cyberbezpieczeństwo

POIT #007: Cyberbezpieczeństwo

Witam w siódmym odcinku podcastu „Porozmawiajmy o IT”. Tematem rozmowy z moim gościem będzie cyberbezpieczeństwo.

Dziś moimi gościem jest Artur Markiewicz, którego misją jest uświadamianie firm, instytucji i normalnych użytkowników komputera na temat bezpieczeństwa w internecie. Na co dzień odpowiada za kanały sprzedaży platformy do cybertreningów. Prezes jednego z poznańskim klubów Toastmasters. Prowadzi podcast “Cyberkurs.online” poruszający tematy cyberbezpieczeństwa.

W tym odcinku:

  • co to jest cyberbezpieczeństwo?
  • jakie działania prewencyjne składają się na cyberbezpieczeństwo?
  • dowiesz się wszystko o bezpiecznych hasłach
  • czy cyberbezpieczeństwo to tylko sprawa Internetu?
  • dowiesz się jakie są podstawowe typy ataków hakerskich
  • jakie są motywacje i cele cyberprzestępców?
  • co nam grozi gdy nasze dane zostaną wykradzione?
  • co zrobić by podnieść poziom swojego cyberbezpieczeństwa?
  • kim jest haker?
  • jak wygląda cyberprzestępczość w Polsce i na świecie?
  • jakie systemy informatyczne są najbardziej narażone na ataki?
  • czy programiści są świadomi luk w bezpieczeństwie w oprogramowaniu, które tworzą?
  • czy prowadzi się kursy z cyberbezpieczeństwa?

Subskrypcja podcastu:

Linki:

Pozostańmy w kontakcie:

 

Muzyka użyta w podcaście: „Endless Inspiration” Alex Stoner  (posłuchaj)

Transkrypcja podcastu

To jest 7. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o zagadnieniach związanych z cyberbezpieczeństwem. Z tego odcinka dowiesz się:

* co to jest cyberbezpieczeństwo?

* jak można o nie zadbać we własnym zakresie?

* czy cyberbezpieczeństwo to tylko to, w jaki sposób korzystamy z Internetu?

* co to jest socjotechnika?

* kim jest haker i jakie zagrożenia wynikają z cyberprzestępczości?

Zapowiada się ciekawie. Zapraszam!

Krzysztof: Witam Cię serdecznie w Porozmawiajmy o IT. Ja się nazywam Krzysztof Kempiński i w tym podcaście rozmawiam z moimi gośćmi o branży informatycznej. Przedstawiam trendy, zjawiska i opinie. Staram się przybliżyć tę branżę tym, których w niej na co dzień nie ma jak również zaciekawić stałych bywalców. Pozostań z nami. A teraz zapraszam już na kolejny odcinek.

Krzysztof: Cześć! Witam Was serdecznie! Dzisiaj moim i Waszym gościem, jest Artur Markiewicz. Cześć Artur! Bardzo mi miło, że zgodziłeś się wystąpić w moim podcaście.

Artur: Cześć Krzysztof! Witam! Dziękuję za zaproszenie.

Krzysztof: Misją Artura jest uświadamianie firm, instytucji i normalnego użytkownika komputera na temat bezpieczeństwa w Internecie. Na co dzień odpowiada za kanały sprzedaży platformy do cyber treningów. Jest prezesem jednego z poznańskich klubów toastmasters i prowadzi podcast Cyberkurs Online poruszający tematy bezpieczeństwa. No właśnie Artur, czym jest to tytułowe cyberbezpieczeństwo?

Artur: Wiesz co, cyberbezpieczeństwo ja definiuje to w ten sposób, strefa ochrony zasobów elektronicznych na horyzoncie wszystkich urządzeń cyfrowych przed intruzem. Rzecz sprowadza się do tego, że w dzisiejszym świecie wszystkie urządzenia podłączone do Internetu, w ten czy inny sposób należy chronić i to może być taka pokrótce definicja cyberbezpieczeństwa.

Krzysztof: Myśląc o cyberbezpieczeństwie często wyobrażamy sobie reagowanie i sprzątanie po włamaniach, wyciekach danych itp. Tymczasem na cyberbezpieczeństwo składają się także działania prewencyjne, jak tworzenie procedur, identyfikacja zagrożeń czy różnego typu audyty. Ważne jest myślę, by być o krok do przodu przed ewentualnymi przestępcami, prawda?

Artur: Z jednej strony to jest rzeczywiście wyprzedzać przestępców, co nie jest łatwe, ale z drugiej strony to jest też utrudniać im życie. Utrudniać im życie poprzez budowanie co raz mocniejszych cybermurów, bądź robieniu wszystkiego, by zminimalizować potencjalne skutki takiego działania przestępczego. Wiedzieć, czym prędzej, że taki przestępca wyrządza bądź wyrządził krzywdę, także łatwiej można posprzątać po jego działaniu, ogłosić taką informację w mediach społecznościowych czy też na stronie internetowej. Zgodnie z nowymi wytycznymi poinformować również Inspektora Ochrony Danych Osobowych, także jest z jednej strony wyścig zbrojeń, a z drugiej strony lukowanie potencjalnych strat, które należy zachować, należy wiedzieć co, czego, przed kim, w jaki sposób bronimy i to są podstawy cyberbezpieczeństwa. Wszystkie te środki techniczne takie jak hasła, czy odróżnianie fałszywych maili, antywirusy służą ku temu, żeby aktywnie uczestniczyć na tym polu nazwijmy to obrony, ale z drugiej strony wiedzmy, co możemy stracić, przed kim i to jest najważniejsze. Jest jeszcze jedna taka strona medalu, mianowicie sama wiedza o takich ryzykach, redukowanie ich już na tym poziomie, szczególnie na poziomie projektów, osoby decyzyjne powinny świadomość, że tzw. biznes musi również zwracać uwagę na szeroko rozumiane bezpieczeństwo. Zawsze w okolicy takich osób związanych z biznesem, czyli realizowaniu nowych projektów, nowych decyzji w firmach, będzie ktoś, kto podpowie jak zadbać o tą działkę bezpieczeństwa. Myślę, że to jest wystarczająco dużo powiedzieć o tym, o co pytałeś.

Krzysztof: Zatem na co powinniśmy zwracać uwagę pracując przy komputerze? Jakie są zasady bhp pracując przy komputerze?

