotkę, to powie: „Kurde, gość się zna. Dba o prywatność. Zamazał swój pesel”; ale jak spojrzysz na 5 lat, kiedy co pare miesięcy on publikuje takie zdjęcie i złożysz te wszystkie zdjęcia do tak zwanej kupy to nagle okazuje się, że spoko – odtworzysz sobie coś, co jest w szczątkach.
I to jest właśnie taka umiejętność OSINT-owa. My na tym kursie OSINT-u dla naszych kursantów mamy takie zabawy, że czasem na przykład ja albo drugi trener – Marcin, jak jesteśmy gdzieś to robimy zdjęcie. Takie niepełne, wiesz: chatę na przykład, kawałek okna, część trawnika i fragment leżaka, który jest dosłownie czubkiem logotypu, który jest na tym leżaku. No i jest zadanie – gdzie to jest?
I wiesz, masz jakieś ślady. Widzisz na przykład, że to jest drewniana chata, więc stara. Może jakiś skansen, gdzie są drewniane chaty? To już się tak nieczęsto zdarza. Jest tam chyba jakaś nalepka firmy ochroniarskiej w oknie, no to która firma ma taki znaczek? Po wielu rzeczach możesz dojść. I my zdajemy sobie z tego sprawę. I to są takie nasze podpowiedzi, które ludziom zostawiamy, żeby po tym doszli. Wiesz co nam zryło beret? To, że jeden z kolesi, który rozwiązał to zadanie zauważył, że na drugim planie jest stacja transformatorowa, która nie była opisana w jakiś super szczególny sposób, ale która miała linię wysokiego napięcia…
Ja się na tym nie znam, więc teraz nie wiem – powiedzmy, że ileś tam kilowoltów chyba jest napięcia, tak? Ludzie, którzy się na tym znają potrafią to poznać. On sobie spojrzał na mapę, która jest na geo-portalu gdzie się krzyżuje taka linia z taką linią – bo on je zauważył na zdjęciu; i sprawdził sobie gdzie w pobliżu mogą być skanseny albo stare chaty. I po tym doszedł! Popatrz – dwa tysiące osób.
Każdy ma trochę inne doświadczenie. Jeden będzie elektrykiem wysokich napięć, a inny będzie się świetnie znał na firmach ochroniarskich albo produkuje leżaki, albo widział gdzieś taki logotyp. Kurcze, to jest potęga Internetu. Pewnie słyszałeś wiele razy o 4chan’owcach, jak była ta słynna akcja z flagą przeciwko Trumpowi. Namierzali gdzie ta flaga jest zlokalizowana i ją ściągali.
Raz ona była w Muzeum – to było wiadomo gdzie, więc ją zdifejsowali, podmienili, bo był streaming flagi do Internetu. Drugi raz ją przenieśli na jakiś dach wieżowca, ale akurat tak się zdarzyło, że jeden z ludzi, który pracował w tym mieście widział, że to jest na tym dachu, więc powiedział gdzie to jest i wleźli, i ją znowu podmienili. Trzeci raz twórcy tego całego happeningu przenieśli to w taki sposób, że nie było wiadomo gdzie to jest. Widać było tylko tę flagę na tle nieba. Absolutnie nie wiesz gdzie to jest.
Czy to jest w Ameryce dalej, czy nie? Ale jak patrzyłeś na ten streaming to widziałeś, że przelatują samoloty raz na jakiś czas na niebie. I typy popatrzyły sobie na znaną aplikację FlightRadar, popatrzyli gdzie się krzyżują pod takimi kątami, w takich odległościach, w takich czasach samoloty. Nakreślili pewien obszar geograficzny, z którego mogłeś widzieć ten fragment nieba. I żeby było jasne – to był zajebiście duży fragment obszaru!
