#NaCudzychBłędach – Piotr Konieczny – każdy może zostać ofiarą internetowych przestępców

Wiele osób zadaje sobie pytanie: Kto wpadnie na pomysł, aby “zhakować” akurat mnie 🙄? Jeśli nie jestem znaną osobą, politykiem czy bogatym człowiekiem – jakie jest ryzyko, że moje dane zostaną wykorzystane do niewłaściwych celów? Jakie są powody, abym musiał się zabezpieczać przed przejęciem mojego komputera, tożsamości czy danych?


SŁUCHAJ

więcej podcastów

 


OGLĄDAJ

więcej filmów

 


CZYTAJ

Każdy może zostać ofiarą internetowych przestępców

Piotr Konieczny z Niebezpiecznik.pl w rozmowie z cyklu #NaCudzychBłędach, tłumaczy, z jakiego powodu każde z nas może zostać ofiarą internetowych przestępców. I nawet możemy o tym nie wiedzieć…

Jarek Łojewski: Cześć, moim gościem jest Piotr Konieczny, założyciel firmy Niebezpiecznik.pl, która jest wydawcą portalu o tej samej nazwie, który jest chyba najbardziej znanym portalem o bezpieczeństwie.

Piotr Konieczny: Jest najpopularniejszym i największym.

Dobrze, nie będę się sprzeczał. Ty znasz fakty. Powiedz mi, skoro zajmujecie się bezpieczeństwem, powiedz o jakiejś dużej wpadce związanej z bezpieczeństwem.

Jedna taka zabawna i która jest trochę na czasie, to jest wpadka, jaką popełnił terrorysta i była to śmiertelna wpadka. Terrorysta pochwalił się w mediach społecznościowych zdjęciem, które wykonał na swoim telefonie. Niestety z tego zdjęcia nie usunął z tego zdjęcia metadanych, czyli kluczowych informacji, które to zdjęcie opisują. Opisują tymi metadanymi urządzenia, które je wykonują, czyli na przykład aparaty czy smartfony, w tym przypadku to był smartfon. Ponieważ ten terrorysta był monitorowany przez siły zbrojne USA, oni sobie te zdjątko pozyskali z internetu, odczytali różne kody, porównali mapy satelitarne okolicy, przypasowali inne informacje i zobaczyli, że o, to chyba wygląda jak ta siedziba, której szukaliśmy, teraz wiemy, gdzie ona konkretnie jest. I zamiast lajka wysłali temu terroryście rakietę, która go skutecznie wyeliminowała.

Takiego symbolu nie ma na Facebooku.

No niestety nie ma, aczkolwiek zbliżamy się chyba do odpowiedzi tzw. kinetycznych, zbrojnych na przestępstwa albo działania z domeny cyber pięknie nazwanej czy po prostu hakowania w internecie. Nie dalej jak 3 dni temu izraelskie siły również poinformowały o tym, że zbombardowały fizycznie rakietami siedzibę, cyber kwaterę Hamasu, która rzekomo miała dokonywać ataków na infrastrukturę Izraela. Prawda jest taka, że jak ktoś śledzi ten konflikt, to wie, że Izrael hakuje wszystkich i wszyscy hakują Izrael. I to nie jest coś, co dzieje się dopiero teraz.

No, ale z jakiegoś powodu 3 dni temu po raz pierwszy zdarzyło się, że nastąpiła taka, no można powiedzieć całkowicie eliminująca zagrożenie odpowiedź.

Ok, tutaj mówimy właściwie o takiej polityce globalnej, natomiast chciałem Ciebie namówić na rozmowę o tym, jakie my błędy popełniamy w naszym takim mniejszym świecie. Jeśli jestem osobą, która nie jest może tak znana jak Beyonce albo terrorysta niezależnie od narodowości. To czy powinienem się obawiać, że coś mi się od strony właśnie internetu, wycieku informacji może się przydarzyć? Przecież nikt nie wie, że ja istnieję.

A czy korzystasz z internetu?

Tak.