Artur: Pierwsze, to co mówią wszyscy specjaliści, to jest dbanie o aktualizacje. Aktualizacje wszystkich oprogramowań, których używamy. Kolejna rzecz, to jest higiena. Praca z bezpiecznymi hasłami. O nich powiem myślę później. Kolejne rzeczy, to jest używanie oprogramowania, które znamy, wiemy, że potrzebujemy, wiemy, co ono robi, do czego ono służy, wiemy też, gdzie mamy jakieś informacje, w jaki sposób łączymy się do tych serwisów, usług serwerów, komputerów, gdzie te informacje są przechowywane, kwestia backupu, backup danych, backup archiwum, to są sytuacje, które są rozdzielne, ale możemy je tymczasowo włożyć sobie do jednej szuflady. Innymi słowy jakaś kopia bezpieczeństwa naszych danych również powinna być. To są absolutne podstawy takiej bezpiecznej pracy z komputerem. Kwestia posiadania tego sprzętu na widoku, niedawania go obcym osobom, też jest istotne. Kwestia wkładania pendrivów, którego pochodzenia nie znamy, tzw. pendrivy rozrzucone w firmie z napisem bitcoin albo dane osobowe, to najczęściej będzie tylko i wyłącznie podpucha, żeby przestępca osiągnął swój cel, mianowicie dostarczył nam w ten sposób, tą drogą, tym kanałem poprzez pendriva jakieś złośliwe oprogramowanie na komputer. Kwestia wylogowywania się z tego komputera. Blokowania ekranu. Patrzenia z punktu widzenia przestępcy na nasz sprzęt, czyli, czy te dane nam nie uciekają, bo za przeproszeniem świecimy tym ekranem wszędzie w każdym miejscu. Przypomnijcie sobie jak jedziecie pociągiem, ile razy mogliście zerknąć komuś na ekran, pytanie co ta osoba miała na tym ekranie jest wtórne, najistotniejsze jest to, że mogliście zupełnie łatwo podejrzeć co ma na tym ekranie, więc w jakiś sposób ułatwić wyciek informacji. To też jest taki pewien obszar pracy z komputerem. Wiemy, że ktoś potencjalnie może patrzeć nam zza pleców na komputer. To są takie absolutne podstawy bezpiecznej pracy z komputerem. Ja wyróżniam kilkanaście takich punktów, one są rozbite na różny sposób. Kwestia sieci z jakiej korzystamy, w jaki sposób korzystamy z dostępu do Internetu, czy to będzie wifi publiczne, czy to będzie nasza sieć bezprzewodowa, tudzież przewodowo, to też są bardzo istotne sprawy. Patrzę na swoje notatki, które podpowiadają mi jeszcze o kwestii zlokalizowania tego sprzętu. Sposobu na to, żeby usunąć dane zdalnie ze sprzętu, który został zgubiony, być może skradziony. Szyfrowanie danych, szyfrowanie dysków twardych. Tych rzeczy jest sporo. To są najczęściej takie elementy stricte techniczne, ale też również składa się na to, w jaki sposób pracujemy z tym komputerem, gdzie go używamy, bo to są potencjalne miejsca, gdzie w jakiś sposób narażamy się na atak, bądź ułatwiamy przestępcy. Zgłaszanie incydentów specjalistom. Taki specjalista, to może być tzw. nasz nadworny informatyk, to może być ktoś z rodziny, jakiś zaufany specjalista, któremu możemy zgłosić pewne informacje. Też możemy wpisać bezpieczeństwo i taką higienę pracy z komputerem. Czytanie dokładnie tego, co mamy na ekranie, jakie komunikaty nam się wyświetlają, czy to na komputerze, czy z przeglądarki internetowej na urządzeniu mobilnym. Czytanie, uważność, to są takie podstawowe rzeczy. Kolejne, oprogramowanie antywirusowe, o którym myślę, że powiemy sobie później. Otwieranie załączników bądź ich nie otwieranie. To są absolutne podstawy bezpieczeństwa. Myślę, że dorzucimy do tego podcastu, do tego odcinka, kila takich podstawowych wytycznych, żeby można było później odbiorcy naszego podcastu mogli przeczytać i w łatwy sposób sobie uporządkować pewne rzeczy. Właśnie w tym celu, by podnieść cyfrowe mury, mieć trochę większą świadomość. Umieć zbudować sobie to bezpieczne środowisko i wiedzieć na co zwracać uwagę. Jeszcze jedna taka mała rzecz, bardzo często omijana, praca na koncie administratora. Nie powinniśmy pracować na koncie typu administrator, lepiej pracować bezpieczniej, właściwie pracować na koncie użytkownika, ponieważ wirus dostarczony na nasz komputer będzie miał mniejszą skuteczność, w mniej tej destrukcji może nam wykonać. Blokowanie portów USB oprogramowaniem też jest wskazane, bo nie zawsze potrzebujemy tych portów USB,a włożenie pendriva chociażby na 5-15 sekund komputera nie zostawi raczej śladu, który my zobaczymy jako zwykły użytkownik, a tak naprawdę daje możliwość zainstalowania oprogramowania takiego, jakie przestępca chciał nam dostarczyć. Podsumowując, aktualizacja oprogramowania, świadome używanie tego komputera, wiedząc co robimy, czytać komunikaty, konsultować pewne rzeczy, to są absolutne podstawy bezpiecznej pracy.

Krzysztof: Wspomniałeś o hasłach. Zastanawiam się, jakie te hasła powinny być? Czy to, że są wystarczająco długie i skomplikowane, to jest wystarczające zabezpieczenie?

