Relacja z konferencji What The H@ck (1 grudnia 2018)

Szacunkowy czas czytania: 7 minut

 

Na tę konferencję czekałam od października 🙂 Spory rozmach, szeroki wybór ścieżek oraz tematów, fajni prelegenci, strefa wystawców, bifor w willi, pizza i koszulka 🙂 Bonusowo – towarzystwo kolegów z pracy.
Mowa oczywiście o What The H@ck, która miała miejsce dziś (1 grudnia 2018) w Warszawie.

Ale wracając do meritum – konferencję organizowała Zaufana Trzecia Strona. Idea była prosta – ma być w miarę tanio i tak, by każdy znalazł coś dla siebie. Moim zdaniem idea została wdrożona z powodzeniem. Bilet kosztował 199 zł (w tym pizza i koszulka). Ścieżek było siedem + ósma przeznaczona na luźne rozmowy (Lightning Talks). Przy takiej klęsce urodzaju, ciężko było się zdecydować, w których wykładach uczestniczyć. Aby ograniczyć zamieszanie i ewentualne problemy z brakiem miejsc, organizatorzy zadbali o wcześniejsze zapisy. Przed wejściem do danej auli, należało się „wylegitymować” wygenerowaną uprzednio agendą.

Klimat Willi Matrix

Preparty odbywało się w piątek 30 listopada 2018 w Willi Matrix. Klimat żywcem wyjęty z krakowskiego Kazimierza (coś jak Alchemia i Siger). W moim odczuciu miejsce było świetne (choć lekko ciasne), ceny przystępne, a szatnia to trochę namiastka escape roomu!

I

Na konferencję dotarłam około 9:15. Po odebraniu identyfikatora udałam się na wystąpienie do auli głównej, czyli na „3 mity CYBERbezpieczeństwa” Piotra Koniecznego z Niebezpiecznika. Było to już drugie wystąpienie Piotra, w którym uczestniczyłam (wcześniej na InfoShare, o czym można przeczytać tutaj). I tym razem nie zawiodłam się. Było sporo śmiechu i trollingu uczestników.
Od razu widać, kto nie czyta regularnie Niebezpiecznika, ponieważ, gdy na prezentacji pojawił się (złośliwy) kod QR, to ponad 40 osób zdecydowało się go zeskanować telefonami. Jest to oczywiście najlepsza, szokowa forma edukacji, dlatego wielkie brawa za pomysł 🙂
Kolejnego edukacyjnego trollingu Niebezpiecznika można było doświadczyć wypełniając ankietę konkursową. W jej dolnej części widniały trzy różne zgody z checkboxami oraz większy checkbox „Akceptuję wszystkie poniższe zgody”. Ciekawa jestem ile osób bez przeczytania tych pozostałych zgód, zaznaczyło dużą kratkę. A ostatnia zgoda brzmiała „Wyrażam zgodę na zrobienie mi zdjęcia z przyklejoną na czole naklejką Niebezpiecznik.pl i jego rozpowszechnianie.” Mistrzostwo.

Oprócz heheszków, Piotr przedstawił trzy mity cyberbezpieczeństwa:

  • płacenie w internecie kartami jest niebezpieczne – Nie jest o ile płacimy kartą kredytową. Karty kredytowe mają chargeback (potwierdzam – kolega odzyskał pieniądze, które stracił w wyniku phishingu udającego Udemy). Dodatkowo został obalony kolejny mit na temat nabijania po 50 zł z kart zbliżeniowych, np. w autobusie, w tłumie. Oczywiście jest to możliwe, ale nieopłacalne. Wszelkie super osłonki na zbliżeniówki nie mają sensu. A na stoisku Niebezpiecznika można było otrzymać osłonkę z napisem „Ta osłonka NIE wpływa na bezpieczeństwo Twojej karty” (patrz zdjęcie z gadżetami poniżej).
  • podglądanie przez kamerkę w laptopie – Jak wyżej, jest to możliwe, ale kłopotliwe. Częściej jesteśmy atakowani ransomware niż ktoś na tyle się natrudzi, by przejąć naszą kamerkę. Uczciwie w tym miejscu wyznaję, że sama mam przesuwaną zaślepkę na kamerkę. Dla spokoju wewnętrznego 🙂 A po dzisiejszym wykładzie zakupię sobie privacy screen.
  • wycieki danych dotyczą tylko wybranych grup użytkowników – przy tym micie, musieliśmy wszyscy wstać i następnie usiąść, gdy pojawiło się logo usługi (portalu, banku, operatora mobilnego, kuriera), z których korzystamy. Okazało się, że wszyscy otarli się wyciek danych, ponieważ praktycznie każdy korzystał lub korzysta z usług firmy/marki, która doświadczyła incydentów związanych z wyciekiem.

Bardzo fajną analizą było przedstawienie statystyk ataków wiewiórek oraz cyberataków. Liczby mówią same za siebie – wiewiórki są bardziej niebezpieczne dla systemów (np. przegryzają kable) niż cyberataki. Ma to sens. Wiele osób się próbuje zabezpieczać w sieci, ale podejmuje nieadekwatne środki. Nie mówiąc o tych, którzy nie podejmują żadnych środków.


