Około 2 milionów smartfonów w Polsce może być zainfekowanych! O 300 procent w ciągu roku wzrosła liczba wykrytych infekcji urządzeń, z których korzysta każdy z nas. Te szokujące dane na temat cyberprzestępczości dostarczyli nam eksperci od zabezpieczeń – Wojciech Dworakowski i Łukasz Bobrek z firmy SecuRing. Rozmawiali z nimi dziennikarze RMF FM Magdalena Wojtoń i Bogdan Zalewski.
Magdalena Wojtoń, RMF FM: W naszym studiu Wojciech Dworakowski i Łukasz Bobrek z firmy zajmującej się bezpieczeństwem SecuRING. Powiedzieliście nam, że jesteście hakerami do wynajęcia. Na czym polega Wasza praca?
Wojciech Dworakowski: (śmiech) Może to wielkie słowo. Nasz praca polega na testowaniu zabezpieczeń. Firmy i urzędy wynajmują nas, żeby, mówiąc kolokwialnie, się do nich włamać i w praktyce sprawdzić bezpieczeństwo ich systemów, aplikacji.
Bogdan Zalewski: Zacznijmy od tych największych zagrożeń, które na nas czyhają. Malware to jest po polsku złośliwe oprogramowanie. To zbitka językowa powstała ze słów malicious - złowrogi i software - oprogramowanie. Co może nam to zrobić w naszych komórkach?
Łukasz Bobrek: Wektorów ataku może być wiele. Pierwszymi tego typu było wysłanie tzw. Premium SMS-ów, czyli płatnych wiadomości. Teraz to głównie złowrogie reklamy. Chodzi tu o natarczywe wysyłanie reklam użytkownikowi.
B.Z.: Spam po prostu?
Łukasz Bobrek: Dokładnie.
M.W.: Cyberprzestępcy mogą się tą drogą dostać do naszych telefonów?
Wojciech Dworakowski: To dla nich sposób raczej na, jak my mówimy, monetyzację. Cyberoszuści działają po to, żeby zdobyć pieniądze. Łukasz przywołał temat Premium SMS-ów. Prosta sprawa. Jestem właścicielem numeru Premium SMS i zainstaluję innym coś, co wysyła wiadomości i na tym zarabiam.
B.Z.: Bez względu na to, czy otworzę taką wiadomość?
Wojciech Dworakowski: To ja z Twojego telefonu wysyłam takie wiadomości do siebie i na tym zarabiam, bo jestem właścicielem numeru Premium SMS. To był pierwszy, historyczny sposób oszustwa. Drugi to reklamy. Wysyłanie ich ogromnej ilości - na reklamach się zarabia. Użytkownikom wyskakiwały miliony pop-upów (przyp. red: wyskakujących okien z reklamą na stronie internetowej). Teraz to idzie w stronę przełamywania zabezpieczeń bankowości mobilnej i kradzieży pieniędzy. Zauważcie, że kiedy robimy przelew przez bankowość mobilną to korzystamy tylko z jednego urządzenia - telefonu. Jeśli przelewamy pieniądze na komputerze to potrzebujemy dodatkowego sprzętu, bo jednorazowy kod dostajemy na telefon.
B.Z.: Czyli odradzasz stosowanie wyłącznie komórki do przelewów?
Wojciech Dworakowski: Może nie odradzam. To duże ułatwienie, ludzie się do tego przyzwyczaili. Musimy być jednak przy tym ostrożni. Tak samo jak przy korzystaniu z komputera.
Łukasz Bobrek: Kolejny sposób oszustów, bardzo popularny to tzw. ransomware...
B.Z.: Ransom, czyli okup.
Łukasz Bobrek: Tak jest. Atakujący na początku szyfruje całą zawartość dysku, a potem żąda pieniędzy za jego odblokowanie. Wiadomo, że mamy dużo ważnych informacji, zdjęć, haseł, dlatego jest to dla nas bardzo cenne. Jeśli zapłacimy okup możemy to odzyskać, choć oczywiście nie mamy takiej gwarancji.