I teraz – jak to zawęzić? Przecież na Google Mapsach tego nie zobaczysz, bo te zdjęcia nie wiadomo kiedy były robione. Możesz pojechać, ale co – będziesz latał dronem nie wiadomo jak długo? I wyobraź sobie, że oni wysłali samochody w tamte obszary, które przejeżdżały poszczególne fragmenty i trąbiły.
I ludzie, którzy byli na streamie nasłuchiwali czy słychać, że się zbliża coś – bo to możesz poznać, to jest efekt Dopplera. Możesz poznać czy się zbliża, czy oddala; czy jest głośniejszy, czy cichszy. W ten sposób namierzyli działkę. Czekamy do wieczora, zapada zmrok – goście wchodzą, podmieniają flagę. Flaga jest zdifejsowana (???).
Czytałem w wakacje, bo jako jedną z lektur wziąłem sobie książkę o Bellingcat’cie – na pewno jest ci znana?
Oczywiście – tak.
I to było właśnie piękne, bo jednym z elementów, które twórca Bellingcata bardzo często podkreśla jest to, że właśnie im się udawało w nieprawdopodobnie dobry i szybki sposób namierzyć różne rzeczy w Internecie wykorzystując crowdsourcing. Ludzie się podłączali sami – „Ja widziałem!”, „Ja tu byłem!”, „To prawdopodobnie jest w takim okręgu…” – i tak dalej. To jest super fajne. Natomiast to też oczywiście działa w drugą stronę, że możesz starać się ukryć pewne rzeczy w dobrym celu, w takim duchu, że nie chcesz złym ludziom czegoś udostępnić, a oni będą stosowali te metody po to właśnie, żeby do Ciebie dotrzeć. Akurat apropo tego stosowania dźwięków to przyszło mi do głowy coś. Prawdopodobnie czytałem to w trzech książkach, więc uznaję, że to jest prawda – w momencie kiedy Amerykanie wiedzieli, bo złamali kody japońskiej floty; i wiedzieli o tym, że jest planowany atak na jedną z prawdopodobnie bardzo ważnych instalacji amerykańskich – chodziło oczywiście o Pearl Harbor – i nie wiedzieli co to może być… Przepraszam, chrzanię! Nie chodziło o Pearl Harbor! Pearl Harbor już było, II Wojna Światowa już się rozpoczęła i oczywiście Amerykanie zostali sprowokowani, i weszli do wojny… Chodziło o Midway. Amerykanie wiedzieli, że Japończycy się czają, ale nie wiedzieli gdzie. I spowodowali awarię na jednym z tych obiektów. Ta awaria została zauważona, została przekazana w tym kodzie zaszyfrowanym, który Amerykanie już mieli oczywiście złamany. W związku z tym podawanie takich informacji może być takim fajnym patrzeniem gdzie są te dziury, przez które wylatują informacje. Niemniej wróćmy do tego o czym rozmawialiśmy, czyli o naszej rzeczywistości, a nie o II Wojnie Światowej; o cyberbezpieczeństwie, a nie o łamaniu amerykańskiej floty. Powiedz mi, bo tak się zastanawiam na przykład jak bardzo z twojej perspektywy, z perspektywy podmiotu, który prowadzisz – jak pandemia wpłynęła na te problemy? Dużo osób musiało wynieść swoje stanowiska pracy i swoje komputery do domu. A w domu raczej nie mamy działu IT, zamkniętego Intranetu – i tak dalej. Czy to według ciebie jakoś radykalnie zwiększyło niebezpieczeństwo jakiejś penetracji i wypływania takich informacji?
Właśnie moim zdaniem nie. Szczerze mówiąc nie rozumiem dlaczego ludzie mówią: „Ojej, pandemia! Telepraca!” i to nagle są większe zagrożenia. Zwróć uwagę, że chyba każda znana ci firma przed pandemią miała przynajmniej jednego pracownika, jeśli nie kilku, którzy raz na jakiś czas pracowali z domu.
