KONSPEKT (SKRÓCONA TRANSKRYPCJA):

Jakub Staśkiewicz:

Dzień dobry, miło mi Was powitać na webinarze Altkom Akademii poświęconym bezpiecznej pracy zdalnej. Ja się nazywam Jakub Staśkiewicz i poprowadzę pierwszą część tego wydarzenia poświęconą różnicom między pracą z domu, a pracą z biura, różnicom, które wpływają na bezpieczeństwo. Powiemy sobie o kwestiach, które nie zawsze są oczywiste i nie zawsze przychodzą nam na myśl jeżeli myślimy o porównaniu pracy z biura i pracy z domu. Drugą część poprowadzi Dominik Węglarz i to będzie część bardziej nastawiona na prywatność, pracę w Internecie nastawioną na wyższy poziom anonimowości. 

Pierwsze i oczywiste co przychodzi nam na myśl jeśli chodzi o pracę z domu, to oczywiście swoboda – co z tego wynika? Pamiętajmy, że z każdym wyluzowaniem wiąże się pewne ograniczenie bezpieczeństwa i to jest rzecz o której jeszcze sobie trochę dzisiaj powiemy. Zacznijmy od tych podstawowych różnic przede wszystkim z punktu widzenia systemów informatycznych i bezpieczeństwa naszego środowiska pracy.

Te różnice główne na które na co dzień może nie zwracamy tak uwagi, są takie, że w sieci firmowej chroni nas cała masa różnych rozwiązań technicznych, których w domu zazwyczaj nie mamy. Zabezpieczenia sieci, monitoring IPS/IDS – to działa w tle i często o tym nawet nie wiemy, ale one znacznie wpływają na nasze bezpieczeństwo i mocno je podnoszą. W domu niestety tego nie ma; w firmie często także filtruje się pocztę czy ruch www, są specjalne serwery proxy, webowe, mailowe, które ograniczają zagrożenia; wiele z nich, związanych z niebezpiecznymi stronami czy mailami, jest eliminowana. W domu jesteśmy na to bardziej narażeni.

Kolejny punkt – ochrona antywirusowa. Komputer domowy najczęściej ma jakiegoś darmowego antywirusa, który jakoś spełnia swoje zadanie, ale dużo mniej niż w środowisku firmowym. Rozwiązania wdrożone na komputerach służbowych są zazwyczaj bardziej zaawansowane. Kolejnym elementem, który wpływa mocno na bezpieczeństwo, są łącza internetowe. Pamiętajmy, że o bezpieczeństwie nie mówimy tylko w kontekście poufności, ale też dostępności i integralności. Łącza są bardzo ważnym elementem tego bezpieczeństwa – te które mamy w firmach i w środowiskach służbowych najczęściej są przygotowane na awarie, czy anomalie ruchu; mamy też łącza zapasowe, które gwarantują utrzymanie określonego poziomu usług w przypadku awarii.

Kontrola dostępu – w przypadku pracy z domu jest zdecydowanie mniejsze ryzyko, że ktoś obcy pojawi się w naszym mieszkaniu i będzie mieć dostęp do laptopa, ale on z kolei jest bardziej dostępny np. dla dzieci. Kolejna rzecz –pamiętajmy, że okazjonalna praca zdalna to coś zupełnie innego niż teraz kiedy może to potrwać nawet kilka miesięcy i prędzej czy później pojawi się potrzeba skorzystania z takich narzędzi, do których w biurze jesteśmy przyzwyczajeni, typu np. niszczarka do dokumentów, czy kserokopiarka. Teraz możemy telefonem robić zdjęcia dokumentów i to też wpływa na poziom bezpieczeństwa; on spada kiedy w domu posługujemy się narzędziami zastępczymi.

Następna, być może najistotniejsza różnica – komputer, z którego korzystamy. W komputerach domowych często brakuje kontroli, pracujemy z najwyższymi możliwymi uprawnieniami bo jest tak wygodniej, nie ma na tych komputerach jakichś polityk bezpieczeństwa, które by ograniczały pewne działania, to też wszystko niestety wpływa ujemnie. Dbałość o aktualizację to temat, który dzisiaj może nie jest taki istotny, ale jeśli ktoś zajmuje się siecią firmową, to zdaje sobie sprawę z zagrożeń o których użytkownik komputera domowego może nie wiedzieć. Bez administratora, kogoś kto ma nad tym jakąś pieczę i czuwa nad tymi procesami, niestety te urządzenia domowe często pozostają w takim stanie niezabezpieczonym.

