Garść przemyśleń, ale najpierw…
Z roku na rok cyberbezpieczeństwo staje się kluczowym aspektem naszego życia. Czy tego chcemy, czy nie, każdego dnia mamy do czynienia ze światem wirtualnym, o którym każdy słyszał, ale tak naprawdę mało o nim wie.
Opowiem Wam pewną zależność między tym co wiemy i jesteśmy świadomi, a światem do którego mają dostęp tylko „wybrani” – dlaczego w cudzysłowie? Może dlatego, iż są to osoby które na co dzień interesują się tematem i rozwijają swoją pasję i wiedzę w dziedzinie cyberbezpieczeństwa.
Od czego zaczniemy? Na pewno nie od historii cyber, bo osoby czytające ten tekst mogą znać ją lepiej ode mnie i potraktują ten tekst bardzo laicko, a osoby bez żadnego doświadczenia nie potrzebują tej wiedzy do odpowiedniego spojrzenia na bezpieczeństwo w wirtualnym świecie. Zatem, warto zadać pytanie czysto retoryczne.
Czujesz się bezpiecznie? Czy obecna technologia zabezpiecza Twoje pliki, dane, pieniądze?
Pytam konkretnie, czy czujesz, iż Twoje dane, pieniądze, pliki są bezpieczne na Twoim komputerze, telefonie? – Tak? To podziwiam, jestem pod wrażeniem tak pełnego optymizmu.
Znam osoby, które branżą cyberbezpieczeństwa zajmują się kilkanaście lat i one zawsze negatywnie wypowiadają się o kwestie bezpieczeństwa teleinformatycznego. Teraz zapytalibyście dlaczego? A dlatego, iż technologia defensywy i ofensywy idzie do przodu w takim szybkim tempie, iż to co dziś jest dostępne jako nowość już jutro może okazać się tylko kolejnym rozdziałem do nauki, a zastępuje go kolejna rzecz która staje się nowością. Zmienia się technologia, zabezpieczenia i bardzo rzadko się zdarza, iż osoby atakujące o tym nie wiedzą. Aby dodać troszkę wątku naukowego do tego artykułu to postanowiłem zrobić ankietę wśród znajomych (po za branżą IT) z tym samym pytaniem, dałem trochę czasu i z niecierpliwością czekałem na feedback. Finał dla mnie by niezbyt zaskakujący. Na 10 osób 8 zaznaczyło, iż tak, 1 iż nie, 1 nie miała zdania. Nie chciałem tego tak zostawić, więc z każdym porozmawiałem na temat ankiety. Nie będę Wam pisał całych wyników ale przytoczę te najlepsze.
„Czujesz się bezpiecznie? Czy obecna technologia zabezpiecza Twoje pliki, dane, pieniądze?”
– „ Tak, przecież mam antywirusa, programy które mnie chronią, dwuetapowe logowanie.”
-„ Oczywiście, zrobiłam ostatnio choćby aktualizacje XXX i po przeskanowaniu komputera nic nie pokazało.”
-„ Tak, ogólnie to ściema jest, bo po co mieliby atakować akurat mnie. Bogatych atakują.”
-„…mam zaklejoną kamerkę, wyłączony mikrofon, antywirusy, po wyłączeniu komputera odłączam również ruter od sieci..”
Pośmialiśmy się? Mógłbym tak wymieniać tego typu zdania jeszcze trochę, ale szkoda czasu. Najbardziej przerażające jest ten brak świadomości na potencjalne zagrożenie. Do tej pory wszystko to co napisałem powyżej wydaje się być pewnego rodzaju dykteryjką, prawda jest jednak taka, iż to są bardzo poważne sprawy nad którymi warto się trochę zastanowić.
Jak to jest z mojej perspektywy?