Wyjeżdżali do klienta? Pracowali zdalnie. Nie wiem, może tylko moi klienci, z którymi ja współpracuję takie procedury mieli. Pandemia zmieniła to, że trzeba było dokupić więcej sprzętu, żeby więcej ludzi przerzucić w te same procesy i te same zasady, z którymi tak naprawdę firma była zaznajomiona i które były wypracowane.
I w ramach których zdarzały się różne incydenty. Oczywiście, samo przejście może być w pewien sposób problematyczne jak każda migracja, ale to nie jest tak, że nagle przychodzi 20 marca czy któryś-tam kwietnia i cały świat przechodzi na pracę zdalną, i uczy się tego, bo nigdy tego nie robił. Jasne, dla osób, które pierwszy raz pracują z domu to może być coś nowego, ale to są te same procesy, które były po stronie firm dopracowane. To była tylko kwestia wydajności sprzętu, ja przynajmniej tak to widzę.
Nie widzę absolutnie żadnych nowych ataków skupiających się wybitnie na tym, że jest pandemia. To były te same, stare ataki. Jeśli dawniej dostawałeś smsy: „Twoja paczka jest za ciężka, więc musisz dopłacić 2 złote” to teraz dostawaliśmy smsy: „Twoja paczka wymaga dezynfekcji, musisz zapłacić 2 złote”, tak? Albo zamiast odebrać jakieś tam nagrody czy bony do Biedronki, to ustaw się w kolejce po dofinansowania czy po szczepionki, zapisz się tam – i tak dalej; więc to były te same techniki, ale trochę inne wektory.
W sensie ten pretekst był odrobinę inny. Dla mnie to portfolio ataków się absolutnie nie zmieniło. Natomiast uwypukliło pewien problem, w którym ludzie są też beznadziejni. My zdalnie nie potrafimy weryfikować tożsamości osób, z którymi rozmawiamy. Ja znam cię na tyle, że po głosie cię poznaję i wiem, że z tobą rozmawiam, ale się nie widzimy. Skąd miałbym wiedzieć, że z tobą rozmawiam?
Teraz wyobraź sobie, że przeprowadzamy ten wywiad na piśmie. Ty korzystasz ze swojego maila – ja znam kilka twoich maili – ja ci odpisuję, ale ja tak naprawdę nie wiem czy rozmawiam z tobą. Z drugiej strony ty też jesteś zabieganym człowiekiem. Mógłbyś jakiegoś swojego stażystę rzucić na wywiad ze mną, a ja bym się nie zorientował. I właśnie to jest ten problem, że jeśli my pracujemy zdalnie poprzez pewne kanały komunikacji – bo nie poprzez wszystkie, bo na videocallu ciężko jednak jest oszukać, że to nie z tobą rozmawiam – to my nie wiemy z kim tak naprawdę rozmawiamy.
To nie jest nowość. W czasach przedpandemicznych też na tym polegały tak zwane BEC Scamy, czyli Business Email Compromise, czyli ktoś się komuś włamuje na skrzynkę mailową, czyta tam sobie różne rzeczy, widzi, że to jest na przykład dostawca pasków klinowych do Volkswagena. No to za chwilę pewnie będzie faktura i kolejne zamówienie. „O, jest faktura i kolejne zamówienie! No dobra! To teraz ja podmieniam na tej fakturze numer rachunku docelowego i tę fakturę zostawiam w skrzynce mailowej, i czekam aż gościu ją łyknie”.
Tu wszystko się zgadza, numer się zmienił. Poprawny adres email jest nadawcą, ten sam kontrahent, ta sama faktura – wtedy, kiedy miała przyjść… ale jest inny rachunek bankowy. I teraz – jak do tego podejść? No bo nam zmienili konto w banku; czy coś tam… Czy ktoś w to uwierzy? Czy miał proces taki poprawny, czyli: zadzwoń, zweryfikuj, domagaj się faxu osoby, którą znasz i która potwierdzi tę zmianę.
