Transkrypcja
Piotr Jackowski (PJ): Dzień dobry państwu. Przy mikrofonie Piotr Jackowski. Czy dysponując kwotą 1500 zł, człowiek w czarnym kapeluszu zdoła pozyskać treść wysłanego przez bank SMS-a zawierającego cenę akcji? Jak stylowa mobilna klatka Faradaya może stać się przyjacielem każdego negocjatora? Czy szklany biurowiec uchroni nas przed wścibskimi dronami i laserowymi mikrofonami? Czy mityczna Sauna jest bezpieczną oazą dla prowadzenia poufnych rozmów? Czy podpinając pendrive na dwie sekundy do cudzego komputera, można przesłać zawartość tego komputera na zewnętrzny serwer? Kiedy warto zezłomować nowy komputer, gdy wraca się do kraju z wyjazdu służbowego? Czy miętówki i lakier do paznokci z brokatem mogą skutecznie ochronić nasz komputer?
Dlaczego komunikatory takie jak „WhatsApp”, czy „Signal” są bezpieczniejsze i wygodniejsze do przesyłania dokumentów transakcyjnych od szyfrowanego e-maila? Za co nasz dzisiejszy gość wymierza dwa baty, a za co tylko jeden? Czyli o przesyłaniu haseł do dokumentów. Jak długie musi być hasło, aby być wystarczająco długim hasłem? Jak podróże Pendolino kształcą, także dostarczając wiedzy o cudzych transakcjach? A ponadto archiwa Usenetu, czyli co robili w młodości niektórzy szefowie IT dużych polskich spółek dla zdobycia punktów lansu na dzielnicy. Jak nasz dzisiejszy gość zhakował własny ekspres do kawy i po co? Czy w trakcie zdalnego wywiadu można przejąć kontrolę nad mixerem audio swojego rozmówcy? Jak nasz gość whakował się na pierwszą pozycję autorskiego słownika transakcyjnego? Oraz jak trzy znaki U2F mogą zmienić życie prawników. Zostańcie z nami do końca, ponieważ nasz gość poda powód, dlaczego warto wykonywać zawód radcy prawnego, a nie być adwokatem. To wszystko w audycji „Transakcje z pasją”, której gościem jest Piotr Konieczny, założyciel Niebezpiecznik.pl.
Mam przeświadczenie graniczące z pewnością, że Piotr i jego serwis Niebezpiecznik.pl jest dobrze znany nie tylko wśród osób na co dzień zajmujących się ochroną sieci komputerowych. Dla porządku jednak przedstawię mojego dzisiejszego gościa. Piotr Konieczny. Założyciel Niebezpiecznik.pl. Od 15 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu sieci oraz serwisów internetowych. Zarządza zespołem, który najpierw włamuje się i wykrada dane, a potem szkoli swoje ofiary z tego, co powinny zrobić, aby w starciu z prawdziwymi cyberprzestępcami nie stracić pieniędzy, danych i twarzy. Od kilku lat w tematyce cyberbezpieczeństwa aktywnie edukuje także zwykłych obywateli.
W ramach kilkudziesięciu ogólnopolskich wykładów: „Jak nie dać się shakować”, z pokazami ataków na żywo, a także serii darmowych webinarów przeszkolił blisko milion osób. Od niedawna regularnie i błyskawicznie ostrzega przed nowymi zagrożeniami, które dotyczą Polaków w ramach projektu „ScamAlert”, czyli newslettera, do którego zapisać może się każdy. – Dzień dobry, Piotrze. Cieszę się, że przyjąłeś nominację do programu od Michała Kluski, jednego z poprzednich gości „Transakcji z pasją”. Michał opowiadał o ochronie danych osobowych w transakcjach M&A, ty zajmujesz się również tematyką ochrony danych nie tylko tych osobowych.
Piotr Konieczny (PK): Tak, to prawda. Cześć i witam w zasadzie wszystkich twoich słuchaczy i pozdrawiam Michała, który zaprosił mnie w zasadzie, czy wprosił do Twojego programu. Ale tak, bezpieczeństwo myślę, że to jest coś, co jest takim dzisiaj już wytrychem pasującym do każdego zamka, niezależnie od tego, czy jest to zamek z branży transakcyjnej, bardziej prawniczej, czy też branży technologicznej, a może nawet filozofii życia. Czy chcemy, czy nie to bezpieczeństwo, a zwłaszcza w tym aspekcie CyberBoya głównie tym elementem takim bardziej komputerowym się zajmuje. To jest coś, na co po prostu każdy z nas jest skazany.
Transakcyjny punkt widzenia
PJ: Trochę cię podpuszczę. Strony za namową prawników lub z własnej inicjatywy podpisały tzw. NDA, czyli zobowiązanie do zachowania poufności. I co, i teraz wszystko zostało już zabezpieczone i możemy skupić się na negocjacjach, czy jest jeszcze jednak coś, na co powinniśmy zwrócić uwagę?
PK: Myślę, że ty zdecydowanie lepiej, niż ja zdajesz sobie sprawę z tego, że zawód prawnika, czy też wszystkie dokumenty, albo jak to się w naszym środowisku mówi „kwity”, są tylko kwitami. I bardzo fajnie jest mieć taki komfort psychiczny, że je posiadamy. Bardzo fajnie jest być „compliant”, bo w ogóle „compliance„, to jest element również bezpieczeństwa. W wielu firmach kładzie się na niego nacisk, gdzie w zasadzie to on jest takim motorem napędowym na wydawanie pieniędzy i podnoszenie technicznych aspektów bezpieczeństwa. No, ale właśnie jest jeszcze, poza tym papierem także ta strona bardziej techniczna, która w praktyce już nie w teorii na papierze czy, na atramencie zapewnia to bezpieczeństwo. Także to, że podpisze się z kimś NDA-a, to może być komfortem psychicznym, w zależności od tego, jakiego się ma prawnika, czy jaka kancelaria jak dobra kancelaria nas reprezentuje, ale obaj wiemy, że te spory wynikające z pewnych granic, które NDA-je wyznaczają, to jest też niełatwy kawałek chleba, bo bardzo często można różnie interpretować różne zapisy, nie mówiąc już o tym jak ewentualna ścieżka ściągania kar w tym przypadku za naruszenia, które wynikają za złamanie pewnych wytycznych czy ograniczeń, które NDA nakłada, trwa. I my tutaj zawsze staramy się w przypadku współpracy z klientem oczywiście pracę domową w postaci obowiązkowego NDA-a odrobić, ale jednak dla nas większe znaczenie ma to jak od strony technicznej sprawimy, że nawet gdyby ktoś chciał, oczywiście bez złej woli, nieświadomie naruszyć zapisy NDA-owe, to nie będzie w stanie tego zrobić, bo po prostu dobrze wdrożona technologia temu zapobiegnie. To też można zrobić, a nawet należy zrobić podpisując NDA-a.
PJ: W transakcjach bierze udział zazwyczaj wiele podmiotów, bo to jest kupujący i sprzedający, ale kupujący i sprzedający ma swoich wspólników, ma swoich akcjonariuszy, ma inne osoby, które są zainteresowane przebiegiem tego procesu. Każda ze stron ma swoich doradców i doradcę prawnego, i doradcę finansowego. Są pośrednicy np. dom maklerski, który rozlicza transakcje, albo bank, do którego przekazywane są pieniądze na (niezrozumiałe), żeby nastąpiła zapłata ceny albo jakaś inna płatność, która powinna być zabezpieczona. Zresztą są również tacy pośrednicy transakcyjni, którzy uczestniczą w tym procesie np. dostawca Wirtualnego Data Room’u (VDR), w którym dokumenty, które podlegają badaniu, są zgromadzone. Każdy z tych podmiotów powinien być jakoś zabezpieczony.
PK: Tak. Cieszę się, że powiedziałeś o tym banku na przykład, bo wiele osób nie schodzi przy analizie bezpieczeństwa i modelowaniu zagrożeń, takie znowu pewne procesy, które się robi, żeby ocenić bezpieczeństwo jakiejś transakcji czy też projektu i przygotować na ewentualne zagrożenia wycieki naruszenia itd. I ten bank zatrzymajmy się przy nim na chwilę, bo to jest cudowny przykład, żeby pokazać jak skomplikowany to jest proces. Bank jest stroną, której ufają obydwie strony, czy wszyscy uczestnicy transakcji, prawda? To jest jednak jakaś instytucja, ona ma pewne procesy, zresztą swoją drogą, z czystym sumieniem i z ręką na sercu mogę powiedzieć, że akurat polskie banki i polscy koledzy z działów bezpieczeństwa polskich banków to są eksperci najwyższej światowej klasy.
To są naprawdę ludzie bardzo dobrzy, mający wpływ na to, co robią i chroniący ten nasz polski rynek bankowy, który swoją drogą jest jednym chyba z najbardziej zaawansowanych, jeśli chodzi o tę warstwę technologiczną i ochronę informacji. Zdarzały się wpadki, każdemu się zdarzają, natomiast nie ma tutaj wstydu. Ale, wyobraźmy sobie teraz taką sytuację, że w wyniku pewnych działań my do banku raportujemy jakieś informacje i koniec końców jest to, chociażby przelew, czyli kwota, która jest elementem zakupu jakichś dóbr, jakiejś usługi. Jest to czasem bardzo kluczowy zasób, który jest objęty NDA-em, on ma nie wypłynąć, on ma być poufny. To za ile coś sprzedaliśmy albo jak często są takie transakcje, jak duże.
PJ: Upewniam się mówisz o samej kwocie, o informacji jaka jest wartość ceny, a nie o samych środkach pieniężnych, które były przekazywane do banku i z banku do odbiorcy finalnego.
