To jedno z najgłośniejszych nazwisk w cyberprzestrzeni. Piotr Konieczny, pentester, twórca niebezpiecznik.pl jest dobrze znany czytelnikom, którzy dbają o swoje bezpieczeństwo w sieci. Ci, którzy nie dbają, prędzej lub później go poznają - gdy dadzą się oszukać i będą potrzebowali pomocy.
Czy afera związana z wyciekiem danych z Facebooka pokazała, że Polacy są technologicznymi ignorantami?
Po pierwsze - to nie był wyciek, a po drugie "afera Cambridge Analytica" bardziej dotyczyła osób mieszkających poza Polską, bo to one głównie brały udział w quizie stworzonym przez pracowników tej firmy.
Przyznaję jednak, że zjawisko, które dla większości osób z branży było od dawna znane, dzięki skandalowi z Cambridge Analytica zostało tak nagłośnione, że nareszcie dotarło do zwykłych użytkowników. Internauci w końcu zdali sobie sprawę, że wszystko co umieszczają w sieci na swój temat (oni sami jak i ich znajomi) może być łatwo pozyskane i wykorzystane do "profilowania". Do części osób w końcu dotarło, że nie ma darmowych usług - a jeśli z takich korzystają, to płacą za nie swoimi danymi. To oni są produktem.
Czy internet stał się już tak niebezpiecznym miejscem, że musimy uważać na każde swoje kliknięcie?
Od początku internetu trzeba uważać na to co się klika. Wejście na złośliwą stronę internetową może zakończyć się podglądaniem nas przez kamerkę lub zaszyfrowaniem plików na naszym dysku. Dwa najpopularniejsze zagrożenia, na jakie jesteśmy narażeni w sieci, czyli phishing i malspam (e-maile ze złośliwymi załącznikami) są groźne tylko i wyłącznie dlatego, że bez większego zastanowienia klikamy odpowiednio w linki albo w załączniki. I ujawniamy swoje hasła na złych stronach lub infekujemy swój komputer złośliwym oprogramowaniem.
Media każdego dnia informują o kradzieży danych albo okradaniu kont bankowych, a wśród haseł wciąż króluje 123456. Jak to możliwe?
To prawda, że dane wyciekają. I RODO tego nie zmieni. Dalej dane będą wyciekać. Mógłbym się nawet założyć z każdym z Czytelników, że jeśli z internetu korzysta od kilku lat, posiada więcej niż 20 kont w popularnych serwisach, to jego dane już dawno wyciekły. Przytoczę jedne z najciekawszych wycieków: wykradziono całą bazę użytkowników LinkedIn, część haseł użytkowników Twittera, a w Polsce wyciekały dane z największych operatorów telefonii komórkowej, baza danych firmy Inpost, operatora Paczkomatów, czy też informacje na temat wyników badań i hospitalizacji nie wiadomo jak wielkiej liczby pacjentów oraz informacje z niektórych banków.
Dlatego tak ważne jest, aby każdy miał unikatowe hasła. Różne do różnych kont. Wtedy wyciek czy włamanie na jedno z kont, nie pozwoli atakującemu na "sprawdzenie" czy ofiara miała takie samo hasło na innym serwisie. Niestety, Polacy w większości stosują to samo hasło do wielu serwisów, znacznie ułatwiając robotę włamywaczom. A w dodatku hasła nie należą do najtrudniejszych. Królują imiona i rzeczowniki zakończone cyfrą (jeśli jest wymagana) lub znakiem specjalnym, najczęściej wykrzyknikiem. Popularność hasła 123456 jest ogromna, ale na szczęście w większości przypadków hasło to jest wykorzystywane do "testowych" kont, zakładanych tylko na chwilę i niezawierających ważnych informacji.
Czy jeżeli padniemy ofiarą oszustwa przez swoje gapiostwo/naiwność, mamy szansę na odzyskanie pieniędzy?
Jest to możliwe, o ile zareagujemy szybko i będziemy wiedzieli co robić. Przestępcy oszukują na wiele sposobów, ale najpopularniejsze z nich polegają na wyłudzeniu przez SMS Premium (po prostu je zablokujmy zawczasu!) lub nieautoryzowanym dostępie do naszego konta w bankowości online. Tu warto pamiętać, że niektóre przelewy wychodzące można reklamować i czasami bankowi uda się takie pieniądze zablokować, nawet jeśli już nie widzimy ich na swoim rachunku.