To powinieneś. Każdy, kto korzysta z internetu, powinien. Bardzo błędne jest myślenie, że nikt nie chciałby mnie zaatakować, że dla nikogo nie jestem wartościową osobą. To może być prawda. Nikt nie musi Cię prywatnie znać i wiedzieć, że atakuje właśnie Ciebie. Ale zasoby, z których Ty korzystasz w internecie, zasoby, które masz w internecie – serwer twojej fundacji, serwis internetowy, który stworzyłeś, to jest coś, na czym przestępcy, złodzieje internetowi mogą zarobić, ponieważ włamując się na takie rozwiązania, serwery, serwisy internetowe, oni korzystają z 3 zasobów.

Zasobów mocy obliczeniowej – twój serwer ma moc obliczeniową, bardzo szybko można ją przekuć na krypto walutę, to jest zysk dla przestępcy. Będziesz po prostu takim, jak w Matrixie elementem, z którego się wyciskało soczek, który będzie się zmieniał na wirtualną walutę. Ty masz też przestrzeń dyskową, na której trzymasz jakieś pliki. Jeśli one są wartościowe, to zostaną wykradzione i sprzedane komuś. Ktoś może być zainteresowany danymi, które posiadasz. Jeśli one nie są wartościowe dla nikogo innego, tylko dla Ciebie, to zostaną zaszyfrowane i ktoś Ci powie „Słuchaj stary, już nie masz swoich plików, bo ja je zaszyfrowałem, mogę Ci je odszyfrować, jeśli mi zapłacisz”. Czyli typowy szantaż, jeśli nie miałeś kopii bezpieczeństwa, to pewnie będziesz chciał te dane odzyskać, o ile oczywiście one są dla Ciebie wartościowe. I wreszcie przestępca może na tym dysku twardym położyć swoje materiały. Gdzie w internecie, nie wiem czy wiesz, jest hostowana dziecięca pornografia?

No nie wiem.

Bardzo dobrze, bo pytanie było podchwytliwe, ale niestety dziecięca pornografia jest gdzieś w internecie hostowana i ona bardzo często jest hostowana na przejętych, cudzych zhakowanych serwerach, gdzie przestępcy się osadzają. Nie pod swoim adresem, ale pod czyimś adresem, czyjeś dane, na wykupionym serwerze. Hostują tego typu nielegalne treści po to, aby trudniej było dojść do ich prawdziwej tożsamości. I wreszcie trzeci zasób jaki jest, to samo łącze internetowe, które Cię podpina do internetu. To łącze internetowe to jest coś, dzięki czemu przestępcy mogą z Twojego serwera wysyłać spam na cały świat. I to Twój adres IP, a nie ich zostanie zabanowany.

Oni mogą z tego łącza internetowego skorzystać też w inny sposób. Mogą, na przykład,  razem z Twoim serwerem i setką innych, które przejęli, w jednym czasie powiedzieć, że wchodzimy na stronę fundacji takiej a takiej i oni ją sparaliżują, zaleją ruchem, mówimy wtedy o ataku [?], czyli jak widzisz jest wiele rzeczy, gdzie Twój mały światek z Twojego punktu widzenia jest nieistotny dla nikogo i dla przestępcy też nie istotny, ale może być jednak wykorzystany do tego, żeby na nim w jakiś sposób zarobić. On stanowi po prostu wartość dla przestępców, da się po prostu zmonetyzować.

Czyli nawet jakbym był osobą, która nie prowadzi żadnej strony, korzystam z internetu, przeglądając strony, wysyłając maile, to przynajmniej ta ostatnia rzecz jest czymś wartościowym dla przestępców.

No myślę, że można uogólnić, że jeżeli korzystasz z internetu, to ktoś może być Tobą zainteresowany. Nawet jeśli nie prywatnie z imienia i nazwiska, żeby Cię rozpoznać i rozpracować, to tym, jakie są Twoje trendy, zachowania, czy one wpisują się w inne osoby, które są w ten sposób monitorowane, po to, żeby wysnuć chociażby przypuszczenie, że ludzie, którzy mają brodę i okulary, o godzinie 10 zazwyczaj piją kawę. I to może być trend, który wyjdzie z tych danych, które ktoś pozyska i sprzeda je firmie, nie wiem, marketingowej i ktoś będzie akurat w tych godzinach kierował odpowiednie reklamy. Już na wszystkim da się zarobić, trzeba mieć tylko trochę wyobraźni, a niestety ci internetowi przestępcy to są ludzie, którzy mają dość dobrze wyrobioną wyobraźnię.