Kolejny problem, który nie występuje w srodowisku firmowym – współużytkowanie tych urządzeń. Czasami komputer ma kilku użytkowników, korzystają z niego np. dzieci. Jest wtedy duże ryzyko, że nastąpi jakaś pomyłka; ktoś przypadkowo wyśle jakiś poufny plik mailem albo usunie jakieś poufne informacje. Na komputerze służbowym w firmie nie musimy się tego obawiać. Jeśli chodzi o instalację oprogramowania, w środowisku firmowym zawsze mamy jakieś restrykcje, które ograniczają możliwość instalowania czegokolwiek na komputerze.

No i bardzo istotna rzecz – back-upy. W środowisku sieciowym mamy ludzi, którzy dbają o to żeby miejsca, w których składujemy pliki, serwery, zasoby dyskowe, sieciowe, miały swoje kopie bezpieczeństwa żeby w razie jakiejś awarii móc przywrócić te dane. W przypadku komputerów domowych wszystko leży w rękach użytkowników, a często zapomina się o regularnym wykonywaniu kopii – później efekty naszej kilkutygodniowej pracy mogą pójść na marne.

Domowe sieci – kolejna gama zagrożeń, częściowo pokrywających się z tymi komputerowymi. Przede wszystkim niskobudżetowość tych rozwiązań – w sieciach firmowych chronią nas profesjonalne systemy o których w sieci domowej nie możemy nawet pomyśleć. W sieciach domowych częściej zdarzają się też przestarzałe rozwiązania, głównie z punktu widzenia bezpieczeństwa. Zależność od dostawców – w przypadku sieci domowych często mamy narzucone jakieś rozwiązania techniczne wynikające z umowy z operatorem, nie mamy na nie wpływu ani kontroli.

W przypadku sieci mówimy o zasobach sieciowych – może nie jest to już tak często spotykane, ale zdarzają się jeszcze sieci osiedlowe czy sieci w mniejszych miejscowościach zarządzane przez lokalnych administratorów. Słabe zabezpieczenia – w rozumieniu administracyjnym, jeżeli w firmie wdrażamy jakąś technologię, świadomi zagrożeń administratorzy przeprowadzają proces hardeningu, konfigurują te urządzenia maksymalnie bezpiecznie, z urządzeniami domowymi tak nie jest. Aktualizacje urządzeń takich jak routery czy access pointy są rzadkie – a te urządzenia z punktu widzenia bezpieczeństwa wprowadzają dużo zagrożeń.

Każda większa dziura w domowym urządzeniu sieciowym wiąże się z tym, że powtaje Botnet, który te urządzenia przejmuje i wykorzystuje do jakichś złych celów; często możemy o tym nawet nie wiedzieć. Co dalej? Wpływ otoczenia na poufność pracy – dzieci mocno wpływają na nasze rozproszenie i brak koncentracji co może powodować częstsze pomyłki niż przy pracy w biurze, ale też otoczenie bardziej techniczne. Czasem szukamy rozwiązań na skróty – czasem rozwiązania dostarczone przez pracodawcę albo administratora sieci okazują się dla nas mniej wygodne więc chcemy sobie ułatwić korzystając np. z prywatnego maila albo jakiegoś narzędzia żeby wymienić się jakimiś danymi albo wykonać jakąś pracę; no i te wszystkie prywatne narzędzia może obniżać poziom bezpieczeństwa.

Spójrzmy teraz na cały problem związany z tymi zagrożeniami od strony dbania o bezpieczeństwo i polityk bezpieczeństwa. Jeżeli ktoś tworzył polityki bezpieczeństwa, wie, że nieprzewidziane sytuacje powinny być w nich zagospodarowane; powinniśmy wiedzieć jak się w nich zachować. Z tego co ostatnio słyszę wynika, że jednak obecnej sytuacji nie jest brana pod uwagę; to tak zwany czarny łabędź. Okazuje się, że o ile poszczególne elementy mogliśmy przewidzieć – np. brak dostępu do Internetu albo do pewnych zasobów sieciowych – ale nikt nie brał pod uwagę, że tyle tych elementów może się wydarzyć równocześnie, że równocześnie tylu pracowników będzie trzeba wysłać do pracy zdalnej i nie będzie można się spotykać.