Coraz popularniejsza stają się też fałszywe sklepy internetowe. Tu warto zapamiętać prostą zasadę: zawsze płać za pobraniem lub kartą płatniczą. W przypadku karty płatniczej zawsze możemy wykonać tzw. CHARGEBACK, czyli dokonać reklamacji transakcji wykonanej kartą płatniczą. Nie tylko jeśli produkt do nas nie dotrze, ale także wtedy, jeśli różni się od tego, co jak był opisywany. Tej mało znanej, a bardzo skutecznej metodzie ochrony swoich pieniędzy poświęciliśmy 2 odcinek naszego niebezpiecznikowego podcastu "Na Podsłuchu". Poza opisem tego jak bezpiecznie kupować w internecie, doradzamy, jak odpowiednio skonfigurować swoje konto w bankowości online, aby maksymalnie utrudnić zadanie złodziejowi. Możliwości jest wiele - niestety, większość z nas w ogóle z nich nie korzysta.
Niebezpiecznik co chwile z pomocą czytelników obnaża luki w zabezpieczaniach polskich firm? Jakie są ich reakcje?
Różne. Niektóre firmy dziękują za informacje i od razu biorą się do usuwania przyczyny i/lub skutków incydentu a nawet potrafią nagrodzić znalazcę błędu. Inne unikają kontaktu lub nawet starają się zamieść sprawę pod dywan. W ekstremalnych przypadkach firmy, z których wykradziono dane próbują nas straszyć swoimi prawnikami i wymuszać odstąpienie od publikacji artykułu na temat wycieku. A to trochę jak włożenie kija w mrowisko - bo nie zawsze chcemy opisywać n-ty wyciek z kolejnego mało znanego serwisu - po prostu nie znajdujemy w nim niczego ciekawego, choć firmę informujemy, aby mogła usunąć dziurę.
Jeśli jednak rozmówca jest agresywny lub łapiemy go na kłamstwie, to wtedy pojawia się ten ciekawy element w nudnej do tej pory historii, który zawsze mobilizuje nas do szybkiej publikacji artykułu. Teraz, po zmianie przepisów, już nie tylko my jako prasa, a również same firmy będą miały obowiązek wystosowania ostrzeżenia do swoich klientów, jeśli ich dane zostały wykradzione. I to jest bardzo przyjemna strona RODO.
Jak polskie firmy wyglądają pod kątem zabezpieczeń na tle Europy?
Różnie. Jedne lepiej, drugie gorzej. Współpracujemy z fatalnie zabezpieczonymi dużymi klientami spoza Polski jak i świetnie zabezpieczonymi małymi polskimi firmami. I na odwrót: zdarza się, że duzi klienci w Polsce mają najbardziej podstawowe dziury, a małe zagraniczne firmy są lepiej zabezpieczone od internetowych banków. Wszystko zależy od świadomości pracowników i zarządu. Choć mimo wszystko najbardziej zabezpieczone są te branże, które są odgórnie regulowane, czyli ktoś ustawą wymusił na nich pewne poziomy bezpieczeństwa.
Podaj przykład etycznego hakowania.
Dziś każdy może być etycznym hakerem. Największe firmy pozwalają się atakować i płacą za znalezione błędy. Warunek jest jeden: po znalezieniu błędu trzeba go firmie zgłosić i trzymać w tajemnicy do momentu usunięcia dziury. Znamy ludzi w Polsce, którzy utrzymują się z takiego etycznego szukania błędów.
Pentester, nawet z umową na wykonywanie (prewencyjne) ataków, nie jest prawnie bezpieczny?
Jeśli trzyma się zapisów umowy, to jest bezpieczny. Właśnie dlatego zawsze warto taką umowę podpisać. Ale nawet po podpisaniu umowy, umiejętne (tj. bezpieczne dla pentestera) przeprowadzenie symulacji ataku to niełatwe zadanie. Z jednej strony trzeba działać jak prawdziwy włamywacz, który zawsze idzie po trupach do celu, z drugiej strony trzeba uwzględnić obawy biznesowe klienta, dostosowując się m.in. do okienek czasowych, w których klient "pozwala" na atak i stronić od uszkodzenia po drodze infrastruktury, która do klienta nie należy (np. rozwiązań po stronie serwerowni czy operatora łącz).
Jak zwykle, potrzebna jest wyobraźnia i doświadczenie. Po znalezieniu błędu w serwisie internetowym klienta nie musimy od razu kasować wszystkich danych - aby pokazać, że mamy nad nimi całkowitą kontrolę wystarczy podmienić jeden rekord, klient zrozumie w czym rzecz, a serwis dalej może funkcjonować bez przestoju. Choć "włamujemy się" do sieci naszych klientów od ponad 8 lat i wciąż potrafi nas zaskoczyć coś, czego nie reguluje umowa podpisana z klientem. I to jest chyba najpiękniejsze w tej pracy - trzeba zawsze być czujnym i wpadać na kreatywne rozwiązania.
Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl, firmy zajmującej
się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów
bezpieczeństwa w ich infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi
włamywacze.