Nie! Sporo osób tego nie miało, dlatego na przykład w twoim mieście metro warszawskie zapłaciło za usługi sprzątania 500 tysięcy złotych nie tej firmie, której powinno. Dlatego gdzieś jakiś urząd miasta na podkarpaciu zapłacił dwie bańki za drogę nie tej firmie, której powinien. Dlatego RyanAir wywalił 25 baniek za paliwo nie tej firmie, której powinien… To są właśnie te przykłady, gdzie zabrakło uwierzytelnienia tej drugiej strony.
Tego nie da się zrobić tak, że nie widzisz kogoś. Cyfrowe podpisy jeszcze w tym informatycznym użyciu wśród pracowników nie zostały w pełni ogarnięte. Poza tym ten cyfrowy podpis po drugiej stronie można do pewnego stopnia podrobić jeśli masz czyjąś kartę do podpisu albo ta karta jest cały czas włożona. Nie jest to doskonała technologia. Nie wszędzie jest taki niepodważalny, kryptograficzny podpis stosowany.
Tutaj bardzo duża zaleta komunikatorów internetowych, bo taki Signal czy WhatsApp generalnie weryfikuje tę tożsamość. Nie wszyscy też to robią, ale zwróć uwagę, że jak dodajesz kogoś do kontaktów to masz tam napisane ‘młotek’, ‘kwiatek’ i powiedzmy ‘myszka’. I ma przeczytać w tej samej kolejności te same słowa druga strona, i w ten sposób wiesz, że to rzeczywiście z nią rozmawiasz, tak?
Raz to weryfikujesz, a potem sobie z nią rozmawiasz i masz pewność, że to jest ta osoba. No – masz oczywiście taką pewność do momentu kiedy tej osobie ktoś nie wyrwie telefonu i nie będzie za nią korespondował, tak? Wtedy nie wiesz czy z nią rozmawiasz. Kanał masz uwierzytelniony, wszystko się kryptograficznie zgadza, jest szyfrowane, jest legitne. Wymieniacie sobie tam sekrety; natomiast to jest inna osoba, która tam na to patrzy, która jest częścią tej rozmowy.
Tego nie zweryfikujesz na odległość. Jak jesteś w biurze i to jest twój kolega po drugiej stronie monitora to rozmawiasz z nim werbalnie, widzisz go i wiesz, że to jest on. Tego właśnie brakuje w tej pracy zdalnej. Można by za każdym razem łączyć się na krótki telefon i mówić:
– Stary, zmieniliście numer do faktury?
– Tak, zmieniliśmy.
– Dzięki!
I to wystarczy. Tylko, że nikt tego nie robi. To znaczy nie chcę powiedzieć, że nikt, ale wiele firm tego nie robi. Są w wielu firmach procedury, nie zawsze polegają na telefonie, natomiast są na tyle wystarczające, że ograniczają to ryzyko; ale znowu – problem, o którym tutaj debatujemy to jest to, że ludzie są beznadziejni w rozpoznawaniu z kim tak naprawdę rozmawiają po drugiej stronie ekranu.
To znowu trochę wracamy do tego sławnego dowcipu rysunkowego, który jest podstawą wielu…
… każdy może być psem w Internecie?
Dokładnie tak. Możemy mieć okulary VR-owe, genialne przeglądarki renderujące super obrazki, lepsze połączenia, o wiele więcej różnych sposób zabezpieczeń; natomiast ten podstawowy element nadal jest bardzo ciężki do osiągnięcia. Albo z naszego lenistwa, albo z naszej niewiedzy. Powiem ci szczerze, że jak się zastanawiam co by musiało zajść lub co by się musiało stać, żebym dostał fakturę od kogoś z innym numerem i bym ją po prostu wysłał? Bardzo niewiele! I wiem, że teraz kręcę bicz na swój tyłek – pewnie pare osób zechce podesłać mi jakieś faktury znikąd – ale, no tak… Co ja bym musiał mieć w głowie, żeby pamiętać numery kont bankowych wszystkich moich kontrahentów? Szczególnie, że mam ich naprawdę dużo, a przecież jeszcze mam jakieś opłaty stałe i tak dalej.
