Po konferencji Secure 2018
Konferencja Secure, najstarsza bezpieczniacka impreza w Polsce, od 22 lat stara się pogodzić wszystkich. Zarówno tych, którzy szukają wieści totalnie technicznych, skończywszy na tych, którzy chcą posłuchać o cyberbezpieczeństwie bardziej „miękkim”, nie pomijając oczywiście wszystkich pośrodku.
Oczywiście wszystkich 40 prezentacji obejrzeć się nie da, tym bardziej, że jak zawsze spora część z nich rozkładana jest na trzy równoległe sesje i czasami trzeba było wybierać.
Keynote na szczęście był wspólny dla wszystkich, bowiem od prezentacji dr Aleksandry Przegalińskiej, specjalistki w dziedzinie filozofii sztucznej inteligencji, prowadzącej badania na legendarnym Massachusetts Institute of Technology (MIT) można się było np. dowiedzieć, że millenialsi w aspekcie AI szukają jednego rozwiązania na wszystko (np. Alexy, czy Asystenta Google). Ciekawe okazały się wyniki badań, które wykazały, że bot obsługujący klienta jest lepiej odbierany, gdy tylko pisze, a nie jest multimedialny. No i opowieść o bocie dla studentów Akademii Leona Koźmińskiego, „wiszącym” testowo na stronie uczelni, który ucząc się szybko zyskał swoją osobowość, został ekologiem i chętnie dostosowywał swoje „poglądy” do oczekiwań rozmówcy.
Trafiając do Adama Lange można było dowiedzieć się jak łatwo, korzystając z darmowych rozwiązań (i odrobiny programowania) zbudować całkiem rozbudowane, wyrafinowane narzędzie, samo wyszukujące i proaktywnie przeciwdziałające phishingom. Ciekawy był wykład Stefana Tanase. Tym razem charyzmatyczny prelegent opowiadał o hakowaniu samochodów. Dzisiejsze auta są niczym sieci biurowe na kółkach (nawet te zwykłe, nie trzeba czekać na autonomiczne). Czasami wystarczy wetknąć pendrive’a ze spreparowanym autorunem, wyłączyć firewall, login i hasło do SSH są dostępne w internecie – dzień dobry, jesteś w systemie. A tam możesz sobie uruchomić GPS (chip i tak jest na płycie, trzeba go tylko uaktywnić) i np. uskuteczniać wardriving po prostu jeżdżąc po mieście. Gorzej, jak ktoś inny wbije się do naszego auta… Ransomware na samochody? W czym problem? Oszukanie przedniego radaru tak, by myślał, że stoi przed nim przeszkoda (i spowodował zatrzymanie auta) to nie są baśnie z mchu i paproci, to już się działo. Czy to oznacza, że do crash testów nowych aut dołączą testy penetracyjne? To wcale nie jest takie głupie, jak mogłoby się wydawać. I trochę straszne, tak samo jak prezentacja Christy’ego Quinna z Accenture Security iDefense o aktywności GRU w sieci, która była tak tajemnicza, że nawet zdjęcie zrobiliśmy wyłącznie cieniowi prelegenta.
Tłumy stawiły się już tradycyjnie na prezentacjach Piotra Koniecznego i Adama Haertle. Kluczowym wnioskiem z prezentacji pierwszego z nich było dla mnie: „Nie ma separacji między służbowym i prywatnym „ja” przy aktywności w sieci”. To istotne w działaniach świadomościowych dla zwykłych internautów, czy pracowników firmy. Ucząc ich jak chronić siebie i rodzinę (dzieci, dziadków) tak naprawdę też wzbudzimy w nich świadomość bezpiecznych zachowań. Tylko bez poczucia, że do czegokolwiek ich zmuszamy. Haertle natomiast skupił się na ostatnim ataku „na długi z Kruka”, gdzie jednym z celów był… on i jeden z członków jego rodziny. Przestępcy umieścili bowiem w rubryce: „Odpowiedz do:” jego prywatny adres, zaś jako telefon do nadawcy maila widniał numer członka rodziny blogera.
Efekt? Kilka tysięcy prób połączenia telefonicznego i niezliczone maile do Adama. Wśród nich znalazły się prośby o ponowne wysłanie załącznika i obelgi (również te związane z… błędami gramatycznymi). Informacje, że mimo klikania załącznik się nie uruchomił. A także… zapewnienia, że odbiorca już przecież spłacił zaległy dług! W końcówce wydawało się, że prezenterowi nieco puściły nerwy. Głównie ze względu na przynajmniej dziesiątki „życzliwych”, sugerujących co należy zrobić z „idiotami, którzy to otwierają”. Ciężko się nie zgodzić z prelegentem, że jeśli stawiamy się w roli „fachowca od bezpieczeństwa”, sugerowanie ofierze nawet najbardziej prostackiego phishingu, by „strzeliła sobie w łeb” jest średnio profesjonalne. U nas na pewno nie spotkacie się z taką odpowiedzią – jesteśmy po to by Wam pomóc.
