Security BSides Warsaw 2018

Szacunkowy czas czytania: 4 minuty

 

Ostatni czas to prawdziwy urodzaj konferencyjny, a zważając na to, że październik jest Europejskim Miesiącem Cyberbezpieczeństwa, to miałam naprawdę w czym wybierać!
Z początkiem października 2018 sama miałam przyjemność wystąpić na jednej z takich konferencji, czyli „Bezpieczenie w Sieci” w PPNT w Gdyni. Relację i moją prezentację możecie przeczytać tutaj.

Natomiast w weekend 13-14 października 2018 odwiedziłam Warszawę i Security BSides Warsaw. Była to VII edycja kultowego już wydarzenia z serii Security BSides. Konferencja była bezpłatna, należało opłacić jedynie nieobowiązkowy identyfikator. Wybrałam się tylko na sobotnie prelekcje i muszę przyznać, że wyszłam z nich z dużą dawką wiedzy (oraz niepokoju!).

Sobota rozpoczęła się wystąpieniem Adama Lange pod tytułem „Wędkarstwo dla Myśliwych – z phishingiem przygody bezpiecznika”. Phishing i socjotechnika to obecnie jedne z najgorętszych haseł z zakresu cyberbezpieczeństwa. Ciekawych case study można mnożyć i mnożyć. Adam opowiadał o tym jakie pułapki zakłada na spam oraz podawał przykłady odnalezionych domen phishingowych i tzw. phishing kits (gotowych zestawów przygotowanych do ataku). Najczęściej atakujący podszywają się pod znane marki, takie jak eBay, PayPal, Office 365, Adobe czy Netflix. Domeny phishingowe przygotowywane do tego celu często są podobne do oryginałów, ale tylko w początkowej ich części (na mobilnych przeglądarkach nie widać całego URLa – pamiętajcie, by sprawdzać dokładnie adresy!).

Kolejna prezentacja dotyczyła Reproducible Builds, a wygłosił ją Mariusz Zaborski. Polskie tłumaczenie tego pojęcia to budowanie reprodukcyjne lub powtarzalne. O co chodzi? Reproducible Builds to zestaw praktyk programistycznych, które pozwalają sprawdzić, czy pliki binarne pobierane z sieci pochodzą z oryginalnego/sprawdzonego źródła. Jest to szczególnie ważne w kontekście bezpieczeństwa, np. można w ten sposób zweryfikować, czy nie dodano do nich złośliwego oprogramowania. Prelegent przytoczył przykład, że nawet 1 różniący się bit może zaważyć na bezpieczeństwie.
Kto buduje reprodukcyjnie? m.in. Bitcoin, Tor, Signal.
Jakie informacje (często nieprzydatne) wykluczają budowanie reprodukcyjne? Numer buildu, autor, informacje ze środowiska.

Prezentacja Adama Haertle z Zaufana Trzecia Strona pt.: „Zachowałem się jak debil, czyli użytkownicy w obliczu ataków” była dla mnie niepodważalnym hitem Security BSides Warsaw. Wystąpienie nie było streamowane i nie znajdziecie go także na playliście podlinkowanej na końcu tego wpisu (takie było życzenie prelegenta). Nie będę też zdradzać zbyt wielu szczegółów, możecie tylko żałować, że Was tam nie było!
Prezentacją było case studies pewnej akcji phishingowej. Adam przedstawił posortowane tematycznie reakcje osób, które zostały zaatakowane. Konkluzja jest dość smutna – społeczeństwo wciąż ma niską świadomość działań socjotechnicznych, użytkownikom sieci brakuje myślenia krytycznego, a często i zdrowego rozsądku. Pamiętajcie, by nie klikać w linki, ani załączniki, co do których nie macie 100% pewności (celowo nie piszę „podejrzane linki” – podejrzane są praktycznie wszystkie!).

Kolejny prelegent, Borys Łącki z Logical Trust, zaprezentował temat „Spear phishing – jak się bronić? Case studies.” I znów konkluzja była taka, że ludzie ogólnie nie interesują się bezpieczeństwem (sama tego doświadczam, opowiadając o naprawdę podstawowych sprawach z tego zakresu wśród znajomych). Badania wskazują, że ludzie młodzi są mniej ostrożni i klikają „w co popadnie”. Niestety możemy to zauważyć np. na Facebooku, gdzie fake newsy i nikomu niepotrzebne „psychotesty” rozprzestrzeniają się z prędkością światła.
Borys przedstawił ciekawe case study ataku phishingowego na organizację. Od rozpoznania terenu (poznania kto jest kim w firmie), poprzez wysyłkę maili, aż po uzyskanie dostępów. W praktyce, w danej organizacji zawsze znajdzie się choć jedna osoba, która się „nabierze” na taki fałszywy mailing. Koszty przeprowadzania ataków są też stosunkowo niskie.
Co możemy zrobić? Edukować pracowników, opracować procedurę „w razie ataku”, wprowadzić dwuetapowe logowanie, blokować domeny podobne do firmowych, zamówić testowy atak.

Ostatnią prezentacją, której wysłuchałam była „Czy bezpieczeństwo IT idzie dzisiaj w dobrym kierunku?” – Jakub Tomaszewski z Allegro. Jakub mówił o pozytywnym wydźwięku akcji popularnych przeglądarek, które wręcz piętnują strony korzystające z nieszyfrowanego protokołu http. Pisałam o tym wielokrotnie na blogu. Wspomniał także o DNSSEC (DNS Security Extentions), czyli zwiększającym bezpieczeństwo rozszerzeniu systemu DNS.
Prelegent mówił również o coraz bardziej wyssanym rynku IT i braku odpowiednich specjalistów, zwłaszcza w zakresie cyberbezpieczeństwa. Problemem tej działki jest coraz większa liczba technologii oraz coraz bardziej wyspecjalizowane ataki.

Większość prelekcji możecie obejrzeć korzystając z wygodnej playlisty na YouTube.

Pełna agenda tutaj.

Polecam uczestnictwo w Security BSides Warsaw za rok!