Sytuacja często wymusi na naszym biznesie mocną transformację; wiele firm zmienia swój model biznesowy, przenosi sprzedaż do Internetu i często dzieje się to tak szybko, że nie nadążamy z politykami i procedurami bezpieczeństwa. Z uwagi na problemy finansowe, bywają obcinane budżety na bezpieczeństwo. To wszystko niestety wpływa bardzo niekorzystnie, tak samo jak niedobór kadr; to też wiąże się z tym, że pozostałe osoby mają pracy więcej i łatwiej o pomyłkę albo błąd. Całą sytuację chętnie wykorzystują też intruzi i cyberprzestępcy, którym łatwiej przeprowadzić różne ataki bazujące m.in. na socjotechnikach; ludzi teraz łatwiej jest zmylić i oszukać.Narzędzia, z których zaczęliśmy masowo korzystać, też wiążą się z pewnymi zagrożeniami, chociażby Zoom; możemy nawet nie zauważyć, że ktoś się podłączy do naszej rozmowy.

Cyberprzestępcy w socjotechnikach często wykorzystują teraz szum medialny jaki powstał dookoła koronawirusa; masa różnych informacji docierająca do nas z ogromnej liczby źródeł, trudno nam się z tym wszystkim zapoznać i przetworzyć; wykorzystują mechanizmy przyciągających clickbaitów, podając sensacyjne informacje i przekierowując ruch na swoje strony skąd potem np. czerpią dane. Tak jak we wszystkich innych socjotechnikach, oszuści korzystają z wiedzy dotyczącej ludzkiej psychiki i emocjonalności, wykorzystują dobre i złe odruchy; są to zagrożenia, których obecnie jest więcej. To tyle z mojej części podkreślającej zagrożenia, z którymi się spotykamy w związku z dokonującą się w ostatnich tygodniach zmianą. Oddam głos Dominikowi, który poprowadzi część związaną z anonimowością i zapewnieniem prywatności w Internecie,  z mojej strony to tyle. Dziękuję bardzo za uwagę.

Dominik Węglarz:

Dominik Węglarz z tej strony, w Altkom Akademii prowadzę szkolenia głównie z technologii Vmware oraz zakresu bezpieczeństwa, również w rozumieniu ofensywnym, czyli etycznego hackingu. Dzisiaj chciałbym się skoncentrować na kilku rzeczach.

Jakub wspomniał już, że dzisiaj cyberbezpieczeństwo to wyzwanie nie tylko technologiczne, ale i behawioralne bo trzeba się nagle przystosować do nowej rzeczywistości. Kiedy dużo pracowników zaczyna pracować zdalnie a nie jest do tego przyzwyczajona, powstaje nam nowy ekosystem pracy. Istnieje np. niebezpieczeństwo użycia niezabezpieczonych kanałów informacyjnych czy procesów przy przetwarzaniu danych. Ważne jest nabycie odpowiednich nawyków dbania o bezpieczeństwo, związanych nie tylko z pracą, ale i życiem prywatnym. Coraz więcej ekspertów ostrzega o ryzyku związanym z prywatnością; firmy zbierające content reklamowy często zbierają o nas bardzo szczegółowe dane.

Pojawia się pytanie czy możemy podnieść poziom naszej prywatności – od takich zadań są rozwiązania nazywane anonimizerami. To całe zestawy różnych mechanizmów, które czynią naszą aktywność użytkownika nie do wyśledzenia albo przynajmniej to bardzo mocno utrudniają. Potrafią one obejść restrykcje związane z niektórymi treściami i chronią przed atakami z sieci. Anonimizery to mogą być całe systemy operacyjne typu Live CD albo Live USB. Są domyślnie wyposażone w cały szereg narzędzi do zapewniania prywatności. Przykładami takich anonimizerów są Whonix i Tails – obydwa systemy można przygotować do pracy bezdyskowej. Pokażę jak można pobrać i przygotować do pracy system Tails oraz jak podłączyć do tego zasoby dyskowe.

Zanim pokażę na żywo jak w prosty sposób przygotować takie środowisko pracy, powiem parę słów o jednym z podstawowych rozwiązań gwarantujących anonimowość w sieci; sieci TOR. To sieć routerów o wielu warstwach, opracowana na potrzeby marynarki wojennej USA i miała umożliwiać bezpieczne i anonimowe śledzenie różnych informacji. Osiągamy tę anonimowość dzięki wielowarstwowemu szyfrowaniu. Kiedy za pomocą przeglądarki TOR mamy dotrzeć do jakiegoś miejsca w Internecie, jest ustalana trasa ruchu i komunikacji. Nie jest ona znana w całości wszystkim pośredniczącym nodom. Po połączeniu z pierwszym serwerem losowo wybierany jest nod, który wie tylko o swoim poprzedniku, nie zna mnie jako źródła komunikacji.

