Adam Lange: róbcie bezpieczeństwo, będzie fajnie, mamy cukierki

Homepage:

https://youtu.be/Msh4i-vIfB4

Cześć. Witam wszystkich bardzo serdecznie. Ja nazywam się Kacper Szurek a to podcast Szurkogadanie, w którym opowiadam o bezpieczeństwie w prosty i zrozumiały sposób. Dzisiaj nietypowo – bo moim gościem jest Adam Lange. Adamie dziękuję, że przyjąłeś zaproszenie do tego podcastu. Przedstaw się może naszym słuchaczom, kim jesteś i czym się zajmujesz.

Cześć wszystkim. Bardzo dziękuję za zaproszenie. Nazywam się Adam Lange i, tak jak Kacper zdążył już mnie przedstawić, na co dzień zajmuję się bezpieczeństwem w jednym z większych banków na świecie. A konkretnie działką, która jest dosyć nowa jeżeli chodzi o bezpieczeństwo i dosyć skomplikowana - a mianowicie Threat Huntingiem.

Czy mógłbyś wytłumaczyć słuchaczom, którzy nie wiedzą co to jest Threat Hunting – tak w kilku słowach, na czym polega i o co w nim chodzi? W kilku słowach.

Threat Hunting jest to zadanie stojące przed „threat hunterem”, informatykiem, bezpiecznikiem, które polega na wyszukiwaniu zdarzeń, anomalii w systemach informatycznych, które mogą świadczyć o tym, że dane systemy zostały skompromitowane, że są przejęte. Threat Hunter wychodzi z założenia, że złośliwi aktorzy, przestępcy, są już w organizacji i stara się udowodnić, że tak nie jest.

Wydaje się, że to dość nowe podejście do tego tematu. No bo w standardowym podejściu raczej nie działamy proaktywnie tylko czekamy, aż coś się zdarzy. Czy ta działka rzeczywiście jest nowa czy może ona istnieje od dłuższego czasu, tylko niekoniecznie w Polsce?

Jeżeli chodzi o sam Threat Hunting to jest to dosyć nowe podejście. Dlaczego? Do tej pory wszyscy polegali na bardziej reaktywnych narzędziach opartych o sygnatury. Threat Hunting wymaga bardzo doświadczonych specjalistów, których jest mało na rynku, z bardzo szeroką wiedzą. Do tego pozwala na dostrzeżenie w organizacji takich anomalii, których po prostu nie widać jeżeli chodzi o narzędzia automatyczne, sygnaturowe.

To w takim razie – co jest najtrudniejsze w Twojej pracy?

Bardzo dużo jest trudnych rzeczy. Przede wszystkim to jest jak szukanie igły w stogu siana. Najtrudniejsze jest odsianie informacji, które tak naprawdę nie wskazują na kompromitację albo są tak zwanymi „false positive”. Szczególnie, jeżeli jest to duża organizacja. Zebranie informacji, śledzenie działów i śledzenie wszelkiego rodzaju aktywności w organizacji to jest bardzo trudne zadanie. I jakby ewoluuje wraz z długością życia w organizacji teamu Threat Huntingowego, który po paru miesiącach, latach może sobie te procesy ustawić tak, żeby te anomalie było widać o wiele szybciej niż na początku. Ale to jest bardzo ciężka i długa praca z organizacją. Im większa organizacja, tym jest to trudniej wykonalne.

Mówiłeś, o „false positive”. Jeżeli mógłbyś określić, jakie jest ratio pomiędzy fałszywymi alarmami a rzeczywistymi zagrożeniami? Czy to jest pół na pół czy zdecydowanie więcej?

To zależy. Ja na pewno chciałbym więcej fałszywych alarmów niż faktycznych zdarzeń, jak chyba każdy bezpiecznik. Ale jedyne co mogę powiedzieć: to zależy. Nie ma złotego środka na tego typu odsianie fałszywych alarmów. Ciężko jest odpowiedzieć na takie pytanie.

Czy widoczna jest zmiana w technikach używanych przez przestępców? Czy tam też następuje profesjonalizacja działań? A może dalej najprostsze metody są najskuteczniejsze?

