Home Artykuły „…włamujemy się do polskich i zagranicznych firm i okradamy ich z danych oraz pieniędzy” – Piotr Konieczny z NIEBEZPIECZNIK.PL w rozmowie o (NIE)bezpieczeństwie na wakacjach, wirusach na MacOS / iOS i prywatności, która nie istnieje
„…włamujemy się do polskich i zagranicznych firm i okradamy ich z danych oraz pieniędzy” – Piotr Konieczny z NIEBEZPIECZNIK.PL w rozmowie o (NIE)bezpieczeństwie na wakacjach, wirusach na MacOS / iOS i prywatności, która nie istnieje

„…włamujemy się do polskich i zagranicznych firm i okradamy ich z danych oraz pieniędzy” – Piotr Konieczny z NIEBEZPIECZNIK.PL w rozmowie o (NIE)bezpieczeństwie na wakacjach, wirusach na MacOS / iOS i prywatności, która nie istnieje

0

Jeżeli choć trochę interesujecie się cyberbezpieczeństwem, zapewne nie raz trafiliście na portal NIEBEZPIECZNIK.PL, którego właścicielem i współtwórcą jest Piotr Konieczny. Piotra możecie kojarzyć choćby z telewizji, gdzie często jako ekspert ds. bezpieczeństwa z 15 letnim stażem wypowiada się na tematy związane z bezpieczeństwem i niebezpieczeństwem cyfrowego życia. Jest także użytkownikiem sprzętu Apple, dlatego w tej rozmowie poruszyłem tematy związane z legendarną wręcz opinią o komputerach i urządzeniach przenośnych z jabłkiem, które uznawane są przez wielu jako te wolne od wirusów i cyfrowych niebezpieczeństw.  Jak jest w rzeczywistości? Zachęcam do lektury :-).

– Piotrze, jesteś twarzą najbardziej rozpoznawanej firmy z dziedziny cyberbezpieczeństwa w Polsce, Niebiezpiecznik.pl. Czym w zasadzie zajmuje się Niebezpiecznik.pl i oczywiście jaką rolę Ty w nim pełnisz?

– Coraz mniejszą, z czego bardzo się cieszę. Przez ostanie 10 lat udało mi się rozkręcić sprawnie pracujący zespół kilkudziesięciu osób: pentesterów, trenerów, redaktorów i cudownego, czuwającego nad wszystkim „backoffice’u”. Niebezpiecznika większość kojarzy z artykułów, które (mamy nadzieję!) w przystępny sposób tłumaczą na co należy uważać w internecie, jak chronić swoje dane na smartfonie lub laptopie i jak bezpiecznie korzystać z online’owych usług — sklepów, banków oraz serwisów społecznościowych.

 

 – Ale to nie internetowe publikacje na Niebezpiecznik.pl są głównym zajęciem Niebezpiecznika?

– Skłamałbym gdybym powiedział, że nasza działalność prasowa jest dochodowa. Aby mieć co jeść i móc pisać jeszcze więcej przydatnych, darmowych poradników i artykułów dla naszych Czytelników, na życie zarabiamy wykonując testy penetracyjne, czyli upraszczając, włamujemy się do polskich i zagranicznych firm i okradamy ich z danych oraz pieniędzy.Oczywiście działamy za zgodą Zarządów tych firm co oznacza, że znaczną część wykradzionych pieniędzy musimy potem oddać…

fot: Mariusz Majewski

– Zawsze proszą o zwrot? 😉

– Zawsze, ale nie zawsze są pewni, czy kwota jest odpowiednia. W dużych firmach łatwo gubi się pieniądze, bo nie zawsze im więcej osób, tym szczelniejsze zabezpieczenia. Dlatego warto je testować, zanim zostaną one „przetestowane” w realu, przez włamywaczy, którzy mają trochę inną motywację niż nasz zespół. My zawsze chcemy ulepszenia zabezpieczeń klienta. Przełamujemy więc zabezpieczenia serwerów, włamujemy się do webaplikacji, phishujemy pracowników, ale także przebieramy się i próbujemy przenikać do siedzib firm, używając różnych pretekstów.

 

– Brzmi jak praca marzeń! Możecie być legalnymi bandytami, nic Wam za to nie grozi i jeszcze dostajecie za to wynagrodzenie.