Jeszcze z polskim mają trochę problemu, jak wysyłają ten mail zachęcający do odbioru kasy.

Zagraniczni, którzy kierują takie maile w Polaków, być może tak, ale polscy, którzy wysyłają smsy, podszywający się na przykład pod Inpost i mówiący, że twoja przesyłka okazała się cięższa i będziesz musiał dopłacić 76 groszy, zrób to tym linkiem, aby paczka dotarła do Ciebie w terminie, to robią to bardzo dobrze, nawet z polskimi znakami. I bardzo wiele osób niestety nabierają.

Ok, jak przeciętny użytkownik internetu może się zabezpieczyć przed tym, żeby nie paść ofiarą takich działań?

Doskonałe pytanie. Nie ma uniwersalnej rady. Jest jedna uniwersalna rada – nie ma uniwersalnych rad. Aby odpowiedzieć na pytanie „Jak?”, trzeba najpierw odpowiedzieć na dwa inne pytania. Co dla Ciebie jest najważniejsze – czy pieniądze, czy dane, czy ciągłość działania, aby ciągle utrzymywać kontakt czy świadczyć jakieś usługi. Drugie pytanie – przed kim chciałbyś to chronić? Kto potencjalnie może Cię zaatakować? Jak będziemy mieć odpowiedź na pytanie – co jest dla Ciebie najważniejsze i kto może to zdobyć, to wtedy i tylko wtedy możemy Ci odpowiedzieć wiarygodnie, jak możesz się chronić przed tym zagrożeniem dla tych zasobów, które dla Ciebie są najważniejsze.

Do czego dążę? Dążę do tego, że usługi związane z bezpieczeństwem i porady, one muszą być dopasowane. Jak nie są dopasowane, to jak wszystko, są dla nikogo.

Ok, ale jeżeli jestem osobą, która przegląda strony internetowe, wysyła maile, nic więcej nie robi. Czy jest tutaj jakaś podstawa, którą powinienem zachować, żeby starać się zabezpieczyć przed tego typu działaniami?

Coś, czego wszyscy jesteśmy winni, to jest korzystanie z tego samego hasła do więcej niż jednego serwisu. Czyli ludzie lubią sobie upraszczać życie, mają jedno ulubione hasło – kwiatuszek7 i korzystają z tego hasła do poczty, do serwisu aukcyjnego, Facebooka. Trzeba zwrócić uwagę, że jeżeli hasło wycieknie z jednego serwisu, na którym mamy je ustawione, na którym mamy konto, to przestępca je pozna. Zobaczy nasz adres email i sprawdzi, czy na ten adres email jest konto na Facebooku, na Allegro, na Netflixie, na Uberze.

Jak myślisz, jakie hasło w pierwszej kolejności sprawdzi? No to, które już pozyskał w Twoim kontekście. Jak kwiatuszek7 tam nie będzie pasował, to on jest na tyle inteligentny, że sprawdzi kwiatuszek8 i kwiatuszek6 albo kwiatuszek2019. I to są właśnie rzeczy, na które musimy zwrócić uwagę, czyli jeśli mamy konta w różnych usługach, musimy je odseparować różnymi hasłami. Ciężko jest zapamiętać 50, 60 czy 70 różnych haseł, ale już nie daj boże nie powinniśmy układać tych haseł według jakiegoś wzorca typu „moje tajne hasło do gmaila”. Jak atakujący zobaczy „moje tajne hasło do gmaila”, „moje tajne hasło na Allegro”, to on się domyśli, jakie jest Twoje tajne hasło do Ubera.

Więc te hasła powinny być różne. Ludzie nie są dobrzy w pamiętaniu różnych rzeczy, które być może rzadko używają, dlatego dobra rada, to korzystać z managera haseł. Brzmi może strasznie, ale tak naprawdę każda przeglądarka, która prosi nas o to, czy zapamiętać to hasło, tak, zapamiętaj to hasło w przeglądarce, tylko postaraj się, żeby układając to hasło, żeby było różne od innych Twoich haseł.