Z obserwacji – nie tylko zajmuję się zawodowo bezpieczeństwem, ale także w dużym stopniu prywatnie obserwuję różne zdarzenia, różne kampanie – to też zależy. Czasem mamy aktorów, którzy są tak zwanymi wolnymi strzelcami, którzy są nieprzewidywalni i te kampanie prowadzą proste, ale też skutecznie działające. Wszystko zależy od tego jak przeprowadzony jest scenariusz i czego ma dotyczyć. Ale z drugiej strony, na drugiej szali mamy zorganizowane grupy przestępcze, które siedzą w tym biznesie już wiele lat. Jest to struktura hierarchiczna. Są bossowie, są ludzie, którzy wykonują konkretne zadania w danej organizacji – czyli piorą pieniądze, przygotowują ataki, instruują różnego rodzaju złośliwe oprogramowanie albo phishing, cokolwiek jest przedmiotem takiej akcji. To już są bardzo duże, zorganizowane grupy przestępcze.

Czyli z tego co mówisz pracy jest aż zanadto. No ale, czy da się ją jakoś zautomatyzować? Czy może człowiek i jego umysł jest konieczny do tej pracy?

I tu znowu odpowiem – to zależy. Na pewnym etapie dojrzałości – efektem wielu analiz - jesteśmy w stanie posiłkować się automatyzacją. Jednakże, nic nie zastąpi doświadczonego analityka, nieważne czy wykorzystamy systemy proste – czyli sygnaturowe, czy też systemy bardziej skomplikowane, które są teraz w modzie, czyli oparte na Machine Learning czy jak to na PowerPoint jest określone AI – czyli sztuczną inteligencję. Jednak zawsze ten czynnik ludzki będzie trochę inaczej myślał, reagował i myślę, że nigdy się go nie pozbędziemy.

Threat hunting wydaje się być domeną wielkich firm. Czy myślisz, że z czasem się to zmieni?

Czy jest to domena wielkich firm? Tego bym nie powiedział. Bardziej wydaje mi się, zależy to od podejścia firmy do security – od dojrzałości danej organizacji. Czy jest gotowa na Threat Hunting – gotowa na stworzenie takiego capability w organizacji i jaką wartość to organizacji przyniesie. Bo możemy mieć mniejszą firmę, która ma jakieś procesy, które chce wybitnie chronić. Ten cały flow informacyjny jest dobrze ogarnięty i dba o bezpieczeństwo i tam też można przejść do obrony proaktywnej. Bo może taka firma wytwarzająca jakieś specyficzne, powiedzmy, tuleje do silników w samolotach, może być celem ataku i smakowitym kąskiem dla różnych grup. Tutaj, threat hunting jest jak najbardziej wskazany. To jest jakby proaktywne podejście do bezpieczeństwa, więc tak. Są firmy, które nadal mogą polegać tylko i wyłącznie na mechanizmach sygnaturowych i nadal będą żyły sobie spokojnie.

Mówisz o mechanizmach sygnaturowych – czyli tak zwanych IOC. Tłumacząc dokładniej – jest to zbiór adresów, domen czy też plików na dysku, które mogą świadczyć o tym, że doszło do infekcji. Nie uważasz, że to podejście jest trochę staromodne? Przecież każdy z tych elementów może być przez malware lub przez złego aktora generowane praktycznie losowo? Czy masz jakiś inny pomysł na wykrywanie złośliwych rzeczy?

W żargonie bezpieczników nazywa się to wskaźnikami kompromitacji - IOC. Więc nie powinniśmy polegać na IOC jeżeli chodzi o proaktywne podejście do bezpieczeństwa, jednakże pomagają jak najbardziej w wyszukiwaniu zagrożeń, które mogą być w organizacji i które są znane. Chociażby silniki antywirusowe korzystają z takich sygnatur, które może nie są typowymi IOC – czyli nie są hashami, nie są adresami IP. I pozwalają na wykrycie zagrożeń, które są już stare – powiedzmy mają już 24 godziny. I tak 24 godziny to już jest stare IOC. Ale z kolei jest wiele sytuacji, w których nawet sprawdzenie swojej infrastruktury pod kątem endpointów, czyli komputerów użytkowników pod kątem starego IOC może nam odpowiedzieć na pytanie czy coś przypadkiem nie zalęgło się i nie zostawiło śladów w naszej organizacji. Jeśli chodzi o same IOC to też widzę trend, że niektóre firmy próbują sprzedawać takie feedy z IOC typu hashe czy adresy IP jako tak zwany „Threat Intelligence”. No nie jest to threat intelligence – to są tylko artefakty, które wspomagają w odnalezieniu informacji bazujących na tym co już się wydarzyło, a nie na tym co się wydarzy.

Sporą część ataków powodują makra w Office. To może je po prostu globalnie wyłączyć w organizacji?