Wchodząc w branżę cybersecurity, chciałem dotrzeć dalej niż tylko kurs oraz wiedza, którą znajduję w sieci. Organoleptyczne podejście do tematu pochłonęło mnie na tyle, iż zdobyłem wszystkie informacje, które były mi potrzebne do napisania tego tekstu. Z przyczyn technicznych i prawnych, nie mogę napisać wszystkiego co bym chciał, ale przybliżę jak to wygląda w rzeczywistości.
W wyżej wymienionej branży możemy stanąć po jednej z dwóch stron, albo defensywnej (obrona przed atakami. Oczywiście jest to bardzo duże uproszczenie ale tak to trzeba rozumieć. ) albo ofensywnej (odwrotność defensywy – ataki i szukanie sposobu na przeprowadzenie ataku).
Ktoś może się ze mną nie zgodzić i może wypośrodkować opinię, iż mamy przecież Black Hat, White Hat, Gray Hat, Purple Team itp. Dobrze, to prawda, ale warto spojrzeć na to z troszkę innej strony. Nie jest ważne jak będzie wikipedia identyfikowała taką osobę. Tworzysz społeczność która broni się przed atakami do jesteś defensywą, o ile atakujesz ale robisz to dla firmy, w której pracujesz i wiąże cię z nią umowa, kontrakt, to przez cały czas jesteś w defensywie. Pomimo, iż szukasz nieprawidłowości w działaniu firmy od strony bezpieczeństwa cyber, łamiesz zabezpieczenia to przez cały czas ją bronisz. Bronisz ją przed atakami z zewnątrz.
Taki przykład…
Do domu codziennie wchodzi Ci wiewiórka. Wyganiasz ją, czyli bronisz swój dom przed potencjalnym szkodnikiem, ale ona co jakiś czas wraca. Czas kiedy jej nie ma, starasz się wykorzystać tak aby zabezpieczyć dom przed nieproszonym gościem. Stawiasz zapory, uszczelniasz okna, wejścia i nagle się okazuje, ze zaczynasz myśleć jak wiewiórka. Co zrobić aby tam wejść. Sprawdzasz swoje zabezpieczenia, uderzasz, wykonujesz różne dziwne ruchy. Po mimo tego co starasz się odzwierciedlić atak gryzonia to nadaj jesteś w defensywie. Nikogo nie obchodzi (oprócz Ciebie i wiewiórki) jak Cię nazywają. Ty wiesz, ze jesteś w obronie domu przed tak bardzo groźnym przeciwnikiem.
A jak jest w życiu?
Tak samo jest w firmie. Jesteś w dziale defensywy i ze współpracy z osobami, które pracują lub współpracują z Wami, sprawdzacie zabezpieczenia, atakując, robiąc raporty, ustalacie odpowiednie kroki co zrobić aby zmniejszyć ryzyko dostania się do wewnątrz i narobić szkód. Potoczną nazwą z którą możecie się spotkać jest Blue Team.
Innym podejściem do świata kierują się osoby zajmujące się ofensywą. Pomijam tutaj osoby które, robią to legalnie i dostają za to wynagrodzenie w różnej formie – Red Team. Mówimy tutaj o osobach, które pod pretekstem zmiany świata atakują, niszczą, kradną i nierzadko wzbogacają się, ale również są to osoby , które robią takie rzeczy aby się sprawdzić, jak bardzo zaawansowani są w tej dziedzinie.
Po pierwsze musimy zmienić myślenie, iż tzw. Haker jest to osoba, która żyje w piwnicy otoczona masą sprzętu i atakuje kogo się da. Oczywiście subkultura hakerska utożsamiana jest z kapturami, kolorem czarnym oraz z maską z V jak Vendetta. Taką wizję pokazały nam media i niestety tak już zostało to przyjęte w społeczeństwie. Czy błędnie? Chyba tak. Opis medialny zazwyczaj( choć nie zawsze) źle jest interpretowany, a prawdą jest, iż w większości są jest to osoby aktywne społecznie, które mają dobrze płatną pracę w branży IT, normalne życie, a tzw. hakowaniem zajmują się bo jest hobbistycznie lub do poszerzania wiedzy. Jak widzi się rezultaty swoich działań to człowiek pragnie jeszcze więcej. Nie ukryjemy tego przed światem, iż każdy człowiek ma różne oblicza. Inaczej zachowujemy się w pracy, inaczej w rodzinie, inaczej wśród samych kolegów czy koleżanek a jeszcze inaczej jak jesteśmy sami i to właśnie wtedy budzą się w nas instynkty, które zakopane są w naszej, często nie odkrytej świadomości.