Gadżety Niebezpiecznika – jak zwykle pomysłowo

II

Kolejnym wystąpieniem na scenie głównej było „Nie znam się na bezpieczeństwie” – występował Adam Haertle z Zaufanej Trzeciej Strony. To był kolejny must hear, ponieważ Adam oczarował mnie już na #BSides Warsaw (o czym możecie przeczytać tutaj).
Pojawiło się kilka kolejnych mitów: o  złudnym poczuciu bezpieczeństwa, gdy widzimy zieloną kłódkę przy adresie strony, o bezpieczeństwie otwartych wifi w kawiarniach, podsłuchiwaniu przez Facebooka. Potwierdziłam swoją wiedzę na temat tego, że Gmail, Signal i iPhone są dobrymi wyborami 🙂
Ważnymi konkluzjami prezentacji było to, że bezpieczeństwo powinno być proste, niewidoczne (nieprzeszkadzające użytkownikom), praktyczne, dostosowane do świadomości i potrzeb użytkowników. A więc – nie trujmy zbyt intensywnie naszych nietechnicznych znajomych… ponieważ mogą się całkiem zrazić do tematu.


III

Rzutem na taśmę opiszę teraz prezentację „Zagubione Ogniwo”, którą wraz z Adamem Haertle prowadził Przemysław Dęba z Orange. Była to prezentacja w ramach ścieżki Malware, na której zostałam do końca mojego pobytu na What The Hack.
Ze względu na to, że ataki na e-maile to wciąż ulubiony kanał przestępców, Adam i Przemysław przeprowadzili testy polskich dostawców bezpłatnych usług e-mailowych (np. WP, O2) i zestawili wyniki z testami Gmaila. Nie muszę chyba mówić, że Gmail obronił się na wszelkich frontach, a nasze polskie rozwiązania nie przeszły testów pozytywnie. A na sam koniec, nie ustosunkowały się do wyników testów (panowie wysłali do nich prośbę o wyjaśnienia tej sytuacji, przedstawiając wyniki testów).
W ogólnym skrócie, testowo na adresy w polskich domenach wysłane zostały złośliwe maile. Szczegółowa analiza będzie niebawem opublikowana na Zaufanej Trzeciej Stronie. Polecam śledzić!
A z ciekawostek – dowiedziałam się, że symbol @ pojawił się już w 1536 roku we Włoszech, a także, że bezpieczeństwo niebawem stanie się nauką humanistyczną (nauką o człowieku, ze względu na szerokie aspekty socjotechniczne).


IV

Kolejna prezentacja była bardzo techniczna i z działki mi nieznanej. Dotyczyła sieci przemysłowych – „Co w OT piszczy – bezpieczeństwo sieci technologicznych z perspektywy różnych warstw modelu OSI” (Adam Bojarski, Dariusz Gońda z CERT ENEA). Prelegenci porównywali protokoły sieci OT  i IT. Największą bolączką protokołów OT jest to, że nie są szyfrowane, a awarie sieci przemysłowych są znacznie bardziej kosztowne, niż awarie IT. Urządzenia przemysłowe mają mało pamięci, stosowanie SSL skutkuje zużyciem sporych zasobów, co jest dla nich niekorzystne. Z punktu widzenia specjalisty IT, brzmiało to wszystko tak, jakby za chwilę groził nam masowy atak na sieci przemysłowe. Prelegenci zapewnili jednak, że nie musimy się aż tak obawiać.
* OT (Operational Technology) – sieć przemysłowa, IT (Information Technology) – technologia informacyjna


V

Bardzo przyjemnym, lekkim, ale przepełnionym praktycznymi przykładami było wystąpienie „Dlaczego mój komputer działa tak wolno? O potencjalnie niepożądanych aplikacjach słów kilka.” (Kacper Szurek, ESET). Prelegent przedstawił całe spektrum przypadków, gdy wraz z jakimś darmowych oprogramowaniem, instaluje się nam „jeszcze coś”. A to „coś” to mogą być reklamowe dodatki do przeglądarek, programiki antywirusowe (które potem udają systemowe alerty i wymuszają zakup bezużytecznych licencji), koparki kryptowalut. Tak dodane niespodzianki ciężko się usuwa (np. blokują wejście do zakładki zarządzającej dodatkami, generują niewidoczne ikonki na pasku). Na tych przykładach widać jak na dłoni, jak bardzo dobrze (i coraz lepiej) się ma socjotechnika. Twórcy tych kampanii są w stanie nakłonić użytkowników do instalacji naprawdę bezużytecznych i często szkodliwych programów.


VI

Ostatni wykład, w którym uczestniczyłam, dotyczył dropperów (Szybka analiza dropperów z użyciem Wine). Temat dropperów już kiedyś mnie zainteresował i liczyłam na jakieś soczyste przykłady. Dropper sam w sobie nie jest złośliwy, ale pobiera i instaluje złośliwe oprogramowanie na komputerze ofiary.
Niestety był to chyba najsłabszy wykład z wszystkich tu opisanych, a może po prostu mi nie podszedł.


Podsumowując, konferencja była bardzo udana, a mimo tłumów, przebiegała prawidłowo. Nawet kolejki do szatni i pizzy szybko się rozluźniały. O kolejkach do toalety nie wspominam, ponieważ jak to zwykle jest na takich wydarzeniach, do damskich toalet nie ma kolejek 🙂