PK: No właśnie. To ty mi zaraz powiesz. Bo wyobraź sobie taką sytuację, że chcemy zachować jako wszystkie strony tej transakcji tę informację w tajemnicy. Jest potencjalny człowiek w czarnym kapeluszu, który się czai, żeby to wychwycić. I w wielu firmach znowu paradoksalnie, żeby było bezpieczniej osoby, które mają dostęp do rachunków bankowych, mają powiadomienia związane z tym, że wpłynął jakiś przelew albo z ich konta pobrano jakieś środki. Teraz te powiadomienia część osób ma SMS-owe. No i teraz jeśli wykonamy naszą super bezpieczną transakcję, nad poufnością której pracowaliśmy, przejdzie ten przelew, przejdą te środki, to bank wyśle jednej i drugiej stronie: „tu zabrałem x milionów złotych, tu przyszło x milionów złotych”. No i teraz takie pytanie otwarte. Jak trudne jest przechwycenie treści SMS-a albo czy możliwe jest przechwycenie treści SMS-a oraz, czy ktokolwiek bierze pod uwagę to, że chociaż położyliśmy pewne mechanizmy bezpieczeństwa, szyfrowaliśmy całą komunikację, spotykaliśmy się w odpowiednio zabezpieczonych pomieszczeniach, no to taka właśnie prowizoryczna rzecz jak SMS, będący powiadomieniem do transakcji, do rachunku bankowego, to jest coś, co może być A) Łatwo przechwycone na warstwie elektronicznej już na urządzeniach odbiorców, jeśli one są monitorowane, a można to zrobić na wiele różnych sposobów; B) Na skutek nagięcia pewnych procedur u operatora, nie chcę tutaj podawać konkretnego operatora, ale zaczyna się na „T”, a kończy się na „mobile”, gdzie jest możliwe zadzwonienie do tego operatora i uwierzytelnienie się na bazie PESEL-u i numeru telefonu po to, żeby przekierować rozmowy przychodzące na czyjś numer telefonu. To jest rzecz, o której pisaliśmy, dlatego nie jest to żadna tajemnica, natomiast jestem zdruzgotany tym, że dosłownie dwa czy trzy dni temu napisał do nas jeden z czytelników, że ten numer dalej działa. Wciąż można przekierować część rozmowy, ba! można nawet wyrobić wirtualną kartę SIM czyjąś, duplikat karty SIM nie ruszając się z domu i cytując te dwie informacje na infolinii. Będzie o tym artykuł na Niebezpieczniku, to już zapraszam, prawdopodobnie w przyszłym tygodniu. Ale, właśnie to jest ta część operatora. I jeszcze jest ta część trzecia, czyli część samego technicznego przekazywania komunikatu jakim jest SMS przez sieć, przez eter do odbiorcy telefonicznego, co za pomocą takich urządzeń jak IMSI- catcher’y, których koszt zbudowania to jest około trzech tysięcy polskich złotych. Może być wykorzystywane do tego, żeby pozyskać treści tych SMS-ów, już nie mówiąc o synchronizacji teraz tych SMS-ów z chmurą itd. Robi się z tego całkiem potężne środowisko i wiele punktów, które można naruszyć, zaatakować, aby pozyskać tę informację. Jeśli akurat załóżmy ten czarny kapelusz, jego zadaniem jest to, aby wychwycić, przechwycić, pozyskać informacje na temat samej kwoty związanej z transakcją.
PJ: Ja rozumiem, że sam telefon jest takim nośnikiem niebezpieczeństwa w tym znaczeniu, że tak jak powiedziałeś łatwo go, no nie wiem czy łatwo, bo nie noszę czarnego kapelusza, ale jestem w stanie sobie wyobrazić, że możliwe jest podsłuchanie, przekazanie informacji czy uczestniczenie w tym spotkaniu poprzez ten kanał. Czyli co? Telefony zostawiamy w klatce Faradaya przed wejściem na negocjacje?
PK: Nie musi to być klatka Faradaya. Są takie bardzo zresztą ładne i też drogie proporcjonalnie drogie do „ładności” torebeczki, które są takimi właśnie mobilnymi klatkami Faradaya, gdzie taki telefon można zamknąć tylko zwróć uwagę, że akurat na to zagrożenie, o którym rozmawialiśmy, ten konkretny przypadek to nie za bardzo pomoże bo po wyjściu z tego spotkania zakładając że dobiliśmy „deal’a” i escrow w banku rusza to my po wyjęciu tego telefonu tak czy inaczej tego SMS-a prędzej czy później dostaniemy, więc ktoś kto się czaił mógł dalej na kilku innych etapach drogi tego SMS-a go przechwycić. Ja myślę, że można byłoby tak obrazowo powiedzieć, że jeśli ktoś nie ma odpowiedniej wiedzy technicznej a pokuszę się o stwierdzenie, że 99% społeczeństwa nie ma, to zakładanie, że informacje, które mamy na smartfonie, jeśli zależy nam na bezpieczeństwie powinniśmy je dalej tam mieć to jest trochę jak będąc oblanym benzyną palić papierosa. Może się to udać, nic nam się nie stanie, ale w wielu przypadkach może się okazać, że jednak dojdzie do jakiegoś zaognienia sytuacji, więc ja bym raczej unikał. Czyli w momencie, kiedy nam zależy naprawdę na wysokim stopniu poufności ograniczyłbym maksymalnie powierzchnię ataku. Znowu takie sformułowanie ale bazuje to na tym że to co nie jest potrzebne to co nie jest wymagane to co nie jest nomen omen konieczne po prostu wyłączamy z całości tej komunikacji po to żeby nie martwić się i nie ponosić kosztów jeśli chodzi o konkretne zabezpieczenia nowych kanałów komunikacji urządzeń czy w ogóle myślenie o tym co może pójść nie tak bo zwróć też uwagę na to że praca osoby od cyberbezpieczeństwa dzisiaj to jest praca która polega na codziennym pozyskiwaniu wiedzy na temat nowych wektorów ataku. To, że ktoś dzisiaj dysponuje jakąś wiedzą na temat tego co może pójść nie tak, to jest wiedza na tu i teraz. Jutro może się okazać, że coś co dopuściliśmy jako bezpieczne całkiem bezpieczne może być całkiem niebezpieczne. Więc im mniej rzeczy dopuszczamy tym bardziej komfortowo i my i klienci strony transakcji się po prostu są w stanie poczuć, więc ja bym do tego zachęcał. A jeśli coś nie jest potrzebne wyłączmy to. Natomiast żeby to wyłączyć trzeba mieć właśnie świadomość, że mówiąc o tym, gdzie są przetwarzane informacje związane chociażby z tą transakcją to musimy pamiętać o tym, że choć żadna ze stron nie używa smartfonów to jednak informacje o tej transakcji będą na smartfonach poprzez chociażby te SMS-y ze strony banku, jeśli on jest tutaj stroną tej transakcji.
PJ: W trakcie spotkania na jakie elementy powinniśmy zwrócić uwagę?
PK: Oczywiście moglibyśmy tutaj snuć różne, mało prawdopodobne wizje…
PJ: No to nie bardzo nieprawdopodobna, wizja jesteśmy w jednym z biurowców w Warszawie. Szklane okna, stół dość duży, po jednej stronie siedzi przedstawiciel jednej strony transakcji po drugiej stronie przedstawiciele drugiej strony transakcji, rozmawiają.
PK: Jaką mamy porę roku jaką godzinę.
PJ: A jaką byś wolał?
PK: Najlepiej deszczowo- słoneczny dzień.
PJ: Wybieram w takim razie wieczór niedeszczowy.
PK: Bardzo się cieszę, że to powiedziałeś, bo cię podpuściłem. Dokonałem na tobie mojej socjotechniki dlatego że gdybyś odpowiedział tak jak odpowiedziałeś, to jest najprostsza sytuacja. Mamy drony, które rzeczywiście w zleceniach, my, bardziej testujących bezpieczeństwo naszych klientów używamy i akurat noc to co wskazałeś to jest dobra pora na inwigilację takich spotkań, ponieważ rozświetlone jest pomieszczenie, a na zewnątrz jest ciemno. A więc, ty mojego drona nie widzisz, bo ma wymontowane diody, które świecą, co oczywiście jest całkowicie nielegalne i nikogo do tego nie zachęcamy, i za to grożą duże kary, i my w ogóle tego nie robimy, to ja słyszałem tylko, że ktoś coś takiego robił. Natomiast przestępcy, oczywiście miejmy świadomość, nie mają takich dylematów, czy coś jest legalne, czy nie, oni po prostu tego drona odpalą i ten monitoring wizyjny łatwiej jest zebrać. A ponieważ jest to… no właśnie, niedeszczowa pora, to też tym urządzeniem, statkiem powietrznym, można sobie polatać. Natomiast w momencie, kiedy jest rozświetlony dzień, kiedy pada, no to tutaj już pewne ryzyka są wyeliminowane, co nie oznacza, że zachęcamy wszystkich do robienia spotkań w momencie, kiedy na zewnątrz jest akurat środek słonecznego dnia.
PJ: Albo w przysłowiowej saunie.
PK: Tak. Albo w przysłowiowej saunie. Tam też są metody, to jest też taki mit, prawda? Dzisiaj technologia pozwala na inwigilację praktycznie każdego spotkania. To jest kwestia ceny kosztu, no i właśnie wyobraźni. Dlatego ja mówiłem trochę o tych mniej prawdopodobnych i bardziej prawdopodobnych sytuacjach.
PJ: Piotr, ale jeszcze trzymając się tego szklanego biurowca. Ja rozumiem, że poza dronem, nie wiem, pewnie są jakieś mikrofony kierunkowe, rozumiem, że cała ta szyba jest jedną wielką membraną, która przekazuje te informacje na zewnątrz, tak?
PK: Tak. Tak. Są mikrofony laserowe, które można użyć, ale to tutaj bym wtedy zadał ci pytanie, czy niskie, czy wysokie piętro? Dlatego, że tego typu rozwiązania bardzo dobrze działają, ale musisz być mniej więcej na tym samym poziomie, tak? Na tej samej wysokości.
PJ: Czyli w biurowcu obok na przykład.
