BSides Warsaw 2019: Ataki socjotechniczne w praktyce - Borys Łącki

szybkie pytanie który to rok z rzędu no połowa ludzi na sali tyle nie żyje co ja tutaj występuje a kto wygrywa na razie na razie jeszcze nie prawda to jest temat na after dobra w takim razie nie będę przedstawiał kogo znacie tylko temat mi się zgadzały się z tymi no ale dobra mniejsza z tym zostawcie ten żart już w spokoju bo ile można cześć cześć ja nazywam się solar sands i dla tych którzy nie znają połowa na sali do znajomi związku z tym czego się śmieje o 16 lat wykonujemy te tradycyjne kwestie aplikacje webowe i mobilne infrastruktury czasami testujemy także ludzi w zasadzie o tym dzisiaj chciałbym opowiedzieć o tę kwestię związaną z związanej z atakami ze strony

technicznej myślę że wszyscy dobrze wiecie to zajmuje się bezpieczeństwem to macie świadomość czym są taki sposób techniczne o co tak naprawdę chodzi no ktoś chcę was oszukać chcę was nakłonić do czegoś do zrobienia jakiejś akcji do kliknięcia w odnośnik do oddania hasła do kliknięcia w złośliwe oprogramowanie być może do podawania jakich informacji przez telefon być może do wykonania fizyczne jakiejś akcji w 5 jakieś urządzenie do sieci i tak dalej i tak dalej mam nadzieję że dla was jasne pokażę wam dzisiaj kilka przykładów z naszych testów operacyjnych tak naprawdę najprostsze ataki techniczny taki standardowym ale które być może dostaliście nawet dostać właśnie znajomi albo wasi rodzice i który próbuje was nakłonić do tego żebyście kliknęli jakiś załączniki

zainwestowali swój komputer dwa dni temu urzędu ochrony danych osobowych poinformować o takim ataku w którym ktoś podszywa się pod diodą i tutaj i tutaj taką radę że już nazywamy diodą już teraz śmiało do związku z tym tutaj cyberprzestępcy w zasadzie wykorzystując aktualne informacje jak się zajmujecie się danymi osobowymi na pewno dzięki temu wykryli byście że to jest złośliwe oprogramowanie bo przecież prawdziwe złoto nie udawało mi się jako generalnie inspektora ochrony danych osobowych czy bardzo prosty trik widzenia informacji od użytkownika i tak to zazwyczaj mniej więcej wygląda a my kreując takie testy penetracyjny robimy to bardzo podobny sposób próbujemy skłonić użytkownika do czegoś czego on teoretycznie powinien zrobić czegoś co jest niezgodne z politykami firmy czegoś

co może doprowadzić do na przykład utraty wrażliwych informacji bardzo ważne żeby w atakach specyficznych pamiętać o tym że waszym zadaniem przede wszystkim trochę przesuwanie zaufania waszym zadaniem jest na początku sprawia że ta druga osoba poczuła się bardziej pewnie żeby poczuć się bardziej bezpieczne dzięki temu będzie wam o wiele łatwiej osiągnąć jakiś wasz zamierzony cel to bardzo zależy od tego jaki ten cel jest natomiast jest też bardzo ważne żebyście w takich dedykowanych takich jeśli będziecie swojej firmy ale swoich klientów ten sposób testowali to to żebyście myśleli o kategoriach z perspektywy zaufania nie tylko dlatego że ktoś ma kliknąć w niebezpieczne załączniki to jest jakby myślenie techniczna w tutaj pracuje tak naprawdę z ludźmi takim najważniejszym a

znacznikiem tego że coś może pójść nie tak w e-mailu i tego czasami uczymy w firmach jest to że e-mail próbuje nas jakoś oddziaływać to będzie jakaś promocja związane ze strachem z radością może z ciekawością to może być coś co sprawi że wam się bardziej chcę kliknąć w jakąś wiadomość w jakiś odnośnik no to co jest ważne to to że można zbudować naprawdę bardzo prosto prosto z reguły jak mail zawiera jakąś taką rzecz związaną z emocją to już powinno się w naszym pracownikom zapala się czerwona lampka być może powinieneś wtedy wziąć głęboki oddech i przez 3 sekundy zastanowić się czy na pewno powinni kliknąć w tą wiadomość takie proste przykłady jeśli chodzi o strachu oczywiście najprościej zawsze nas

straszyli że macie coś do zapłacenia że coś straciliście że zablokowany wam dostęp do swojego konta w wyniku tego nie będziecie mogli oglądać filmów w kupić sobie czegoś i tak dalej i tak dalej i oczywiście wtedy chcecie się dowiedzieć dlaczego tak jest ten problem rozwiązać i klikacie w korporacyjnych środowisku świetna skuteczność mają na przykład takie miejsce w którym informują użytkowników że zostali zasubskrybowali na pornograficzne serwisy internetowe żeby się wypisać z tego serwisu to trzeba kliknąć tam trzeba podać im się ręce trzęsą grą komputer firmowej że coś jest nie tak z tą łatwo rozwiązać rozwiążą i tego typu ataki też to dość skuteczne czasami oczywiście może być drugą stronę ktoś może wam powiedzieć słuchajcie no mam twoje pieniądze

takie dawno dawno temu jak byliście młodzi ludzie jak sobie żartować że chcesz zadzwonić do mamy w dowolne miejsce i powiedzieć że ja tutaj do do na przykład syna i bo chcę oddać pieniądze tak to działa bardzo podobnie bo ludzie zupełnie inaczej reagują jakim się uruchamia w głowie taka rzecz związana z nagrodą i znowu się przesuwa ta linia związana z zaufaniem pamiętajcie też o tym że czasami to może być jakaś taka ciekawostka w tym wypadku akurat no tutaj ktoś oczywiście sugeruje że jako wasz komputer waszym ale no i mam nagrane wideo w których się masturbujesz życie ja nie ukrywam że jest taki dom handlowy zobaczyć w związku z tym jakby ciekawość wzięła górę i pewnie bym kliknął

niech cisza będzie odpowiedzią jej przyszli do mnie maila do siebie wygramy on zaczął tutaj do was pytanie czy 2018 roku kiedy raport o tym w sądzie klikając ok 20 filmików jak jest temat piercingu czy takiego ataku w którym proszę podać jakieś danych karty kredytowej loginu i hasła generalnie od kogo się podszywają się trochę oszukują i spróbujcie no bo spróbujcie stworzyć swój komputer niesamowite ja mam komputer do może kaspersky tak jak korzystam z windowsa może może już sobie kto to kto mnie atakuje jakoś tam oto może słuchaj ja nie wiem jak to działa ale rozumiem że znasz to zapytam swojej żony następnym razem okay spróbuję strzelić co jest takim top20 na pierwszym miejscu na to że

dzisiaj ludzie na dosyć nabierali nabierając ostatnie miesiące jeszcze iphone'a za darmo czyli atakować dobra to jeszcze hej to jakby nie chciałem żebyś to osobistych rzeczy tutaj wiesz wyciągał publicznie ale to powiększanie penisa kiedyś działało dzisiaj ludzie wiedzą że to trzeba zapłacić jest konkretna metoda techniki i tak dalej i tak dalej to jest dzisiaj nie jest aż tak popularny ale dziękuję się z nami podzielić się z wami moimi przemyśleniami na ten temat czy to jest zabawne bo jest bardzo dużo tak naprawdę tak zwany brain food o co w tym wszystkim chodzi o raporty i drapiąc się w głowę i mówię okej muszę się w czytać bo nie do końca rozumiem tak oczywiście przepraszam jeśli chodzi o transport