Spora część ataków kierowana jest w kierunku systemów z rodziny Windows. Może odinstalujmy wszystkie Windowsy z komputerów użytkowników? To nie jest takie proste. Mechanizm makr wszelkiego rodzaju w pakietach biurowych był wykorzystywany i jest wykorzystywany od wielu, wielu lat. Wiele procesów biznesowych też opartych jest na tego typu makrach więc jest to bardzo trudne. Żeby ogarnąć niektóre procesy, potrzeba stworzenia aplikacji - a to niesie za sobą wymierne koszty dla firmy. I da się to zrobić, ale myślę, że to może potrwać wiele, wiele lat i niektóre firmy po prostu nie mają środków, żeby wyjść z tego mechanizmu. Poza tym jest to dość uniwersalny mechanizm. Jeżeli wysyłamy firmie B dokument z makrem, to raczej jesteśmy pewni, że oni to odtworzą. W innym wypadku, musielibyśmy dać im dostęp do systemu albo użyć innego standardu.

Czyli jesteśmy skazani na Office – nic lepszego nie ma, a rozwiązanie działa, więc po co je zmieniać.

Tak. Oczywiście rozumiem pytanie – Office i makra są często wykorzystywane przez przestępców do dystrybucji złośliwego oprogramowania, no ale tak jak wspomniałem, złośliwe oprogramowanie jest też na systemach Windows i dlaczego nie pomyślimy, aby przerzucić wszystkich na inne systemy operacyjne. Jest to po prostu ciężkie do zrobienia.

Obecnie żyjemy w czasach chmury. Czy uważasz, że rozproszenie usług na wiele miejsc utrudniło Twoją pracę?

Czy utrudniło? Dla mnie są to po prostu kolejne dane, na które muszę patrzeć, które muszę obserwować. Bardziej martwił bym się o to, że zwiększyła się tak zwana powierzchnia ataku, która może być wykorzystana przez przestępców. Przez to, że jest taki boom na środowiska chmurowe, na to, żeby wytwarzać oprogramowanie szybko, stawiać infrastrukturę szybko, powoduje to dużo błędów i może powodować dużo błędów w procesie samego wytwarzania oprogramowania i konfiguracji takich usług. Co może skutkować tym, że pominiemy w procesach jakieś elementy, które mogą doprowadzić do kompromitacji czy to danych, które są ważne, najważniejsze teraz – mamy w sumie RODO. Czy też samej infrastruktury i jakby cokolwiek chcemy chronić w tej chwili. Bardziej bym się skupił na tym, że trzeba dbać o bezpieczeństwo i higienę procesów wytwarzania oprogramowania i utrzymania infrastruktury. To jest główne zagrożenie jeśli chodzi o chmurę.

Dużo firm pozwala teraz pracownikom na pracę zdalną. Mamy też pojęcie: przynieś swojego własnego laptopa. Czy nie uważasz, że to też utrudnia Twoją pracę? No bo to teoretycznie nie są zasoby firmowe – więc nie masz do nich dostępu cały czas. Pracownik po prostu przychodzi z nimi do pracy i pracuje w określonych godzinach, a po pracy może na tym sprzęcie robić wszystko?

To prawda. Może. Jest to utrudnienie jak najbardziej. Ale tak naprawdę jedynym ratunkiem przed tego typu ewolucją, bo można to nazwać ewolucją – kiedyś jakby jedynym komputerem, jaki był do dyspozycji pracownika był taki stojący, duży komputer w pracy i ten pracownik faktycznie musiał do tej pracy przyjść i sobie z nim siedzieć. Teraz, jest też dynamika rozwoju firm. To, że użytkownik może korzystać z opcji „bring your own device”, czy zabrać laptopa do domu i używać go do innych celów, pozwala też firmom na przywiązanie takiego użytkownika. Użytkownik może sobie efektywniej pracować. Wdzwonić się o drugiej w nocy na „call” – bo ma te narzędzia cały czas przy sobie. Oczywiście, zagrożenie jest, ale można je próbować – tu takie słowo, którego nie lubię – „mitygować”, różnymi zabawkami, różnymi politykami mniej lub bardziej restrykcyjnymi dla użytkownika. Da się to zrobić, kwestia analizy ryzyka dla firmy.

Interesujesz się phishingiem i pokazujesz nowe metody walki z nim. Jak wytłumaczył byś ten temat sześcioletniemu chłopcu?