Abyśmy mogli zrozumieć myślenie hakera musimy myśleć jak haker. Zastanówmy się więc jaki byłby cel naszego ataku, kto by to był i jakie miałoby być tego przesłanie, konsekwencje. Osoby zajmujące się atakami bardzo dobrze przygotowują się socjologicznie i socjotechnicznie do swoich działań aby zmniejszyć ryzyko do minimum. Podstawą udanego ataku jest rozpoznanie terenu, zapoznanie się ze słabymi punktami, przeprowadzany jest OSINT czyli biały wywiad. Czas przygotowania może i trwać tygodniami. Największym błędem jaki możemy popełnić to okazywanie arogancji atakującemu. Założymy iż haker nie ma wiedzy, umiejętności aby się do nas dostać ( w środowisku cyber możemy spotkać to pod nazwą security through obscurity). Proszę mi wierzyć, iż atakujący firmy czy instytucje, to nie są osoby, które nie wiedzą co robią. Mają one doświadczenie ( czasem wieloletnie) i wiedzą jak je wykorzystywać w praktyce do takiego stopnia, iż czasem działy odpowiedzialne za cybersecurity dowiadują się po 2 tygodniach, iż incydent miał miejsce.
Dlaczego nie możemy czuć się bezpiecznie. Przez wiele lat obserwowaliśmy ataki nie tylko na duże firmy ale także na pojedyncze osoby. Dla przeciętnego człowieka atakiem hackerskim może być zwykły sms z prośbą o dopłatę 2 zł do paczki, która czeka na odbiór. Niby nic, bo to tylko 2 zł jednak w skali osób do których wysłany został sms może być na tyle duża, iż zapłaci za nią milion osób. Wchodzimy w link, logujemy się do banku, przelewamy 2 zł, a atakujący ma już dostęp do naszego konta. W banku znajdzie informacje potrzebne do wyrobienia dowodu osobistego, szybkiego przelewu, zmiany numeru telefonu. Bardzo trzeba uważać na takie zachowania i ich nie bagatelizować.
Mamy 2022 r. a ludzie przez cały czas się na to nabierają. Młodzież śmieje się z osób starszych, iż zostali oszukani „na wnuczka”, a sam byłem świadkiem jak młoda osoba poprosiła mnie o pomoc bo kliknęła w link i wydaje jej się, iż mogła paść ofiarą oszustwa. Bardzo często dostajemy linki od nieznanych osób. Warto zwrócić szczególną uwagę (nie otwierać nieznanych linków) na tego typu oszustwa i zgłaszać je do odpowiednich działów zajmujących się bezpieczeństwem.
Kolejną rzeczą jaką warto sobie przeanalizować jest podejście do bezpieczeństwa teleinformatycznego. To nie jest tak, iż nas to nie dotyczy. Spotkaliście się Państwo z tym, iż pracownicy muszą zmieniać hasło co np. 3 miesiące? Mamy takich sytuacji 4 w ciągu roku. Czynniki wewnętrzne i zewnętrzne sprawiają, iż nie jesteśmy w stanie zapamiętać wszystkiego więc zapisujemy sobie albo do hasła dodamy jedną cyferkę (co może nie wystarczyć do autoryzacji silnego hasła). Listy najczęściej używanych haseł można znaleźć w Internecie. Są to ogólnodostępne pliki które liczą miliony rekordów więc 12345 lub qwerty na pewno już tam jest. Więc zapisywanie pod klawiaturą lub w zeszycie z napisem „hasła” nie jest najlepszą opcją bezpieczeństwa. Nie wspominając już o zapisywanie hasłem i loginów w przeglądarce.
