Według niego twoje dane już dawno wyciekły. "Polacy ułatwiają włamywaczom robotę"

Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl
Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl Fot. Niebezpiecznik.pl
To jedno z najgłośniejszych nazwisk w cyberprzestrzeni. Piotr Konieczny, pentester, twórca niebezpiecznik.pl jest dobrze znany czytelnikom, którzy dbają o swoje bezpieczeństwo w sieci. Ci, którzy nie dbają, prędzej lub później go poznają - gdy dadzą się oszukać i będą potrzebowali pomocy.


Czy afera związana z wyciekiem danych z Facebooka pokazała, że Polacy są technologicznymi ignorantami?

Po pierwsze - to nie był wyciek, a po drugie "afera Cambridge Analytica" bardziej dotyczyła osób mieszkających poza Polską, bo to one głównie brały udział w quizie stworzonym przez pracowników tej firmy.

Przyznaję jednak, że zjawisko, które dla większości osób z branży było od dawna znane, dzięki skandalowi z Cambridge Analytica zostało tak nagłośnione, że nareszcie dotarło do zwykłych użytkowników. Internauci w końcu zdali sobie sprawę, że wszystko co umieszczają w sieci na swój temat (oni sami jak i ich znajomi) może być łatwo pozyskane i wykorzystane do "profilowania". Do części osób w końcu dotarło, że nie ma darmowych usług - a jeśli z takich korzystają, to płacą za nie swoimi danymi. To oni są produktem.

Czy internet stał się już tak niebezpiecznym miejscem, że musimy uważać na każde swoje kliknięcie?


Od początku internetu trzeba uważać na to co się klika. Wejście na złośliwą stronę internetową może zakończyć się podglądaniem nas przez kamerkę lub zaszyfrowaniem plików na naszym dysku. Dwa najpopularniejsze zagrożenia, na jakie jesteśmy narażeni w sieci, czyli phishing i malspam (e-maile ze złośliwymi załącznikami) są groźne tylko i wyłącznie dlatego, że bez większego zastanowienia klikamy odpowiednio w linki albo w załączniki. I ujawniamy swoje hasła na złych stronach lub infekujemy swój komputer złośliwym oprogramowaniem.

Media każdego dnia informują o kradzieży danych albo okradaniu kont bankowych, a wśród haseł wciąż króluje 123456. Jak to możliwe?


To prawda, że dane wyciekają. I RODO tego nie zmieni. Dalej dane będą wyciekać. Mógłbym się nawet założyć z każdym z Czytelników, że jeśli z internetu korzysta od kilku lat, posiada więcej niż 20 kont w popularnych serwisach, to jego dane już dawno wyciekły. Przytoczę jedne z najciekawszych wycieków: wykradziono całą bazę użytkowników LinkedIn, część haseł użytkowników Twittera, a w Polsce wyciekały dane z największych operatorów telefonii komórkowej, baza danych firmy Inpost, operatora Paczkomatów, czy też informacje na temat wyników badań i hospitalizacji nie wiadomo jak wielkiej liczby pacjentów oraz informacje z niektórych banków.



Niebezpiecznik co chwile z pomocą czytelników obnaża luki w zabezpieczaniach polskich firm? Jakie są ich reakcje?

Różne. Niektóre firmy dziękują za informacje i od razu biorą się do usuwania przyczyny i/lub skutków incydentu a nawet potrafią nagrodzić znalazcę błędu. Inne unikają kontaktu lub nawet starają się zamieść sprawę pod dywan. W ekstremalnych przypadkach firmy, z których wykradziono dane próbują nas straszyć swoimi prawnikami i wymuszać odstąpienie od publikacji artykułu na temat wycieku. A to trochę jak włożenie kija w mrowisko - bo nie zawsze chcemy opisywać n-ty wyciek z kolejnego mało znanego serwisu - po prostu nie znajdujemy w nim niczego ciekawego, choć firmę informujemy, aby mogła usunąć dziurę.