Nie wiem. Phishing jest skomplikowaną materią. Nie da się prosto ani rozwiązać tego problemu, ani wytłumaczyć sześciolatkowi jak rozpoznać taki phishing. Kreatywność przestępców jeżeli chodzi o te kampanie jest bardzo, bardzo wysoka. Mechanizmów obrony przed nimi jest bardzo mało albo są takie, które są mało skuteczne. I przede wszystkim użytkownicy nie dbają o bezpieczeństwo. Nie zachowują tej higieny, żeby jednak zatrzymać się chwilę i popatrzeć na tą stronę internetową czy na pasek adresu i rozpoznać, albo starać się chociażby rozpoznać. To są tylko użytkownicy. Nie wymagajmy od nich, że oni będą wiedzieli to co my jako eksperci od bezpieczeństwa. Ale taka chwila refleksji w momencie kiedy ktoś loguje się do swoich danych wrażliwych typu bankowość elektroniczna czy serwisy, które przetrzymują nasze zdjęcia, maile jednak jest wymagana. Trzeba się trochę zatrzymać, pomyśleć, zastanowić, obejrzeć tą stronę, ten pasek adresu.

Mówisz, że wytłumaczenie tego tematu jest trudne. To może powinniśmy zacząć uczyć dzieci w szkole, właśnie na tematy bezpieczeństwa, związane z tym co jest w Internecie, co jest na telefonach? Czy myślisz, że powinien powstać jakiś przedmiot, który uczyłby młodych jak chronić się w Internecie?

Jest wiele takich akcji uświadamiających. Policja prowadzi takie akcje, uczelnie też zaczynają powoli uruchamiać przedmioty i kierunki związane z „cyber security”. Jak najbardziej. Z tym, że nadal jest to na tyle niszowy temat, że ludzie nie idą w tym kierunku. Dla nich prościej jest pójść na takie zajęcia, posłuchać sobie, jednym uchem wpuścić, drugim wypuścić, a efekt końcowy jest taki, że, przynajmniej takie jest moje zdanie, bo obserwuję to od jakiegoś czasu, że tylko promil tych użytkowników tak naprawdę zaczyna się interesować bezpieczeństwem. Reszta nadal omija ten temat. I to jest takie typowo polskie. Myślą, że to ich nigdy nie dotknie.

No właśnie, myślą, że to ich nigdy nie dotknie a tak naprawdę każdy z nas korzysta z banku i jest narażony na phishing. Jeszcze parę lat temu banki przeprowadzały wielkie kampanie informacyjne. Sprawdzaj kłódeczkę, nim zalogujesz się na stronę banku. Chodziło oczywiście o certyfikaty SSL. Teraz, kłódeczkę posiada prawie każda strona, w tym strony phishingowe. Jak zwykły użytkownik ma wiedzieć, czy trafił na stronę banku a nie stronę phishingową? Czy dałbyś jakąś prostą poradę, którą nasi słuchacze mogliby wykorzystać?

Tak. Mieliśmy okazję dzisiaj troszeczkę podyskutować przed nagrywaniem podcastu na ten temat i moją radą jest to, żeby przejść na aplikacje mobilne.

To dość kontrowersyjne. Myślę, że sporo osób będzie twierdziło, że aplikacje mobilne nie są jednak bezpieczne. W Android Store znajduje się dużo różnych ciekawych rzeczy. Więc jakbyś odparł ten argument?

Przy zachowaniu minimum higieny, bo tak naprawdę instalacja odpowiedniej aplikacji z dowolnego sklepu dostawcy, czy to jest Google czy Apple – to minimum, gdzie musimy się skupić, żeby zainstalować prawidłową aplikację, a potem przejść proces „onboardingu” w tej aplikacji i powiązania go ze swoim kontem w banku. To jedyny krok, który trzeba wykonać. Potem jest już bezpiecznie. Mamy oczywiście rootowane telefony, ale aplikacje bankowe są na tyle zadbane z mojego doświadczenia i na tyle testowane i posiadają bezpieczne mechanizmy uwierzytelniania i autoryzacji czy bezpieczeństwa kanału komunikacyjnego między urządzeniem mobilnym a bankiem, że to jest o wiele bezpieczniejsze niż taki desktopowy, gruby przeglądarkowy klient bankowy.

Załóżmy, że jestem zwykłym Janem Kowalskim i przez przypadek natrafiłem na stronę phishingową. Jak mogę pomóc światu? Gdzie mogę zgłosić taką stronę aby została podjęta jakaś akcja?