PK: Tak, w biurowcu obok. Im wyżej, tym bezpieczniej, w tym przypadku, tak? Bo zakładamy, że jak jesteś na najwyższym punkcie, no to, ten kąt ściągnięcia tego będzie już stosunkowo trudny. Można sobie na oknie zamontować odpowiednie urządzenia, które będą szybę wprowadzały w drgania. Są też nawet specjalne, podwieszane konstrukcje, które mają to wyeliminować, ale to naprawdę tu już idziemy w takie science-fiction i myślę agencje wywiadowcze, a nie realne, normalne spotkania biznesowe. Przy tych realnych, normalnych spotkaniach biznesowych, bo ja jestem raczej takim człowiekiem, który dość twardo stąpa po ziemi i zanim się będziemy chronili przed satelitami Muska, które będą inwigilowały nasze głowy i nas podsłuchiwały z kosmosu, to ja jednak wolałbym, żeby osoby zwróciły uwagę na bardziej przyziemne i standardowe zagrożenia, które są, czyli dokładnie to, że ktoś: A) wniesie dyktafon i nagra to spotkanie. No, przecież wszystkie większe afery w Polsce, które ostatnio mieliśmy, akurat co prawda polityczne, bo te są chyba najbardziej głośne, to są afery, gdzie powstało nagranie. To nagranie powstało za pomocą dyktafonu, więc tutaj pokazujemy, jakby, jak ważne jest zaufanie do drugiej strony. Ja nie wiem, czy akurat osoby, które są bohaterami tych afer, miały ze sobą podpisane NDA-e, czy teraz się ścigają w związku z wypłynięciem takiego nagrania albo twierdząc, że to nie one przygotowały to nagranie. Natomiast, wniesienie urządzenia nagrywającego, to jest dzisiaj bardzo prosta sprawa, dlatego że długopis i teraz tak, ja ci mogę pokazać oczywiście ten długopis tutaj, ale nasi słuchacze go nie widzą, bo to jest normalny zwykły długopis, dzisiaj może być dyktafonem. To nie jest, naprawdę, żaden rocket science. Już nie mówiąc o tym, że jeśli ktoś hostuje takie spotkanie, to w samym pomieszczeniu może być odpowiednie urządzenie rejestrujące dźwięk, czy też obraz. I na to nie będziemy mieli wpływu, nawet jeśli, mówiąc kolokwialnie, macamy naszych gości przed wejściem do danego pomieszczenia. To jest to zagrożenie, na które przede wszystkim powinniśmy zwrócić uwagę, więc twoja rada związana z tym, że telefony zostawiamy przed pomieszczeniem jest jak najbardziej sensowna.
PJ: Telefony i długopisy, w których umieszczony jest dyktafon.
PK: Tak. I tak dochodzimy właśnie do tego elementu, kiedy wszystkich gości musimy rozebrać do naga i wprowadzić do tej mitycznej sauny a tam się okazuje, że sam piec w saunie czy jeden z sęków w boazerii, którą jest sauna wyłożona jest tak naprawdę odpowiednim urządzeniem służącym do nagrywania, więc zostaje basen.
PJ: Piotr, dobrze. Trzymając się tego spotkania. Spotkania, zazwyczaj takie negocjacyjne, są długie. W którymś momencie warto zrobić przerwę, chociażby po to, żeby chwilę odpocząć albo żeby we własnym gronie, z własnym klientem, porozmawiać. I wtedy jedna ze stron ze swoimi doradcami wychodzi i zostawia komputery na przykład. Czy to jest dobra praktyka?
PK: NIE, NIE, NIE, NIE, NIE, NIE, NIE, NIE, NIE, NIE! Nigdy! Nigdy! Jeszcze jak one są zablokowane to powiedzmy, że jest trudniej nimi manipulować, ale nie jest to niemożliwe. Natomiast jeśli one są odblokowane a to wiele osób ma takie wrażenie, że: „Ja na chwilkę pójdę tylko sobie dolać kawy, więc cóż on może zrobić przez te 60 sekund?”. Dużo może zrobić, dlatego że zwykły pendrive, który dzisiaj się podpina do komputera tak sobie to wyobraźmy, tak naprawdę to jest to samo co klawiatura. W sensie, klawiaturę też podpinamy pod USB do komputera. Każdy komputer rozumie klawiaturę zewnętrzną w związku z czym tak naprawdę na tego typu sytuacje, kiedy ktoś zostawia odblokowany komputer my mamy przygotowane specjalne pendrive-y, które się podpina, czeka się dosłownie dwie sekundy i się je odpina, natomiast w ciągu tej sekundy, w której pendrive działa, bo pierwsza sekunda to jest na jego wykrycie i jakby rozpoznanie przez system, to w tej drugiej sekundzie leci seria poleceń, które są wpisywane z prędkością portu a nie z prędkością palca człowieka, który pisze po klawiaturze. Także można takim pendrive’em po prostu poprzez 2-sekundowe podpięcie wstrzyknąć komendy, na komputer które: A) ściągną coś z Internetu, zainstalują i zainfekują ten komputer, czyli oddadzą go w zdalne władanie tj. trojanowanie komputera albo po prostu może szybciej ściągną zawartość chociażby katalogu „moje dokumenty”, spakują i wyślą na jakiś zdalny serwer. Jasne, to się będzie jeszcze wysyłało przez dwie czy trzy minuty, natomiast będzie się to działo w tle. To jest nie do zauważenia. Także też zwracam uwagę na wszelkiego rodzaju sytuacje w których my zabieramy nasze komputery np. na targi. Teraz może mniej, bo pandemia czy różnego rodzaju prezentacje, gdzie ten komputer naturalnie jest jakby odblokowany, bo z niego podawana jest jakaś prezentacja, zwłaszcza środowiskach takich około targowych ludzie ze sobą rozmawiają odwracają się tyłem są trochę zaangażowani, bo pozyskują klientów natomiast tam ktoś może podejść dosłownie przez dwie minuty, Boże! Przez dwie sekundy! Włożyć tego pendrive-a, czy też odpowiednie w tym przypadku urządzenie, później je wypiąć i taki komputer już nie jest naszym komputerem, więc tutaj świetnie działa zasada minimalizacji ryzyka, polegająca na tym, że na takie spotkanie zabieramy tylko i wyłącznie to, czego się nie obawiamy w przypadku, gdyby zostało przejęte. Więc, to nie jest mój komputer, na którym ja mam swoje projekty z 15, 16 lat poprzednich, bo jestem doświadczonym człowiekiem, który obsługuje np. takie transakcje w imieniu mojego klienta jako prawnik, tylko ja biorę sprzęt, który jest czysty tylko i wyłącznie do tego celu służy. To zresztą jest też rada, którą się udziela osobom jadącym zwłaszcza teraz na kierunki wschodnie, czyli Chiny, czyli np. Rosja, Białoruś, gdzie, jeśli pojawiamy się, to też nie wszystkich dotyczy i nie chciałbym tutaj tak uogólniać, bo nie jestem fanem dużych kwantyfikatorów, ale jeśli jest takie zagrożenie, że jest to pracownik np. dużej firmy technologicznej która ma odpowiednie „IP rights” albo pracuje przy istotnym projekcie, to za takim pracownikiem, i to jest relacja z pierwszej ręki, będą chodziły osoby, jakie, można się domyślić, że prawdopodobnie funkcjonariusze którejś ze służb bezpieczeństwa danego kraju i taka osoba albo musi cały czas mieć ten komputer przy sobie i liczyć na to, że nigdy nie zostanie on siłą odebrany np. w trakcie przesłuchania nie będzie musiała go zostawić gdzieś w depozycie albo zostawi go, chociażby schodząc na śniadanie, czy popływać w hotelu i to wystarczy, żeby do pokoju hotelowego ktoś wszedł i do takiego urządzenia… I tutaj, jak już mówimy o przeciwniku, który jest tzw. „state sponsored” na poziomie państwa i służb bezpieczeństwa danego kraju, to tutaj nie bawimy się w takie rozwiązania, o których ja mówię, gdzie każdy „głupi” przysłowiowy może sobie takie rozwiązanie na pendrive zbudować i ono ma pewne ograniczenia, tak wymaga włączonego komputera, to mówimy już o ludziach, którzy rozkręcą w przeciągu kilkunastu sekund tego laptopa i do tego laptopa dolutują odpowiedni sprzętowy moduł i to też jest taka ciekawostka, że niektórym managerom, którzy u jednego z naszych klientów jadą za granicę z komputerami oczywiście czystymi, tak? Przygotowanymi tylko na tę podróż. Jak wracają to te komputery nagle są cięższe o kilka gramów.
PJ: Pytanie, dlaczego?
PK: Możesz sprawdzić co się w nich pojawiło oczywiście dzisiaj te układy są tak małe i tak skomplikowane, że prościej jest, jeśli ktoś zakłada takie ryzyko po prostu to zutylizować pod koniec niż pracować dalej na takim sprzęcie. Wiadomo, że nie każdego na to stać nie każdy ma takie budżety, ale tutaj dobiera się środki do konkretnej transakcji, które się pojawiają. To jest też taka ciekawostka, że krążyła taka rada praktykowana przez niektórych jeszcze przy tych starszych komputerach które miały więcej śrubek, że śrubki przed wyjazdem za granicę się rozkręcało, czyli wykręcałeś je, kruszyłeś miętówki do otworów po śrubkach (cukierki miętowe), wkręcałeś te śrubki i teraz, brałeś lakier do paznokci swojej partnerki, żony, córki. Najlepiej z brokatem, którym malowałeś te śrubki, zamalowywałeś je, czyli jakby plombowałeś je, następnie telefonem robiłeś zdjęcia tych śrubek. No i teraz z czym mamy do czynienia? Zostawiasz taki laptop w hotelu, idziesz sobie popływać, tam, powiedzmy chiński wysłannik służby bezpieczeństwa albo rosyjski oficer KGB wchodzi do twojego pokoju, przekłada go do góry brzuszkiem, żeby go rozkręcić i wtedy siarczyście klnie w swoim rodowitym języku, dlatego że widzi, że no, kurczę! Będzie musiał… Jednak te plomby naruszyć. Gościu się zorientuje.
PJ: Chyba że ma lakier.
PK: Tak. Gościu się zorientuje a takiego lakieru, nawet jak ma identyczny lakier, no to nie ułoży go w ten sposób, żeby te brokatowe fragmenciki ułożyły się tak jak na tych twoich zdjęciach, bo nie wiem, czy nie przegapiłeś, ja powiedziałem o tym, że robimy zdjęcia tym śrubkom.
PJ: W sumie te miętówki mnie zainteresowały.