Artur: Długie i bezpieczne hasła, to jest znowu absolutna podstawa, ale jeszcze bardziej istotną rzeczą jest to, żebyśmy do każdej usługi mieli inne hasło. Z hasłami, możemy mówić jak prawie że o bieliźnie. Nie mówimy jaką mamy, nie nosimy jej na wierzchu, nie pokazujemy, nie wymieniamy się z innymi osobami i myślę, że to jest podstawa używania bezpiecznych haseł. Te hasła długie, powiedziałeś, że długie, długie hasło, to już jest 6 znaków, ale to jest za mało. Zdecydowanie w dzisiejszych czasach 8-9 znaków, te hasła teoretycznie nie mogą teoretycznie zawierać słów słownikowych, takich, które gdziekolwiek możemy przeczytać. Zbitka kilku takich słów poprzedzielana czy to cyframi czy znakami specjalnymi typu przecinek, nawias, daje nam o wiele większą pewność, że to hasło będzie trudniej złamać przestępcy, trudniej tzw. metodą siłową wejść do miejsca, które jest zabezpieczone takim hasłem, a z drugiej strony, możemy pokombinować, aby to hasło było jeszcze łatwe do zapamiętania. Niech to będzie coś, co kojarzy nam się z jakąś usługą do której się logujemy. Niech to będzie jakiś przedmiot, cokolwiek, to może być, ja podaję często taki przykład jak Shara!klawiatura@, to już na pewno jest silniejsze hasło, niż standardowe qwerty123 albo imię mojego psa i do tego jakieś cyferki, które mówią o tym z jakiego miesiąca jest to hasło, typu azor0418, bo mamy kwiecień 2018 roku, a w maju będziemy mieć 0518. Na pewno takie hasło będzie silniejsze niż po prostu qwerty tudzież cyferki i to, co użytkownicy często zauważają, to jest kwestia obowiązku zmieniania tego hasła co 30 dni. To nie jest proste, ale jak zbudujecie sobie taki algorytm złożony właśnie z kilku słów, które będą się wam z czymś kojarzyły, niech to będzie kawałek jakiegoś wiersza, który pamiętacie, kawałek piosenki, pozamieniacie spacje na znaki specjalne, małe, duże litery, pokombinujecie, z czasem wyrobicie sobie algorytm budowania takich haseł, gdzie niech to będzie miesiąc, jako te cyfry do którego odnosi się to hasło. Niech będzie w jakiś przez was sposób zaszyfrowane. Niech to będzie zapis po prostu słowny tego miesiąca w środku, nie wątpliwie to będzie bardziej bezpieczne hasło niż wspomniane qwerty tudzież od 1 do 8 czy do 9, cyferki. Jest jeszcze jeden sposób na hasła, poprzez menadżery haseł. To jest oprogramowanie, które pozwala nam z jednej strony wygenerować bezpieczne hasło, takie które będzie miało 12 znaków, małe duże litery, cyfry, coś, gdzie osoba odpowiedzialna za bezpieczeństwo będzie mega szczęśliwa, że użytkownik stosuje takie hasło, ale ono nie jest łatwe do zapamiętania. Stąd ta podstawowa funkcja menadżera haseł jako zapamiętywacz haseł. Każdy na swoim prywatnym komputerze, prywatnym sprzęcie, tudzież w mniejszej firmie, raczej mu się uda zainstalować oprogramowanie, które będzie pozwalało pamiętać takie hasła. W większych firmach będzie to trochę trudność z punktu widzenia procedur doinstalować jakieś oprogramowanie. Myślę, że dział bezpieczeństwa będzie wspierał takie inicjatywy i pozwoli, bądź da sam jakieś narzędzie, które pozwoli bezpiecznie przechowywać takie hasła. Jeżeli mówimy o użytkowniku tzw. domowym na swoim prywatnym sprzęcie, jest kilka takich oprogramowań, które pozwala bezpiecznie tworzyć, zapamiętywać hasła, wystarczy wujka Google zapytać o nie, tyle, że to jest znowu 100 razy bardziej bezpieczne niż używanie qwerty tudzież owego azora czy rzeczy, które są bezpośrednio z wami związane i łatwo można je przeczytać na Facebooku. Będzie to bezpieczniejsze używanie takiego hasła, a z czasem taki menadżer haseł będzie waszym przyjacielem, który pamięta te hasła, których nawet nigdy nie musieliście oglądać jako znaczki. Zawsze dla was są to kropki, a na pewno będzie to bardziej bezpieczne. Myślę, że możemy poruszyć gdzieś później temat, dlaczego takich haseł warto używać różnych, w różne miejsca. Niewątpliwie jako podstawa odpowiedzią na to pytanie, hasła są bardzo istotne, istotniejsze jest to, żeby one były różne do różnych usług, żeby były trudne, a sposobów na to jak zbudować je tudzież przechowywać te hasła tez jest wiele i zależy od tego, jak bardzo chcecie zadbać o ten obszar bezpieczeństwa, to zawsze się znajdzie jakieś rozwiązanie. Jeżeli będziecie potrzebować informacji, jak używać takich menadżerów, myślę, że poradników jak ich używać w internecie jest wiele. Każdy producent oprogramowania też dołoży taki poradnik. To, gdzie często jestem pytany, czy to jest bezpieczne? Generalnie nic, co jest w dzisiejszym świecie zostawione jest samo sobie bez aktualizowania, z łatwym hasłem do wejścia do takiego menadżera, bo to jest istotne mieć trudne hasło, które będzie wyjątkowe, jedyne, które musimy zapamiętać, żeby otworzyć sobie de facto ten portfel z hasłami, będzie lepsze niż używanie tego samego hasła wszędzie. Z punktu widzenia, są domniemania, bezpieczeństwa, że służby tudzież NSA, ktokolwiek, kogo sobie nie postawimy jako ta prawa strona dzisiejszego cyberświata, że ma jakieś tam dostępy. No dobra, oni mają, ale to i tak będzie 100 razy bardziej bezpieczne przed przeciętnym usiłowaniem wejścia na wasze konto, tudzież z kradzionym hasłem z innego miejsca i użycie go do jeszcze jednego. Jest taki przykład, słyszałem kiedyś o dzieciakach, które chciały się dostać do kont Facebookowych swoich znajomych, taki mieli swój pomysł na życie, na takiego psikusa, bo wiadomo, że tych haseł nie dostaną, ale wiedzieli, gdzie tamci ludzie się obracają, jakie tam jest forum dotyczące gier internetowych, na jakim forum wymieniają informację tamci ludzie, znajomi i było coś, co było najłatwiejsze, ukradli hasła z tamtego forum i zaczęli sprawdzać je, czy one zadziałają do Facebooka. Działały, w 10-20%, taką mieli konwersje, bo ta sama para, nazwa użytkownika, czyli adres mailowy i hasło było stosowane w kilka miejsc przez tą samą osobę, wobec tego sami ułatwiamy życie, kiedy gdzieś raz zostanie nam skradzione to hasło, żeby użyć je w innych miejscach. Dołożę do podcastu jeszcze takie miejsce, gdzie możemy sprawdzić adres mailowy, czy kiedykolwiek z jakiegokolwiek źródła zostały skradzione hasła powiązane z tym adresem mailowym. Myślę, że to może być dużą niespodzianką dla wielu osób, że pojawiają się czerwone ekrany, że jakiś tam Dropbox, Facebook, MySpace, jakiekolwiek inne usługi, gdzieś tam się wyświetlą na tej stronie i zdziwią się, że to hasło zostało gdzieś tam skradzione. Ma dużą szansę, że zostało skradzione. Pytanie, czy od tamtego czasu zostało zmienione i czy to nie jest to samo hasło, które gdzieś tam rok, pięć lat temu było używane, by nie powtórzyć tego hasła w innym miejscu. Kolejną rzeczą jeszcze, którą warto zadbać w tym obszarze haseł, to jest wypracować sobie jakiś model przechowywania takiego nazwijmy to poza komputerowego tych haseł, np. na jakiejś kartce, którą mamy schowaną, zapisać sobie te hasła i to na pewno znowu będzie lepsze niż używać tego samego hasła w te same miejsca.