Przede wszystkim czego nie należy robić. Nie należy wyżywać się na tej stronie bo podawanie złego loginu, wpisywanie przekleństw, wrzucanie danych złośliwie do przestępców – to nic nie daje. Przestępca jednym kliknięciem może sobie takie dane wyfiltrować i nawet nie zwróci na nie uwagi. Więc pisanie przekleństw jest bez sensu. Co należy zrobić? Na pewno wystarczy wejść na „Google Safe Browsing” – to jest witryna, gdzie można wysłać taką stronę i potem ruszy cały proces blokady i ochroni to innych użytkowników. Nie ma złotego rozwiązania. Jeżeli jest to na przykład strona instytucji finansowej, to warto zadzwonić na infolinię takiej instytucji, przekazać wszelakie informacji gdy widzimy coś niepokojącego, przesłać takiego maila czy kawałek linku do banku. Na pewno trafi to do działu bezpieczeństwa, który będzie mógł zareagować. Banki współpracują ze sobą w tym zakresie, współpracują z różnymi firmami w celu zdjęcia takich phishingów albo też wysyłają ostrzeżenia do swoich użytkowników. Także, to można zrobić. Resztę, zostawił bym osobom, które się tym zajmują i profesjonalnie takie rzeczy wyszukują i ubijają.

Wspomniałeś o zdjęciu strony, czyli myślę, że chodziło Ci o to aby tą stronę po prostu usunąć z Internetu. Wydaje mi się, że to nie jest takie proste, ponieważ tutaj do gry wchodzi prywatność użytkowników oraz wolność słowa i to kto jest właścicielem danej domeny. Czy rzeczywiście w Polsce, istnieje jakiś organ, który mógłby bardzo szybko usunąć złośliwą domenę z Internetu, a nie tylko zablokować w Google Safe Browsing? Czy potrzebna jest jedynie zgoda prokuratora, czy to jest zdecydowanie trudniejsze?

Usunięcie strony phishingowej z Internetu jest bardzo trudne. Przede wszystkim dlatego, że jest to globalna wioska. Dostawców usług internetowych, hostingów jest wielu. Niektórzy chcą współpracować, niektórzy nie chcą. Niektórzy wymagają wyroku sądowego, żeby cokolwiek zrobić z daną domeną czy z danym hostingiem z daną treścią. Niektórzy działają od razu po zgłoszeniu – wystarczy się porozumieć z taką firmą i faktycznie proaktywnie to działa. Jeżeli chodzi o brandy takie dosyć znane, gdzie mamy znak towarowy, copyright – znacznie to pomaga. Bo jeżeli kontaktujemy się z hostingiem czy dostawcą dowolnych usług internetowych i przedstawimy, że jest to złamanie znaku towarowego czy coś tego typu, to jest to o wiele prostsze. Jeżeli wiemy tylko, że jest tam pewnego rodzaju strona phishingowa to wyobraźmy sobie, że mamy dostawcę usług z Ameryki, Francji, dowolnego kraju, który nie jest polskojęzyczny i wysyłamy zgłoszenie, że mamy polskojęzyczny phishing. Oni jakby nie ogarną tego – w sensie dla nich to jest po prostu klient, który postawił sobie stronę. Oni nie znają brandów międzynarodowych więc ten proces nie działa. Z drugiej strony jeśli chodzi o same witryny phishingowe to przez to, że używamy tego prostego rozwiązania jak Google Safe Browsing czy antywirusy, które blokują nam te witryny – przestępcy bardzo, bardzo szybko rotują. W sensie oni zmieniają sobie te domeny. Te domeny mają czas życia w okolicy jednego, dwóch dni maksymalnie. Dlatego też jest z tym ciężko walczyć. To, że rozpoczniemy proces tak zwanego ubijania domeny czy jej usunięcia z Internetu – za chwilę może się okazać, że zanim zakończymy ten proces to powstało 10 innych, które zostały rozesłane do użytkowników.

Co sądzisz o dyrektywie PSD2? Czy to krok w dobrą stronę? A może niczego to tak naprawdę nie zmienia?