globalnie to są takie reklamy w zasadzie jedzenia po którym będzie cię zdrowsi mądrzejsi tak dużym uproszczeniu takie tabletki po którym wy będziecie zdrowsi oddychaliśmy i i ludzie będą chcieli żeby tak to po prostu działało że klikacie płacicie kupujecie z tabletu nie musicie uprawiać sportu w zasadzie automatycznie mądrzejszy nie musisz czytać książek nie musisz chodzić na konferencje się dowiadywać różnych ciekawostek po prostu wystarczy tabletka i teraz uwaga najbardziej ciekawa rzecz w tym wszystkim jest taka że to na dole macie kliker message i tutaj zobaczcie co się dzieje w ogóle okazuje się że te wiadomości są tak skuteczne że oni nie dość że klikają kilka razy taką wiadomość to jeszcze czasami oferują wiadomość do znajomych rodziny do znajomych żeby oni też

kliknęli i to jest naprawdę niesamowite bo dawno nie było takiego z takiego tak dokładnie tak tak słucham dokładamy światowe cześć facebook na dole macie już zaraz wam pokażę wam nowy rekord będzie kierunek jasne że na pewno nie jest to tylko rynek polski oni potrafią swoim raporcie że mają kliknąć na poziomie mniej więcej 20-25 procent to bardzo zależy od od tego kogo atakuje w naszych testach to jest tak że a w zasadzie z naszej perspektywy wojskowej klikalność media narzędzie klikalności też kliknąć dalej nie to jak bardzo się zainfekowany nas my robimy robiąc dedykowane te tradycyjne spróbujemy sprawdzić czy użytkownik podał swoje hasło czy nie czy idziemy krok dalej no nas jest tak że od kilku procent takie branże gdzie

systematycznie przeprowadzone testy bezpieczeństwa gdzie są takie ładne są te szkolenia to wtedy jest około kilku procent skuteczności takich ataków w ciągu pierwszych dwóch godzin po kilkadziesiąt procent firmy potrafi oddać swoje hasło w ciągu pierwszej godziny w takich branżach które nie znają się na i specjalnie się nie zajmują bezpieczeństwem i tutaj jeszcze jeden quiz w jaki dzień tygodnia najczęściej cyberprzestępcy wyszła wysyłają takie plastikowe wiadomości słyszę poniedziałek i piątek dlaczego piątek z ciekawości w postaci do domu to już wiemy jakie są u was w firmie znowu dobra dzięki poniedziałek to jest poniedziałek to jest bardzo

ciekawy przychodzić do pracy na takim wielkim [Muzyka] na takim przetargu abyście zadali na początku się kończy na takim druku

głowy ale zacząłem widzicie chciałam wam pokazać tak naprawdę jak działa dokładnie strach i jak działa to właśnie dostałem cokolwiek by to podłączyć kabel usb wszystko w chinach mówił nie musi zadziałać musi mieć zasilanie świetny przykład bardzo dziękuję właśnie właśnie o to chodziło dobrze że o tym pamiętać żeby nie wpadać w poniedziałek wchodzicie do firmy na tym że ta opowieść będzie tak jesteś z polski to nie wiesz o co chodzi cały czas świecie i klikacie to wszystko tak to nie jest tak że są najlepsze które trzeba przeczytać i tak będzie zawsze dużo pracy faktycznie tak to mniej więcej wygląda ona tak jak wam mówiłem jeśli chodzi o testy penetracyjny to w zasadzie zawsze ktoś kliknął zawsze ktoś oddał jakieś

dane uwierzytelniające czyli mamy tę technikę jeśli możemy wykorzystać w pewnym sensie pracownika do tego żeby on coś tam oddał to no jeszcze nie znaleźliśmy takie firmy w którym się nie udało takiej takiej osobie znać oczywiście im większe organizacje tym to będzie łatwiej zawsze zrobić tak wiele ludzi będzie więcej oni się coraz mniejsze ludzie znają wysyłać wiadomości na komórkach jak macie trzy piętra organizacji to naprawdę wchodzi się prosto z tych firm i chodzi o tych firmach fizycznie rozrzucać urządzenia się przy biurkach i to trwało godzinami i nigdy nikt nie pyta o kim ty jesteś bo bo ludzie nie znają i też nie mają takiej bariery żeby się zapytać przepraszam dlaczego pan tu siedzi przy komputerze mac kliknij menu apple

kliknij opcję system działa i jestem zgłoszenie że trzeba naprawić aaa dobra idziemy na obiad tak normalne jedne z takich też naszych przykładów dosyć zabawne który bardzo lubię to jakiś czas temu taką zapytanie ofertowe standardowe szacunkowe testów bezpieczeństwa no i dostaliśmy z naszą konkurencją a konkurencja jest na sali dosłownie nasi znajomi znamy się z niektórymi 20 lat w tym pomyśleliśmy sobie a to zrobimy taki żart jak już tutaj jesteśmy w tym miejscu no i podpisaliśmy do wszystkich tych ludzi chce przy czym oczywiście zrobiliśmy zrobiliśmy literówkę w tym okresie tego prawdziwego adresata żeby nie dostał wiadomość i tak nikt tego nie sprawdził w tych naszych konkurentów się później okazało no i wysłaliśmy wiadomość że niby to jest to wszystko żeby się

pomyliliśmy i tak niefortunnie wysłaliśmy też do wszystkich naszych kontrahentów i większości są na sali będą się zawierać w sobie kliknęli natomiast ja ja wam powiem jak to wyglądało tak że perspektywy naszej perspektywy niestety to wyglądało tak że oni zostali przekierowywania drugą stronę internetową która sobie kupiliśmy sobie domenę tam oczywiście wyświetliliśmy i film xavi1321 przez google translate być bardzo jako że wszyscy zniknęli tylko on mnie do swojego i pilotowi co to jest ale to specjalnie nie ma znaczenia doszliśmy do tego generalnie rzecz biorąc doszliśmy do tego na różne sposoby niektórzy klikając obraz a niektórzy klikając na przykład z adresu ip i a firmy która w której oni robią szkolenia i w tym dniu akurat ta firma robi

szkolenia w tym budynku i tak dalej i tak dalej ale doszliśmy w ciągu dnia do tych wszystkich plików to na pewno oczywiście pracownicy niefortunnie kliknęli bo chcę się dowiedzieć co pójdźmy prosta rzecz którą chcę wam pokazać że że tak działa to technika no i tak jak mówiłem jeszcze się zakładam że jeszcze się nie nagrałem jakiś dobry atak techniczne pewnie ktoś w końcu kiedyś nabierze mam taką nadzieję że czekam zawsze na to pamiętajcie o tym że że to chcę techniczne to a to są to są bardzo różnego rodzaju taki czasami naprawdę może zostać zaatakowani i po prostu tym zupełnie nie dowiedzieć tak i dlatego też w tym kontekście że mam nadzieję że nie została zaatakowana jak było

naprawdę to to też zapytam wtedy kolegów po prezentacji mieliśmy taki jak link który chciałem powiedzieć ciekawa rzecz bo takich zwykłych i w jakąś wiadomość zakładającą pracowników do tego żeby oddalić hasło skonstruowany w taki sposób