– Oj tak, to cudowna praca! Gwarantujedużo emocji, satysfakcji i czystego funu. Dodatkowo, na podstawie doświadczeń jakie pozyskujemy w trakcie ataków na polskie i zagraniczne spółki, stworzyliśmy kilka do bólu praktycznych szkoleń.

Regularnie prowadzimy je w Warszawie, Krakowie, Wrocławiu, Trójmieście i Poznaniu. Najpopularniejsze są warsztaty dla programistów z „Atakowania i Ochrony Webaplikacji„, gdzie pokazujemy jak bezpiecznie tworzyć serwisy internetowe, jak zabezpieczyć gromadzone przez nie dane przed wyciekami i jak samodzielnie testować swoje webaplikacje.

Rekordy popularności bije też nasze szkolenie dla administratorów sieci i devopsów pt. „Bezpieczeństwo Sieci Komputerowych (testy penetracyjne)”  w ramach którego z kolei pokazujemy, jak włamywacze dostają się na firmowe środowiska – 3 dni ostrych labów, które zrobią z Ciebie takiego prawie-hackera. Szczerze piszę „prawie”, bo o ile jestem pewien, że dajemy 80% tego, co potrzebne, aby skutecznie „włamywać się” na swoje serwery, to te brakujące 20% wiedzy trzeba zdobywać codziennie. Tak wiele informacji pojawia się dziś online. W tej branży trzeba mieć stale rękę na pulsie. Pewnie od momentu, w którym ktoś zaczął czytać ten artykuł już pojawiły się 3 nowe podatności i 2 nowe ataki…

 

– Z tego co rozumiem, Wasza oferta szkoleniowa jest zarezerwowana dla raczej bardzo wąskiego grona „nerdów”, specjalistów w dziedzinie informatyki oraz osób, których marzeniem jest stanie się hackerem?

– Nic bardziej mylnego.W zeszłym roku ruszyliśmy też w Polskę z wykładem pt. „Jak nie dać się zhackować?”. Jest on skierowany do każdego kto korzysta z internetu. Absolutnie każdego – warto wziąć na niego swoich rodziców, dziadków i dzieci.W 3,5h pokazujemy wszystko to, co każdy korzystający z internetu, smartfona powinien wiedzieć, a czego nikt nie uczy.

Wiedzę przekazujemy przystępnym językiem, często przeplatanym humorem (gwarantujemy wybuch śmiechu średnio raz na 4 minuty 😉 ale przede wszystkim, na żywo pokazujemy każdy z ataków i mówimy jak bez ponoszenia jakichkolwiek kosztów można się przed nim zabezpieczyć.

To po części jest nasza misja. Zabezpieczyć każdego Polaka. I jesteśmy na dobrej drodze, bo w ostatnich miesiącach zrealizowaliśmy ten wykład już 28 razy i przeszkoliliśmy kilkanaście tysięcy osób. To chyba największy taki projekt edukacyjny z zakresu cyberbezpieczeństwa w Polsce.

– Zamierzacie jeździć od miasta do miasta i od wsi do wsi takim „duda-busem” czy innym „szydło-busem” by dotrzeć do każdej Polki i Polaka chcącej zgłębić wiedzę z zakresu cyberbezpieczeństwa?

– Jeździmy skromniejszym autem niż politycy, ale wierzę, że w przeciwieństwie do nich dostarczamy ludziom bardziej wartościowe informacje 😉 Jedyny minus jest taki, że te wykłady robimy w miastach „wojewódzkich”. Jeśli ktoś mieszka poza takim ośrodkiem i nie może się ruszyć z domu, pozostaje mu słuchać naszego podcastu „Na Podsłuchu„. Do tej pory wydaliśmy 24 odcinki, poświęcone praktycznym problemom, np. temu jak bezpiecznie płacić w internecie czy temu jak niskim kosztem zabezpieczyć komputer i smartfona

– Wydaje mi się, że jesteś najbardziej właściwą osobą, którą można zapytać o to, czy nasze Macbooki, iPhone’y i iPady rzeczywiście są tak bezpieczne, za jakie uchodzą? Albo chociaż czy faktycznie są bezpieczniejsze od produktów konkurencji? Dlaczego?