Inną fajną metodą domowego zabezpieczania się przed hakerami jest błędna informacja, iż wszyscy, wszystko i wszędzie nas szpieguje. No trudno się z tym nie zgodzić ale nie popadając w paranoję warto trochę się zastanowić. Zacznijmy od bardzo prostej rzeczy. Większość z nas posiada Internet od kilku znanych dostawców na terenie Polski. Naprawdę wierzycie w to, iż routery które dostajecie przy zakupie abonamentu są nie do przejścia? Są to bardzo proste pudełeczka, które nie posiadają jakiś super zabezpieczeń, są bardzo podatne na ataki. Zaklejacie kamerki w laptopach. Super! A czy tak samo zaklejacie tzw. Judasza w drzwiach?, każdy z nas ma telefon, którego zabiera czasem choćby pod prysznic, czy również Państwo mają zaklejony przód i tył? A co z zabezpieczeniem różnego rodzaju sprzętów gospodarstwa domowego? Na te pytania warto sobie odpowiedzieć samemu i zacząć działać.
Następnym czynnikiem który zagraża Naszemu bezpieczeństwu są ogólnodostępne sieci. Idziemy sobie do galerii handlowej, siadamy w kawiarni i logujemy się do bezpłatnego Wifi. Następnie zaglądamy na nasze media społecznościowe i do banku. o ile w tej galerii ktoś siedzi i poluje właśnie na takie osoby, to mogli Państwo już paść ofiarą a następstwa będą kwestią czasu.
Idziemy sobie ulicą i znajdujemy pamięć przenośną. Po włożeniu do komputera widzimy, iż znajdują się tam zdjęcia, pliki tekstowe, po prostu ktoś go zgubił. Może się zdarzyć, iż takie zdjęcie lub plik uruchomiło właśnie wirus, który zasieje spustoszenie na Waszym sprzęcie. Pamiętajcie, iż również nie warto udostępniać swojego komputera nikomu obcemu, tzw. osobie trzeciej. Dlatego też w korporacjach i mniejszych firmach stosujemy blokady portów wejściowych do komputera.
Podróżowanie może być atrakcją ale nie tylko dla nas. o ile nie jesteśmy zmuszeni do korzystania z laptopa w podróży to może warto poczytać książkę. o ile otwieramy komputer i każdy widzi co na nim robimy, to jednak nie jest bezpieczne.
Podsumowanie
Można tak wymieniać w nieskończoność. Celem tych przykładów nie jest zastraszenie lub sianie paniki. Najważniejsza jest świadomość, jak bardzo musimy uważać na każdego rodzaju socjotechnikę stosowaną przez innych ludzi. W tym prostym tekście zwróćcie uwagę na swoje bezpieczeństwo. Hakerzy głównie atakują aby mieć z tego profit. Nie dajmy się również ponieść fantazji, iż jesteśmy na celowniku i każdy na nas poluje. Moje i Wasze dane już krążą po sieci. Jest duże prawdopodobieństwo, iż zostały one wykradzione i umieszczone w sieci. Dlatego po prostu uważajcie co udostępniacie, gdzie i jak, w co klikacie i jak dużo informacji zostawiacie po sobie w Internecie.
Oświadczam, iż podczas pisania tego artykułu, nie ucierpiała żadna wiewiórka.
O Autorze
Specjalista ds. bezpieczeństwa publicznego. Lubi analizować strategie bezpieczeństwa i znajdować rozwiązania adekwatne do danej sytuacji. Ostatnimi czasy znokautowany całkowicie przez cyberbezpieczeństwo. Chętny do nauki, pisania i zadawania miliona pytań.
Dziękujemy autorowi za to, iż zechciał podzielić się swoją wiedzą i doświadczeniem na łamach SecurityBezTabu.pl