PK: No właśnie! Na czym to polega? To polega na tym, że jeśli ktoś nie wie, że w środku była miętówka i wykręci taką śrubkę i ta miętówka się wysypie, to nie uzupełni tego dokładnie taką samą miętówką z danego kraju, tak?
PJ: Jeszcze w takim kolorze.
PK: Jeszcze tak, jeszcze w takim kolorze, więc pułapek jest sporo jak ktoś lubi to naprawdę sporo książek szpiegowskich może poczytać i tam historie są jak z filmów jak science fiction, ale akurat możemy co do sposobu ochrony debatować który jest bardziej mniej prawdopodobny, natomiast realnym całkowicie realnym zagrożeniem już bez żartów jest to że w momencie kiedy jest osoba wysoka rangą w danej instytucji zwłaszcza firmie technologicznej bo tutaj ja mam najbardziej do czynienia z tym sektorem w branży nowych technologii to taki menadżer jest na celowniku agencji bezpieczeństwa danego kraju do którego jedzie żeby wykonać pewne swoje zadania. I to nie mówimy tylko i wyłącznie o osobach, które trafiają do tego kraju, gdzie dana firma nie ma swojego oddziału.
Bardzo często to są po prostu zagraniczni menadżerowie, którzy jadą do swojego lokalnego biura. I też nie zawsze to lokalne biuro, które załóżmy już może być zinwigilowane do pewnego stopnia przez obce służby i ma świadomość tego czym zajmuje się konkretny menadżer w całej swojej strukturze organizacyjnej. Także takie „pudełkowanie” znowu takie sformułowanie jakby z tego bardziej świata szpiegowskiego, czyli oddzielenie poszczególnych osób na poszczególne zespoły które między sobą nie mają wiedzy jest dobrym elementem, żeby zatrzymać w tajemnicy w poufności jakiś fragment informacji.
PJ: Jeżeli wrócimy do tego naszego modelowego spotkania i jest ta godzina 22, skończyliśmy negocjacje strony się rozchodzą prawnicy w pracowity sposób będą nanosić ustalenia stron na kolejną wersję dokumentu i w którymś momencie muszą przesłać do swego klienta do drugiej strony do prawników drugiej strony. Na co powinniśmy zwrócić uwagę na tym etapie?
PK: I tutaj wchodzimy w temat bezpieczeństwa komunikacji który chyba jest najłatwiejszy do ogarnięcia dlatego że dobre i użyteczne narzędzia już istnieją. Jakbyśmy się spotkali parę lat temu to pewnie bym cię zachęcał do stosowania kryptografii asymetrycznej i tutaj nawet dziewięciu na dziesięciu informatyków odpada, bo zrozumienie jaka jest różnica pomiędzy kluczem prywatnym publicznym i cały ten model komunikacji to jest naprawdę skomplikowane. To trzeba mieć zacięcie. Natomiast dzisiaj mamy do dyspozycji rozwiązania, które pozwolą nam po stworzeniu jakiegoś dokumentu pliku zaszyfrować go i przesłać do drugiej strony w sposób, który my fachowo nazywamy „end-to-end encrypted„, czyli takie szyfrowanie punkt-punkt. To są chociażby komunikatory takie jak „WhatsApp”, czy „Signal”. One są bezpieczne. Szyfrujemy kluczem na urządzeniu nadawcy do urządzenia odbiorcy i tylko te dwie strony, które są po dwóch różnych końcach tego tunelu komunikacyjnego mają dostęp do tych danych. Plus oczywiście wszyscy którzy patrzą im przez ramię i są na ich urządzeniach, tak? Tego nie wyeliminujemy. Ale ja celowo właśnie mówię komunikatorach dlatego że sam e-mail nie jest rozwiązaniem, w którym: A) łatwo wdrożyć rozwiązanie do B) szyfrowania end-to-end, czyli takiego pełnego szyfrowania w tranzycie w sposób taki, że C) obydwie strony korzystają z tego samego rozwiązania. Więc, tutaj, ja bym rekomendował jednak skorzystanie z odpowiednich narzędzi, które pozwalają w ten bezpieczny sposób pliki przekazywać i te komunikatory są takim najprostszym rozwiązaniem, które w zasadzie dzisiaj każdy z nas jakiś komunikator ma. To nie jest duży problem. Natomiast jeśli chodzi o maila, bo tego maila nie uciekniemy to, żeby zrobić to poprawnie w mailu też są takie możliwości. Mamy standard S/MIME mamy ten nieszczęsny PGP/GPG który wymaga generowania tych kluczy utrzymywania tych kluczy wymiany tych kluczy. Jest to trochę skomplikowane, ale jak już to nas przerasta to po prostu pamiętajmy najprostszą rzecz z jakiej korzysta z reguły większość osób, które mają konieczność bezpiecznej wymiany plików a nie czują się ekspertami nie chcą np. instalować tych komunikatorów, albo żadnych nie mają, bądź też nie chcą wprowadzać dodatkowego urządzenia w postaci smartfona.
PJ: Często komunikujemy się z innymi organizacjami, które mają jakieś własne wytyczne albo standardy cyberbezpieczeństwa więc też nasze możliwości są ograniczone. Co możemy zrobić z samym dokumentem, który będzie załącznikiem w tym e-mailu?
PK: Tak. No, tutaj sprowadzi się sprawa do tego co robi miliony osób codziennie na świecie, czyli pakujemy ZIP-em na hasło i hasło wysyłamy. I teraz to jest najważniejsze, innym kanałem komunikacji, czyli nie w tym samym mailu to broń Boże za to są dwa baty na skórę. Nie w kolejnym mailu za to jest jeden bat na skórę no, bo jak ktoś przejmie kanał komunikacji czy skrzynkę odbiorcy albo nadawcy to z dwóch maili sobie po prostu odczyta to hasło. To jest tak, jak byśmy tego nie zaszyfrowali. Tutaj pozdrawiamy większość księgowych, którzy w ten sposób ze swoimi klientami się komunikują, lista płac zaszyfrowana, hasło w kolejnym mailu. Brawo. Natomiast ten inny kanał to tutaj z reguły to będzie właśnie telefon komórkowy i niestety będzie to SMS, który nie jest komunikacją szyfrowaną, więc jednak od tego komunikatora, jeśli chcemy to zrobić bezpiecznie nie uciekniemy, a jak musimy mieć ten komunikator, żeby tego SMS-a w sposób… Nie SMS-a, to hasło! przesłać w sposób bezpieczny, to tutaj już się pojawia takie pytanie: „To może od razu zrobić to komunikatorem?”. Ja o tych komunikatorach mówię dlatego, że z ręką na sercu obserwuję jak coraz więcej osób z jakiegoś komunikatora nawet tego „WhatsApp’a” korzysta, mówię nawet tego „WhatsApp’a”, bo WhatsApp jest pod parasolem Facebooka, którego większość osób utożsamia z organizacją łasą na nasze dane i to prawda, jeśli korzystamy z „WhatsApp’a”, to wiadomo kto z kim, kiedy i jak długo się komunikuje, no ale tu zakładam, że jeśli wymieniamy te dane, no to tego faktu nie za bardzo chcemy czy musimy przed Facebookiem ukrywać. Zresztą oni też nie wykorzystują tego do inwigilacji a bardziej do profilowania reklam. Natomiast on i tak zapewnia poufność komunikacji. Facebook nie ma wglądu w treść rozmów i to jest wystarczające.
Ale! Te komunikatory mają jeszcze jedną zaletę nad mailem, a mianowicie taką: że jako specjalne aplikacje zbudowane w celu bezpiecznej komunikacji w nich możemy sobie włączyć np. taką funkcję: „Kasuj dane po minucie, godzinie, dniu od odczytania”, czyli zrobimy to co mieliśmy zrobić a jednocześnie spada nam z tyłu głowy jeszcze obowiązek, który zgodnie z instrukcją bezpieczeństwa dla całej procedury transakcyjnej na przykład powinien brzmieć tak: „Po skończonym zadaniu skasuj ślady komunikacji, czy usuń, upewnij się, że zostały one w jakiś tam sposób zatarte”. To za nas zrobi aplikacja.
PJ: Wspomniałeś o złych nawykach związanych z przesyłaniem w tym samym e-mailu hasła. Ja jeszcze chciałbym rozszerzyć tę listę. Co do samego sformułowania hasła, bo zdarza się, że w praktyce nazwa hasła, to jest nazwa projektu plus rok, w którym projekt się wydarzył, to już tak żeby było trudniej zgadnąć, albo nazwa firmy, której projekt dotyczy. Rozumiemy, że tak nie należy, a czy np. korzystać z generatora haseł czy w jakiś inny prostszy sposób? Potem ilość osób musi z tego korzystać więc pewnie takie przepisywanie z generatora jest dość uciążliwe. Jak sformułować dobre hasło?
PK: To jest problem, z którym boryka się wiele osób. Najnowsze wytyczne NIST-u, czyli jeśli dobrze pamiętam National Institute of Standarization and Technology brzmią tak: „Hasło przede wszystkim powinno być długie”.
PJ: Co znaczy długie hasło?
PK: No właśnie! To jest dobre, dobre pytanie. Do tego zaraz wrócę, ale dlaczego długie? Przede wszystkim sobie na to odpowiedzmy, będzie nam łatwiej zrozumieć co to znaczy długie hasło. Hasło do pliku, w tym przypadku do archiwum ZIP czy 7-ZIP, tworzymy po to, żeby ktoś kto będzie chciał zgadywać to hasło jak już przejdzie przez te wszystkie lata nazwę projektu imiona dzieci itd., czyli te typowe hasła, które ludzie zazwyczaj układają i zakładamy, że to nie było takie hasło, no to będzie musiał przepuścić atak słownikowy, czy bierze wszystkie słowa z języka polskiego i po kolei wszystkie słowa z języka angielskiego i po kolei może niemieckiego i po kolei, tak? Jak przejdzie przez te wszystkie trzy słowniki, no to będzie próbował tych słów dużymi literami, małymi, od przodu, od tyłu, na zmianę z literami. Różne takie transformacje tych ciągów, znajdujących się w słowniku można robić. To jest proces łamania hasła. Jak żadne z tych podejść nie zadziała, to trafiamy do czegoś, co my nazywamy atakiem „brute force„, czyli takim atakiem siłowym, gdzie zaczynamy od słowa „a, a, a, a, a,”. A potem lecimy „a, a, a, a, b”, „a, a, a, a, c”, aż do „z, z, z, z, z,”, czyli przechodzimy przez wszystkie możliwe hasła. No i teraz odpowiedzmy sobie na pytanie, co to znaczy długie hasło?