Faktycznie, iPhone, a raczej iOS jest jedną z najbezpieczniejszych platform jaka obecnie istnieje na rynku. Przede wszystkim ze względu na przemyślaną architekturę systemu, która jednak – nie ma co ukrywać – nie pozwala użytkownikowi na tyle, na ile pozwalają konkurencyjne systemy operacyjne.

Z jednej strony to bardzo dobrze (bo jest bezpiecznie). Z drugiej – niektórzy podnoszą larum,że boli ich brak swobody. Ja jednak każdej nietechnicznej, a chcącej zachować bezpieczeństwo osobie, polecam właśnie iPhone’a. Wiem, że ciężko będzie jej zrobić sobie krzywdę. Nawet jakby się starała, to nie ściągnie i zainstaluje złośliwej aplikacji, np. fałszywego WhatsAppa z oficjalnego sklepu Apple. A u konkurencji jest to możliwe…

 

– A komputery? Przecież uchodzą za takie, nie będące w zainteresowaniu cyberbandytów.

– Z MacOS nie jest już tak różowo. Pod kątem bezpieczeństwa system ten również jest „poprawnie ułożony”, co zawdzięcza bazowaniu na dojrzałym kodzie wywodzącym się z BSD. Ale nie oszukujmy się – na MacOS są i „wirusy” i ransomware, niezależnie od tego co twierdzi Apple.

Badacze, którzy przyglądają się systemowi, znajdują w nim błędy. Jeśli ktoś chciałby zobaczyć, ile rzeczy Apple w MacOS zawaliło, polecam przejrzeć stronę https://objective-see.com/i zainstalować oprogramowanie tworzone przez tę firmę. To szybki sposób na naprawienie kilku niedoróbek i zwiększenie bezpieczeństwa naszego Maka.

fot: Mariusz Majewski

– Podsumowując, użytkownicy Mac’ów wcale nie mogą spać spokojnie?

Podsumowując, nie zaryzykowałbym stwierdzenia, że macOS jest bezpieczniejszy od konkurencji. Tworzony m.in. przez Polaków QubeOS jest chyba jednym z najbardziej zbliżonych do ideałów wzorów najbezpieczniejszego systemu operacyjnego na świecie. Ale to dystrybucja Linuksa, nie zawsze wygodna w użyciu.

Microsoft z Windowsem na przestrzeni ostatnich lat też mocno poszedł do przodu w kwestii zabezpieczeń. Windows 10 to naprawdę bezpieczny i poukładany pod tym kątem system. MacOS-owi wciąż na pewno pomaga to, że mimo wszystko nie ma jeszcze takiej skali jak Windows, a przez to ciągle nie jest tak atrakcyjnym celem dla wszelkiej maści atakujących.

 

– Sam również używasz produktów Apple. Czy przede wszystkim dlatego, że są bezpieczne?

Uważam, że są dobrym kompromisem pomiędzy tym co dobre (niekoniecznie najlepsze) z Uniksa, którego fanem byłem przez lata, a prostotą i wygodą. Nie wszystko moim zdaniem w macOS działa idealnie, ale przynajmniej da się to skorygować grzebiąc w plistach lub instalując dodatkowe kexty, choć system nie jest przecież w pełni Open Source. Nie byłbym w tanie z macOS korzystać bez takich aplikacji jak Karabiner (remapuje klawisze, w tym ten durny znak paragrafu), Forklift (bo Finder to jakiś nieśmieszny żart) czy iTerm oraz korekt w stylu: defaults write -g ApplePressAndHoldEnabled -bool false

 

– Jakich urządzeń Apple i nie tylko używasz w swojej pracy, a jakich prywatnie? Od kiedy jesteś użytkownikiem produktów z jabłkiem? Jak to u Ciebie wyglądało?

