Relacja z Safe Meeting w Krakowie (6 marca 2019)

Szacunkowy czas czytania: 3 minut

 

6 marca 2019 w Krakowie z inicjatywy Women in Technology oraz Women Techmakers został zorganizowany meetup „Safe Meeting #1”. Blisko 100 osób miało okazję gościć na Barce przy ulicy Podgórskiej i wysłuchać trzech wartościowych prezentacji. Były też różnorakie trunki i poczęstunek.

Pierwszą prelegentką była dr Joanna Świątkowska z Instytutu Kościuszki, która nakreśliła rolę kobiet w branży cyberbezpieczeństwa, a także opowiedziała o swoich własnych, 10-letnich doświadczeniach z tego zakresu. Statystyki nie są zaskakujące – procent kobiet zajmujących się tematem cybersecurity jest jeszcze niższy niż procent kobiet ogólnie w IT.
Ciekawym spostrzeżeniem było odniesienie terminu cyberbezpieczeństwa do przestrzeni percepcji ludzi w sieci. Przykładem była tu kampania prezydencka w USA w 2016 roku, gdy odpowiednio spreparowane działania internetowe, pozwoliły wygrać Donaldowi Trumpowi. Ten incydent można brać pod uwagę jako cyberatak.

Kolejnym prelegentem był Robert Siudak, również z Instytutu Kościuszki. Jego prezentacja dotyczyła hackowania ludzi, phishingu i poważnych konsekwencji z tym związanych. Jako przykład podany został John Podesta – szef sztabu wyborczego Hillary Clinton, którego Twitter został zhackowany w wyniku działań socjotechnicznych, co zaskutkowało m.in. kontrowersyjnym wpisem o jego poparciu dla Donalda Trumpa. Prelegent przytoczył statystyki, że phishing jest obecnie wskazywany przez 56% specjalistów jako największe niebezpieczeństwo cyfrowego świata.

Po przerwie uczestnicy doczekali się dłuższej, 1,5-godzinnej prezentacji Jakuba Mrugalskiego z Niebezpiecznika. Pisałam już tu wielokrotnie, że Niebezpiecznikowe prezentacje są zawsze nie tylko wartościowe, ale i inspirujące, dające do myślenia oraz doprawione humorem. Tym razem było podobnie 🙂
Emocje wzbudziła próbka hackowania „na żywo” przez otwarte sieci wi-fi, których Jakub stworzył na Barce ponad 100. Wiele z nich miało znajome nazwy, a sztuczka socjotechniczna polegała na przekonaniu użytkowników do połączenia się z taką pozornie znaną i bezpieczną siecią bez wzbudzania podejrzeń.

Tytuł wystąpienia brzmiał „Jak ukradliśmy 13 milionów złotych polskim firmom” i był inspirowany doświadczeniami zawodowymi pracowników Niebezpiecznika w ramach usługi „hackowanie ludzi”. Podobną, równie cenną prezentację, miałam okazję wysłuchać w Warszawie na Security BSides (zerknijcie na akapit poświęcony Borysowi Łąckiemu).

Jakub twierdził, że 100% ataków socjotechnicznych jest skutecznych, co oznacza, że w np. 100-osobowej organizacji znajdzie się choć jedno słabe ogniwo = człowiek, który poda wrażliwe dane lub dostępy do systemów wewnętrznych. Socjotechnika jest znacznie bardziej skuteczna niż stricte techniczne ataki na komputery. Odpowiednio zadane pytanie w naturalnym kontekście może zdziałać cuda. Odpowiednio dobrany czas ataku również – np. golden hours dla podszywania się pod kolegów z pracy w celu wyłudzenia danych to piątek pod koniec dnia.

Usługa hackowania ludzi przebiega w Niebezpieczniku w dwóch etapach:

  • rekonesans pasywny – czyli zbieranie informacji o ofierze/ofiarach w sposób nieingerujący w ich życie. Ofiara nie wie, że jest osaczana. Zbieranie informacji przebiega zwykle w mediach społecznościowych, gdzie nawet nieznaczące szczegóły z zamieszczonych zdjęć mogą przesądzić o sukcesie akcji hackowania. Warto się dowiedzieć co nieco o hierarchii w firmie lub zespołach, wspólnych projektach czy obowiązkach danych pracowników. Wiedza wejściowa wzbudza zaufanie i łatwiej jest przeprowadzić atak (np. podszywając się pod kolegę na urlopie).
  • rekonesans aktywny – to może być fizyczna wizyta w firmie (dostawca pizzy, wejście z tłumem po powrocie z papierosa) lub uzyskanie danych z autoresponderów (wysyłamy spam wszystkim w firmie i sprawdzamy automatyczne odpowiedzi – zyskujemy informacje nie tylko o tym kogo nie ma, ale i o wyglądzie stopek firmowych).

Niebezpiecznik hackuje organizacje i ich pracowników, ale oczywiście głównym celem jest edukacja. Bardziej podatne na socjotechnikę są osoby nietechniczne, np. panie z recepcji. Jednakże Jakub podkreślił, że odpowiednio skrojona akcja będzie skuteczna także na programistycznych wyjadaczy i cwaniaków.

Podsumowując – spotkanie było bardzo udane i z niecierpliwością oczekuję kolejnego z serii Safe Meeting.

Dla zainteresowanych – strona wydarzenia na Meetupie.