To jest tak długie hasło, żeby w zależności od sprzętu, którym dysponuje atakujący, który może łamać te wszystkie hasła po kolei, żeby mu to zajęło tyle czasu, ile chcemy, żeby te dane były chronione. Jeszcze zakładamy, że w międzyczasie nikt nie wynajdzie tego komputera kwantowego dla domowych zastosowań, bo może się okazać, że moc obliczeniowa wtedy tak wzrośnie, że po prostu cały ten atak odbędzie się błyskawicznie szybko. Dzisiaj myślę, że jeśli tak będziemy generowali hasła, bo na tym polega użycie silnego hasła, generowanie hasła nie oznacza użycia specjalnego programu do generowania hasła. Możemy po prostu zrobić kota na klawiaturze w notatniku na chwilę i to jest jakiś tam ciąg znaków. No, wiadomo, musimy go przekazać, przesłać, więc gdzieś skopiować i wysłać.
Tutaj uwaga, bo różne mechanizmy „cachowania” w systemie mogą, to co napisaliśmy w notatniku, którego nawet nie zapisaliśmy jako plik, zapisać w pewnym miejscu na systemie, więc to jest zdradliwe. Także lepiej od razu korzystać z bezpiecznych mechanizmów do generowania hasła i rozwiązań chociażby właśnie tych komunikatorowych, bo tutaj ten problem odchodzi, ale to jest też znowu bardziej taka natura science fiction, bo żeby ten atak przeprowadzić to ktoś musi być na twoim komputerze, a jak ktoś jest na Twoim komputerze, to ma i tak tyle możliwości, że poznanie tego jednego hasła to jest tak naprawdę niezbyt duży problem. I to hasło jak już dobierzemy i prześlemy, to ono będzie całkiem dobre, ale nie powiedzieliśmy o jeszcze jednej rzeczy. Bo niezależnie od tego jak silne będzie to hasło, jeśli ktoś skorzysta z tego ZIPa na hasło w taki sposób, że nie zaszyfruje również nazwy pliku, to może się okazać, że atakujący, który ten plik przechwyci, nie będzie w stanie go rozszyfrować, dalej będzie w stanie jakieś znaczące informacje z tego pliku, a raczej zawartości tego archiwum pozyskać. Bo wyobrażasz sobie pewnie nazwę kontraktu, który ma inicjały osób biorących udział w negocjacjach i już mamy dopasowane osoby, które pracują przy projekcie, albo?
PJ: Nazwa stron transakcji, albo czego dotyczy, to tak.
PK: Tak. Albo, jak to było niedawno, wyniki testów na COVID były przesyłane w archiwum zaszyfrowanym całkiem niezłym hasłem tylko w środku było widać, że plik brzmi tak: „Pozytywny.doc”. No, więc ciekawe czego dotyczy? Co można powiedzieć osobie, która dostała ten plik tak zaszyfrowany? Myślę, że najważniejsza zawartość tego pliku została właśnie zdradzona tymi okolicznościami stworzenia pliku, więc to jest szalenie ważne.
PJ: Piotr, czy ma znaczenie, czy szyfruję archiwum, czyli tzw. ZIPa, czy szyfruję sam dokument Wordowski, na przykład?
PK: I tak, i nie. Bo to… Albo powinienem powiedzieć, jak profesjonalny doradca, to zależy. To zależy przede wszystkim od rodzaju oprogramowania, czyli wersji Worda, z którego korzysta… Office’a z którego korzysta jedna i druga strona. Musimy pamiętać o tym, że każdy plik, który tworzymy zawiera tzw. metadane, czyli kiedy został stworzony? M.in., tak? Przez kogo? Gdzie został zapisany? W przypadku dokumentu Worda można pewne informacje związane z metadanymi tego pliku pozyskać bez zajrzenia w jego zawartość. No, bo wiemy, że to jest plik Worda, po otwarciu po prostu Word będzie chciał go rozszyfrować, więc do treści nie mamy dostępu, ale te metadane mogą być kluczowe. Natomiast kiedy szyfrujemy tak naprawdę kontener zewnętrzny, w który wkładamy ten plik, właśnie to archiwum ZIP, 7-ZIP, RAR, z czegokolwiek tam ludzie korzystają, to my jesteśmy troszkę jakby poziom wyżej i my zacieramy już nawet te metadane związane z dokumentem Worda. No, nie mamy dostępu do tego z wyłączeniem nazwy tego pliku, jeśli nie ustawimy szyfrowania nazw plików w archiwach.
PJ: To wiesz co? To nawet, zwracam na inny aspekt uwagę, bo po wyjęciu z kontenera, kiedy mamy niezaszyfrowany ten dokument źródłowy, ten dokument Word’owski, o którym mówiliśmy i gdzieś go zgrywamy, nie wiem, na sieci, to do niego dostęp, do jego treści, mają także inne osoby, o ile nie ma dodatkowych mechanizmów które w dzisiejszych tzw. DMS-ach już da się ten dostęp do informacji ograniczyć w taki dość wygodny sposób. No to, to jest dodatkowa bariera jakaś ochronna, czyli zaszyfrowany sam ten dokument źródłowy, być może ta okoliczność jeszcze jest istotna.
PK: Im więcej warstw bezpieczeństwa, tym lepiej. Zawsze. Tylko niestety to nie idzie w parze z wygodą i bardzo często…
PJ: To prawda.
PK: Tak naprawdę te elementy bezpieczeństwa, nie można powiedzieć, że one są nieznane stronom transakcji, obracając się w klimacie twojego podcastu, one są znane, tylko one są nieużywane dlatego że: „Aaaa, bo to zajmuje czas, aaaa, bo to wymaga dwóch dodatkowych kliknięć. No, ja wiedziałem, ale nikt mi nie kazał”. To są tego typu wymówki, które bardzo często można usłyszeć od osób, które się przepytuje już w momencie, kiedy nastąpi pewien incydent, tak?
Dlaczego tego nie zrobiłeś? Czy o tym nie wiedziałeś? A jak wiedziałeś, to dlaczego tego nie zrobiłeś? I tutaj się pojawia bardzo dużo różnych odpowiedzi. Ja tych ludzi rozumiem. Ja tych ludzi rozumiem, że osoby, które nie są specjalistami do spraw bezpieczeństwa, nie żyją Security tak jak ja, czy jak ty, bo jednak dla Ciebie też elementy bezpieczeństwa na pewno mają znaczenie, chociażby te kwestie związane z NDA’em, sprawy poufności, to to są normalni ludzie. Ja też jestem normalnym ludziem, człowiekiem. Jak jadę ze swoim samochodem do salonu, do warsztatu, to powiem szczerze, że tam mogą mną manipulować, jak chcą. Jak mi powiedzą, że mam wymienić trzpień końcówki czegoś, to ja powiem: „dobra, to zróbmy tak”, bo ja korzystam z samochodu do tego, żeby się przetransportować z punktu A do punktu B.
Mnie absolutnie nie interesuje jak on w środku działa i funkcjonuje. Ja wiem co mam zrobić, żeby przejechać z punktu A do B. I jeszcze zdarza mi się to robić zgodnie z przepisami. Natomiast też czasem, niestety, z ręką na sercu mówię, że je łamią. I dokładnie tak samo postępują osoby, które nagle mają korzystać z jakichś pewnych przepisów, rekomendacji, wyznaczników, protokołów bezpieczeństwa i narzędzi, których działania nie rozumieją, ale raczej nie tyle nie rozumieją, bo to nawet nie muszą rozumieć funkcjonowania samych narzędzi. Im nikt nie powiedział, po prostu o tym, jakie będą skutki, kiedy oni nie zabezpieczą informacji i tutaj dochodzimy do tego elementu edukacji, bo można zrobić lekką manipulację w białych rękawiczkach, białe kłamstewko, nawet nie kłamstwo, tak?
To jest trochę pojęcie na wyrost. Można powiedzieć osobom: „Słuchaj, robimy to dlatego, że były już takie przypadki jak A; B; C, które skutkowały tym, że w firmie X zdarzyło się to…, w firmie Y zdarzyło się to…, a nasz kolega Marcin z nami nie pracuje, bo …”. I to są tak naprawdę bardzo działające bodźce na daną osobę, która, jeśli ma odrobinę oleju w głowie to będzie w stanie nie tylko zastosować się do tych rekomendacji rozumiejąc już, dlaczego ona musi tu kliknąć albo skorzystać z tego oprogramowania, tylko ona sama będzie chciała to zrobić, bo zauważy pewien sens.
Nie możemy zakładać, że ludzie, którzy dla nas pracują czy nas reprezentują oni będą działali w złej wierze. Myślę, że nikt tak nie dobiera sobie współpracowników, jeśli pojawiają się jakieś błędy, to w większości przypadków są to po prostu niezawinione pomyłki. I tutaj cały trik polega na tym, żeby tak przeprogramować głowy tych osób, aby one chciały, aby one same z siebie widziały sens stosowania tych zabezpieczeń. Wtedy każdy ma prościej i dział bezpieczeństwa, i dział IT, i ci którzy tworzą DMS-y jak również, w końcu, beneficjenci samej transakcji.
PJ: Kolega opowiadał ostatnio, że podróżował przysłowiowym Pendolino i był świadkiem rozmowy telefonicznej współpasażera i w zasadzie poznał dzięki temu całe szczegóły transakcji, w której tamten uczestniczył. Jak możemy się zabezpieczyć przed takim zachowaniem.
PK: To jest właśnie ten element edukacyjny. Jeśli pokażemy na przykładzie danej firmy jak podróżują pracownicy, jakie informacje w trakcie tej podróży przekazywali w przeszłości i co może na ich podstawie zrobić, to efekt będzie lepszy niż jak ktoś usłyszy właśnie ten, przed sekundką, urywek naszej rozmowy „No, tak, tak w pociągu powiedział, co za debil, nie?”. A nagle okazuje się…
PJ: Słuchaj, no. Parę godzin się jedzie z Warszawy do Krakowa, coś trzeba robić.