Krzysztof: Dzięki za te cenne wskazówki. Mam teraz pytanie, czy stosując określony system operacyjny czy też antywirus określonej marki jesteśmy bardziej lub mniej bezpieczni? Czy to ma jakiekolwiek znaczenie?

Artur: Wiesz co, systemy operacyjne, historycznie wygląda to rzecz w ten sposób, że  te rozwiązania oparte o Microsoft, czyli tzw. Windows, są bardziej narażone na wszelakie działania przestępców. Natomiast ostatnimi czasy dużo się pojawia zagrożeń również na Linuxy i na Mac’i, więc nie ma już czegoś takiego jak bezpieczny system operacyjny i nie występuje w przyrodzie sytuacja, kiedy zainstalujemy sobie dowolny system operacyjny i jesteśmy w stu procentach bezpieczni. Tak to nie działa. Także żaden system nie jest w 100% bezpieczny.

Krzysztof: Czy cyberbezpieczeństwo to tylko kwestia tego w jaki sposób korzystamy z internetu? Czy być może takie elementy jak karty kredytowe czy inne elementy naszej tożsamości również mogą być elementem ataku i czy tutaj również jesteśmy narażeni na jakieś zagrożenia?

Artur: Cyberbezpieczeństwo z założenia to są rzeczy, które dotyczą urządzeń i Internetu, natomiast z jednej strony to jest komputer, z drugiej Internet, wspomniane przez ciebie karty kredytowe, płatności w Internecie, to też wszystko możemy wrzucić do jednej szuflady, ale dołóżmy do tego jeszcze kwestie aspektu ataków socjotechnicznych, które są wykonywane przez telefon, ponieważ przestępca przez telefon może również od nas wydobyć jakieś informacje, które ułatwią mu np. odzyskanie naszego konta, hasła w jakimś tam miejscu, zdobędzie nasz dowód osobisty, który może powiedzieć do operatora jakiegoś serwisu tak, to jestem ja i dorzuci do tego kilka informacji, które są publicznie dostępne, bo operator takich rzeczy będzie wymagał w takiej krytycznej sytuacji i znowu osiągnie swoje cele. Także cyberbezpieczeństwo to jest szerszy aspekt. To cyber, gdzie się pojawia, to znaczy, że w ten czy inny sposób wiąże się to wszystko z komputerami.

Krzysztof: Wspomniałeś o socjotechnice. Czy mógłbyś powiedzieć, co to jest i jakie niebezpieczeństwa wynikają z jej stosowania w stosunku do nas?

Artur: Socjotechnika to są wszystkie te działania, które pozwalają na wydobycie od nas informacji. Przekonanie nas do jakiegoś działania, to może być szlagierowy przykład, kiedy to kurier wbiega do naszego biura z prośbą o to, byśmy mu wydrukowali z pendrive jakiś tam list przewozowy albo ktokolwiek z ulicy wchodzi, też by chciał, żeby coś wydrukować, skorzystać z komputera służbowego. Równie dobrze to może być sytuacja, kiedy ktoś do nas dzwoni, wyciąga jakąś informację, nakłania nas do czegoś przez telefon, proszę wejść tu i tu, powołuje się na jakieś istotne rzeczy, które ponoć dla nas są też ważne, powołuje się na autorytet, jestem z firmy, która was wspomaga w pewnym obszarze, a proszę sprawdzić czy w drukarce to tak działa, a jak nie działa, to proszę u siebie na komputerze doinstalować oprogramowanie, które spowoduje, że to drukarka zacznie działać. Robią to w taki sposób, że bardzo często nasz umysł się wyłącza i podporządkowuje temu działaniu i tu o to chodzi przestępcy. Jest taki gość jak Kevin Mitnick, to jest legenda tych działań socjotechnicznych, w książce „Sztuka podstępu”, opisywał co on robił w latach 80., 90. jako socjotechnik. Podsumowanie jego to jest: „Nie łamałem haseł. Ja łamałem ludzi.”. Innymi słowy on nie musiał łamać systemów informatycznych, bo ludzie sami mu podawali istotne informacje, bo tak nimi manipulował, że wyciągał te informacje od użytkowników. Kolejny taki aspekt socjotechniki, są choćby próby nabrania nas przez telefon, że dzwoni ktoś z banku i, że mamy się zautoryzować i podajemy mu wszystkie informacje, pesele, nazwiska, panieńskie matki, informację o tym czy mamy kredyt czy nie mamy, po czym w najlepszym wypadku człowiek zakończy grzecznie tą rozmowę, powie: „Ok, to sprawa załatwiona.”, albo bezczelnie się rozłączy i tu, o czym wspominałem wcześniej w zakresie tego bhp z komputerem, uważność, wiedza po co są te informacje, komu je ujawniamy, jest istotna. Socjotechnicy działają też bardzo często na tych najniższych warstwach takiej naszej świadomości, psychiki jak chciwość, chęć wzbogacenia się, troska o nasze bezpieczeństwo. Podszywają się, zawsze mają jakiś pretekst, zawsze mają jakieś cele, a my możemy im albo ułatwić im to życie i robić dokładnie to, czego od nas oczekują albo zastanowić się, to co możemy zrobić, jeżeli mamy wątpliwość czy to jest socjotechnika, czy to jest rzeczywiście telefon od naszego IT z naszego banku, od kuriera, poprosić o numer telefonu zwrotny, zadzwonić z innego telefonu, zapytać czy taka osoba tam pracuje, czy to jest w takiej sprawie, spróbować skojarzyć fakty, czy mamy gdzieś tam kredyt, czy nie mamy tego kredytu, czy być może numery spraw na które ktoś się powołuje zupełnie są wyssane  z palca. Innymi słowy, sprawdzić innym kanałem komunikacji, potwierdzić informacje, zobaczyć w Googlach czy ten numer telefonu pasuje do tej firmy, zadzwonić być może na recepcję, jeżeli uważam, że to jest bardzo istotne na ten numer, który znajdziemy, podpytać o taką osobę, to są te rzeczy, które możemy zrobić, żeby przeciwdziałać aktywnie takim atakom socjotechnicznym. To jest scenariusz, kiedy możemy zapytać skąd on się wziął, dlaczego pyta nas o takie informacje, w jaki sposób potwierdzić tą tożsamość, to może nas uchronić przed atakami socjotechnicznymi. A niebezpieczeństwa, bardzo często to jest wyciek informacji dotyczących danych osobowych, jakichś wrażliwych informacji o nas, naszych znajomych, gdzie możemy być w całym ataku tak naprawdę punktem przesiadkowym, to może być tylko przystanek dla intruza, wydobyć informacje od nas, by zaatakować kogoś innego, czy to naszego znajomego, tudzież naszą firmę, bo socjotechnik zadziałał jeszcze więcej informacji, żeby gdzieś dalej już być na zupełnie innym poziomie rozmawiać z kolejną osobą.