Jeśli jednak rozmówca jest agresywny lub łapiemy go na kłamstwie, to wtedy pojawia się ten ciekawy element w nudnej do tej pory historii, który zawsze mobilizuje nas do szybkiej publikacji artykułu. Teraz, po zmianie przepisów, już nie tylko my jako prasa, a również same firmy będą miały obowiązek wystosowania ostrzeżenia do swoich klientów, jeśli ich dane zostały wykradzione. I to jest bardzo przyjemna strona RODO.

Jak polskie firmy wyglądają pod kątem zabezpieczeń na tle Europy?

Różnie. Jedne lepiej, drugie gorzej. Współpracujemy z fatalnie zabezpieczonymi dużymi klientami spoza Polski jak i świetnie zabezpieczonymi małymi polskimi firmami. I na odwrót: zdarza się, że duzi klienci w Polsce mają najbardziej podstawowe dziury, a małe zagraniczne firmy są lepiej zabezpieczone od internetowych banków. Wszystko zależy od świadomości pracowników i zarządu. Choć mimo wszystko najbardziej zabezpieczone są te branże, które są odgórnie regulowane, czyli ktoś ustawą wymusił na nich pewne poziomy bezpieczeństwa.

Podaj przykład etycznego hakowania.

Dziś każdy może być etycznym hakerem. Największe firmy pozwalają się atakować i płacą za znalezione błędy. Warunek jest jeden: po znalezieniu błędu trzeba go firmie zgłosić i trzymać w tajemnicy do momentu usunięcia dziury. Znamy ludzi w Polsce, którzy utrzymują się z takiego etycznego szukania błędów.

Pentester, nawet z umową na wykonywanie (prewencyjne) ataków, nie jest prawnie bezpieczny?

Jeśli trzyma się zapisów umowy, to jest bezpieczny. Właśnie dlatego zawsze warto taką umowę podpisać. Ale nawet po podpisaniu umowy, umiejętne (tj. bezpieczne dla pentestera) przeprowadzenie symulacji ataku to niełatwe zadanie. Z jednej strony trzeba działać jak prawdziwy włamywacz, który zawsze idzie po trupach do celu, z drugiej strony trzeba uwzględnić obawy biznesowe klienta, dostosowując się m.in. do okienek czasowych, w których klient "pozwala" na atak i stronić od uszkodzenia po drodze infrastruktury, która do klienta nie należy (np. rozwiązań po stronie serwerowni czy operatora łącz).

Jak zwykle, potrzebna jest wyobraźnia i doświadczenie. Po znalezieniu błędu w serwisie internetowym klienta nie musimy od razu kasować wszystkich danych - aby pokazać, że mamy nad nimi całkowitą kontrolę wystarczy podmienić jeden rekord, klient zrozumie w czym rzecz, a serwis dalej może funkcjonować bez przestoju. Choć "włamujemy się" do sieci naszych klientów od ponad 8 lat i wciąż potrafi nas zaskoczyć coś, czego nie reguluje umowa podpisana z klientem. I to jest chyba najpiękniejsze w tej pracy - trzeba zawsze być czujnym i wpadać na kreatywne rozwiązania.

Piotr Konieczny, szef zespołu bezpieczeństwa niebezpiecznik.pl, firmy zajmującej
się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów
bezpieczeństwa w ich infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi
włamywacze.

Znajdź nas na Znajdź nas na instagramie

Oceń ten artykuł:

Trwa ładowanie komentarzy...
0 0Zrobił aplikację, bo chciał pomóc mamie. Okazała się takim hitem, że rzucił pracę i założył firmę
DZIEJE SIĘ 0 0Jak ministerstwo mogło płacić za usługi trolli? Detektyw ujawnia możliwe scenariusze
DZIEJE SIĘ 0 0Przepis PiS-u na bezkarność. Człowiek partii na czele najważniejszego organu kontroli w państwie
BIZNES 0 0Para Polaków zrobiła biznes... na psich głowach. Sprzedają swoje rzeźby na całym świecie
0 0Stoją w kolejkach, kupują buty i sprzedają je drożej. Na parze zarabiają nawet 5 tys. zł