– Korzystam z Macbooka Pro Retina, 13-inch, Early 2015 z podmienionym 1TB dyskiem SSD i 16 GBRAM. I póki nie padnie, nie zamierzam go zmieniać. Wydajnościowo pokrywa moje potrzeby, a konstrukcja z 2015 roku jest jedną z ostatnich, która pozwala na wymianę części bebechów i ma natywny port HDMI oraz 2 porty Thunderbolt. To dla mnie bardzo wygodne, bo jako osoba, która często prowadzi szkolenia i występuje na konferencjach, muszę podpinać się pod projektory (niekiedy wciąż po VGA), przekazywać dźwięk do systemu nagłośnienia i jednocześnie używać połączenia internetowego po skrętce RJ45 w szkoleniowym labie. 2 porty Thunderbolt są dla mnie sporą wygodą, choć i tak bez przejściówek się nie obejdzie.

Ale przynajmniej „natywne” HDMI działa prawie zawsze. Piszę „prawie”, bo raz na jakiś czas mimo wszystko muszę u klienta sięgnąć do mojej torby ratunkowej i wyjąć z niej Apple TV (lub Google Chromecast), aby móc ominąć „niekompatybilności” albo „problem zbyt długiego kabla HDMI” i wyświetlić prezentację na ekranie/projektorze klienta.

Ten model MBP ma też sprawnie działającą klawiaturę o ostatnim akceptowalnym dla mnie skoku. To istotne, bo kiedy jestem w biurze, korzystam z zewnętrznej klawiatury Apple o takim samym skoku klawiszy.

W biurze MBP mam stale podpiętego pod monitor Dell UltraSharp2718Q, który potrafi wyciągnąć 3360×1890 i ma „retinową” gęstość pikseli (163 ppi). A ponieważ myszek Apple szczerze nienawidzę, to używam MX Mastera, bolejąc, że sterowniki Logitecha do tej myszy na macOS to tak wielka porażka jak lotnisko w Radomiu. Absolutnie bezużyteczne.

Na co dzień korzystam też z iPhone X. Jestem wiernym użytkownikiem iPhoen’ów od „jedynki” i nie wyobrażam sobie korzystania z innego smartphona. Jestem przez to tak „wypaczony”, że kiedy zawodowo muszę coś potestować na Androidzie to zawsze zastanawiam się „kto to panu tak s…komplikował?” (do testów używam Google Pixela 2). Jestem też ultrapsychofanem AirPodsów. Biorę je ze sobą wszędzie. Poza biurem. W trakcie pracy królują słuchawki nauszne Bose z noise cancelingiem albo Sonos.

Zupełnie nie czuję Apple Watcha i zawsze ze smutkiem patrzę na jego użytkowników, którzy muszą pamiętać o tym, aby go codziennie ładować. Właśnie z tego powodu używam zegarka sportowego Garmina. Jest inteligentny, ale mam go stale „rozłączonego” z iPhonem i tylko raz na jakiś czas, kiedy muszę zsynchronizować dane z treningu, na chwilę go spinam z telefonem.

Nie wyobrażam sobie zniewolenia przez powiadomienia odbierane na zegarku. Zresztą większość powiadomień w aplikacjach iOS mam i tak celowo wyłączone, łącznie z badgami na ikonach pokazującymi „liczbę nowych zdarzeń”. Uważam, że to ja powinienem decydować o tym, kiedy chce spojrzeć na jakąś aplikację.

Nie mam też ani routera Apple (jestem fanem Ubiquity i Mikrotików) ani Time Capsule – kopie bezpieczeństwa zapisuję na NAS-y Synology i QNAP, które przy okazji ogarniają wiele innych rzeczy.

fot: Mariusz Majewski

– Uważasz się za fanboya? Często wymieniasz urządzenia? Czekasz na wrześniową premierę?

– Chyba nie można mnie nazwać „fanbojem” Apple. Nie wszystko co ma logo jabłka do mnie trafia. Przykładowo, zupełnie nie trafia do mnie bezprzewodowa ładowarka Apple. Może dlatego, że wciąż jej nie mają i muszę korzystać z chińskich potworków? Hmmm… Nie czekam na wrześniową premierę, bo… nawet nie wiem co ma być pokazane we wrześniu.

Chyba żadnych funkcji obecnie mi nie brakuje ani w Macbooku ani w iPhonie. No może poza eSIM-em, ale nie uważam, że mając X warto wydać kilka tysięcy złotych tylko po to, aby mieć eSIM-a. Dlatego w podróże zagraniczne biorę ze sobą starego iPhone, który zagranicą gości moją polską kartę SIM, a ja „lokalnej” używam na iksie.