Krzysztof: Powiedzieliśmy już trochę na temat różnych ataków i zagrożeń, które mogą nas spotkać w sieci. Czy mógłbyś krótko opisać podstawowe typy ataków, z którymi mamy do czynienia?

Artur: Podstawowy taki atak, to jest Ransomwear. To jest oprogramowanie, które w ten czy inny sposób szyfruje nam dysk i żąda okupu, to z jednej strony. Z kolejnej strony są oprogramowania, które będą nas szpiegowały, raportowały przestępcy, co robimy, gdzie robimy, inne oprogramowanie będzie czytało wszystko, co my piszemy na klawiaturze, kojarzyło te rzeczy z miejscami, które wymagają, będą jako hasła. Kolejny typ ataku, to może być atak tzw. DDOS, chodzi o to, że duża ilość urządzeń pyta jakiś serwis, jakąś usługę, jakąś pocztę o informację i ta usługa, ten serwis nie jest w stanie obsłużyć takiego ruchu, więc na chwilę się zawiesza albo przestaje odpowiadać i tym samym tworzy się taka kolejka zapytań do takiej usługi, gdzie przestępca może powiedzieć: „Jeżeli mam zaniechać tego typu ataku, chcecie dalej mieć usługę dostępną dla ludzi z zewnątrz, to trzeba nam zapłacić. Można się bronić przed tym jakimiś urządzeniami, one są skuteczne. Operatorzy telekomunikacyjni, również dostarczają takich usług, ale to jest kolejny, owy DDOS, rodzaj ataku. Różnego rodzaju inne wirusy, pojawiają się wirusy, które są zaszyte w stronach internetowych, które zmuszają nasz komputer do kopania kryptowalut, są na to jakieś dodatki do przeglądarek internetowych, które mogą udaremnić taki czyn, nie pozwolić na to, żeby nasz komputer kopal dla kogoś jakieś waluty, możemy obserwować sobie menadżer zadań, zobaczyć czy nagle procesor nie zaczął pracować na 100%, a nic takiego nie zrobiliśmy, żeby taka praca miała być. Także różnego rodzaju wirusy, wszystko to wrzucamy do jednej szuflady zwanej malware czy jakoś niebezpieczne oprogramowanie ze szczególnym naciskiem na Ransomwear, które przestępca nam podrzuci czy to w mailu, tudzież na jakiejś stronie internetowej, gdzie nasz komputer nie potrafi się bronić sam, a my weszliśmy na taką stronę, niestety zostaniemy posiadaczem takiego oprogramowania, może nam zaszyfrować cały komputer.

Krzysztof: Trochę tutaj już powiedzieliśmy o działaniach cyberprzestępców, o powodach tych działań. Gdybyś mógł podsumować motywację i cele cyberprzestępców, co oni chcą osiągnąć?

Artur: Są bardzo proste. Najczęściej się to sprowadza do pieniędzy, a jeśli nie do pieniędzy, to wyciągnięcia informacji, które posłużą do zdobycia tych pieniędzy czy to od nas, czy od kogoś innego. Zaszyfrowanie takie komputera, to jest tylko fragment ataku, bo nie chodzi o to, żeby dzisiejsi przestępcy nie działają po to, żeby być wandalem internetowym, popisać się przed kimś, tylko działają wprost, dla pieniędzy. Czasami taką motywacją może być chęć po prostu zemsty, ale raczej to wszystko sprowadza się do pieniędzy lub pozyskania informacji, które pozwolą na to, żeby zdobyć jeszcze więcej pieniędzy.

Krzysztof: Tak jak wiemy, cyberprzestępcy nie tylko uderzają w aplikacje czy całe systemy informatyczne. Oni również wykradają dane czy tożsamości. Zastanawiam się, po co im takie dane? I co my jako ich posiadacze możemy stracić?

Artur: Po co im takie dane? Tak jak wspomniałem, żeby mieć jeszcze więcej informacji, które ułatwią im działanie. To mogą być informacje, które gdzieś mogą być sprzedane na czarnym rynku, w celu podrzucenia nam innych reklam. To zawsze się będzie sprowadzało do pieniędzy. Wykradają dane czy tożsamość, tożsamość może posłużyć do tego, żeby mając wszystkie informacje o nas albo być może zaciągną na nas kredyt albo powołać się na naszych znajomych, że to jesteśmy my i atakować naszych znajomych, także w najprostszy sposób można odpowiedzieć na to pytanie, po co im te dane, co możemy stracić, możemy stracić pieniądze, prywatność, o tym jeszcze nie mówiliśmy dzisiaj, prywatność to też jest coś, co każdy sobie ceni, albo stracić dane jako nasze zdjęcia, nasz efekt naszej pracy, bo zostanie nam zaszyfrowany komputer.