PK: Ciężko trzymać język za zębami. To, rekomenduję kupowanie biletów w strefie ciszy, wtedy reszta pasażerów dba o to, żeby nie wyciągać informacji. Ale już zupełnie poważnie. Ja też miałem taki przypadek, kiedy jechałem akurat do pewnego klienta z prezentacją uświadamiającą cyberniebezpieczeństwa i tak się zdarzyło, że ponieważ to była centrala tego klienta w Warszawie i tam było to spotkanie, to na to spotkanie z oddziałów, również krakowskiego, ja jestem z Krakowa i z Krakowa podróżowałem, jechały różne osoby. No i ja sobie wszedłem do przedziału, w którym była już grupa trzech osób, żywo toczących rozmowę z sektora finansowego, to był klient z branży finansowej.
Mnie to zainteresowało, bo mówili o różnych kwestiach ciekawych, prawnych, bardzo dobrze unikając nazwy instytucji, dla której pracują. Ale ponieważ w międzyczasie padły pewne nazwy projektów, usług i nazwiska a jednak Internet w Pendolino pomału zaczyna działać, to ja byłem w stanie… To akurat nie było Pendolino, bo to był pociąg przedziałowy. Ja byłem w stanie „wyguglać”, co do tego z jaką firmą mamy do czynienia. No, i pewnie już wiesz do czego to zmierza. To był dokładnie ten klient, do którego na spotkanie jechałem, więc kiedy dojechaliśmy do Warszawy Centralnej, ja wystający, powiedziałem, że „Bardzo państwu dziękuję za podróż wspólną, dowiedziałem się ciekawych rzeczy, które właśnie wrzuciłem na prezentację, a tą prezentację zapewne państwo będziecie oglądali za mniej więcej półtorej godziny”. I nie wyobrażasz sobie jakie były miny tych osób, kiedy odnalazłem je wzrokiem, w momencie, kiedy już nastąpił ten punkt kulminacyjny. Ja oczywiście zacytowałem te informacje, których się dowiedziałem, natomiast nie wymieniłem z imienia i nazwiska osoby, które ze mną podróżowały. – I okoliczności w jakich je pozyskałeś. – Możesz się domyślić, że w przypadku gdybym powiedział, że to są dane, które pochodzą dokładnie z pociągu, no, to pewnie wielu pracowników z oddziału krakowskiego na tą dzisiejszą prelekcję nie podróżowało i sporo osób by dokładnie wiedziało, gdzie szukać tych winnych. No, ale to jest element, który działa i to jest coś, do czego bym zachęcał. Zachęcałbym do tego, żeby swoich pracowników, poszczególne działy IT, jeśli ktoś nas z tych działów słucha albo słucha nas ktoś, kto ma wpływ na te działy, atakowały.
Czyli, wyjdźmy na drugą stronę. Wcielmy się w czarne charaktery. Podchodzimy swoich pracowników, oszukujmy, podsłuchujmy, naświetlajmy to, tylko róbmy to raczej na zasadzie marchewki a nie kija i róbmy to etycznie po to, żeby…
PJ: W białych rękawiczkach a nie w czarnych kapeluszach.
PK: Dokładnie tak. Po to, żeby pokazać pewne zagrożenia i działać ku wspólnemu dobru a nie temu, żeby kogoś poniżać. Jeśli ktoś ma 40 minut zapraszam do „zguglania” na YouTubie bodajże, jest prezentacja z konferencji „Secure”, moja, czyli jak się wpisze „Piotr Konieczny secure”, to wyskoczy 40 minutowy fragment, gdzie ja pokazuje, jak taki mechanizm bezpieczeństwa w firmie zbudować sobie samodzielnie od A do Z, w ramach takich prowokacji, które się robi na pracownikach. Bardzo kształcące doświadczenie.
PJ: Piotrze, to jeżeli możesz podesłać do mnie ten link, to ja po prostu zamieszczę go w opisie do tego odcinka, będzie pewnie łatwiej odsłuchać.
PK: Jasne, nie ma problemu.
Transakcyjne DNA
PJ: Usłyszeliśmy dużo ciekawych informacji i strasznych, przyznam się szczerze, na temat tego w jaki sposób te informacje, które powinniśmy chronić mogą wypłynąć. Piotrze, opowiedz nam jaka była twoja droga do tego, że teraz jako ekspert możesz nam wszystkim te ciekawe informacje przekazywać.
PK: Przed naszym spotkaniem, kiedy podesłałeś mi briefa myślę, że mogę ujawnić (niezrozumiałe) pojawiły się pewne sugestie. Było tam takie coś, co pamiętam, że… Jaka była twoja, twoje pierwsze doświadczenie zawodowe związane z transakcją i powiem ci, że myślałem długo nad tym, co to było takiego, co wiązało się z bezpieczeństwem? I czy rzeczywiście wiązało się z bezpieczeństwem, i było moją pierwszą transakcją? I było. Przypomniałem sobie. Wyobraź sobie, to dla tych może starszych datą słuchaczy, że zanim był bardzo popularny w Polsce Internet, to jeszcze działo się na modemach…
Może ktoś pamięta bardzo charakterystyczny sygnał modemowy „dial- up’u”, możesz teraz to gdzieś wmontować, jeśli znajdziesz. Ludziom uszy odpadną, jeśli słuchają na słuchawkach. To… Były takie grupy dyskusyjne, one się nazywały „Usenet”, czasy sprzed forów internetowych.
PJ: Tak zwany „IRC” jeszcze był w tamtym okresie, chyba.
PK: Tak, IRC również. Ja w tamtym okresie, na tym „Usenecie” spędzałem bardzo dużo czasu, między innymi też na grupach poświęconych bezpieczeństwu. I była tam też taka grupa związana ze świadczeniem pewnej pomocy, czy rozwiązywaniem problemów, z której można było się uczyć, na której można było pomagać. Wtedy Internet był naprawdę bardzo fajnym miejscem, ludzie sobie pomagali, była taka bardzo przyjazna atmosfera. I tam pewnego razu napisał człowiek, który powiedział coś mniej więcej takiego: „Pozwało mnie wydawnictwo (tutaj padła nazwa wydawnictwa) za piractwo”. Ta osoba zeskanowała wtedy chyba książki do PDF-ów, książki informatyczne które się pojawiały na tym rynku to dość drogie one wtedy były. I ona je umieściła w Internecie, bo też w Internecie ludzie się dzielili wieloma rzeczami, może bardziej niż powinni. No, ale najwyraźniej któryś z pracowników tego wydawnictwa to zauważył przyuważył, no i ruszyła machina prawna. I ta osoba zastanawiała się, czy można jakoś usunąć te pliki z tymi książkami, które wrzuciła wcześniej do Usenetu. No, to nie jest tak jak teraz na forach, że można było sobie po opublikowaniu posta na „Usenecie”, kliknąć „delete” i skasować ten swój post z setek komputerów i serwerów, na którą się rozdystrybuował. No, to tak nie działało, zresztą najpopularniejsze „klienty”, czyli oprogramowanie, które pozwalało na dostęp do tego „Usenetu” na to nie pozwalało, ale dało się coś takiego zrobić. Ja odpowiedziałem tej osobie, że w sumie to jest możliwość, jest taka, taki mechanizm, on się nazywał „Supersedes”, kojarzy się z sedesem po polsku i tak był też nazywany w tamtych kręgach. Zrzucanie czegoś do sedesu, skasowanie. I że można byłoby tego spróbować. Ta osoba bardzo się rozochociła, no i postanowiłem pomóc tej osobie, i dokładnie w jej imieniu, czyli wymagało jeszcze to ode mnie podszycia się pod tą osobę, po części, i wysłania takiego żądania automatycznego, dopasowując się do jej wiadomości, żeby te wiadomości pokasować, i żeby ta osoba mogła przedstawić wydawnictwu, że, no tutaj, te skutki naruszenia zostały w jakiś tam sposób okiełznane.
To się udało. Ja w ten sposób zarobiłem, jeśli dobrze pamiętam, moje pierwsze pieniądze. Była to oszałamiająca, jak na tamte czasy kwota 200 złotych i pamiętam, że ponieważ ja byłem bardzo nieletni jeszcze wtedy, to te pieniądze wpłynęły w ogóle na rachunek bankowy moich rodziców. Jeśli dobrze pamiętam. Więc to był taki pierwszy moment, kiedy ja pomyślałem, że „Hm, na bezpieczeństwie chyba można zarobić”. I to jest ta ścieżka, tak? Natomiast jeśli pytasz o to doświadczenie, to mnie zawsze, zawsze po prostu mnie interesowało rozkładanie rzeczy na czynniki pierwsze, nie do końca potem składanie tego, ale poznanie tego jak dana rzecz działa, a jak wiesz, jak coś działa, to możesz się zacząć zastanawiać, czy możesz nadużyć pewne mechanizmy, które działają w sposób, który dla ciebie jest korzystny.
Więc, to jest takie przysłowiowe wejście do supermarketu i popatrzenie, gdzie są kamery, a jak już wiesz, gdzie są kamery, to się zastanawiasz, jak wynieść ten batonik, i czy ci się to uda, ale nie wynosisz tego batonika. Po prostu uśmiechasz się do ekspedientki, w myślach mówiąc „Wyniósłbym tego batonika jakbyś się nie zorientowała”.
PJ: To jest twoje zwycięstwo, takie osobiste.
PK: Dokładnie tak, więc to jest, to jest takie szukanie trochę dziury w całym. Trochę dla sportu, trochę dla zawodu. Zresztą w tamtych czasach bardzo wiele osób to robiło i robiło to nie po to, żeby zarobić, bo w Internecie nie było pieniędzy, jakby ten e-commerce w ogóle jeszcze nie funkcjonował, nie działał. Bardziej robiło się to dla fanu, dla pokazania tego, że można, no i też dla „dobezpieczenia” czegoś.
PJ: A, czy trochę dla sławy?