I tutaj znowu – to zależy. Nie ma prostych odpowiedzi na takie pytania. Przede wszystkim dyrektywa PSD2 poprawia pewne podejście do bezpieczeństwa jeśli chodzi o usługi finansowe i elektroniczne związane z finansowymi. Czyli chociażby pewne wymogi, które nakłada regulator na instytucje finansowe. Czy to 2FA czy bardziej wymuszone dbanie o bezpieczeństwo użytkowników i danych. Bezpieczeństwo sesji bankowych i tak dalej. Z drugiej strony, dyrektywa otwiera nowe pole, które jest jeszcze nie za bardzo rozpoznane i może przynieść dużo niespodzianek. A mianowicie pozwala na otwarcie usług bankowych do podmiotów trzecich. I tutaj podmiot trzeci będzie mógł w kontekście klienta pozyskać dane – chociażby o historii, tudzież wykonać w kontekście klienta operację finansową lub dowolną inną, na którą pozwoli API wystawione przez bank. To niesie ze sobą takie ryzyko, że nie do końca wiemy, jak będzie wyglądać taki „third party”. Jakie będzie miał mechanizmy bezpieczeństwa, jak będzie o to dbał. Banki od wielu lat muszą o to dbać bo są pod ścisłą kontrolą regulatorów. Też te procesy są wygrzane, przetestowane. Oczywiście nie mówię, że się nie zdarzają błędy bo się zdarzają jak w każdych organizacjach, ale są bardziej przygotowane żeby chronić dane użytkowników - czy to finansowe czy inne wrażliwe. Tutaj mamy faktycznie problem, że nie wiemy co nadejdzie z tych tak zwanych „third party”.

Czyli możemy mieć do czynienia z drugą „Cambridge Analytics”?

Możemy, ale z drugiej strony na pewno jako bezpiecznicy będziemy mieli zapewnioną pracę do końca życia.

Sim Swap to możliwość wyrobienia duplikatu karty SIM przy pomocy fałszywego dowodu a następnie użycia takiej karty SIM do zalogowania się - chociażby do bankowości. Czy nie uważasz, że banki powinny ze sobą współpracować w tym temacie tak jak to ma miejsce w innych krajach? A może to kwestia telekomów?

No właśnie. Telekomy. Bo banki jak najbardziej współpracują ze sobą w różnym zakresie, między innymi bezpieczeństwa. Z tym, że problem SIM Swap wydaje mi się, z mojego doświadczenia mogę powiedzieć, że jest bardziej problemem procesów po stronie telekomów. Tutaj mamy problem taki, że telekomy muszą jednak zmienić swoje procesy weryfikacji takich klientów przed wydaniem takiego duplikatu karty SIM. Jakby „dobezpieczyć” to wszystko. Oczywiście telekomy bronią się w drugą stronę, że SMSy nie są rozwiązaniem, które ma zapewnić bezpieczeństwo środków i że to, że banki używają SMS-ów to jest tylko i wyłącznie dla wygody banków i użytkowników. Myślę, że część tego typu problemów odejdzie, w momencie kiedy przejdziemy na mobilną autoryzację – czyli potwierdzanie czy to transakcji czy logowania w aplikacjach mobilnych. Będzie wtedy znacznie trudniej bo ten SIM nawet sklonowany będzie wymagał konkretnej aktywacji w konkretnej aplikacji. Banki po swojej stronie mogą wtedy wdrożyć elementy bezpieczeństwa, które dotyczą bezpieczeństwa samej aplikacji mobilnej, już nie bazując na SIM. Ale z mojego doświadczenia wydaje mi się, że problem SIM Swap to problem procesów samych operatorów.

Swoją przygodę z bezpieczeństwem zacząłeś już jakiś czas temu. Jaką poradę dałbyś osobom, które dopiero wkraczają w ten świat?

To jest dobre pytanie tak naprawdę. Jeżeli chodzi o bezpieczeństwo, ja troszeczkę w innych czasach zacząłem się tym zajmować. Internet jeszcze nie był tak popularny. Nie było tak bardzo skomplikowanych procesów, tylu różnych frameworków, więc to było trochę prostsze. Przez wiele, wiele lat to była tylko ewolucja jakiejś tam zdobytej wiedzy. Teraz jest trudniej. Teraz mamy bardzo duży szum, bardzo dużo różnych technologii od blockchain, chmury poprzez frameworki różnego rodzaju programistyczne. Więc moja rada – zacząć od specjalizacji. Skupić się na jakiejś rzeczy jednej – ale opracować ją do końca, na ile jest to oczywiście możliwe. I wyspecjalizować się w jednej działce bezpieczeństwa, a potem rozszerzać tą wiedzę i to jest moja rada. Chociażby można zacząć od aplikacji webowych. Jest tam dużo frameworków, ale nadal jest to, jeżeli chodzi chociażby o pentesty – da się to fajnie ogarnąć nawet dosyć szybko. Myślę, że są pewne zasady, które trzeba poznać, a potem można na spokojnie sobie nawet skomplikowane frameworki podstawowymi zasadami ogarnąć.

A myślisz, że bezpiecznik powinien umieć programować? Czy może ta wiedza nie jest mu do niczego potrzebna?