Ja bym cię zrobił tak: „Artur, słuchaj! Mam do Ciebie prośbę! Wiem, że Ty się znasz na tych nowych technologiach, a my właśnie weszliśmy we współpracę z bardzo fajnym pośrednikiem w płatnościach.
W tej fakturze masz link do zapłaty przez tego pośrednika. Jakbyś był w stanie wyjątkowo tę jedną fakturę opłacić tym linkiem? Przetestowalibyśmy i w ogóle – powiedziałbyś co sądzisz o tym? Będę mega wdzięczny! Dzięki za współpracę!”.
Wiesz co, znowu teraz sprzedałeś bardzo tanio swoją wiedzę! (śmiech) Podsunąłeś bardzo dobry pomysł na to jak można by zhakować Kurasa. Tak, ale dosłownie – myślę, że po kilkudniowej obserwacji każdego z nas można byłoby tak zhakować. Tworząc de facto nasz taki obraz, który pewnie jest do wychwycenia z różnych mediów, które oczywiście otwieramy bardzo chętnie.
Nie czuj się źle, bo my w swojej karierze działań socjotechnicznych – bo tak należałoby ten atak określić przede wszystkim – mamy szefów działów bezpieczeństwa nawet w bankach. To są ludzie, którzy mają olbrzymią wiedzę, jedną z najlepszych na rynku w Polsce, tak bym powiedział.
A dali się podejść! To również oznacza, że my też damy się podejść. Każdy jest hakowalny. Trzeba trafić na odpowiednią chwilę, na odpowiedni i wiarygodny pretekst – i dasz się zrobić. Tyle.
To jest refleksja, którą bym określił jako bardzo realistyczną, a jednocześnie nie wiem, czy traktowałbym ją jakoś nieprawdopodobnie dramatycznie i negatywnie. To dlatego, że skoro wszyscy jesteśmy w stanie się podłożyć to tak naprawdę nie ma lepszych lub gorszych, tylko to jest po prostu kwestia tego co będziemy u siebie mieli albo kto na nas zagnie parol i będzie chciał się na nas zasadzić. Z drugiej strony tak jak powiedziałeś – jest pare milionów użytkowników Internetu… Milionów, tfu – miliardów! W związku z tym naprawdę trzeba byłoby mieć kupę nieszczęścia, żeby ktoś specjalnie na nas się zastawił. Ta higiena, o której dzisiaj wspominaliśmy, czyli chociażby zmienianie haseł na te bardziej twarde czy bardziej silne, plus stosowanie bardzo podstawowych, logicznych elementów związanych z tym jak się poruszamy po Internecie; nie klikamy w czerwone ekrany, które mówią: „Nie idź dalej!”, tak? Albo nie wysyłamy cudzym osobom BLIKiem jakichś większych sum pieniędzy, bo się podają za naszych pociotków. Myślę, że to powinno nam oszczędzić wielu, wielu problemów.
Trzeba być takim zdrowo podejrzliwym – tak bym powiedział. Ty wspominałeś dzisiaj o Kevinie Mitnicku. Ja myślę, że jeszcze z 7 lat temu, a z 10 to już na pewno, jak ktoś mówił o Mitnicku i się nim zachwycał, to ja miałem taki stosunek trochę zimny do tego, bo my te ataki robiliśmy i te ataki, które Mitnick opisuje w książce, że wiesz – idzie korytarzem, mówi: „Hej!” i wszyscy robią to, co on chce…
Ja wiem, że to jest oczywiście podkręcone na potrzeby publikacji. Ludzie niestety nie mieli takiego wrażenia. Myśleli, że rzeczywiście tak jest. Ja byłem wtedy w stanie powiedzieć – ‘nie, to tak, nie działa’. W Ameryce? Może. Nie wiem, bo nie jestem pewien; natomiast w Polsce tak nie działa.