PK: Na pewno! Na pewno dla sławy tak. Tzw. „punkty lansu na dzielnicy” się zdobywało bardziej w swoich grupach, zwłaszcza że wtedy temat cyber policji trochę nie istniał, więc też może niektórzy byli zbyt wylewni. Gdyby sięgnąć do tych archiwum Usenetowych, to można byłoby zauważyć, że większość szefów bezpieczeństwa różnych dużych polskich spółek tak naprawdę ma przestępczą historię na Usenecie i robiło różne rzeczy, które, pod którymi by się pewnie teraz, w dzisiejszych czasach, nie podpisali. I chroni ich tylko to, że mieli wymyślne nicki i ich powiązanie z ich prawdziwymi nazwiskami funkcjami dzisiaj wymaga odrobinę zachodu. Ale my wciąż w niektórych kręgach wiemy, bo wciąż się spotykamy.
PJ: My wiemy kto.
PK: Tak. My wiemy kto i co zrobił, ale myślę, że było to bardzo, bardzo przyjazne, a przede wszystkim kształcące. Tu nikt nikomu nie chciał, nie chciał zaszkodzić.
Porozmawiajmy o pasjach
PJ: Przyznam się Piotrze, że mam pewien dylemat, ponieważ mam wrażenie, nie wiem, czy nasi słuchacze je podzielają, że twoją pierwszą i ogromną pasją to jest właśnie cyberbezpieczeństwo, czy ogólnie informatyka. No, ale nie samym chlebem człowiek żyje. Powiedz, jakimi innymi pasjami chciałbyś się z nami podzielić.
PK: No, na przykład, chciałbym wszystkich zachęcić do tego, żeby sami porozkładali sobie różne rzeczy na czynniki pierwsze. Cokolwiek to jest. Ja ostatnio odkryłem rzecz, którą zresztą znałem od dawna, a mianowicie kawę. Kawę, która każdej osobie pracującej w IT towarzyszy zapewne nieodłącznie.
PJ: Prawnikom również.
PK: Tak dokładnie. Natomiast okazuje się, ale to jest kwestia inspiracji. Okazuje się, że jest kawa i kawa. Można pić kawę, która smakuje w bardzo różny sposób i żeby takie różne nuty smakowe z kawy wyciągnąć, to należy ją w odpowiedni sposób zaparzyć, poddać odpowiedniej obróbce.
Jak zacząłem zgłębiać ten temat, to okazało się, że tutaj właśnie ta moja natura rozkładania wszystkiego na czynniki pierwsze zadziałała. Mam rozpisane odpowiednie pliki w Excelu i odpowiednią maszynę expres, która pozwala na dostosowanie różnych parametrów takiej obróbki kawy, od temperatury przez ciśnienie, po różnego rodzaju warzenie i mierzenie czasu. I z tych samych ziaren można wycisnąć różne smaki, bawiąc się trochę, w takiego niespełnionego chemika. Nie zawsze ta chemia interesowała, nigdy nie byłem dobry z chemii, a tutaj po części mogę się tak nie bujmy się tego słowa relaksować.
PJ: Nie bójmy się tego słowa, shakowałeś ekspres do kawy.
PK: Trochę tak. Wiesz, bo są ekspresy, które są bardzo dobre, ale drogie, a ja w końcu jestem z Krakowa i są expresy tańsze, które można niewielkim kosztem przerobić na maszyny, które robią dokładnie to samo. Mają te same funkcje, tylko że trzeba tam trochę dolutować, trochę podpiąć i jeszcze skorzystać z czegoś takiego, co się nazywa np. „Arduino” i programowanie mikro kontrolerów, żeby sobie różne czujniki podpiąć chociażby do temperatury w różnych częściach ekspresu, żeby lepiej monitorować ten proces. No ale to już naprawdę dla fascynatów. Natomiast wiem, że wielu prawników, moich znajomych, bardzo interesuje się winami.
I ten świat winny jest takim elementem i rozmów, i można sięgnąć do historii, i można sięgnąć również do procesu obróbki winogron. Wreszcie, można miło spędzić czas przy winie. Natomiast ja zachęcam wszystkich do tego, żeby popatrzeć trochę inaczej na kawę, bo jak ostatnio się dowiedziałem, jeśli chodzi o liczbę różnego rodzaju nut smakowych, zapachowych kawy, to jest tego zdecydowanie więcej niż w przypadku winogron i wina. No, niestety kawa jeszcze takich kwot nie osiąga jak niektóre butelki zacnego trunku, jakim jest wino, ale może to jest kwestia czasu. Podobno zmiany klimatyczne powodują, że coraz mniej kawy będzie, więc będzie pewnie też coraz droższa.
PJ: Udało nam się przed chwilą ustalić, że kawa jest bardziej skomplikowana niż wino, ale czy równie skomplikowane jest nagrywanie programów audiowizualnych? Wiem, że jesteś ekspertem w tej dziedzinie.
PK: To mimowolnie jestem ekspertem, bo rzeczywiście poprzedni rok był trudny dla nas, dla naszej firmy, a co najmniej jednego działu naszej firmy, ponieważ my poza takim standardowym włamywaniem się do kogoś, czyli działaniem, które można robić z piwnicy na drugim końcu świata, prowadzimy też ten element taki bardziej psychologiczny, edukacyjny, gdzie jednak do tej pory, czyli do 2020 r, do marca, spotykaliśmy się z ludźmi, przekazywaliśmy tą wiedzę, a kiedy pojawiły się lockdowny, to wszystko przeszło na online. W związku z czym, musieliśmy bardzo szybko uruchomić profesjonalne studio, bo jak patrzyłem na jakość różnych telekonferencji, to aż mnie po prostu mroziło, że ktoś mógłby w takich okolicznościach, przez 8 godzin a nawet 45 minut, chłonąć wiedzę. To po prostu było poniżej naszych wewnętrznych standardów i rzeczywiście szukałem wiedzy na temat tego, jak zrobić dobre audio, dobre video. Takiej wiedzy nie było, a byłbym w stanie wtedy zapłacić każde pieniądze, każdej osobie, która by przekazała taką pigułę po prostu, żeby nie tracić czasu. I z braku laku spędzałem długie wieczory na pozyskiwaniu informacji z tego obszaru.
No i nieskromnie powiem, że ze swoich wyników jestem dość zadowolony. Zresztą znowu ujawnię kulisy naszego spotkania. Pytałeś mnie o tło, które widzisz, ale którego nasi słuchacze nie widzą…
PJ: sławne radiowe „państwo tego nie widzicie”
PK: Tak, tak. Państwo tego nie widzicie.
PJ: Ale tło jest naprawdę imponujące i robi wrażenie.
PK: Więc tak. Generalnie trochę tutaj można powiedzieć zdobyłem doświadczenia nawet do tego stopnia, że z naszymi klientami, z którymi się spotykamy i z naszego studia jest transmisja. Po raportach, testach bezpieczeństwa dyskutujemy pewne błędy albo no właśnie, prowadzimy jakieś tam szkolenia czy wykłady dla kilku klientów. Tak na koniec, w sekcji Q&A zadaję pytanie: „A tak zupełnie z innej beczki, to jak zrobić, żeby tak wyglądać w trakcie wideokonferencji, tak brzmieć?”. No i tutaj pojawia się 15 minutowy wywód i kilku z takich klientów, którzy kupowali od nas usługi bezpieczeństwa, zakupiło u nas, nieformalnie, usługę „Mini domowe studio”, po to, żeby pracownicy, przynajmniej wybrani, mogli prowadzić i zakupić odpowiedni sprzęt, i prowadzić wideokonferencje w no takim stylu, który naprawdę po drugiej stronie jak się spotykamy, to budzi mały zachwyt, tak? Bo jest rozmyte tło, jest wyraźna postać, ona dobrze brzmi a okazuje się, że znowu nie trzeba wielkich pieniędzy, żeby to zrobić. Trik polega tutaj, w tym przypadku, nie na sprzęcie, o którym większość osób myśli, czyli mikrofonach, jakichś mikserach albo drogich kamerach, tylko przede wszystkim na oświetleniu. I to jest ten mały sekret, że jak się wie, jak ustawić lampkę, to może nawet ze starego iPhona zrobić dość profesjonalnie wyglądającą kamerę, niskim kosztem. A jak się nie wie, jak ustawić światło, to można z bardzo drogiej profesjonalnej kamery za kilkanaście tysięcy złotych zrobić coś, co wygląda fatalnie.
PJ: Dalej odsłaniając trochę kuchnię naszego nagrania wspominałeś, że jesteś z Krakowa, co więcej przebywasz w tej chwili w Krakowie, ja przebywam w Warszawie i to jest pierwszy odcinek „Transakcji z pasją”, które jest nagrywane zdalnie. Nasze urządzenia są ze sobą połączone, jakkolwiek to nie zabrzmi, czy w ten sposób da się shakować mixer?
PK: Moglibyśmy spróbować zrobić pewne brzydkie doświadczenie, tylko z szacunku dla twoich uszu myślę, że nie będę tego nawet próbował, bo są różne dźwięki, które można podesłać po to, żeby takie urządzenie, mówiąc wprost przeciążyć. Aczkolwiek my pracujemy na tych samych urządzeniach jak się okazało, bo ja widziałem zdjęcie z nagrania, z kulis nagrania podcastu z Michałem Kluską i Michał tam był, przy twoim „rodecasterze”. Ja jestem na tym samym rozwiązaniu, także te nasze inteligentne rozwiązania mają specjalne funkcje, które limitują pewne rzeczy. One są domyślnie włączone, więc raczej byłoby ciężko.