 

– Co raz bardziej popularna staje się domowa automatyka. W zasadzie dzisiaj każdy może sobie pozwolić na drzwi otwierane zamkiem z Bluetooth, o sterowaniu oświetleniem, ogrzewaniem czy domowymi sprzętami AGD/RTV nie wspominając choćby dzięki takim rozwiązaniom jak HomeKit, Google Home czy wszelkie instalacja na Z-Wave czy ZigBee. Na ile według Twojej wiedzy i doświadczenia są to bezpieczne rozwiązania? Czy sam korzystasz z tego typu gadżetów albo całych instalacji?

– Zupełnie nie odczuwam potrzeby tego, aby rano budziły mnie rozsuwane żaluzje, a ekspres sam robił kawę, po wykryciu tego, że zdjąłem telefon z ładowarki. Robienie kawy ręcznie mnie relaksuje. To zawsze jest dodatkowe kilka minut na posłuchanie podcastów!

Na domowe IoT patrzę niestety inaczej niż przeciętny użytkownik. Z racji tego czym się zajmuję, wiem jak beznadziejne zabezpieczenia mają niektóre z tych gadżetów.Nie bez powodu mówi się, że litera „S” w skrócie IoT oznacza „security”.

Dlatego jestem fanem fizycznych przełączników. Dają mi poczucie bezpieczeństwa. Sterowanie tylko przez aplikację może być zgubne. Już kilka produktów, którymi można zarządzać tylko przez aplikację straciło funkcje do których byłem przywiązany i które zadecydowały o zakupie. A downgrade firmware nie zawsze jest możliwy.

W przypadku urządzeń potrafiących działać „offline” ze sterowaniem przełącznikami mam pewność, że żadna aktualizacja over-the-air fizycznego przycisku mi nie usunie, tym bardziej jeśli urządzenie jest odpięte od internetu :-).

Za kuriozalne uważam to, że aby sterować moim oczyszczaczem powietrza stojącym na wyciągnięcie ręki muszę odpalić aplikację, która następnie połączy się z serwerem w Chinach, który to z kolei wyśle polecenie do mojego oczyszczacza, stojącego 20 centymetrów ode mnie. Za stary jestem na to, aby klepać regułki na firewallu pod osobne VLAN-y dla każdego z urządzeń – już mnie to nie bawi tak, jak kiedyś. A dodatkowo trzeba jeszcze uwzględnić ryzyko, że jeden błąd po stronie „chmury” producenta spowoduje, awarię mojego sprzętu, tak jak miało to miejsce u Belkina.

Wiele routerów Belkina przestało działać…

Przyznaję jednak, że czasami jestem hipokrytą, bo taki sprzęt jak Sonos zarówno świetnie brzmi, jak i jest niesamowicie wygodny w użyciu. I przez tę moją hipokryzję zawsze drżę, kiedy widzę, że jest nowa aktualizacja.

 

– Trwają właśnie wakacje. Bardzo wiele osób wyjeżdżając na urlop korzysta z hotelowych czy po prostu publicznych sieci WiFi, aby nie płacić za internet w roamingu przy wrzucaniu fotek czy komunikacji z bliskim. Czy korzystanie z dostępu do sieci w takich miejscach jest bezpieczne? 

Zacznijmy od tego, że wszystkie rady związane z bezpieczeństwem zawsze trzeba dostosować pod siebie. To co będzie sensowną poradą dla znienawidzonego polityka, którego każdy chce zhackować, nie zawsze będzie dobrym pomysłem dla freelancera z Macbookiem siorbiącego sojowe latte, którym nikt się nie interesuje.

Prawie każde zabezpieczenie będzie nas coś kosztowało. Albo wprost pieniądze, albo utratę czasu lub wygody. Dlatego zawsze warto zacząć budowanie swojej ochrony od pytania KTO chciałby (mógłby?) mnie zaatakować i CO mam najcenniejszego, co na pewno chcę chronić. A następnie tak dobrać zabezpieczenia, by przede wszystkim chroniły one TO COŚ, przed TYM KIMŚ. Inaczej zabezpieczamy smartphona przed kradzieżą w ciemnym parku, a inaczej przed izraelskimi służbami specjalnymi.