by się dowiedzieć się jak wcześniej dzień dobry czy kochasz tak i on na końcu i tak dalej ale po to żeby ten ale jak najbardziej wiarygodny to bardzo fajnie działa ale co działo się coś ciekawego tutaj użytkownik który przed nami treningową a on zorientował się że w sumie to poprosiliśmy o takie dostęp do do weryfikacji jednego systemu inteligentnego systemu użytkownik niestety nicku nie do końca w tym systemie najpierw wymyślę co zrobić jak przygotowuje się zapiszę zapisał się oczywiście tego formularza to możemy pozbyć się to hasło i nie spróbowaliśmy użyć tego hasła do innych systemów które były w firmie no i oczywiście co się okazało okazało się że można było przejąć jeden z innych systemów bardzo skorzystać z takiego

samego hasła w którym mówimy o 20 lat tak nie używa się tych samych haseł niestety to ciągle firmach tak działa nie słyszałem polski co mówiłeś albo udaję że nie słyszałem ona jednym z etapów mieliśmy taką firmę która toczy się nie jest prawdziwa nazwa pokazuję problem firma nas ma taką nazwę w której jest dużo różnych litery nazwę jest długa i tak jak mamy wpisać adres strony internetowej to nigdy nie pamiętam ile to jest 1 z o ile razy skomplikowane i pomyśleliśmy sobie że skoro mamy z tym problem to prawdopodobnie kontrahenci tej firmy też ma problem z tego typu pisemnej co zrobiliśmy kupiliśmy kilkanaście bardzo podobny do menu po prostu domem z różnymi usterkami bo więcej dla mnie i tak dalej i tak dalej

ustaliliśmy że chcemy pobrać całą polskę która wpada na te skrzynki pocztowej atak za 20 30 dolarów mniej więcej koszt takiego ataku i spotkaliśmy zobaczymy co się wydarzy tak zrobić godzinę i i sprawdzimy co się okazało okazało się że zaczęliśmy bardzo szybko dostawać wiadomości która była cała korespondencja pomiędzy pracownikami pomiędzy kontrahentami pomiędzy film z dokumentacją załącznikami z fakturami z naprawdę bardzo ciekawe różne informacje do nas dotarły

informacje ale pomyśleliśmy sobie na zasadzie ok już w tej chwili jesteśmy w gdzieś tam w tle jesteśmy w komunikacji malujemy sobie z użytkownikami to postanowiliśmy pójść krok dalej się na to zgodzić oczywiście i wysłaliśmy złośliwe oprogramowanie tak i udając że to jest jeden z tych załączników będący częścią tej całej komunikacji kolejny kolejna próba takiego trochę niestandardowego ataku się nie pytajcie mnie jak to się skończyło czy innym filmem dodatków mieliśmy taką sytuację w której mieliśmy zaatakować system system taki kremowy on dostępny w sieci internet mieliśmy robiliśmy haseł i tutaj się zadziałać trochę trochę inaczej a najpierw powinniśmy do firmy dowiedzieliśmy się jak ten celem jest wykorzystywany później zadzwoniliśmy do dostawcy oprogramowania terenowego i powiedzieliśmy że jesteś zainteresowany

zakupem takiego oprogramowania czy oni mogli uruchomić darmo oczywiście to bardzo chętnie nam uruchomimy w prosty sposób nie tylko na tej platformie ale nie mieliśmy oczywiście pozwolenia na pracę spotkaliśmy sobie adresu url a następnie adres url próbowaliśmy w odpowiedni sposób i odtworzyć na tej platformie którą mogliśmy zaatakować z platformy klienta okazało się że był tam taki płatności techniczne które umożliwiły przeniesienie tej platformy uzyskania informacji o pracownikach czasami warto działać niestandardowo i trochę inaczej a oczywiście wiecie jak macie linux i mac i bezpiecznie tak powtarzam z dala od od wielu lat mam nadzieję że macie świadomość że każdy system operacyjny na błędy i wszystko zależy od tego jak go podchodzicie jakim zarządzanie co z nim robicie i tak dalej i tak dalej to jest

ich mnóstwo dostaliśmy jedzenie niewielkiej firmie kilkudziesięciu osobowej gdzie bardzo szybko okazało się że firma korzysta z oprogramowania linuksowego i w zasadzie nie mam windows więc te wszystkie znaczniki windowsowe o których zawsze oglądamy jak na prezentacjach są one po prostu nie działają więc musieliśmy zadziałać trochę inaczej najpierw nagłówka i w mailach powinniśmy informację o tym że prawdopodobnie to jest linux poprosiliśmy więc o ofertę tutaj jest metadanych czyli taki drobny informacji na temat tego oprogramowania które które zostały użyte do stworzenia tej oferty wybraliśmy informacje prawdopodobnie to jest libreoffice wersji 51 połączyliśmy te kropki tak link z 5 1 więc założyliśmy że prawdopodobnie skoro inne rzeczy wskazują na to że oni też znowu to jest w ten sposób a teraz opisuje korzystanie

z wersji 16 system ubuntu oczywiście zakładamy zawsze trochę kwiatach w których w których działamy w boksował nie wiem wszystkiego i czasami próbujemy różnych metod żeby się dowiedzieć czy dana metoda zadziałała lepiej lub gorzej i jak standardowej wersji 16 jak obsługuje załączniki obsługuje pliki w jaki sposób możemy w prosty sposób go tutaj nie ma naprawdę z rodzajów i i zaawansowanej technologii bo klienci tak naprawdę nie mają dzisiaj pieniędzy na to takiego dużego budżetu pokazać pokażę wam jak tydzień lub dwa tygodnie można nas określony sposób pokazujemy zobaczcie to tak proste jak tanio tak więc zabezpieczyć się przed tym żeby przede wszystkim z tego nie zrobili tutaj mieliśmy taki prosty atak mianowicie pracownik dostaje nasze zapytanie ofertowe to jest taki plik z pomocą

jednego kliknięcia nie dostaje zwyczajnie z powrotem tutaj mam nadzieję że część z was już oczywiście widzi że coś jest nie tak ale to jest normalny użytkownik klika tak i w taką taką ikonkę tutaj mieliśmy pewne problemy psychiczne i ryzykujemy dlatego że po kliknięciu w ten plik otwiera się po prostu standardowe ubuntu edytor tekstowy no i oczywiście też powinno zapalić lampka komuś to się zdarza system ale pamiętajcie że to dopiero pracownik biurowy precyzyjną nieznana zaawansowanych metodach analizy plików nie potrafi chociażby polecenia file takim-a-takim z kontrolą królika dokładnie tak samo jak to kilka windowsie no i na taką drogę którą my zaplanowaliśmy było to że zobaczyć tutaj nagłówek pechowy może się nie znam ale zobaczymy pdf więc to też przeze mnie to

bawi a to jest pdf ale coś tam się nie otwiera poprawnie w końcu minut związku z tym na nim ciągle jesteśmy źle może wyświetlać więc to taki pracownik powinien z naszej perspektywy zrobić po prostu powiem wam pokazać ten plik i dokładnie tak samo to zadziałało pracownik wypakowywujemy plik pójdę sobie do katalogu i otrzymujemy komunikat że taki plik został bezprawnie zaatakowany i tak wygląda mniej więcej w tej przeglądarce standardowej w momencie w którym tutaj dołączyliśmy też inną ikonkę i to jest ten moment w którym mamy nadzieję że to kliknie jeśli faktycznie aby przetrwać ten trudny moment nie musisz naprawdę zależy ci na tym mnóstwo rozpakował to ręczniki musi wydarzyć ale zależy na tym by to jest zapytanie