W tym rozwiązaniu mamy do czynienia z kryptografią asymetryczną; klucze prywatne i publiczne w szyfrowaniu. Każdy z nodów ma taką parę kluczy. Do przeglądarki TOR zostaną dostarczone klucze publiczne wszystkich nodów, które będą brały udział w naszej komunikacji. Dochodzą kolejne warstwy szyfrowania. Dopiero po zdjęciu ostatniej warstwy widać treść komunikacji i jest wtedy przesyłana do wskazanego web serwera. Nadawca pozostaje anonimowy i tylko exit nod z którego dane są wysyłane jako jedyny ma szansę zajrzeć do środka tej komunikacji.

Anomimowość to jedna rzecz, ale jeśli chcemy zachować poufność danych, powinniśmy korzystać z szyfrowanych połączeń http żeby exit nod nie widział co jest przesyłane. Moi drodzy, klientów TOR możemy ściągnąć na różne systemy – desktopowe jak Windows i Linux, ale także na urządzenia mobilne. Ściągając jakiekolwiek programy instalacyjne, dobrze weryfikować czy w środku nie ma żadnego zaszytego malware’u czy Trojana. Przeglądarka TOR jest zawarta w anonimizerach. Po ściągnięciu anonimizera Tails następuje proces weryfikacji. Czemu jest to takie ważne?

Jeżeli ktoś byłby w stanie wcześniej przeprowadzić odpowiedni atak, moglibyśmy używać wersji przygotowanej przez przestępców, dlatego ważne jest żebyśmy zweryfikowali czy sama ściągnięta instalka jest właściwa.  Mamy link do zainstalowania rozszerzenia w przeglądarce Chrome; po kliknięciu pojawia się opcja z dodaniem rozszerzenia.  Czego możemy użyć chcąc uruchomić Tailsa? Oprogramowania do wirtualizacji, nie będę mówił o wszystkich możliwościach, ale darmowym rozwiązaniem jest np. Virtual Box. Przygotuję prostą maszynę wirtualną i wybiorę jej parametry. Im więcej procesorów będzie przypisanych, tym maszyna będzie wydajniej pracować. Jak najbardziej możliwa jest też praca bezdyskowa; trzeba usunąć dysk twardy z ustawień. Po uruchomieniu maszyny wirtualnej widać środowisko graficzne.

Co będę chciał Wam pokazać? Samą przeglądarkę TOR, która jest tu zawarta oraz możliwość np. podpinania zaszyfrowanych dysków. Korzystanie z sieci internetowej jest nieco wolniejsze niż przy użyciu zwykłej przeglądarki. Jedną z rzeczy, które chcę pokazać to fakt, że każda komunikacja z dowolnym serwerem będzie przebiegała zupełnie innymi ścieżkami i z zupełnie innego publicznego adresu IP. Korzystając z technologii TOR, ciężko byłoby Was namierzyć skąd wykonujecie te zapytania. Pokażę dodatkowo jak możnaby skorzystać z tego systemu gdybyście chcieli zachować jednak jakieś dane na jakimś dysku, ale też zrobić to bezpiecznie.

Dodam dodatkowy wirtualny dysk. Potem jeszcze raz uruchomię nasz system Tails. Będę mógł podpiąć dysk w normalny sposób widoczny dla Linuxa bez żadnego szyfrowania, ale będę mógł też z niego skorzystać. Jedyne na co musimy uważać to zapamiętanie hasła do szyfrowania dysku. Jeżeli chcemy podpinać dysk, musimy ustawić hasło administracyjne. Sugeruję korzystanie z silnych, skomplikowanych, wielofrazowych haseł. Mamy narzędzie do zarządzania dyskami i chcę żeby wolumen był chroniony hasłem. Muszę podać to hasło. Żeby przeprowadzać operacje niskopoziomowe, czasami jesteśmy zmuszeni do podawania hasła administracyjnego. Po sformatowaniu partycji otrzymuję zaszyfrowany wolumen i mam tam możliwość składowania jakichkolwiek plików na których bezpieczeństwie mi zależy.

Na czym może mi szczególnie zależeć jeżeli chodzi o bezpieczeństwo? Jeśli korzystamy z wielu zasobów w Internecie, np. poczty na różnych portalach, dobrze mieć tam zupełnie inne hasła. Kiedy haseł jest wiele, możemy się w nich pogubić; czasami warto wesprzeć się takimi programami jak KeePass, czyli menedżer haseł. Można w nim utworzyć bazę danych pod hasła, których nie znam na pamięć, z hasłem, które muszę pamiętać zawsze. Przy ustawianiu mam też możliwość skorzystania z pewnych generatorów haseł gdzie mogę ustalić ich długość czy stopień skomplikowania. Takie programy pozwalają łatwo skorzystać z zasobów internetowych, nie musimy przepisywać manualnie tych haseł.

