Piotr Konieczny: kamerkę w laptopie lepiej mieć jednak zaklejoną

Czy plaster naklejony na kamerze w laptopie to przejaw fobii czy zdrowego rozsądku?
Nie zaszkodzi, a może pomóc. Laptop lub komórka coraz większej liczbie osób towarzyszą przez cały dzień, niektórym także wtedy, kiedy nie chcielibyśmy być oglądani przez innych. A takie podejrzenie kogoś przez kamerkę nie jest trudne i nie zawsze będziemy w stanie zdać sobie sprawę, że jesteśmy podglądani. Dlatego chyba lepiej dmuchać na zimne i kamerkę mieć zaklejoną. Chociaż patrząc statystycznie, jeśli włamywacz jest na naszym urządzeniu, podglądanie ofiary przez kamerkę to jedna z ostatnich rzeczy, na które ma ochotę. Częściej dokona kradzieży danych, podmieni numer rachunku w przelewie lub zaszyfruje pliki na dysku i będzie domagać się okupu.

Idąc zatem dalej, co zrobić z lodówką, telewizorem czy żarówkami, które też coraz częściej są podpięte do sieci? Czy jedynym wyjściem jest pogodzenie się z tym, że ktoś może te nasze sprzęty zhakować?
To nowość dla ludzkości - być otoczonym przez urządzenia, które mają wbudowane mikrofony i kamerki, które są na stałe podpięte do internetu. Musimy więc albo zaszyć się w Bieszczadach, albo zmienić sposób bycia i przyjąć do wiadomości, że obecnie zawsze trzeba mieć świadomość, że jest się monitorowanym. Plusem tej niezręczności jest jedynie to, że nie tylko my, a wszyscy mogą być obserwowani - atakujący mają więc wiele ofiar i giniemy w tłumie.

Jak traktować kłódeczkę wyświetlającą się przy adresie, która przez wielu odbierana jest jako potwierdzenie bezpieczeństwa serwisu?
Te zielone kłódki to pomoce. Nie można w nich upatrywać jednoznacznej odpowiedzi na pytanie: bezpieczne czy nie? Bezpieczeństwo to trochę gra w kotka i myszkę. Pojawia się nowe zabezpieczenie, po chwili jest łamane, a potem znowu ulepszane. Jeśli ktoś nie śledzi na bieżąco tego, co się dzieje - i to na mocno technicznym poziomie - jest dla atakujących łatwiejszym celem. A do takiej grupy należy zaliczyć większość internautów. Zresztą nawet ekspertów od bezpieczeństwa da się zhakować. Na każdego znajdzie się sposób. Do takiego - być może zaskakującego dla wielu - wniosku doszliśmy, analizując wyniki realizowanych przez nas w ostatnich latach testów penetracyjnych. W tych zleceniach, w których klient zezwolił na atakowanie swoich pracowników, mieliśmy 100 procent skuteczności. I nawet nie musieliśmy korzystać ze złośliwego oprogramowania; a więc żadnego nakłaniania pracowników do otwierania załączników czy też infekowania ich urządzeń. Pracownicy sami dawali nam to, czego chcieliśmy - konkretne dokumenty lub dane dostępowe do firmowych systemów. W każdym z ataków wystarczyło wysłanie zaledwie kilku e-maili o odpowiednio dopasowanej treści do umiejętnie wybranych pracowników ofiar.

Wszyscy już wiemy, że nie należy klikać w linki z mailami od banku, trzeba uważać na pliki z fakturami czy maile od kurierów. Gdzie przestępcy mogą jeszcze próbować szukać luk w naszym zaufaniu, wiedzy o internecie itp.?
Mniej jest już kampanii e-mailowych ze złośliwym oprogramowaniem wysyłanych do wszystkich „jak leci”. Przestępcy segregują ofiary i wysyłają wiadomości o konkretnej treści do konkretnych grup docelowych, np. pełnomocnictwa do kancelarii prawnych, projekty udające pliki AutoCAD do architektów, fałszywe listy zapisów na zajęcia do studentów czy podrobione komunikaty z serwisu aukcyjnego do osób sprzedających na tym serwisie. Taka segmentacja ofiar to przykład minimalnego rekonesansu i niewielki wysiłek, ale bazując na naszych własnych doświadczeniach, jesteśmy pewni, że tego typu działania przynoszą większe zyski. Nie mówiąc już o tym, że wąskie grupy docelowe ograniczają badaczom bezpieczeństwa wykrywanie i ujawnianie tego typu incydentów.

Piotr Konieczny był prelegentem podczas ostatniej edycji Software Talks

Zobacz też: Jak sprawdzić punkty karne przez internet?