ofertowe większą sprzedaż chce zarabiać i tak dalej i tak dalej tak więc jego funkcja biznesowa tak naprawdę dbają o to żeby mieć jak najwięcej klientów nie dba o to żeby weryfikować czy załącznik który przyszedł z kontrolą a znajdujących się na portalu w sha-256 czy na pewno nie ma jakieś przeciwwskazania do tego żeby dwukrotnie kliknąć taki załącznik tak pracowników i myślę że o tym nie wiecie no chyba że pracownik ma prawo do wcześniej to jest jakby inne tematy w

zasadzie jeśli uważasz że możesz zobaczyć że tam w tym rozpakowywaniu plików były dziwne rzeczy po pierwsze ten plik a właściwie jego właściwości tutaj bardzo dużym uproszczeniu tutaj polecenie środek które nam zostało kanał zwrotny do naszego serwera i mogliśmy wykonywać polecenia jak się okazało się że życie ma taki mechanizm plików desktopowy czyli plików kropka desktop które są w zasadzie ikonkami na pulpicie tyle banalne że po prostu w pliku tekstowym który jak się przyjrzycie tutaj wszędzie na początku ma znaczy tak się sprawy komentowane toczy się dalej binarnych nie było to jest zwykły plik tekstowy który ma różne komentarze i definicje pliku tekstowego i ta definicja tutaj ma konkretne polecenie plusem jest o tyle zabawne że można podać system o nazwie

ikonki dlatego tej konfesji została zmieniona w ikonkę która się kojarzy z taką telefon bardzo prosta rzecz kilka dni wrzucała tak przyjęcie komputera przyjęcie wszystkich danych i ta osoba musi mieć dostęp do tych danych biznesowy chce nam się bardzo przydał prosta rzecz a cieszy tak naprawdę jakbyście się jeszcze bliżej przyjrzeli to cały trik polega na tym że mamy zobaczyliśmy że można tutaj dodać sporo spacji i ten plik nazwać kropka deski po prostu tego nie będzie prosty sposób widać tak naprawdę to był kropka pl dużo spacja kropka desktop jeszcze raz wracamy do tego slajdu teraz powinniście już lepiej zobaczyć tak bo tutaj kliknąć tę linijkę i przesunąć w prawo aby zobaczyć że to jest dużo dużo spacji i desktop bardzo prosta rzecz w

zasadzie w ciągu dnia wybraliśmy ten sposób ciągu kolejnych dni mieliśmy stację roboczą to no i teraz pytanie jak czy tego typu ataki blokować technicznie przyblokować na poziomie europejskim ja nie wierzę w to że pracownicy będą w stanie rozpoznać decyzji które będą w stanie rozpoznać ten typ pliku i raczej tego typu a tak to jest właśnie miejsce do wykorzystania na serwer smtp albo gdzieś w miejscu w którym możecie technicznie zablokować tak jak naciśniemy to obchodzi jestem najpierw załącznik z pana hasło ten hasłem prześlemy smsem więc myślę że to jest naprawdę bezpiecznie tak partner tego nie nie powie że nie rozpatruję tego pliku i to jest pytanie czy wtedy rzucacie taki które są na przykład z haczykiem siebie na serwer smtp i tak

dalej i tak dalej bardzo zależy od konkretnej organizacji i czasami jest tak że możemy do firmy zadzwonić i możemy porozmawiać z pracownikami to wszystko zależy od zakresu film od zakresu naszych działań to taka moja dobra rada jeśli w ogóle robicie tego typu ataki w których macie dzwonić do firmy się pod kogoś podtrzymywać to oczywiście rekonesans to jest trudne nie będę wam mówił o tym na pewno wiecie natomiast jest kilka ważnych aspektów po pierwsze musicie dodać tylko komunikacji musicie wiedzieć jak się komunikować z daną osobą zupełnie inaczej rozmawiacie z pracownikiem biurowym zupełnie inaczej rozmawiacie z panem dyrektorem dlatego że jest pracownikiem biurowym to możecie powiedzieć pani kasiu co mówi nie mówicie panie tomaszu mówię panie doktorze bonus do tego

przyzwyczajony i on zupełnie inaczej rozmawiać z taką osobą która do niego mówi panie dyrektorze a z kimś kto mówi do mnie dzwonisz z działu it panie tomku kliknij pan jestem poziom też trzeba zawsze dopasowywać dobrze na początku rozmowy powołać na kogoś z firmę pozwolić na przykład jeśli chcielibyście zapakować nas ludzi kontrast no to wiecie że na przykład u nas w firmie moim wspólnikiem jest mateusz więc dołączcie do mnie mówić borys cześć wiecie jakie to normalnie mówić panie pośle tylko mówić cześć borys mateusz kościelnych i powiedział że tutaj chciałbym żebyś coś i kliknij w tą wiadomość i wtedy równie szybko klikam jeszcze jak oni wiedzą że jestem na konferencji muszę szybko zrobić tak dalej śpieszę się to jest

dobre zawsze w czasie tak jak do tego co się dzieje w firmie teraz kliknę i będę szczęśliwy że pomogłem mateuszowi pomogą temu koledze wszyscy są szczęśliwi a być może oddać swoją stację roboczą jest ważne żebyście przesłali to zaufanie powołując się na innych ludzi i to w zasadzie tyle samo co nie jest zgodne z jednej osoby i rozmawiać z nią i nie uzyskujecie od razu bardzo wrażliwych informacji ale dowiaduję się o innych osobach firmie że na przykład radcą prawnym tej firmy jest x kowalski na przykład za dział it to odpowiada pan nowaki on zawsze taki bardzo miłym i uśmiechniętym posiada świetne historie wtedy wiecie że no tak do tego miłego pana z tego pana będzie należało

zadzwonić to też jeden z ostatnich latach doczekaliśmy się podziała i tutaj było tak skonstruowane że firma się zgodziła się w zasadzie na końcu jeszcze nie byliśmy w hasłach możemy tutaj nie mamy poznać haseł firmowych klient poprosił powiedział że a później zmiana tych haseł dla nas różni problem z tym umówmy się że okażecie nam że można zgłosić natomiast jeśli możecie uzyskać ciekawe filmy uzyskiwaliśmy różne informacje przez telefon na temat firmy na temat kontrahentów na temat klientów na temat loginów jak wyglądali jakbyśmy systemy czy mają oprogramowanie antywirusowe czy to jest kaspersky czy nie znaczyłoby że inne oprogramowanie antywirusowe pozdrawiam swojego maca i tak dalej i tak dalej to wszystko mówi przez telefon bo myślę że jesteśmy w

dział it który jak dowiedzieliśmy się właśnie rekonesansu normalnie w ten sposób dzwoni poproś ich o wykonanie różnych akcji i tak dalej i tak dalej to też bardzo przyjemnie działa w zasadzie nasz ostatni a ostatni atak około pół roku temu wykonaliśmy no dobra i włączone wi-fi tak wszystkie komunikaty upewnij się będą pojawiały się na chwilę że nie zrobiłem aktualizacji albo marvela który może być zasilacz był to było coś na kształt świetlika bo niestety wirusa kliknąć i być może nie możesz wygrać debaty wirusowych i tak dalej i tak dalej oczywiście to bezpieczeństwo jest strasznie skomplikowane ale ciągle coś się wyświetleń zrobimy klikamy ok jak to był koszmar tym teraz trzeba było wiecie poprosimy żeby kliknąć ok podaj