Krzysztof: Czyli faktycznie ryzykujemy dużo. Jakie najprostsze kroki możemy zatem powziąć, aby podnieść poziom swojego bezpieczeństwa w sieci?

Artur: Trzy takie najprostsze kroki: hasła, czyli cała ta higiena haseł, różne do różnych usług, aktualizowanie oprogramowania i uważność, szeroko rozumiana. Patrzymy co robimy, zastanawiamy się zgodnie z zasadą zatrzymaj się, pomyśl, działaj. Najprostsze trzy rzeczy, który każdy może zrobić albo już teraz zaplanować kiedy będzie zmieniał hasła bądź aktualizował  czy to Windowsa, czy telefon, czy to aplikację w telefonie.

Krzysztof: Mamy co raz młodszych użytkowników Internetu. Tak jak staramy się im zapewnić bezpieczeństwo w świecie realnym, tak samo powinniśmy w tym wirtualnym. Jakie zagrożenia czekają na dzieci i jak możemy tym zagrożeniom zapobiegać?

Artur: To, co możemy zrobić z dzieciakami, to nauczyć je bezpiecznie korzystać z urządzeń, nauczyć je tego, że nie każdy ma dobre cele wobec tych dzieciaków, czyli znowu nauczyć je swego rodzaju uważności, a to, co możemy zrobić jeszcze szybciej, to powiedzieć im, że pewne obszary w Internecie nie są po to, żeby komuś dać przyjemność, tylko po to, żeby były pułapką, żeby naciągnąć te dzieciaki, namówić je do czegoś i to, co możemy zrobić, to są te najgorsze przypadki, powiedzieć dzieciom, że nie ma czegoś takiego, że dziecko może zaufać jakiejkolwiek osobie w Internecie, bo się powoła, że jest dobrym wujkiem, że jest dobrą ciocią. Tak naprawdę my wiemy jako dorośli ludzie po co te dzieciaki są nagabywany, a dzieciaki niestety czasami potrzebują, żeby ktoś je „przytulił”, „pocieszył” i przestępca doskonale o tym wie. Także możemy przekazać dzieciakom, że nie każda osoba, którą spotka w cyberświecie jest tak samo miła, jak to, o czym mówimy na co dzień, że na placu zabaw nie wychodzi się z kimś, kto przyniósł albo obiecuje, że ma gdzieś tam jakieś pieski w samochodzie. Uczymy tego dzieciaki, więc w Internecie nauczmy, że działa to podobnie.

Krzysztof: Pojęciem cyberbezpieczeństwa nieodzownie kojarzy nam się postać hakera, która została mocno przerysowana i wypaczona przez Hollywood. Kim tak naprawdę jest haker i czy to jest osoba, która działa po ciemnej czy po jasnej stronie mocy?

Artur: Wiesz co, w filmach są często te osoby przedstawiane jako osoby w kapturach, którzy gdzieś tam po nocy siedzą przy pomalowanych klawiaturach, to jest Hollywood. Natomiast w rzeczywistości to ta osoba nie będzie się niczym szczególnym wyróżniać, bo jest taka kampania, myślę, że też umieścimy link do filmu na YouTubie, kampania jednego z producentów rozwiązań do bezpieczeństwa, która pokazuje jak to taka pani sobie mieszka, ma dziecko, robi dziecku kanapki, a odprowadza dziecko do szkoły, a w między czasie przygotowuje atak fishingowy, czyli fałszywymi mailami na sporą firmę, który to ma wpływ na zachwianie pozycji na giełdzie tej firmy. I ta pani w żaden sposób nie ma kaptura, nie odpowiada na ten model przedstawiony w Hollywood. To jest ta rzeczywistość, że ta osoba, to w ciągu dnia może robić jedną rzecz, jednocześnie może tzw. hakować, wykonywać różne działania w Internecie. Wobec tego nie ma jakiegoś takiego wizualnego obszaru. Osoba działająca po ciemnej czy po czarnej stronie mocy, po tej jasnej stronie mocy, jako osoby związane z bezpieczeństwem nazywają, to są wszystkie te osoby, których my jako zwykli użytkownicy znamy jako informatyków, administratorów, bezpieczników, sieciowców, jakkolwiek ich nie nazwiemy, te osoby, które pracują w działach IT, to są osoby, które odpowiadają za bezpieczeństwo, to są te, które nas bronią, a po drugiej stronie kogo one mają? Nie mamy pojęcia, bo to nie jest najistotniejsze pytanie dla nas. To jest pytanie dla organów ścigania. Natomiast z naszego punktu widzenia jako za przeproszeniem ofiary, nie ma żadnego znaczenia czy ta osoba ma taki paszport czy inny, czy ona działa samodzielnie czy w grupie 200 osób, które sobie wymyśliły tydzień temu, że zrobią atak na naszą firmę.

Krzysztof: Jak zatem wygląda ta cyberprzestępczość w Polsce i na świecie? Jak szeroki jest to proceder? Masz może jakieś dane na ten temat?

Artur: Wiesz co, te dane są różne. Każde źródło podaje to w inny sposób. Jedno co jest wspólne, to ten trend się nasila. Owych ataków jest więcej. Może też dlatego, że one są co raz łatwiejsze do wykonania. Z drugiej strony kupienie tego typu ataków też jest co raz prostsze. Przekładając na statystyki, ciężko to przedstawić w jakichkolwiek liczbach, bo jakakolwiek ta liczba nie będzie, każda nas będzie przerażała. Słyszałem o nastu tysiącach zgłoszeń w jednej firmie w ciągu miesiąca, są firmy, których takich zgłoszeń incydentów z bezpieczeństwem mają kilkadziesiąt, kilkaset. Tylko mają jeden wspólny mianownik, w jaki sposób to liczymy, w jaki sposób to mierzymy i czy widzimy wszystko i czy chcemy zobaczyć też wszystko, jak bardzo skrupulatnie te dane. Myślę, że Polska nie odbiega na tle świata pod kątem ilości ataków, które się wykonuje na Polskę, na polskie firmy, na ludzi z Polski, jak i w drugą stronę. Także jakkolwiek te statystyki by nie były, jedno co jest pewne, jest tego,co raz więcej i będzie tego co raz więcej.