Wbrew pozorom, w publicznych sieciach Wi-Fi wcale nie roi się od chcących nas podsłuchiwać przestępców. Nie dość, że dziś prawie każde połączenie do istotnego serwisu jest szyfrowane i próba jego przechwycenia lub zmodyfikowania zostanie nam zakomunikowana przez przeglądarkę internetową, to większość hotelowych Wi-Fi stosuje tzw. client isolation (w oparciu o VLAN-y).

To sprawia, że jeden użytkownik nie widzi urządzeń i ruchu innego użytkownika. Nikt więc nie podejrzy w sposób niezauważony ani naszych przelewów w bankowości online ani rozmów na Messengerze, nawet jeśli jest na tym samym hotelowym Wi-Fi. Wciąż jednak można dać się podejrzeć, ale prościej – rzucając okiem przez nasze ramię – dlatego raczej sugerowałbym, aby w publicznych miejscach (gdzie są publiczne sieci Wi-Fi) siadać w rogu albo korzystać z tzw. privacy screens, które uniemożliwiają osobom wokół łypanie okiem na nasz ekran. Przyznaj, że nie takiej porady się spodziewałeś 😉

 

– Spodziewałem się, że powiesz o tym, że przypadkowe WiFi, to kompletne „zuo”, a zamiast sprawdzać stan konta w banku przez appkę na telefonie podłączonym do WiFi na wczasach w Egipcie z All Inclusive, lepiej od razu przelać wszystko na jakiś szczytny cel, niż w ten sposób oddawać dostęp do tych środków wszystkim cyberprzestępcom czekającym na naiwnych turystów.

– Niestety, wiele ludzi obawia się dziś nie tego, na co są najbardziej narażeni. Oczywiście, zawsze warto dbać o to, aby mieć zainstalowane wszystkie aktualizacje i firewalla, a jeśli ktoś – tak jak ja – ma lekką paranoję i korzysta z serwisów (i protokołów), które nie zawsze są szyfrowane), to powinien dodatkowo używać VPN-a.

Osobiście – i nie tylko kiedy podróżuję, bo nawet w biurze – VPN-a mam zapiętego cały czas. Korzystam z NordVPN, na którego zdecydowałem się po dość długiej analizie tej listy wszystkich VPN-ów i kilkumiesięcznych testach paru z nich (tu wynik moich testów.

97 VPN-ów jest kontrolowanych przez 23 firmy, z czego większość to firmy z Chin

 

– Nie będę ukrywał, że po przeczytaniu artykułu na Niebezpieczniku, sam kupiłem NordVPN w promocyjnej, 3 letniej subskrypcji. Ale zapewne nie wszyscy czytali, więc może pokrótce powiedz, dlaczego ten VPN, a nie inny.

Mam nadzieję, że Ci dobrze służy. NordVPN wygrał, bo ma wygodne i działające na macOS i na iOS aplikacje, daje dostęp do największej liczby serwerów w kilkudziesięciu krajach, nie „wiesza się” i pozwala rozwijać spore prędkości, a takiemu paranoikowi jak mnie, umożliwia też dodatkowe przerzucenie ruchu przez sieć Tor.

W dodatku, co dla mnie jako osoby z Krakowa ma znaczenie ;), jest to jeden z najtańszych VPN-ów na rynku, a na 1 licencji pozwala skonfigurować aż 6 urządzeń. Więc poza swoim MBP i iPhonem mam go też zainstalowanego na biurowym oraz domowym routerze Wi-Fi a także na sprzęcie rodziców, gdzie dodatkowo włączyłem opcję „CyberSec”, czyli filtrację złośliwych zasobów, która w sposób transparentny i bezobsługowy chroni przed złośliwymi reklamami i niebezpiecznymi serwisami/oprogramowaniem.