hasło administratora tak oczywiście z tego konta tak powiem to hasło wpisałem żeby się wybić szczęśliwi i zaraz się wyświetli coś fajnego no czekam kiedy ktoś kto przejmie komputer na prezentację systemu windows 8 a wy nic ostatnio atakujemy firmę która jest coś skonstruowana o systemy bankowe i tutaj sobie myśli okej zasadzie to jest firma doktor house w związku z tym nawet na pierwszy rzut oka nie interesuje nas uruchomienie takiego małe różnice myślę jakiś jakiś załączniki do klikać myślimy nad sposobem trochę nietypowy bo to jest firma która przede wszystkim ma osoby które są mistrzami i trenerami więc oni wprost z załącznikami kliknąć potrafią zrobić ale znał się na konsoli i tak dalej i tak dalej w związku z tym że są

developerzy to są ludzie którzy są developerzy w tak stworzyć taki jak teraz i się mówić że prawdziwi deweloperzy czyli ludzie którzy faktycznie znają się na komputerach kosztów myślimy o czymś co będzie sztampowe to działa inaczej w prosty sposób nie mogą kliknąć taki załącznik więc zakładamy drugą stronę internetową powiem do tego takiego kowalskiego winda kumar generujemy jego z takim portalu dziękuję bardzo za twój czas i portal który generuje twarzy więc tak jakby nie musimy się obawiać o dane osobowe o to że ktoś ci powie że wykorzystaliśmy jego zdjęcie i co robimy piszemy wiadomość do tej firmy że cześć ja jestem lucky i witam was w waszych sercach produkcyjnych tak naprawdę jak się ten sam błąd wykorzysta

to pojawią się dane waszych klientów tutaj wcześniej wymyślam jakieś dane które są w nawiązaniu do tego jak wygląda ich system który który teraz wyświetla i to wygląda faktycznie było powiązane z ich systemem i oczywiście pytamy się jest program banku bo może być tak blisko że mam tutaj wspomóc na naszą całą polską rodzinę i jak mogę to zgłosić tutaj pokazuje że jeśli chcecie to zredukować to proste wystarczy to polecenie skopiować to polecenia się przyjrzycie to nie jest to nie jest tak na pierwszy rzut oka groźne tutaj jak jesteście zaawansowani użytkownikami to widzicie że te nagłówki ustawiam na metodę dobra nie ma nic skomplikowanego widzicie te procenty problem używa sprawdzić teraz to jest kluczowy moment tutaj atakowaliśmy cztery osoby

44 osoby które były jakby odpowiedzialne zadanie bardziej techniczne rzeczy w firmie zrobić zrobić zaznaczyć to zrobić kopiuj wklej w konsoli podpalić takie było założenie na 4 osoby trzy osoby to zrobiły teraz zostało to wiadomość została wysłana przez bezpieczeństwo bezpieczeństwo jest ważne w końcu i oni skopiowali tą wiadomość do konsoli a co tak naprawdę skopiowali bardzo prosta rzecz a mianowicie ukryliśmy w htmlu że kopiujecie to tak jakby ukryty jest jeszcze dodatkowy tekst opisowy skopiowali do konsoli tak naprawdę to całość tak po prostu uruchomienie nasze naszego dobrego połączenia w bardzo proste rzeczy jak na to patrzę i dzisiaj się to wie natomiast pytanie ile razy coś skopiowaliście na przykład tego statku wzrosła o tak i po prostu przykleja się do do konsoli tutaj

oczywiście klienci byli bardzo pod wrażeniem powiedzieli że zobaczcie głowy byłoby genialnie proste genialne faktycznie bo natomiast nabraliście bo oddali po prostu swoje hasło i oczywiście swoje buty na tych komputerach oczywiście mieli dostęp do kluczy do gitary i tak dalej i tak dalej i do podróżnego to było to było też jakby tutaj kluczowe i w zasadzie to tyle jeśli chodzi o moje przykłady tak jak widzicie tutaj aaa szukasz warto to jest jak dostaliśmy od kara to nie będzie do końca wiesz co to znaczy nie wie co to jest naprawdę dużo na związku z tym dobrze i życie to co dostajecie zobacz polski zastanawialiśmy się nad tym zastanowi się nad tym czy to angielski które w tej wiadomości czy on

nie powinien być trochę bardziej taki właśnie typowo indyjski i może to były to by było jeszcze bardziej skuteczne w następnej wersji tak zrobimy tutaj trochę bo takie działanie życie chcemy pokazać że że strach jest nawet nie czuję się tu bardzo szczegółowo tu widzicie dane jakieś to już jest przerażenie nic się nie czytajcie szczegółowo kopiuj wklej i pozamiatane ale też być może przesadziliśmy jakby potrzeba nam się trochę zrobiliśmy za dobrą ofertę być może masz rację no i na sam koniec kilka takich najważniejszych rzeczy mówiliśmy o tym w tym wiecie ja chciałbym powtórzyć bo to jest dość ważne zabezpieczyć dostęp szczególnie do krytycznych danych jeśli macie ważne rzeczy to mój czwarty christine jej jamy ustnej pociągiem wczoraj to cienki

raport że w azure a mniej więcej 8 czy 9 procent w tej chwili konta administratora a teraz jest zabezpieczonych za pomocą fakt że tak naprawdę ciągle ciągle słabo mimo że to kontra uprzywilejowanego ta zasada najważniejsze filmowe które mają dostęp do prawie wszystkiego pamiętajcie o tym że mam oczywiście oczywiście do tego sobie nie włączajcie tak jak mówię o tym żeby to włączyć pracownikom myślę że rozumiemy że tu chodzi o to żeby inni mieli jest bezpieczne zastosowań bezpieczne mechanizmy zabezpieczające nazwa oczywiście na pewno korzystać bezpiecznie z komputerów znaczy że absolutnie nie musicie korzystać z tych mechanizmów bezpieczeństwa mam nadzieję że wiecie że żartuję nie wiem czy dodać czy nie wiesz że jesteś to jesteś inteligentny nie muszę tłumaczyć

bo tutaj bezpieczeństwa potem zorientowałem że wszyscy oni są jak jest ktoś kto odstaje bo jest panem prezesem panem dyrektorem albo a niech to wyłączy to my podczas takiego ataku się tym co wiemy że jest taka osoba i po prostu jak macie mechanizm bezpieczeństwa znajdziemy osobę która dokładnie tak samo ograniczać usługi sieci internet atakami hybrydowymi jest także no to powinienem taki także jak nie macie usług w internecie no to ciężko wam wykres dostęp do tych usług w internecie tak i trochę tak jest czasami są firmy które mają dostęp do wszystkiego wewnętrznie przez system pionowe tam mają od warzyw a wtedy zaatakować wiele ciężej i czasami jest tak że naprawdę wystarczy prosta rzecz i nr 1 wpływ na popularne pod domem a

okazuje się że mają mnóstwo systemów firmowych po prostu dostęp do internetu za pomocą login i hasło i wtedy bardzo łatwo będzie takiego pracownika oszukać bo ten login i hasło oddałabyś jeszcze pokażemy na ten login i hasło jeszcze trzech innych systemów też jest często w filmach nowoczesnych systemów jest piękne w hd na przykład jest centralne zarządzanie ale część jest zewnętrznych dostawców którzy albo nie mieli integracja bo nie chcieli albo od czterech lat wdrażając integracji są osobne kolejne hasło i tak dalej i tak dalej i pracownicy ciągle jeszcze mają z tym problem i to utrzymuje ten dostęp sprawdź czy twoje loginu i hasła to można bardzo prosty sposób z kredkami sobie informacje wydobywać z naszych systemów monitoruje komentarze bardzo bardzo