Aczkolwiek, wiesz. No, każde urządzenie, tak naprawdę, pod spodem ma jakieś oprogramowanie. Szczerze mówiąc, teraz aż mi trochę wstyd, bo ja nie myślałem o tym, czy dałoby się tego „rodecaster’a” jakoś podejść. Zawsze korzystałem z niego jako z młotka do wybijania gwoździ, czyli osiągnięcia celu, ale rzeczywiście, choć on bezpośrednio dostępu do Internetu nie ma, no to prawdopodobnie on przyjmuje jako sygnał wejściowy pewne informacje, no i zawsze na tym to polega. Bezpieczeństwo na tym polega, że w danych wejściowych pojawiają się niespodziewane rzeczy. Jeśli… to tak wybiegając może trochę w… odskakując jakby od tej ścieżki audio, jest takie rozwiązanie bardzo popularne do zgrywania danych ze smartfonów, z komputerów, w celach dowodowych. Zabezpieczamy sobie informacje, żeby wiedzieć, czy na przykład dany pracownik dokonał świadomie, nieświadomie infekcji urządzenia, wyprowadzenia danych, musimy zabezpieczyć te ślady. Obrazowo mówiąc, podpina się jego urządzenie odpowiednim kablelkiem, do odpowiedniej walizeczki i następuje ekstrakcja tych danych.
No i co się okazuje? Okazuje się, że ponieważ to urządzenie można powiedzieć, że zgrywa kopiuje dane po kolei, ale jednak, w jakiś tam sposób interpretuje. No, musi wiedzieć co zgrywa, odpowiednio je później segreguje itd. To jest możliwe, co pokazali ostatnio badacze notabene powiązani z jednym z komunikatorów do bezpiecznej komunikacji. Oni pokazali, że można tak przygotować swoje urządzenie, że jeśli ktoś taką popularną walizeczkę jednego producenta, którego nazwy tu nie wymienię, podepnie i ona zacznie zgrywać dane w celach dowodowych, to można sprawić, że ta walizeczka te dane zgra w zły sposób. Nie zgra wszystkich danych, więc tutaj ktoś kto potencjalnie ma coś na sumieniu mógłby sobie taką pułapeczkę przygotować właśnie po to, żeby nawet jeśli wpadnie i żeby się trochę, można powiedzieć oczyścić z zarzutów, udostępni swoje urządzenia do ekstrakcji danych, bo przecież nie ma nic do ukrycia, no to rzeczywiście będzie wyglądało jakby nie miał nic do ukrycia, a jednak będzie to jego sprytny plan polegający na tym, że zmodyfikuje to, co te urządzenia do extrakcji danych widzą. Więc, jak najbardziej, wszystko, co przyjmuje jakieś dane, może być nadużyte. Większość ataków na tym dokładnie polega, że do miejsca, pola, które przyjmuje jakieś dane, wprowadzamy nie tylko te dane, ale również tzw. znaki kontrolne i ta aplikacja, która te dane przetwarza nagle zaczyna rozumieć ten język znaków kontrolnych, i robi różne rzeczy, na przykład pakuje nam całą bazę danych i wystawia w pliku do ściągnięcia, pobrania. Mówimy tutaj o ataku chociażby popularnym SQL Injection, który już nie powinien się zdarzać, ale jednak wciąż się zdarza. To są takie błędy w aplikacjach, z którymi na co dzień my mamy doświadczenia i które nadużywamy.
PJ: Na pewno nasi słuchacze zwrócili uwagę, że to co przed chwilą powiedział Piotr doskonale wpisało się w to, co powiedziałem na początku, że pierwszą główną pasją naszego gościa jest cyberbezpieczeństwo i ochrona danych.
PK: Mam nadzieję, że zwrócili uwagę.
Autorski słownik transakcyjny
PJ: Przywilejem gościa „Transakcji z pasją” jest możliwość sformułowania własnego hasła do autorskiego „słownika transakcyjnego”. Piotrze, jakie hasło chciałbyś tam dodać?
PK: Najchętniej to bym dodał hasło, które brzmi „aaaaaaa” i zupełnie nic nie znaczy, ale dosztukujemy do niego informacje, że jest to pierwsze hasło, które się sprawdza przy łamaniu haseł, a dodaję je tylko po to, żeby być na górze twojego słownika. I na tym właśnie polega „hacking”. Whakowałem się na pierwszą pozycję, dlatego że wybrałem takie słowo, które przy alfabetycznym sortowaniu będzie na początku. Chociaż teraz tak myślę, że może być jakiś cwaniak później po mnie, który pomyśli o zerze, więc dla porządku … zero na początku tego ciągu.
PJ: Albo wykrzyknik.
PK: Albo wykrzyknik. Cokolwiek po czym startujesz, niech to będzie pierwsze.
I to byłoby takie dowcipne. Natomiast, jeśli ktoś rzeczywiście chciałby poznać jakieś słowo, które jest powiązane z tą branżą i może zmienić jego życie, czyli jest takie sensowne, to ja bym tutaj wspomniał taki 3 znakowy skrót ” U2F”. Sporo z nas pewnie słyszało już wiele razy, chociażby w kontekście „GDPR”, czy „RODO”, o tzw. dwuskładnikowym uwierzytelnieniu. Czyli podczas logowania do jakiegoś konta nie tylko podajemy login i hasło, ale również coś jeszcze np. kod z aplikacji, kod z SMS-a. „U2F” to nie jest kod z aplikacji, to nie jest kod z SMS-a, bo zarówno kod z aplikacji, taki jak „Google Authenticator„, czy właśnie kod z SMS-a można przechwycić.
Da się je obejść. „PSD2”, dyrektywa, która jest w bankach stosowana od niedawna do większej ochrony kont użytkowników, polega właśnie na tym, że podczas logowania przepisujemy jeszcze np. jakiś dodatkowy kod. To da się obejść. Przestępcy zresztą już to robią. Natomiast „U2F”, to jest rozwiązanie, które bazuje na tokenie sprzętowym. Takim można powiedzieć a’la pendrive, który się wtyka w port USB i podczas logowania dotyka. I ten kluczyk, trudne słowo, wykorzystuje kryptografię asymetryczną do tego, żeby porozumieć się z serwisem, do którego się logujemy.
Jeśli my w przypływie upojenia winem albo nadwyżką kawy, będziemy się logowali na złej stronie internetowej, damy się podejść. A to każdego absolutnie każdego może spotkać, nawet szefów zespołów bezpieczeństwa to spotyka podczas kontrolowanych ataków, wierzcie mi. To gdybyśmy nawet chcieli się dać shakować, podamy ten login i hasło, włożymy ten klucz i go naciśniemy, to nic złego się nie stanie. Dlatego że chociaż przestępca odbierze na swojej fałszywej stronie dane z tego klucza, to nie będzie w stanie tych samych danych, które odebrał, wpuścić do serwisu prawdziwego. One nie będą miały znaczenia dlatego, że ten klucz swoimi elektronicznymi oczkami w odpowiedzi zaszył prawdziwy adres strony, na której ktoś się logował, ten adres z literówką, ten błędny adres. No i prawdziwa strona po prostu takiej odpowiedzi nie przyjmie. Na tym polega przewaga „U2F” nad „2F2”, czyli „Second Factor”- dwuskładnikowym uwierzytelnieniem. „U2F” jest jednym z elementów, jednym z rodzajów dwuskładnikowego uwierzytelnienia, tym najbezpieczniejszym, które naprawdę, w stu procentach chroni przed „phishingiem”. Także polecam, zwłaszcza prawnikom, za kliknięcie, gdzieś zakupienie takiego kluczyka po to, żeby chronić swoje skrzynki mailowe, zwłaszcza że akurat nagrywany ten odcinek w momencie, kiedy na jaw wyszło coś, co dwa tygodnie temu pojawiło się w podziemnym forum internetowym dla polskich cyberprzestępców, a mianowicie ogłoszenie na temat sprzedaży dostępów do prywatnych skrzynek polskich adwokatów. Osoba, która to ogłoszenie opublikowała twierdzi, że pozyskała takie dane dostępowe z portalu dla adwokatów, ma te dane. I do skrzynek prywatnych adwokatów, którzy prawdopodobnie mieli konta w tym portalu, i mieli prawdopodobnie to samo hasło do swoich prywatnych skrzynek, na które zarejestrowali te konta. Tej osobie rzekomo udało się dostać i taki dostęp sprzedaje od tysiąca do pięciu tysięcy złotych. Więc gdyby te osoby, gdyby ci adwokaci posiadali klucz „U2F” iswój dostęp do konta na mailu, na portalu społecznościowym, chronili „U2F”-em, to ten biedny atakujący mógłby tylko rozłożyć ręce, bo nie byłby w stanie nawet po poznaniu hasła dostać się do ich zasobów i uchroniłby ich przed kompromitacją na polu zawodowym i prywatnym.
PJ: Szanowni państwo i to jest jeszcze jeden powód, dlaczego warto wykonywać zawód radcy prawnego, a nie być adwokatem.
Nominacje
PJ: Piotrze, Michał Kluska uczynił mi ten zaszczyt i zaprosił ciebie do „Transakcji z pasją”. Czy chciałbyś zaprosić jakąś osobę do jednego z kolejnych programów?
PK: Tak, chciałbym. Jedną z takich osób, która przychodzi mi momentalnie na myśl, w kontekście naszej dzisiejszej rozmowy, zwłaszcza tych wątków szpiegowskich jest Tomek Awłasewicz, autor książek o kontrwywiadzie. Osoba, która chyba spędza cały swój wolny czas w archiwach IPN-u, i która doskonale zna wartość informacji i to jak tą informację na przestrzeni lat chroniono, w kontekście naprawdę kluczowych transakcji. Mówimy tutaj o transakcjach istotnych, jeśli nie najbardziej istotnych dla bezpieczeństwa państwa. Więc myślę, że będzie idealną osobą, która poszerzy ten zajawiony przeze mnie temat technicznej ochrony bezpieczeństwa transakcji, pod kątem takiego może trochę historycznego rysu, a może trochę takich technik właśnie z pogranicza tego, do czego zdolne już były kilka lat temu służby, co ładnie uświadomi nam, że być może to co dzisiaj tak mówiłem, że jest mało prawdopodobne jako science fiction, to rzeczywiście w przypadku przestępców jest nieosiągalne, ale jak słucha nas ktoś z oficerów wywiadu, to pewnie zanosi się śmiechem i mówi: „Panie, to, to robiliśmy już 20 lat temu”.
PJ: Potrzymaj piwo!
PK: Dokładnie tak. Dokładnie tak.
PJ: Gościem „Transakcji z pasją” był Piotr Konieczny.
Na „Transakcje z pasją” zaprosił Piotr Jackowski.