Moim zdaniem tak. Pozwala to na sprawniejsze poruszanie się chociażby podczas pentestow. Dobrze jest wiedzieć co może spowodować dana akcja, jak zareaguje kod. Częścią pentestów jest tak zwany „code review”, gdzie można pewne rzeczy zbadać zanim jeszcze wykonają się ataki w „runtime”. Jak najbardziej jest to wskazane. Pozwala to na zrozumienie, oczywiście w jakimś stopniu, ponieważ czasem programiści piszą takie algorytmy, gdzie nawet czytając kod nie jesteśmy w stanie dojść do tego jak program działa, jak zareaguje taki kod na atak. Ale tak, jest to bardzo wskazana umiejętność, a przede wszystkim jeżeli mógłbym coś polecić to języki skryptowe, które bardzo pomagają, „supportują” bezpieczeństwo czy to pentestu czy automatyzację pewnych działań, które robimy.

Żeby zaspokoić ciekawość naszych słuchaczy. Adam Lange programuje w…

We wszystkim.

Taki się nam rodzynek trafił.

To nie chodzi, że rodzynek, tylko akurat mam jakieś paroletnie doświadczenie jeżeli chodzi o wytwarzanie oprogramowania. Wydaje mi się, że pisałem przynajmniej w tych bardziej znanych językach, to już chyba w każdym. Na co dzień lubię, najszybciej pisze mi się kod w .NET, a konkretniej w C# - tak, jestem „Windowsiarzem” i nie wstydzę się tego. Ciekawostka. Taki kod wytworzony w .NET uruchamiam w MONO pod Linux. Tak więc łącze te światy.

Zapewne widziałeś już tysiące przykładów phishingu. Ale czy masz jakiś swój ulubiony? Czy był jakiś atak, na który sam byś się nabrał, gdybyś nie zajmował się branżą bezpieczeństwa? A może po prostu się nabrałeś na jakiś atak w przeszłości?

Nawet jak bym się nabrał to bym się nigdy to tego nie przyznał. Ale tak, z fajnych rzeczy – nie wiem, widziałem tego tyle, że naprawdę ciężko jest wymienić jakąś jedną. Pomysłowość przestępców jeśli chodzi o phishing wykracza poza granicę pojmowania tak zwanych dróg i mostów. Sposoby na wyciągnięcie danych i oszukanie użytkownika – jest ich tak wiele, że ciężko jest wyłonić jedną. Ostatnio wspomniałeś - też rozmawialiśmy sobie gdzieś tam przed podcastem – o fajnym ataku na Steam. Jak najbardziej przyjrzę się temu, bo zaskoczyło mnie to, nie widziałem tego na żywo. Ale jest to atak „picture in picture” o którym mówiłeś. Może Ty, powiesz na czym polega.

Picture in picture na Steam polega na tym, że przestępcy tworzą fałszywe okno przeglądarki w przeglądarce używając CSS i obrazków. Więc myślimy, że wyświetliło nam się nowe okienko przeglądarki i podajemy tam swój login i hasło do Steam. A tak naprawdę jesteśmy na innej stronie, która po prostu symuluje przeglądarkę. Bardzo ciekawy i sprytny trik. Jestem ciekaw ilu słuchaczy by się na niego nabrało.

Ostatnio dużym zaskoczeniem – mignęło mi w artykułach, było to, że przestępcy automatycznie sprawdzają czy „phishowane” konto podane przez użytkownika istnieje w systemie, który chcą „phishować”. To było coś nowego, któryś z portali zrobił dookoła tego szum. Niestety, taki trick przynajmniej obserwuję od co najmniej dwóch lat. Ale picture in picture – szanuję. Chciałbym to zobaczyć na żywo.

Przeglądarki dawno już zauważyły, że atakujący próbują używać łudząco podobnych domen w celu wyłudzania informacji. Pomału wdrażane są więc systemy chroniące dla tych najbardziej popularnych domen. Ale co z mailami? Myślisz, że ktoś zainteresuje się tematem i zacznie w Outlooku nagle sprawdzać łudząco podobne domeny?

To nic nie da. Dlatego, że przede wszystkim użytkownicy nie patrzą z jakiej domeny przyszedł email. Tylko czytają treść – tak jak rozmawialiśmy wcześniej, użytkownicy nie dbają o bezpieczeństwo. Z drugiej strony przestępcy są na tyle kreatywni, że w momencie w którym nawet próbowalibyśmy wykryć, że email przyszedł z danej domeny czy też zawiera treść, która może być podejrzana – właściwie to są takie algorytmy, ale są mało skuteczne. Kreatywność przestępców jest nieskończona i na pewno jest parę kroków przed wszelkimi mechanizmami wykrywania tego typu działań.