prosta rzecz będą się pojawiały się do menu które są podobne jeśli się pojawi domenach to jest podobna do naszego ataku niespodziewanie adresu from a wtedy dostaniemy od was odpowiedzi tylko po prostu głupie błędy które spodoba ludzie naprawdę nie weryfikują tych domenie sprawdzając dokładnie w tym momencie sztuka po sztuce po skopiowaniu w notatniku wygląda dokładnie tak samo nie zostały jakieś dziwne znaki zastosowane gdzie są podobne i tak ale nie wystarczy czasami atak domeną które ma w nazwie gdzieś tam nazwę firmy ma kompletnie inna i to wystarczy by bronić co klikam więc sprawdźcie czy nie pojawiają się takie domeny jeśli się pojawiają nie zrobił tego wcześniej to od razu rzucajcie na swoje role na utmb na wszystko co może wam zablokować dostęp w

naszym pracownikom w niektórych miejscach są proste rzeczy że ale on był wysoką skuteczność oczywiście wszystko do realizacji że nawet nie wiem jak mam to mam to mam to mam to nigdy nie doszedł do tego ile do menu jest naszych mamy kilka oddziałów w wielu krajach raz kupuję jedzenie rozpakowuję i drudzy nie mamy scentralizowanego procesu dlatego mamy tyle że nie jesteśmy w stanie tego nawet ogarnąć więc to jest bardzo skomplikowane czasami też takie sytuacje zdarzają się filtruje tak gdzie możecie filtruje nie wierzę w to że jak będziecie na jak wiecie swoich pracowników na szkolenie okresowe jak widzicie ich na naszej platformy e-learningowej przenikają będzie im będzie wesoło to oni będą już takimi farbami na sto procent myślę kategoriami

że proces owo macie zabezpieczyć swoją firmę na różnych poziomach i też na poziomach technicznych po prostu edukacja technikalia i kwestie procesowe zastanówcie się czy nie macie na przykład w systemach danych które są bardzo stare których można usunąć bo naprawdę warto głosy że uzyskamy dostęp do parkingu na przykład do gry i w tej grze uzyskamy dostęp do loginów haseł i klucz i pionowych tak możemy się z do firmy 4 lata temu wraz z tego dna iniemamocni faktycznie można w prosty sposób przemyślany więc zastanówmy się jakie dane macie stare śmieci przygotujcie się na incydent opowiadamy że nie czy a kiedy tak myślę kategoriami nie tylko taki że okej to ja się ochrony zdrowia mechanizmy będą na 100%

bezpieczny pomyślcie kategoriami takimi jak ja to się stanie i pracownicy kliknąć ten ransomware co się stanie jak oni zablokuje całą stacji roboczej jak ktoś przejmie hasła czy w ogóle wiecie co zrobić w takiej sytuacji czy macie na jedną stronę procedur opisaną która podejmuje własne decyzje w firmie sytuacja dotyczy e-mail od cyberprzestępców który przysyła wam kawałek naszej bazy danych przesłać dane osobowe naszych pracowników i mówi okay masz dane i teraz chciałbym 100 tysięcy a w bitcoinach żebyśmy zapłacili to kto podejmuje decyzje wiadomo właściciela sytuacji gdzie w organizacji organizacja została zaatakowana dokładnie w tym momencie kiedy właściciel w tajlandii i jedziemy sobie na słoniach i firma była wszyscy byliśmy w kółko i mówi no w sumie nie

wiemy kto jest w bogu a to niewielka firma kilkadziesiąt osób w zasadzie nie wiemy czy jaką decyzję podejmie dyskutować czy nie zgłosić na policję czy nie pójść do firmy zewnętrznej i między nami czy nie no i to był olbrzymi problem jak kojarzycie ten incydent modele tak to widzieliście że w ogóle a atakujący udostępnij ten film w tej dyskusji z pracownikami są dostępne atakującego się powołano do takiego słuchajcie lepiej mi zapłacisz później zapłacić kartą no i teraz widzimy ten pierwszy rok tak jakby ocena ponad 2 mm zapłacić to w sumie sumie rację tak może wystarczy aby posłuchać ja to robię ten znak nie ale pamiętajcie o tym że bezpieczeństwo przede wszystkim zależy nie ma prostej odpowiedzi nie ma takiego powiedzieć nie

zawsze trzeba zrobić jak nie zawsze trzeba zrobić trzeba której zawsze musisz się zastanowić dokładnie nad tym co wiecie co nie wiecie co możecie zrobić jako jesteście firmą są firmy które jak my rozmawiamy o tym co tam się dzieje co się stanie jak on wybuchnie bomba i komputer komputer pracować czy wasza firma w tym momencie bankrutuje się zamyka czy nie są firmy które mówią no tak w zasadzie następnego dnia zwłaszcza w przeszłości już nie istnieją firmy które mają to nie problem to wszystko w twoich rękach tak i pamiętajcie te firmy mają trochę ale kluczowy proces on jest najważniejszy powód oczywiście spowolnić pracę stracę trochę pieniędzy ale to ich nie zatoki więc to zawsze bardzo zależy od tego jaka jest firma to

może to nie może i tak dalej i tak dalej trochę materiałów dodatkowych to będzie naszym dna slajder jeszcze nie dostaniecie później od kolegów którzy organizują konferencję przedwczoraj uruchomiliśmy nowy nowy quiz twitter.com gdzie jest 10 obrazków które są do rozpoznania w chinach czy nie no zakładam że wy będziecie mieli 100% odgadnięcie czy to jest czy nie to jest dla naszych pracowników i współpracowników dla normalnych ludzi tak dla tych ludzi którzy są pasjonatami i żeby się nauczyć bo na końcu zobaczymy co zrobi źle się za darmo i też zachęcam do tego żebyście z tego korzystać stary stary stary serwis mam nadzieję że znać na pamięć warstwa musi uruchomiliśmy sprawdź pesel i sprawdzi konto bankowe ciągle korzystają po prostu tam jest

taki komunikat że twoje dane wyciekły uciekły wpisz swój pesel żeby sprawdzić czy nie ma wycieków tak ciągle jakby ludzie reagują na tą stronę i subskrybentem oczywiście pytanie pobierana przynajmniej tak będziemy mówili i możecie sprawdzić czy ktoś coś co wygląda na to ze znaków to wygląda kwestia i tyle tak i ciągle ludzie często pytają wtedy się nie poddawaj swoich danych osobowych na innych stronach internetowych oczywiście dostęp do bezpiecznej wody z kubka i ten komunikat który mówi przez 20 lat patrzcie skutkami dzisiaj jest dość nieaktualny jak będziecie chcieli przyjść na takie szkolenia techniczne bezpieczeństwa aplikacji webowych albo mobilnych to my was drugą stroną i zadam zapraszamy abyście silniku teraz zapraszamy naszego serwisu ale bardzo skomplikowany kod losowo podchodził

klawiaturze i wylosował ten kod i zasadzie wam bardzo dziękuję w tej chwili za uwagę jeśli macie jakieś pytania to oczywiście bardzo chętnie na nie odpowiem tutaj na wszystkie będzie zapytacie mnie moje hasło to do niektórych serwisach mógłbym podać bo jeszcze będzie fajnie do wszystkich jakieś trudne pytanie jak osobistych kolega no to moje zdjęcia jeśli chcesz wymienić to już masz super to jest to jest to jest jedna z metod tak to też jest ciekawa historia pewnie widzieliście takie sytuacje że ktoś osobą za granicą wykonać zdjęcie rozbierane i przestępców komentarzy dla kobiety mówią opublikujemy twoje zdjęcia albo nam zapłacić tak i co czasami robię takie kobiety mówiły to patrzę i publikowały na swoich serwisach społecznościowych rozbierane zdjęcia