Ludzie byli szalenie podejrzliwi, naprawdę! To jest niebo, a ziemia… Natomiast jesteśmy 7 lat później i ja widzę, że dzisiaj naprawdę można więcej, bardziej bezczelnie. Być może wynika to z pewnego pośpiechu, zabiegania. Nie wiem – mniejszej lojalności pracowniczej w niektórzy aspektach? Zmęczenia materiału? Albo może tego spokoju? Wiesz, oddaliliśmy się od tych czasów, których my pewnie dobrze nie pamiętamy, ale inny ustrój wymagał pewnej podejrzliwości i wiesz – tego, że każdy może być wrogiem i czai się wszędzie zło.
Trochę nam się za wygodnie zrobiło, jesteśmy lekko uśpieni. Każdy ma co jeść i pić; może każdy nie zwraca tak uwagi jak wydaje kilkaset złotych, bo jeszcze na rachunku coś ma. Może to jest właśnie ten czynnik który spowodował, że jest łatwiej? Jest łatwiej.
Hm, nie wiem czy to jest optymistyczne. To znaczy nie wiem, czy to jest to optymistyczne hasło na zakończenie, ale chyba tak można to podsumować. Ty byś pewnie jeszcze mógł podać dziesiątki, jak nie setki przykładów na to jak obecnie natura ludzka jest ułomna; jak niebywale prosto czasami jest przekonać kogoś żeby zrobił potencjalnie bardzo dużą głupotę. Niemniej jednak wszyscy jesteśmy ludźmi. Świat – mówiąc kolokwialnie – zapieprza do przodu. Wszyscy się musimy zapoznać z nowymi urządzeniami co pewien czas. Ja powiem ci, że kiedyś miałem taki szalony pomysł, że będę odsprzedawał swoje stare telefony, z których korzystałem…
Nie! Nie rób tego!
No właśnie… A w pewnym momencie zacząłem kolekcjonować je nawet z myślą o tym, że jak już będą bardzo, bardzo, bardzo stare to po prostu pojadę i cisnę je do jakiegoś kamieniołomu albo zniszczę je fizycznie. Na razie daję je swoim dzieciom. Przeraziło mnie to o ilu rzeczach ja nie wiem, które mogą być na tych telefonach. Nawet nie dlatego, że jestem jakiś bardzo kiepskim pod tym kątem użytkownikiem, tylko po prostu nie wiem co…
A drukarkę jakąś sprzedałeś kiedyś?
Cholera, tak. Ze dwie?
Wiesz, że drukarki mają pamięć na której zapisują drukowane elementy?
Auć…
I da się je odzyskać.
Ale tak, że możesz sobie odtworzyć co drukowałem dokładnie literka po literce?
Tak. Wszystko zależy od tego co na tej pamięci jest. To tak samo jakbyś dał mi swój dysk twardy czy tam pendrive’a. Wtedy też nie wszystkie dokumenty, które na nim były i zostały w pełni skasowane da się odtworzyć, ale niektóre z formatów plików mają tak zwane ‘error correction’, że tam powiedzmy zdjęcia całego nie zobaczysz, ale zobaczysz część lekko poglitchowaną, która jednak może ci dać kluczową informację w zależności od tego co na tym zdjęciu jest.
Masz rację, ta świadomość to jest chyba taki kluczowy punkt do którego każdy z nas musi dojrzeć. Może żeby nie kończyć tak, że jest łatwo i jest strasznie to pamiętajcie – menadżer haseł. To miała być ta jedna rzecz, którą zrobicie zaraz po tym jak tego wysłuchacie. I w ogóle chwała tym, którzy zrobili pauzę i tego menadżera haseł już sobie zainstalowali! Mam nadzieję, że takie osoby są.