Krzysztof: Jakiego typu systemy informatyczne i aplikacje są najbardziej narażone na ataki? Czy jest tak np., że systemy bankowe tutaj się wyróżniają?

Artur: Bankowe systemy są o tyle narażone, bo tam przestępca za jednym zamachem potencjalnie może zdobyć, mieć więcej korzyści z takiego ataku, ale z drugiej strony tam jest większy nacisk na obronę tych danych, banki są na pewno liderami, jeżeli chodzi o obronę informacji i obronę swoich zasobów. A jakiego typu systemu informatyczne? Myślę, że duży nacisk powinniśmy położyć na obserwację tego, co dzieje się na naszym komputerze, czy to prywatnym, czy służbowym tylko i wyłącznie na poziomie samej poczty, ponieważ wracając do poprzedniego pytanie, zależy jakie statystyki, ale od 60-95% ataków rozpoczyna się poprzez maila. Poprzez wysłanie informacji mailem z załącznikiem, tudzież jakimś adresem internetowym na który użytkownik ma kliknąć. Także system informatyczny, poczta. Aplikacje narażone? Też jako poczta. Jeżeli chodzi o te sektory, jedne będą bardziej zainteresowane obroną, bo mają pieniądze, inne będą bardziej zainteresowane, bo mają jakąś ciągłość działania typu operatorzy telefoniczni, tudzież energetyczne organizacje. Także każdy ma coś do obrony.

Krzysztof: Myślę sobie, że bardzo ważna jest świadomość potencjalnych zagrożeń w świecie elektronicznym i bezpiecznych w nim zachowań. Czy firmy, instytucje i osoby prywatne powinny się zatem szkolić w tym temacie?

Artur: Myślę, że powinny się szkolić. Natomiast z punktu widzenia technicznego, jest to bardzo ciężka droga, na pewno dla osób, które nie są techniczne, ale sama świadomość, że takie ataki są, mogą być i wiedzą o tym, że potrafimy pewnego rodzaju zasoby oszacować, co, w jaki sposób może nam potencjalnie zginąć, co mamy zabezpieczone lepiej, co gorzej, to jest już ogromny krok. Powinni się ludzie szkolić i to z zakresu tych kwestii podstawowych technicznych, jak i z samej świadomości, bo czasami ludzki umysł jest tak skonstruowany, że jak wie, jak działa przestępca, będzie też łatwiej mu dowiedzieć się albo znaleźć sposób na obronę tego, co nas interesuje.

Krzysztof: Odpowiedzialność za cyberbezpieczeństwo spoczywa nie tylko na barkach użytkowników sieci, ale przynajmniej w równej mierze na twórcach rozwiązań w IT. Czy według ciebie programiści są świadomi tych niebezpieczeństw, które wynikają z luk w bezpieczeństwie, które są tak naprawdę efektem ich pracy?

Artur: Wiesz co, myślę, że programiści są świadomi tego, że to naprawdę na ich barkach spoczywa to bezpieczeństwo. Natomiast najtrudniejsza rzecz, to jest to, co mówiliśmy wcześniej, ryzyka szacowane przez biznes. Bo programiści sami dla siebie nie robią pewnych rzeczy i gdyby mieli robić sami za siebie, mieli taki zakres czasu i zespół, z którym mieliby robić takie narzędzia, postawili by również silnie na bezpieczeństwo. Natomiast na stan mojej wiedzy, bardzo często na programistów spada ta odpowiedzialność z takiego powodu, że w projekcie nie zostały uwzględnione te aspekty bezpieczeństwa, klient nie chciał za to zapłacić. Nie chciał zapłacić, bo było drogo, bo nie wiedział jakiego typu ryzyka się z tym wiążą, albo, co gorsza, nikt nie zaproponował mu takiego bezpieczeństwa w projekcie, który realizują programiści. Programiści myślę, że są świadomi, ale nie zawsze mają szansę się wykazać i nie zawsze ktoś chce albo wie, że może zapłacić za tą ich pracę z naciskiem na bezpieczeństwo.

Krzysztof: Widziałem, że w Polsce kilka instytucji, firm prywatnych prowadzi kursy czy nawet studia z cyberbezpieczeństwa. Czy według ciebie jest to dobra inwestycja czasu i dobry zawód na przyszłość?

Artur: Nie wątpliwie jest to zawód na przyszłość. Dlaczego? Dlatego, że wszelkich rodzajów zasobów do obrony jest i będzie co raz więcej. Osób, które się znają, które potrafią bronić zasobów, jest tym samym co raz mniej dostępnych na rynku. Wobec tego jest dobra inwestycja czasu i inwestycja w kompetencje w tej dziedzinie, dla osób, które chciałyby się tym zająć. Z drugiej strony tak jak w każdym obszarze IT, ci którzy będą się znali bardzo szczegółowo na jakiejś wąskiej dyscyplinie, będą tak naprawdę tymi, którzy będą najlepiej zarabiać, a z drugiej strony ci, którzy będą mieli szeroki pogląd na wiele obszarów, ale będą uzupełniać to innymi kompetencjami takimi jak komunikacja, szerokie patrzenie na wiele rzeczy, umiejętność rozmowy z ludźmi, przekonywania do pewnych rzeczy, również będą wygrani. Czy to jest dobra inwestycja czasu? Na pewno jest to dobra inwestycja, szczególnie, że takich osób będzie potrzebnych co raz więcej, a rynek też będzie, rynek ten na którym będą mieli pracować, systemy, urządzenia, oprogramowanie, będzie też, co raz bardziej wymagające, chociażby z tego powodu, że co raz więcej urządzeń, aplikacji rozmawia ze sobą i bardzo wiele rzeczy się integruje, wobec tego jest więcej takich potencjalnych ogniw w łańcuchu, które przestępca mógłby albo chciałby przerwać.

Krzysztof: Artur, prowadzisz platformę Cyberkurs Online. Opowiedz proszę, co ona umożliwia i jakie usługi świadczycie?