Jeśli ktoś chce z VPN-a korzystać tylko sporadycznie, możne skorzystać z darmowego VPNHUB. Na dłuższą metę się jednak nie sprawdzi, bo jest wolny i daje tylko wyjście przez USA, co z punktu bezpieczeństwa nie dla każdego może być najlepszym pomysłem.  Aha – i warto dodać na koniec – że jeśli dla kogoś ważna jest maksymalna ochrona prywatności, to nie powinien korzystać z żadnego komercyjnego VPN-a, tylko stawiać sobie tego typu usługi sam, na kupowanych przez Monero serwerach. Każdy operator VPN-a, nawet jeśli nie przechowuje logów z ruchu, to jakieś informacje na nasz temat (choćby z procesu płatności) musi mieć, aby sprawdzać, czy nasze konto jest wciąż opłacone i nie wysyca limitów licencyjnych.

 

– Jakie inne błędy popełniamy na wakacjach, które mogą wpłynąć na nasze bezpieczeństwo, utratę prywatności czy pieniędzy? Czego nie robić na pewno? (w kontekście elektroniki, dokumentów, kart płatniczych)

Znów, nie ma jednej rady. Trzeba być uważnym jeszcze przed zakupem wycieczki, hotelu i biletów, bo przestępcy są coraz cwańsi i potrafią podszyć się pod firmy z usług, których korzystamy (por. https://niebezpiecznik.pl/post/jak-pracownik-wakacje-pl-w-cwany-sposob-probowal-sobie-dorobic-oszukujac-klientow-wlasnego-pracodawcy/).

Wszystkim zainteresowanym tym, jak bezpiecznie wypoczywać i podróżować polecam przesłuchać 22 odcinek naszego podcastu Na Podsłuchu.

Aż przez godzinę mówimy na co zwrócić uwagę, bo naprawdę wiele błędów na wakacjach i w podróży można popełnić.

Od ujawnienia numerów swoich rezerwacji i narażenia się na to, że jakiś dowcipniś anuluje nam lot, przez kradzież sprzętu z hotelowego pokoju lub sejfu, przed którą możemy się zabezpieczyć, jeśli mamy starego Androida (sorry, na iPhone się nie da zainstalować aplikacji do monitoringu pomieszczenia) aż do wrzucenia do internetu zdjęć, z których nie wyczyściliśmy kompromitujących nas metadanych.

Jako uzupełnienie podcastu polecam też przeczytać nasz poradnik dla osób podróżujących zagranicę, który stworzyliśmy przed Mundialem. Jest tam masa porad i można je dobrać adekwatnie do stopnia swojej paranoi lub poziomu „reżimowości” kraju, do którego podróżujemy. Na zachętę powiem, że laptopa można zabezpieczyć nawet lakierem do paznokci i chipsami, jeśli się wie jak 🙂

 

W jednym ze swoich wystąpień użyłeś takiego stwierdzenia, że „prywatność nie istnieje”. Natomiast giganci technologiczni wciąż zapewniają o tym, że dbają o naszą prywatność. To jak to w końcu jest?

Uważam, że jeśli nie siedzisz dziś w jaskini, po ciemku, to nie masz szans na zachowanie prywatności. Otacza nas za dużo urządzeń, które stale zbierają dane z setek czujników i są sterowane przez ludzi, którzy nie potrafią z nich odpowiednio korzystać – co naraża nie tylko ich samych, ale i nas, osoby „z okolicy” na utratę prywatności.

Twoją fotkę na Fejsa wrzucić może Twój znajomy, nawet jeśli Ty nigdy byś tego nie zrobił. Otaguje Cię i cyk, Marek Zuckerberg już wie kim jesteś i rozpozna Cię po rysach Twarzy na każdym innym zdjęciu, które inne osoby wgrają (lub już wgrały) na Facebooka. Ba! Twój numer telefonu Facebook na bank już ma, nawet jeśli Ty mu go nie dałeś. Wystarczył jeden Twój znajomy, który ma aplikację WhatsApp, Messenger, Instagram albo Facebooka na swoim smartfonie.

Aplikacje te w super cwany sposób wymuszają zgodę na dostęp do książek telefonicznych, a z WhatsAppa wręcz nie da się normalnie korzystać bez udzielenia mu dostępu do książki kontaktowej. To oznacza, że Twój numer telefonu (opisany imieniem i nazwiskiem) jest już znany Facebookowi, nie mówiąc nawet o tym, że ujawniona została relacja pomiędzy Tobą a osobą, która ma Cię w kontaktach — nawet jeśli nie jesteście znajomymi na Fejsie.