System Tails ma też wiele innych narzędzi, z których możemy skorzystać, nie mamy dzisiaj czasu na omówienie szczegółowo wszystkich opcji, natomiast jak najbardziej zachęcam do przećwiczenia sobie pracy w takim rozwiązaniu. Dodatkowo mogę powiedzieć, że sieć TOR i przeglądarki TOR dają nam dostęp do takiego ukrytego Internetu, czyli domen, które nie są dostępne ze zwykłych przeglądarek i gdzie szukają nielegalnych treści; jest to tak zwany dark net czy dark web. Są tam nie tylko rzeczy nielegalne, ale także poufne, korzystają z nich np. dziennikarze śledczy, którzy mogą się komuś narażać.

Na sam koniec chciałbym Was zachęcić do udziału w szkoleniach typu Distance Learning, np. z cyber security awareness, warsztaty z bezpieczeństwa infrastruktury, dla osób, które nie tylko chcą podnieść poziom swiadomości, ale też nauczyć się korzystać z pewnych narzędzi. Pytania – „czy można podpiąć dysk wcześniej zaszyfrowany bit lockerem?” – na pewno. Jest takie linuxowe narzędzie Dislocker, które do tego służy.  „Czy można w ten sposób szyfrować dyski zewnętrzne?” Zakładam, że tak, na wszystkim co system rozpozna jako dysk możemy zakładać zaszyfrowane partycje przy użyciu tych samych narzędzi.

„Czy dysk zaszyfrowany luksem można odczytać z poziomu Windows?” – nie chciałbym skłamać, nie miałem takiej potrzeby i nie robiłem tego, ale zakładam, że jeżeli jakieś szyfrowanie bazuje na rozwiązaniach open source’owych to jest duża szansa, że znajdziemy coś na Windowsa. „Czym szyfrować aby było dostępne i w Windows i w Tails?” –  narzędziem VeraCrypt, jest wspierane natywnie, również w Windowsach. „Czy lepiej korzystać z przeglądarki Chrome czy Brave?” – to zależy od potrzeb i indywidualnego podejścia; jeśli chcemy postawić na prywatność to na pewno Brave, natomiast Chrome w większości rozwiązań aplikacji webowych jest wspierana. Brave dużo lepiej odfiltrowywuje reklamy.

„Z jakich VPN warto korzystać?” Stuprocentowej anonimowości nie gwarantuje nam żadne rozwiązanie. Stosuje się takie rozwiązania, w których łączymy VPN z TOR-em żeby nie było widać punktu ISP. Z VPN-ami jest stały spór co polecać; jedni polecają Open VPN-a, drudzy wskazują jego minusy, ja osobiście bazuję na swoich rozwiązaniach. Pozostawiam to do Waszego wyboru bo zdania są mocno podzielone.

„Czy standardowy użytkownik na sprzęcie firmowym powinien mieć możliwość korzystania z anonimizacji?” – to znowu pytanie na które trudno jednoznacznie odpowiedzieć bo to wszystko zależy, ja bym głównie zwrócił uwagę na to czym zajmuje się nasza organizacja. Jeśli jesteśmy odpowiedzialni za sprzęt firmowy, powinniśmy się zastanowić nad konsekwencjami tego, ze użytkownik będzie wykorzystywał jakieś narzędzia do anonimizacji, ja bym się tu bał ryzyk związanych z tym, że ktoś np. chce popełnić jakieś przestępstwo i potem ślady będą prowadziły do tego sprzętu służbowego. Moim zdaniem jeśli korzystamy ze sprzętu służbowego to powinniśmy to robić tylko w celach służbowych i raczej w żadnych innych, ale trudno odpowiedzieć jednoznacznie.

„Jak bezpiecznie kasować pliki?” – możnaby o tym napisać książki, ale co mogę polecić na szybko – jednokrotne nadpisanie danych gwarantuje, że te dane nie powinny być do odzyskania. To tak w dużym skrócie bo moglibyśmy o tym mówić cały dzień. „Jak anonimizować sprzęt mobilny?” – wspominaliśmy już, że narzędzia typu TOR są też dostępne na telefony i urządzenia mobilne. To chyba tyle – dziękujemy za pytania, zapraszamy na szkolenia i do usłyszenia.