Możesz sobie nawet zrobić kota na klawiaturze, który biega, jakiekolwiek losowe rzeczy, przeglądarka będzie to pamiętała, przeglądarka będzie ten niezrozumiały dla ciebie ciąg znaków wpisywała i o to chodzi, ale ważne jest to, żebyś do innego serwisu inaczej te palce po klawiaturze poprowadził i też przeglądarka to zapamięta. Ty nie pamiętasz haseł. Ty jedno hasło pamiętasz, być może, do swojego systemu, ewentualnie do przeglądarki, by odblokować dostęp do innych haseł.  I to jest świetne rozwiązanie, bo to jest tak naprawdę coś, co codziennie się zdarza. Codziennie wyciekają dane, codziennie ktoś bierze te bazy danych i codziennie ktoś patrzy, jakie tam rożni ludzie maja hasła i sprawdza czy ci różni ludzie mają różne inne konta i czy te hasła, które pozyskał ten ktoś pasują do kont różnych ludzi w różnych innych serwisach.

Ja korzystam z aplikacji, która jest managerem haseł, czy tego typu rozwiązania są bezpieczne?

Bardzo dobre. Niezależnie od tego, jaka to jest aplikacja, to jest lepiej niż żadna aplikacja zapamiętywania haseł. Ale tak jak mówię, jeśli ktoś nie chce instalować dodatkowego oprogramowania, to niech skorzysta z managera haseł w przeglądarce albo w swoim systemie operacyjnym.

W iPhonie jest np. pęk kluczy, który pyta się, czy zapamiętać to hasło. Przechowujmy te hasła tam.  To jest ok.

To, co powiedziałeś, żeby przechowywać te hasła w przeglądarce, to trochę mnie zaskoczyło, bo myślałem, że to do końca nie jest bezpieczne.

Dużo osób tak myśli, ale czy Ty się dzielisz dzisiaj w roku 2019 swoim komputerem z kimś innym?

Poza rodziną taką najbliższą w domu, nie.

Ufasz im.

Tak.

No to ok. Ale dawniej to mogło być zagrożenie, bo jeśli zapamiętywałeś te hasła na przeglądarce, to można było do nich dotrzeć i ktoś miał dostęp fizyczny do komputera. Spoiler – jeśli ktoś ma fizyczny dostęp do komputera, to masz większy problem niż jak pozna hasło do Ubera. To jest generalnie game over. Ale jak ktoś z rodziny, to nie zakładasz, że będą ci robili pod górkę. Natomiast w dzisiejszych czasach, kiedy mamy swoje laptopy, a nie korzystamy z publicznego dostępu w bibliotece albo współdzielimy jeden laptop gdzieś na grupę osób, no to już tego fizycznego dostępu z reguły zaufane osoby nie mają z naszej przeglądarki, to jest ok.

Hasło do logowania się do komputera? W domu?

No fajnie by było, żeby Twoi domownicy, którzy korzystają z tego komputera, korzystali na innych kontach. Założyć im osobne konta w systemie operacyjnym. To też jest jakaś separacja.

To warto mieć, bo widzę jednak, że sporo osób tego nie robi.

Warto mieć, ale jeśli ten komputer to jest stacjonarka, do którego tak czy inaczej nikt inny nie ma dostępu, to pod warunkiem, że za bardzo nie imprezujesz, nie urywa Ci się film, nie masz złośliwych kolegów na imprezie, to raczej Ci chyba nic nie grozi.

No dobra, czyli podstawa, jeśli chodzi o bezpieczeństwo takie nasze prywatne, to są hasła, najlepiej różne dla różnych systemów.

Obowiązkowo.

Obowiązkowo. Nie robione według jakiegoś rozpoznawalnego klucza. I wszelkie managery haseł polecasz.

Jakikolwiek jest lepszy niż żaden.

Dziękuję bardzo. Mam nadzieję, że będziecie się czuli bezpieczniejsi po tym wywiadzie.

 

Rozmowę zrealizowano w trakcie konferencji infoShare 2019