Apple pozytywnie się wyróżnia na tle konkurencji, jeśli chodzi o takie budowanie usług, aby zapewniać prywatność swoim klientom.Sam iPhone i iOS skonstruowane zostały w taki sposób, że od kilku lat służby nie mogą już podesłać „zarekwirowanego iPhona przestępcy” i poprosić Apple o jego odblokowanie. Kiedyś było to możliwe. Teraz, ze względu na architekturę rozwiązań bezpieczeństwa, nie.  Sprytny ruch ze strony Apple. Nie dość, że nie mogą dać służbom tego, czego nie mają (tu klucza szyfrującego oraz dostępu do backdoora), to jeszcze są w stanie powiedzieć klientom „chronimy Waszą prywatność”.

Ale… to nie dotyczy tych klientów, którzy korzystają z iClouda.Do niego (a także do naszych danych, które tam przechowują klienci Apple), firma wciąż ma dostęp. Podobnie Siri – nagrania naszych komend głosowych są przesłuchiwane przez ludzi, oczywiście „w celach diagnostycznych” i po zatwierdzeniu komunikatu, że „wszystko co powiesz będzie wysłane na serwery Apple”, ale ciężko to nazwać kompleksowym dbaniem o prywatność.

(akt.) Pracownicy Google i Apple tymczasowo przestaną słuchać jak ludzie kupują narkotyki lub uprawiają seks

Bardzo ciekawy jestem jak na prywatność wpłynie nowa wersja usługi Find My iPhone. Czas pokaże czy uda się w tym obszarze zwiększyć bezpieczeństwo bez utraty prywatności.

 

– Jakich błędów nie należy popełniać, aby zachować jak najwyższy poziom prywatności?

Bardzo chciałbym udzielić odpowiedzi na to pytanie, ale musiałbym teraz przez kilka tysięcy linii opisywać prawie każdy aspekt naszego życia. Więc może lekko zmieńmy strategię. Chętnych do zapoznania się z tym co w kontekście ochrony prywatności może pójść nie tak odsyłam do tysięcy (!) artykułów na Niebezpieczniku otagowanych jako „prywatność”  i „inwigilacja” – a jeśli ktoś nie ma kilku dni na lekturę, to do artykułu z kwintesencją tego problemu:

19 rad jak się bronić przed podglądaniem przez policję i służby, z racji wchodzącej dziś w życie ustawy inwigilacyjnej

Ja natomiast ze smutkiem odpowiem na pytanie, co zrobić, aby zachować prywatność w dzisiejszym świecie. Zostawić wszystkie swoje urządzenia, wejść do jaskini i nie wychodzić z niej do końca życia. Dla osób spoza tej jaskini, prywatność (już) nie istnieje.

– Dziękuję za rozmowę.

BIO

Piotr Konieczny, ekspert ds. bezpieczeństwa, od 15 lat pomaga największym polskim i zagranicznym 
firmom w zabezpieczaniu ich sieci oraz serwisów internetowych. Absolwent Glasgow Caledonian 
University. Wielokrotny zdobywca nagród za najlepsze prelekcje na największych polskich 
konferencjach poświęconych bezpieczeństwu IT, wykładowca studiów z cyberbezpieczeństwa 
na AMW oraz laureat prestiżowej nagrody Digital Shapers 2018 magazynów Forbes i Business 
Insider. Założyciel Niebezpiecznik.pl, firmy doradczej konsultującej projekty 
informatyczne pod kątem bezpieczeństwa. W ramach Niebezpiecznik.pl Piotr 
zarządza zespołem wykonującym audyty i testy penetracyjne systemów teleinformatycznych 
oraz prowadzi szkolenia zarówno dla administratorów i programistów jak i zwykłych 
pracowników polskich firm, którzy w ramach swoich służbowych obowiązków korzystają 
z komputerów i internetu.

 

 

Michał Gruszka Właściciel AppleMobile.pl, dziennikarz magazynu Mobility, były redaktor naczelny iStyle Magazine - pierwszego w Polsce magazynu dla fanów APPLE. Na co dzień serwisuję Wasz iPhone'y, iPad'y i iPody.