Jak nie dać się złowić na konferencji bezpieczeństwa

Uczestnicy większości konferencji na temat ochrony posługują się pocztą elektroniczną, korzystają z sieci społecznościowych. Niektóre spotkania wymagają jednak zachowania dużej ostrożności.

Udział w typowych prezentacjach biznesowych zajmujących się bezpieczeństwem nie przynosi dużego ryzyka, dlatego można korzystać z dostępnych łączy internetowych, a za ich pomocą – z firmowych zasobów i aplikacji. Jednak konferencje ściśle hakerskie, takie jak DEF CON lub BlackHat, należy traktować inaczej, podchodząc z dużą nieufnością do wszystkich sieci, połączeń, informacji, infrastruktury.

Oto rady, które zmniejszą ryzyko naruszenia bezpieczeństwa urządzeń podczas konferencji takich jak Black Hat:

Czysty laptop

Andrew Wild, CSO firmy Qualys, stosuje radykalne podejście, polegające na przygotowaniu na czas konferencji specjalnie skonfigurowanego laptopa, w którym niepotrzebne funkcje są wyłączone. Z tego komputera zamierza korzystać wyłącznie z poczty elektronicznej i sieci społecznościowych. Zwraca on uwagę na ataki związane z modułami RFID.

1) W telefonie wyłączyć Bluetooth, NFC, Wi-Fi. Nie włączać łączności bezprzewodowej podczas pokazów. Warto kupić prosty telefon pozbawiony ww. funkcji i przełożyć do niego kartę SIM. Transmisja danych w roamingu w USA jest kosztowna, tak rzadko się z niej korzysta i trzeba ją wyłączyć.

2) Wyłączyć Bluetooth i Wi-Fi w laptopach i tabletach. Niektórzy zalecają, by nie przynosić ich na pokazy, zamknąć w hotelowym sejfie. Te same osoby zwracają uwagę na podatności zamków elektronicznych stosowanych przez prawie wszystkie hotele.

3) Jeśli połączenie do internetu jest niezbędne, należy korzystać z VPN do firmowych serwerów. Upewnić się, że żadne nieszyfrowane połączenie nie wychodzi poza tunelem bezpośrednio do internetu.

4) Nie instalować aktualizacji podczas konferencji, gdyż mogą być sfałszowane. Należy je zainstalować przed konferencją i wyłączyć automatyczne sprawdzanie i instalowanie poprawek.

5) Nie logować się do serwisów, w tym prywatnych bankowych.

6) Nie korzystać z nośników, kart bezprzewodowych czy ładowarek oferowanych przez inną osobę podczas konferencji. Znane są podatności w urządzeniach Apple umożliwiające przejęcie kontroli nad smartfonem po dołączeniu sfabrykowanej ładowarki, to samo dotyczy telefonów z Androidem. Zwykły pendrive może zawierać eksploita, ale może być też urządzeniem, które w systemie operacyjnym będzie działać jak sprzęt inny niż storage USB.

7) Wyłączyć porty firewire, nie dołączać do nich urządzeń.

8) Zachować szczególną ostrożność podczas korzystania z telefonu komórkowego, gdyż informacje można przechwycić. Na tegorocznej konferencji Black Hat były dwie prezentacje związane z atakowaniem telefonu za pomocą popularnych femtokomórek.

9) Ochronić dokumenty, karty i inne obiekty z tagami RFID. Na wielu konferencjach demonstrowano ataki przechwycenia danych z paszportów, dlatego należy być przygotowanym na przeprowadzane ataki RFID sniffing – przechwycenie informacji z modułów przez specjalizowane urządzenie.

10) Nie korzystać z bankomatów i terminali, gdyż często podstawiane są tam fałszywe urządzenia.

Najważniejsza porada dotyczy oddzielenia ważnych zadań od typowego przeglądania internetu. Do obu grup aktywności należy mieć osobną przeglądarkę, by uniknąć ataków takich jak CSRF czy przejęcie sesji za pomocą zapisanych ciasteczek. Należy deinstalować wtyczki, takie jak Flash i Java, a także korzystać z dodatków umożliwiających selektywne odblokowywanie aktywnej zawartości. Przeglądanie stron internetowych będzie bezpieczniejsze, jeśli zestawimy połączenie VPN do sieci firmowej, gdzie pracuje serwer proxy, który automatycznie filtruje niepożądane treści.

Fałszywy bankomat

Skopiowanie paska magnetycznego i pozyskanie kodu PIN za pomocą różnych nakładek wmontowanych w bankomaty jest dość częstym procederem przestępczym. Niektóre ataki jednak zdarzają się dość rzadko. Takim atakiem jest podstawienie fałszywego bankomatu, który odczytuje kartę, pobiera PIN, ale nie realizuje transakcji, a jedynie zwraca kartę i wyświetla komunikat o błędzie. W 2009r. złodzieje postanowili podstawić właśnie taki fałszywy bankomat w hotelu Riviera w Las Vegas. Atak się nie udał, gdyż w tym samym miejscu i czasie odbywała się konferencja Def con. Uczestnicy tej konferencji, najwyższej klasy specjaliści zajmujący się podobnymi atakami, początkowo potraktowali to jako swoisty żart, ale policja stwierdziła, że za fałszywym bankomatem stali prawdziwi złodzieje.

Koniec ramki

Żartownisie i ściana wstydu
Konferencje takie jak BlackHat zawsze przyciągają najlepszych hakerów i badaczy zajmujących się bezpieczeństwem. Wymieniają się oni informacjami na temat wyników badań, spotykanych zagrożeń, obrony przed atakami. Gdy w jednym miejscu zbierają się grupy takich specjalistów, można oczekiwać drobnych potyczek, choćby dla przetestowania urządzeń i technologii. Należy zatem wzmóc czujność, by login i hasło nie znalazło się na sławnej liście Wall of Sheep, na której publikowane są dane uwierzytelnienia, przesyłane w nieszyfrowanym połączeniu, a przechwycone z sieci Wi-Fi. Co roku na tę listę trafiają hasła wielu nieostrożnych specjalistów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200