Osiemnastka Confidence’a

Gdyby 18 lat temu, gdy na krajowej scenie branżowych konferencji pojawiał się Confidence, ktoś powiedział, że cała impreza dożyje pełnoletniości, a na 18. edycji pojawi się 1300 osób, mało kto by chyba w to uwierzył. No ale skoro jesteśmy na krakowskiej konferencji od zawsze (jest młodsza 2 lata od naszej jednostki bezpieczeństwa) CERT Orange Polska nie mogło zabraknąć na „osiemnastce”.

60 prelegentów w ciągu dwóch dni na trzech równoległych ścieżkach. Choćby się bardzo chciało, nie da się obejrzeć wszystkiego na raz. Jest ich tak dużo, bo coś dla siebie znajdą zarówno Ci, dla których życiem są podatności i linijki kodu, jak i zainteresowani bardziej „miękkim” cyberbezpieczeństwem. Dla tych pierwszych ciekawy był na pewno wykład Michała Sajdaka o szczegółach niezałatanych podatności z lat… 80. i 90. Pilot do prezentacji, którego można użyć (zdalnie rzecz jasna) do wstrzyknięcia dowolnej sekwencji przycisków na komputerze prelegenta? Robi wrażenie, a to wcale nie była najstarsza, najbardziej abstrakcyjna i najprostsza do zexploitowania podatność.

Opowieści o CyberPolicji w wykonaniu Łukasza Pietrzaka z Komendy Wojewódzkiej Policji w Kielcach bawiły, ale był to śmiech przez łzy. Historia pana, który tak się przejął losem swojej wielkiej miłości z Nigerii (którą znał oczywiście tylko mailowo) do tego stopnia, by na jednej z komend powiatowych zgłosić jej… porwanie dowodzi, że przed ekspertami uczącymi świadomości zagrożeń w sieci jest jeszcze dużo pracy. Policyjne statystyki związane z cyberprzestępczością porażają. Wiecie, że ofiarą ataków w sieci tylko w Polsce statystycznie pada 18 osób… na sekundę? Straty finansowe to 110 mld $ rocznie na świecie, z czego równowartość niemal 5 mld PLN w naszym kraju.

Kirils Solovjovs poświęcił swój wykład „Collection #1” – wyciekowi 3 miliardów unikalnych loginów i przyporządkowanych do nich haseł z całego świata. Liderem oczywiście okazało się 123456, a 0,32% z całości to aż 10 milionów ludzi, którzy swoje cyfrowe tożsamości zabezpieczyli przetyczką z kukurydzianego chrupka. Nie zabrakło klasyków w stylu 1qazxsw2, czy qwerty, jednak w czołówce znajdowały się też hasła dość mocne, nie przypominające „ścieżki” na klawiaturze. Skąd się wzięły? Padła niegłupia teoria, o wspólnym haśle dla grupy botów, czy „marketerów szeptanych”, dostających po kilka złotych za pozytywne recenzje produktów w sklepach i porównywarkach.

Prelegent specjalnie dla Polaków policzył też najpopularniejsze hasła w domenie gov.pl. Jakie się tam znalazły? katalog10, 123456, Wronia53 (to adres siedziby Generalnej Dyrekcji Dróg Krajowych i Autostrad 🙂 ) oraz nieśmiertelna „Wiosna18”.

Na konferencji nie mogło zabraknąć charyzmatycznych specjalistów od świadomości bezpieczeństwa i socjotechniki. Z wystąpienia Piotra Koniecznego warto zapamiętać stronę https://nbzp.cz/premium-stop/, ze szczegółowymi informacjami jak wyłączyć serwisy premium u wszystkich krajowych operatorów telefonicznych. Oczywiście jak za każdym razem kilkadziesiąt osób dało się złapać na stary trik o „QR-kodzie do zeskanowania zamiast spisywania długiego adresu”.

Adam Haertle opowiadał o tym jak bardzo ludzie chcą się zainfekować, do tego stopnia, że nie mogąc otworzyć maila z malwarem… piszą do nadawcy, że coś jest nie tak z załącznikiem. Skąd ta wiedza? W jednej z ubiegłorocznych kampanii sprawca jako adres zwrotny phishingowej korespondencji umieścił prywatnego Gmaila Adama, a niedoszli oszukani dostarczyli bardzo ciekawego materiału do analizy.

O socjotechnice, ale od strony pentestera, opowiadał Borys Łącki. O socjotechnice, która w pentestach zawsze osiąga skuteczność 100% Tak, sto procent – bo do sukcesu nie muszą zainfekować się wszyscy – wystarczy jeden. Wniosek? Przygotuj się na incydent, bądź gotów na błyskawiczną reakcję, wyedukuj wszystkie szczeble pracowników. No i ustal „chain of command”, by nie zdarzały się sytuacje, gdy pod nieobecność prezesa, przy dobrze przygotowanym ataku, zanim ktoś dodzwoni się do szefa, na koncie firmy nie będzie już pieniędzy…

Notabene o takim prawdziwym – nie pentesterskim – przypadku opowiadał Jan Klima z Komendy Wojewódzkiej Policji w Krakowie. Wzorcowy OSINT (Open Source Intelligence), włamanie się do firmy-ofiary i obserwowanie formy, stylu i języka wysyłanych maili i wreszcie atak, gdy prezes był na pokładzie lecącego na Daleki Wschód samolotu. Efekt? 345 tysięcy euro „w plecy”, ale ostatecznie przestępcy wpadli w ręce sprawiedliwości.

O takich konferencjach jak Confidence można by pisać bardzo długo, a tematy dla siebie znajdą zarówno ci szukający „miękkiego” bezpieczeństwa jak i ci, którzy z wypiekami na twarzach patrzą w totalnie niezrozumiałe np. dla mnie linijki kodu. Za rok w czerwcu w Krakowie kolejny Confidence. Warto zajrzeć.