Klaszczemy takim!
Tak, klaszczemy teraz wirtualnie. Coś, co jest może przedstawione nudno, ale jest szalenie ważne to jest zrobienie tak zwanej personalnej analizy ryzyka. Weź sobie człowieku zadaj bardzo ważne pytanie, a tak naprawdę dwa; co jest dla Ciebie najważniejsze? Dane? Na smartfonie, na komputerze? Algorytm, który tworzysz? Zdjęcia dzieci? Praca magisterska? Pieniądze na koncie? Co jest dla Ciebie najważniejsze?
A potem zastanów się przed kim chcesz to zabezpieczyć? Inaczej przed żoną, inaczej przed zgubą sprzętu – są różne sytuacje i różne zagrożenia, na które jesteś nastawiony. Jak będziesz wiedział co chcesz zabezpieczyć i przed czym to wtedy dopiero możesz pomyśleć o tym – „Jak?”. A tych ‘jaków’ to będzie kilka; będą droższe, tańsze, darmowe, bardziej upierdliwe, mniej upierdliwe.
Niestety muszę Wam powiedzieć, że większość z Was po pierwsze – nie wymieni wszystkich zagrożeń – bo to trzeba być „ekspertem”. Większość z Was nie będzie miało świadomości tych wszystkich ‘jaków’, czyli ochron, bo to też trzeba się znać. Na szczęście są osoby, które mogą Wam pomóc. Też nie ma co ukrywać – nie każdy potrzebuje aż takiej ochrony, ale jeśli dla kogoś ta prywatność czy to bezpieczeństwo jest na tyle istotne, to warto się tym security zainteresować. Darmowych materiałów albo mało płatnych jest sporo.
Jeśli ktoś nie wie gdzie szukać zapraszam do kontaktu, z chęcią skieruję w odpowiednie miejsca. Artur przytoczył zresztą podczas naszej rozmowy na przykład świetną książkę Bellingcata, która rzeczywiście jest cudowna i polecam ją każdemu, kto OSINT-em się interesuje.
Tutaj też szpileczkę wbiję, tak jak Mitnickowi, chłopakom z Bellingcata, bo zwróć uwagę Artur – nie wiem czy tobie to się rzuciło w oczy – ale jak oni opisują artykuły na swoim serwisie i pokazują na przykład jak namierzyli – to w ogóle genialne śledztwo – całą aferę związaną ze Skripalami; kto dokładnie wjechał do Wielkiej Brytanii, gdzie oni studiowali, gdzie rozmawiali; dotarli do wioski jednego z tych oficerów GRU…
Tam widać – to znaczy ja to widzę; ale tam widać, że część z tych informacji to nie jest biały wywiad. Niezależnie od tego jak Bellingcat by chciał przedstawić to.
Oj nie, oj nie… To są kupowane bazy danych.
Tak, absolutnie. To jest dawanie w łapę ludziom w Rosji. Dlatego, że po pierwsze – w Rosji da się ludziom dać w łapę i uzyskać takie dane. W Polsce? Jest trudniej, zdecydowanie. Jesteśmy na wyższym poziomie jeśli chodzi o pewnego rodzaju ochronę danych czy w ogóle podejście mentalne.
Wiesz, jak ktoś ma budżet, szantażuje i jest w stanie dostać albo ma insidera to fajnie się mówi i fajnie się robi niektóre śledztwa. Natomiast nie oszukujmy ludzi czy nie przedstawiajmy takiego wrażenia, że: ‘Powiedz mi swój adres email, a ja powiem Ci co robiłeś od 1989 roku w Internecie”… To nie jest takie super proste i łatwe, to wymaga czasu.
Dlatego fajnie jest nie być tą najprostszą do zhakowania ofiarą, czyli zrobić cokolwiek, żeby się od tego wirtualnego miśka oddalić.