Czy zgadzasz się ze stwierdzeniem: bank jest zawsze winny jeżeli dojdzie do złośliwej transakcji nawet pomimo tego, że to klient zawinił?

Kontrowersyjne pytanie. Może dlatego, że od wielu lat pracuję w bankach. Znam wyroki sądów, które pomimo ewidentnego z naszego punktu widzenia jako bezpieczników braku cyber higieny ze strony użytkownika orzekają nadal o odpowiedzialności – bo to nie jest wina – banku. Argumentacja jest taka, że bank jako instytucja zaufania, instytucja która ma o wiele większe środki – nieproporcjonalnie większe jako taki użytkownik, powinna dbać o te środki i niezależnie od tego czy użytkownik zachował staranność czy nie – to nadal wina jest po stronie banku, że nie zabezpieczył odpowiednio tych środków. Z drugiej strony mamy użytkowników, którzy nie czytają SMS-ów. Teraz autoryzacje operacji są oparte na SMS – to jest coś standardowego. Jednak użytkownicy na tyle przyzwyczaili się do tych SMSów, że w momencie kiedy mają potwierdzić jakąkolwiek operację to patrzą tylko na kod. Tylko na kod - nie na całą treść. Spytajcie się rodziny, sami pomyślcie przez chwilę czy wiecie co jest w treści SMS? Nie patrzcie na niego ale spróbujcie sobie odpowiedzieć na to pytanie od tak, teraz siedząc i słuchając tego podcastu. Założę się, że część z was nie ma pojęcia co znajduje się w takim SMS. To jest duży problem. Bo gdybyśmy czytali co jest w takim SMS na pewno tych fraudów było by znacznie mniej. Nie musiało by dochodzić do spraw sądowych w celu odzyskania pieniędzy.

Stało się. Staliśmy się ofiarą ataku. Jakie kroki oprócz poinformowania policji powinniśmy potem podjąć?

Przede wszystkim kroki, które powinniśmy podjąć mają się wydarzyć przed atakiem i przed incydentem. Co mogę zalecić? Jak już powstał incydent to jest już za późno. To już coś się stało – straciliśmy środki albo dane. Na pewno trzeba być przygotowanym na taki incydent. Trzeba usiąść sobie i przemyśleć tak naprawdę co chronimy, jak chronimy, czy chronimy to dostatecznie dobrze i potem zacząć łatać dziury, które mogą potencjalnie doprowadzić do tego incydentu. W momencie gdy już się wydarzy, pozostaje nam jedynie sprzątać, określić co się stało, jak się stało, zbudować plan naprawczy – powiadomić wszelakie służby, które mogą nam pomóc w działaniach. Ale po incydencie niewiele już możemy zrobić. Możemy tylko spróbować wyciągnąć wnioski.

Mleko się rozlało.

Mleko się rozlało i trzeba je teraz zebrać. A przede wszystkim dobrą radą jest to, żeby po rozlaniu mleka nie rozlać go ponownie. Czyli zrobić sobie rachunek sumienia co się wydarzyło, bo na pewno zaraz po incydencie jest szukanie winnych. To jest zła praktyka. Raczej szukajmy elementów, które są na tyle słabe, że pozwoliły na to, żeby incydent doszedł do skutku.

Adamie, serdecznie dziękuję Ci za tą rozmowę. Myślę, że będzie ona stanowić źródło inspiracji dla moich słuchaczy. No i tyle. Dzięki serdeczne.

Bardzo dziękuję. Mam nadzieję, że przyda wam się to co mówiłem. Jedyne to co ze swojej strony mogę jeszcze dodać to, że zachęcam abyście wszyscy jednak szli w stronę bezpieczeństwa, dbali o tak zwaną „cyber higienę”, ale też uczyli się też w tym kierunku, edukowali również swoich znajomych, bowiem bezpieczników jest mało. Jest nas naprawdę garstka ludzi, a musimy obronić bardzo dużo systemów, firm, użytkowników – czyli was. A to jest fajna praca. Warto poświęcić lata nauki – bo tak, to są lata nauki, niczego nie nauczymy się w dwadzieścia cztery godziny. Chociaż widziałem takie książki. Naucz się bezpieczeństwa w dwadzieścia cztery godziny. Weekendowa lektura tak zwana. Ale, tak zachęcam chodźcie do nas, róbcie bezpieczeństwo, będzie fajnie, mamy cukierki.