zobaczcie jak można to zrobić w tym momencie atakującemu wszystkie karty no nie chciałem tego mówić ale miałem nadzieję że każdy się do myśli dlatego zawsze bezpieczeństwo jest to zależy i zawsze trzeba się zastanowić co możecie zrobić ostatnio był taki podobny podobny podobna sytuacja kobieta umieściła zdjęcie na twitterze gdzie był kawałek na instagramie bo kawałek woda jest słodka i zorientowałem się po chwili usunęła ale ktoś już to będzie po prostu zaczynają angażować napisała że mam ważniejsze rzeczy do roboty i swoim życiu ważniejsze rzeczy niż kawałek mojego sutka i potem znowu jakby umieściła i macie tak i będzie cały czas tak naprawdę wziął w łeb jest to też czasami są metody zawsze trzeba się zastanowić czy jeszcze raz wracając do

pytania mateusz kobierski zdradzę żeby było trudniej jest moje ulubione pytanie

o nie tak słuchajcie mateusz pytanie brzmi bo przed sobą widziałem że jest konkurs organizowany jakiś chciałem zapytać o co chodzi z tym kursem atak ale nie wszyscy wiedzą że to się nagrywa się nagrywa na ten moment nie mamy dobra ten film

wszyscy robią błędy kiedyś robiłem prezentację i oszukuję bo zbieramy już teraz potrzeba który pokażę wam jakie błędy zrobiliśmy podczas podczas testów operacyjnych to też fajne historie o nich rozmawiał w kuluarach często z kolegami wszyscy nasi koledzy też tego typu różne błędy robili to fajne rzeczy ale nie wszyscy możemy mówić więc czasami gwiazd na niebie to wtedy wam to wtedy powiemy tutaj jest nasza rola w filmie ale teraz wizytówkę to wygrać w konkursie i tak dalej ja wam powiadam nie stawiajcie wizytówek mam nadzieję że nie macie tego konkursu wysłaliśmy nie ten rower to trzeba i zorientowaliśmy się jak oglądaliśmy nastroju jadąc na konferencję że to jest nasz rap o jest jakiś konkurs o rety o rety o rety

o rety o rety o rety o rety o rety o rety o rety o rety o rety o rety o rety o rety o rety o rety i to on nie będzie temperatury tutaj jest coś coś innego ja nie chcę się wypowiadać tych świetnych świetnych nagród możecie do tych frytek to będzie coś co uzupełni tak wygląda pytania albo fajniejsze głupsze niż mateusza to chętnie spróbuje odpowiedzieć mam jeszcze ponad 10 minut [Muzyka] słuchajcie to przede wszystkim bo swoją wiedzą takie firmy które na uda nie uda nie spędzam z tobą i oczywiście zainwestowałeś dodatkowe środki bezpieczeństwa lekkie średnie chciał sok kupiliśmy bez zewnętrznego i specjalistów zatrudniał powiem tak to zależy są firmy które po incydencie w ciągu tygodnia znajduję

olbrzymy budżet na różnego rodzaju wydatki związane z bezpieczeństwem są firmy które później w przyszłym roku znowu ten budżet są firmy które produkują patrzysz wydaliśmy są firmy które jeśli generalnie rzecz biorąc zasada tak jak to działa to jest to technicznie jeśli mamy teraz tylko technicznym to zazwyczaj jest świadoma firma i dla nich to będzie przydatne bo i oni faktycznie z tego skorzystają bo to już jest kolejny level jak nie masz żadnych mechanizmów bezpieczeństwa to niesamowite sukcesy technicznego to zrobić bardzo podstawowe rzeczy najpierw i wydawanie tego typu pieniędzy z naszej perspektywy jest dla klienta bez sensu odradzamy na pewnym poziomie świadomości wchodzić w te techniczne i wtedy to ma sens i nie odpowiem na to pytanie tak

zarówno inwestycyjne a szczególnie być może techniczne działają także jeśli firma robi to trochę z roku na rok jest coraz trudniej i my widzimy że to typowy mechanizm z tych naszych raportów tych naszych lat zdażają i widzimy że jest taka skuteczność że to podnosi poprzeczkę atakującymi to jest ok a czy wy polecacie ten filmik właśnie dodatkowe usługi bezpieczeństwa przy zakupie jakichś konkretnych rozwiązań bezpieczeństwa czy generalnie rzecz biorąc raczej nie polecam w ogóle konkretnych wzorów konkretnych osób my możemy podpowiadać klientom na ogólnym poziomie ogólności bo wydaje nam się że robiąc te tradycyjne nie chcemy jakby ktoś myślał okej to kaspersky jest dobry to pewnie do podstawy dostaniemy prowizje czasem mówimy klientowi jak nie zapytał stworek jasne antywirusowy to mówimy top

10 w sobie dowolny bo jak będzie kontynuowana tak to i tak każdego mi nie tak każdy z nas wie jak wykorzystać w ogóle się zastanawiasz jak wygląda to dość prosto gdzieś tam się w ogóle nie wiem co powiedzieć które obszary powinien podnieść niż bardzo konkretnie mówić że tylko zewnętrzny sok i tylko firma x bo tam pracują nasi koledzy tak to co tutaj nie wierzymy w to co robimy to jest trochę działanie po stronie klienta albo takich firm konsultingowych które można zapłacić ale weryfikują 5 potencjalnych dostawców usług co to jest cześć takie pytanie o mnie przekonać że taki pt są jednak przyda szczególnie kiedy widzisz że w firmie twojego klienta no całkiem sporo różnych rzeczy i mówić o tym co pół roku a on

mówi no tak tak ale teraz są ważniejsze rzeczy to jest to jest to jest pytanie chyba na myśli konferencję co mogliśmy zrobić konferencję o tym jak ludzie z bezpieczeństwa powinni rozmawiać z ludźmi biznesu przede wszystkim nie umie rozmawiać dopiero uczymy to jest olbrzymi problem się zgodzą jeśli przechodzimy do biznesu i mówi słuchajcie bo tutaj mogą nas zaatakować ransomware wykorzystuje podatność bo jest niezauważalne m s 0 96 czuję i można skopiować uprawnienia i tak dalej i tak dalej to nie wiecie ale ciągle jeszcze korzystamy z tych mechanizmów tak rozmawiamy jak osoby technicznej ten problem że rozmawiamy z perspektywy tego że na mnie działa ten system musimy zrobić ten test mamy problem wykrada dane musimy zrobić ten test i tak dalej i tak

dalej ale jeśli wy mocne biznesowe z perspektywy takiej ludzkiej nie chcę mówić że w naszej branży w ogóle także strach sprzedaje najlepiej tak białko z jakąkolwiek teraz mówić to zobacz sobie

morele.net najtańszego dlatego ta rozmowa jest bez sensu bo nie chcemy w ten sposób dyskutować to jest bardzo trudna jak faktycznie wchodzi w buty biznesu który zamówiłem kilka dni temu zapraszam was do do swojego narodu przez 20 minut w internecie a ten temat poruszony na zewnętrznej stronie internetowej do której macie odnośnik pojawi aha ten temat tego że mam ten problem jak również bezpieczeństwa nam się wydaje że my jesteśmy najważniejsi my w kontekście tego że to co robimy to normalne każdy tak ma nie że bezpieczeństwo jest dla nas najważniejsze i teraz idziemy do człowieka i wam się że naprawdę bezpieczeństwo dla tej firmy najważniejsze przykład możemy także firma powinna to it tym że nie ma to pomysły poradzimy to