Artur: Wiesz co, pod nazwą tego projektu Cyberkurs Online, chcę, żeby to było miejsce, w którym będę mógł dzielić się wiedzą z osobami, które tej wiedzy chcą, potrzebują, chcą za nią zapłacić, tak żeby bardziej świadomie podchodzić do bezpieczeństwa. Co ta platforma umożliwia? Tak naprawdę zamówienie szkolenia, które byłoby dedykowane, ale z drugiej strony, w najbliższym czasie też większy nacisk położę na tzw. projekt, który, fragment tego projektu, będzie dotyczył opisywania ciekawych przypadków, które codziennie gdzieś się pojawiają. Bardzo często to są obiekcje osób, co do tego szerokiego bezpieczeństwa. Typowa pytania, które padają na prowadzonych szkoleniach, w różnych rozmowach, czy to ze specjalistami, czy ze zwykłymi użytkownikami, czy osobami nie technicznymi, bardzo często pojawiają się te same pytania, na które warto raz, drugi, udzielić takiej odpowiedzi, która będzie jasna wyczerpująca i z informacją o tym, gdzie szukać tych informacji więcej, także jeżeli ktoś jest zainteresowany takimi szkoleniami, można je wykonać, z jednej strony można zrealizować takie szkolenie poprzez Internet, poprzez narzędzie do e-learningu od mojego partnera, z drugiej strony możemy podjechać, wykonać takie szkolenie na miejscu, dostosować je do profilu firmy, ilości słuchaczy.

Krzysztof: Zawodowo odpowiadasz za kanału sprzedaży platformy do sprzedaży cyber treningów. Powiedz proszę, czym jest platforma do cyber treningów i czym są cyber treningi?

Artur: Platforma do cyber treningów to jest narzędzie, które jest swojego rodzaju laboratorium pozwalającym na to, żeby zespoły odpowiedzialne za bezpieczeństwo, ci o których mówiłem wcześniej, bezpiecznicy, sieciowcy, administratorzy, mogli wspólnie w bezpiecznym środowisku nauczyć się, a właściwie przetrenować możliwość obrony przed intruzem, którego tam przygotowaliśmy, zautomatyzowaliśmy jego działania lub stanąć na przeciw tzw. red teamowi, czyli osobom, które wiedzą jak zrobić krzywdę obrońcom, jak używać tych narzędzi przestępczych w taki etyczny sposób, po to, żeby osoby, które mają bronić mogły trenować. Zawsze podaję przykład bokserski, nie uczymy boksować, natomiast dajemy ring i sparing partnera. Można zobaczyć, co to znaczy walczyć w tym cyberświecie, co to znaczy bronić, można sprawdzić, czy procedury, które mamy bezpieczeństwa są użyteczne, czy one mogą zadziałać, a z drugiej strony też po to, żeby przygotować swoją psychikę, psychikę osób, które będą uczestniczyły w gaszeniu realnych pożarów internetowych,cybernetycznych, na to, żeby wiedziały jak się zachowywać, żeby to nie było tylko działanie post factum, sprzątanie po przestępcy, szukanie, co udało mu się ukraść, jakie narzędzie zostawić, ale żeby świadomie działać w trakcie takiego ataku, umieć też utwardzić tzw. środowisko zbudować je bezpieczniej, dokonfigurować je tak, żeby utrudnić przestępcy, innymi słowy znowu podnieść próg jaki by musiał przestępca przeskoczyć, żeby ukraść nam informacje.

Krzysztof: Artur, bardzo ci dziękuję za ciekawą i inspirującą rozmowę. Myślę, że tutaj bardzo dużo wartości, ciekawych porad dałeś słuchaczom.

Artur: Również dziękuję.

Krzysztof: Powiedz proszę, gdzie cię można znaleźć w Internecie i w jaki sposób można się z tobą skomunikować?

Artur: Pierwsze, to miejsce o którym wspominaliśmy www.cyberkurs.online lub na LinkedIn Artur Markiewicz, jestem na LinkedIn, będziecie mogli mnie od razu znaleźć i tamtymi kanałami można się ze mną komunikować. To, co motywuje mnie jeszcze, czy to do udziału w tym podcaście, do czego też się skusiłem, żeby w nim uczestniczyć, to jest to, że lubię dzielić się tą wiedzą, bo wiem, że dzieląc się taką wiedzą można dostać jej jeszcze więcej, a z drugiej strony ktoś kto ją pozyska będzie bardziej świadomie, bardziej bezpiecznie działał w wielu obszarach środowiska cyber.

Krzysztof: Jeszcze raz bardzo ci dziękuję. Do usłyszenia. Cześć!

Artur: Dzięki jeszcze raz. Do usłyszenia.

Krzysztof: I to na tyle z tego, co przygotowałem dla Was na dzisiaj. Bardzo fajna rozmowa z Arturem, który przybliżył nam zagadnienia związane z cyberbezpieczeństwem i mam nadzieję, że zachęcił do tego, by dbać o nie we własnym zakresie. Wszelkie linki znajdą się w opisie do tego odcinka. Po więcej informacji zapraszam Was na stronę PorozmawiajmyoIT.pl/7 tak jak numer tego odcinka. Chciałbym Wam również podziękować za nowe oceny tego podcastu, które pojawiły się w iTunes. Jestem bardzo wdzięczny. Dodatkowo chciałbym powiedzieć, co zapewne zauważyliście od pewnego czasu ten podcast jest nagrywany tylko przeze mnie. Chciałbym Was zachęcić do udziału w szkoleniu online, kursie online przygotowanym przez ikonę polskiego podcastingu Borysa Kozielskiego, kurs nazywa się „Łatwy podcasting” adresowany do tych z Was, którzy chcieliby rozpocząć swoją przygodę z podcastingiem, do czego ja oczywiście zachęcam. I to już tyle na dzisiaj, zapraszam Was do kolejnego odcinka. Cześć! Dziękuję Ci serdecznie za wysłuchanie kolejnego odcinka Porozmawiajmy o IT. Chciałbym, aby ten podcast docierał do jak najszerszego grona słuchaczy. Możesz mi w tym pomóc, zostawiając gwiazdki i opinie w katalogu iTunes lub innej aplikacji z której korzystasz do słuchania podcastów. Będę Ci wdzięczny za podzielenie się informacją o tym podcaście w mediach społecznościowych. Jeszcze raz dzięki za bycie ze mną i do usłyszenia w kolejnym odcinku. Cześć! 

mm
Krzysztof Kempiński
krzysztof@porozmawiajmyoit.pl

Jestem ekspertem w branży IT, w której działam od 2005 roku. Zawodowo zajmuję się web-developmentem i zarządzaniem działami IT. Dodatkowo prowadzę podcast, kanał na YouTube i blog programistyczny.