I gdybym był teraz takim bardzo dużym, w sensie bardzo popularnym gościem, który prowadzi show to bym wstał, zaczął klaskać, publiczność też by zaczęła klaskać i bym powiedział: „Moim i Waszym gościem był Piotr Konieczny!”; ty byś się ukłonił i teraz wjechałyby reklamy; ale ponieważ ja jestem bardzo podrzędnym blogerem, który prowadzi sobie jakieś podcaściki to powiem tylko tyle, że niezmiernie miło było gościć ciebie Piotrze. I dziękuję ci za tę ilość informacji, którą się podzieliłeś. Jeszcze raz -wszystkim, którzy nas dzisiaj słuchali przypomnę, choć padało to kilka razy, ale uważam, że nie zaszkodzi powtórzyć po raz kolejny: niebezpiecznik.pl – jeśli chcecie poczytać o tym, co się dzieje przede wszystkim pod kątem bezpieczeństwa/cyberbezpieczeństwa to możecie tam wejść, ale przy okazji możecie też zapukać do Piotra jeśli chodzi o kwestię szkoleń – przez patrzenie na Wasze procedury, aż po ich zmianę z perspektywy ludzi, którzy trochę bardziej się na tym znają. Słyszeliście, że nawet niezłej klasy magicy też się potrafią Piotrowi podłożyć; w związku z czym, cóż – każdy jest hakowalny! Jak Doktor House mówi: „Każdy kłamie”. Piotrze, jeszcze raz – wielkie, wielkie, wielkie dzięki i brawa za to, co robisz i za to jaką wiedzą się dzielisz! Mam nadzieję, że osoby, które właśnie teraz sobie instalują – słyszę te klawiatury aż jak śmigają – generatory haseł i jakiegoś password menagera, będą z tego musiały mało korzystać; w sensie, że nie odczują skutków negatywnych. Być może też niektórym z tych słuchających nas dzisiaj uratowaliśmy skórę, bo może właśnie ktoś się już czaił na ich pracę magisterską albo na przykład zdjęcia dzieci, albo konto bankowe. I dzięki temu oszczędziliśmy im trochę pieniędzy, trochę stresu. Także dzięki wielkie i mam nadzieję, że zobaczymy się jakoś w realu i będziesz mógł mnie wtedy zweryfikować.
Podłączymy się razem do wspólnego hotspota… (śmiech) Oby jak najszybciej!
By the way – czy masz na sobie swoją legendarną bluzę z kapturem w ‘defenderowe’ pipaczki? (śmiech)
Czy możemy nie rozmawiać o tym jak jestem ubrany o tej godzinie, o której nagrywamy podcast? (śmiech)
Dobrze! Chciałem jakoś miło zakończyć. Wiesz, nie widzimy się, w związku z tym chciałem sobie chociaż zwizualizować. Masz rację – lepiej może nie wizualizować sobie!
Pozostanę owiany taką mgiełką tajemniczości.
Oczywiście możecie w komentarzach spróbować napisać…
Nie, nie, nie! Możecie spróbować zgadnąć hasło Artura albo to, co robił w 1989 roku.
Tak… To może być prostsze. Super, dobrze. Piotrze – wielkie dzięki! Mam nadzieję, że będziemy jeszcze się gdzieś tam widzieli w realu, a na pewno w Internecie, bo ja lubię czasami wrzucać też hasła związane z cyberbezpieczeństwem i kompromituję się bardzo często, bo staram się udawać, że coś wiem. A ty wtedy wjeżdżasz i mówisz: „Eeee, a czytałeś ten artykuł na Niebezpieczniku?”. I ja wtedy robię: „Oooookej, dobra…”. So 90’s! A te informacje były wczoraj na Niebezpieczniku…
Fact-checking. Ja jestem tym gościem, którego nikt nie lubi na imprezie.
Takie osoby są potrzebne, powiedzmy sobie szczerze! Okej, dzięki bardzo w takim razie i do usłyszenia!
Trzymaj się, cześć.