nie zawsze tak jest nie widzimy czasami z ekranu komputera że bezpieczeństwo wcale nie jest najważniejsze jest jednym z szeregu elementów które jest mnóstwo i jak zaczynamy takimi kategoriami okej to nie jest najważniejsze jak ja powinienem porozmawiać żeby oni zobaczyli że jest trochę ważniejsze najważniejsze to wtedy nam się trochę zaczyna przedstawiać podchodzi zaczynają się zadawać takie pytania samochodowe durne pytania przyjdź do firmy i zapytać się właśnie a co się wydarzyło gdyby nasz cały dział it nie przyszedł dzisiaj do pracy to niemożliwe przecież to się nie stało zupełnie inaczej

ludzie w garniturach i kupiliśmy tę usługę możemy kupić bezpieczeństwa że mamy kopię zapasową to będzie działało zawsze tak nie mam pojęcia co się stało uruchomione czy nie wykupiliście gościu chyba to wyraża jeszcze zanim wdrożyłem to będzie działało zanim przetestujecie zanim dojdzie do pierwszego numeru odtworzenie człowieku to jednak jeśli skonfigurowano to jeszcze w ogóle jest bardzo daleko z perspektywy mają odhaczone to mamy tylko pracować bezpiecznie nawet wtedy gdy nie ma ale załóżmy że nie mamy że to nie zadziałało że jest jakiś problem to co by się stało gdybyśmy mieli komputerów na przykład dzisiaj myszy i pokrywam wszystkie kable stracili 850 tysięcy złotych kupić antywirus za mnie 10 tysięcy złotych tak zupełnie inaczej trzeba rozmawiać z ludźmi biznesu bo pamiętajcie że

przepraszam za mocne słowo ją gdzieś bezpieczeństwo jak my sobie to uświadomimy to będzie nam trochę łatwiej ale też bardzo trudne szczególnie że sami dobrze wiecie że my często ludzie z e no to jesteśmy my i pokazujemy im jakieś takie rzeczy które są totalnie oderwany od rzeczywistości wcielający się w ogóle to świetnie zobaczcie tutaj jest atak aptx i pokazuje że w konstytucji z rosjanie zostali zaatakowani za pomocą małego kolega właśnie przesłanego przeze mnie kontrolne możemy swoich farmach i łatwo je szybko dystrybuować mamy centralne zarządzanie wszędzie do kamery najlepiej tak o tym co nas patrzy sie zastanawia psychicznie chory na administrator nie zwolnię teraz tak mało ludzi na rynku dobra no niech zostanie zadzwoń hej się pyta czy ten lekki

możesz pomóc nie to jest nasz drugi problem niestety musi być może i ty żartujesz nie będzie trochę inaczej w kontekście mentalnym przyjdą i i porozmawiać z nim inaczej czasami naprawdę w kolejnych takie jak pokazujemy dzisiaj mamy wpinamy do usb i się 4 coś pojawia tak to oni żydzi lub inaczej wtedy jakby patrzyła na problemy z tego że to my jesteśmy chcielibyśmy zabronić wkładania obcych pendrive do urządzeń to wszystko tak jak plastycznym też pokażecie zupełnie inaczej ćwiczeniach na nas tak jakby przyjrzenie się sposób po ludzku po prostu nie pop komputerowemu to ludzie przestali przepraszać jak się rozciąga na zewnątrz jest bardzo ważny temat bardzo ciekawe pytanie słuchajcie mój drogi kolego jest ktoś kto mnie nie zna to jest z

tego jak to się historia jest aniołem tak jak ja mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to mam to się wzajemnie testujecie albo czy dajecie zasadzie gdzieś słuchajcie do firmy zaufanej grupy na jakąś akcję protestuje też wiem tak czujemy się i tak mieliśmy sytuację że oszukaliśmy naszych pracowników i zdania coś nagrać a drugie pytanie jest takie czy w trakcie testów to robić fajne i ciekawe akcji głowicy staje się zwierzyną czyli ktoś próbował wam oddać coś tam zrobić jakiś fajny napis takie najprostsze najpopularniejsze rzeczy to są jak wy stawiacie formularz zgłoszeniowy oto

ten formularz na przykład atakować to akurat miałam taki skrypt aby odpalają albo kula pętli i nagle próbują wam wyłączyć waszą stronę internetową jeśli boisz się że to jest świetny pomysł przecież jesteśmy w chmurze wszyscy tak suwak i przesuwam że ten sam mieć jeszcze więcej z tyłu i obsłużyć każdy atak ddos włączam czego chcę tik ochronne przede wszystkim fanom z głosami i dalej z tobą stoi tak dobra siebie swojej firmie albo na stacjach roboczych zablokować na adres i tego typu rzeczy ale powiedzmy w których atakują strony które przygotowaliśmy kilkukrotnie takie rzeczy tak albo na przykład na prezentacji gdzie pracownicy na przykład działa i zaczynają nazywać i przesyłać vlogi hasła witam właśnie piszą co nam nie zrobię jak nas nie

dojadą i tak dalej i tak dalej pośpiesz się spotykamy na jakimś podsumowujący taki prezentacji ja robię hajs z tymi samymi przekleństwami delikatnie nazwijmy mówię słuchajcie miło was poznać to nie jest najlepszy sposób na obsługę incydentu jeśli ktoś was zaatakuje naprawdę bo a nie jakby tak jakby kontrolowana firma bo często to działa i to nie wystarcza tak aby zobaczyć jak działa jak zareaguje co się wydarzy tak właśnie zablokują takie takie rzeczy będzie także powiadomić użytkowników na przykład uważajcie nie klikajcie w ten załącznik może nie potrafią zablokować nie tylko szybko zrobić więc łatwiej jest powiadomić współpracowników o tym że jesteś taki żeby pracownicy uważali super słuchajcie tak od 20 lat cześć

cześć co masz na myśli nie spotkamy

cześć nie wiesz co

to bardzo zależy od firmy no to niestety nawet to zależy to zależy że to co robimy jest tysięcy użytkowników więc 50 stopni w bardzo różne trochę dzisiaj jest tak że ja oczywiście upraszczam tak ogólnie mam mało czasu i tak dalej bo to zawsze będzie zależało od tego czy jest to i który robi wszystko na przykład mówimy czy zewnętrzny czy nie większość nie ma w ogóle są w tak małych i średnich firm które mają z zewnętrznych i wewnętrznych tak dalej olbrzymie niektóre muszą to kupują zewnętrzne usługi które muszą myśleć co zrobić samemu i tak dalej i tak dalej i to to bardzo zależy i czasami jest tak że macie 10 osób 5 osób dwie osoby w dziale it i to są wszystkie

go do tam wirusów drukarek 3d i tak dalej dlatego też staram się dotrzeć do jak największej liczby osób ale do osób które są najbardziej kluczowe w danej firmy

w niebie jest to pracownicy którzy zostali zaatakowani to oni powinni robić prezentacje online wszystkim to że zobaczcie hakerzy zaatakowali na szczęście to był w kapeluszach ale mogę być z tobą jeśli przestępca jak i rozmawiamy zupełnie inaczej wtedy tak bo to będzie duża prezentacja ciekawsza powiem zobaczcie to to to i to i to 40 zaleceń wreszcie jak zrobić z nich to będzie super tak no dobra jeszcze będziesz miał panel tak super dla ciebie dziękuję bardzo jak będziesz czytał to kanapka tak jest dziękuję bardzo za twój czas [Aplauz]