M.W.: Panowie, gdyby tu leżał mój telefon, a Wy mielibyście cały potrzebny sprzęt... Ile czasu potrzebujecie, żeby się do niego włamać?
Wojciech Dworakowski: ( śmiech) Nie możemy odpowiedzieć na to pytanie.
Łukasz Bobrek: Odpowiedz brzmi: to zależy. Zależy, z jakich zabezpieczeń Pani korzysta. Czy jest ustawiony kod PIN ekranu albo odblokowanie czytnikiem palca. Jeśli tego nie ma, z telefonem możemy zrobić praktycznie wszystko.
Wojciech Dworakowski: Istotne jest też to, czy aplikacje, które pobierasz są z App Store Google'a lub Iphone'a czy z innych źródeł.
B.Z.: Czyli źródłem zagrożeń jest internet.
Wojciech Dworakowski: Może być to Wi-Fi, Bluetooth, itd. Ostatnio jest bardzo głośno o atakach właśnie przez Bluetooth. Jest możliwe włamanie się za pomocą tej technologii. Oczywiście nie każdy gimnazjalista to zrobi.
Łukasz Bobrek: My jako atakujący rozgłaszamy specyficzny pakiet bluetoothowy. Jest on odbierany przez Twój telefon i może przejąć kontrolę nad urządzeniem.
M.W.: No dobrze, ale jeśli Bogdan chce połączyć się z moim telefonem, to muszę to połączenie zaakceptować.
Wojciech Dworakowski: Tu nie trzeba. Jesteśmy w stanie nawiązać z nim kontakt, mimo że Ty niczego nie zrobisz.
Łukasz Bobrek: Nasz nadajnik Bluetooth działa tak, że już w momencie wykrycia jest w stanie rozbroić całkowicie Twój telefon.
B.Z.: Mówiliście o PIN-ie, ale wspomnieliście też o palcu, o liniach papilarnych. To niezawodna metoda czy są sposoby na to, żeby się tam wkraść?
Łukasz Bobrek: Takie metody są. Wymagają dużej znajomości elektroniki i wiedzy, jak sklonować odcisk, ale to możliwe. Robimy to teraz u nas w biurze i jesteśmy bliscy sukcesu.
B.Z.: Zaczynam się bać.
Łukasz Bobrek: Jest taki ciekawy przykład z Niemiec. Podczas konferencji zrobiono zdjęcie politykowi. Grupa hakerów miała do dyspozycji tę fotografię wysokiej rozdzielczości, na której dobrze było widać palec. Zrobili jego wydruk na drukarce 3D. Obrobili go tak, że byli w stanie odblokować telefon polityka.
Wojciech Dworakowski: Obejście najnowszej technologii Apple rozpoznającej twarz zajęło hakerom miesiąc. Ale nie jest to łatwe.
M.W.: Jakie są najnowsze metody ataków?
Łukasz Bobrek: Newsem jest update WhatsAppa.
Wojciech Dworakowski: Ktoś opublikował aplikację nie "WhatsApp" a "Update WhatsApp". Na pierwszy rzut oka było widać, że jest pod nią podpisana właśnie WhatsApp, czyli obecnie odnoga Facebooka. Ale tam był umieszczony znak specjalny, który wyglądał jak spacja, ale spacją nie był. Ludzie, którzy szukali tej aplikacji, znajdowali tę i instalowali tak naprawdę wrogie oprogramowanie. Na szczęście mało szkodliwe - pokazywało dużo reklam. Dało się oszukać około miliona osób.
Łukasz Bobrek: To, co możemy polecić słuchaczom, to nieściąganie aplikacji z nieznanych źródeł. Jest duża szansa, że będzie tam złośliwe oprogramowanie.
B.Z.: Ja mam pytanie dotyczące rodzinnej kontroli. Dlaczego żona lub mąż nie powinni się cieszyć, kiedy dostaną od drugiej połowy Spyphone'a?
Wojciech Dworakowski: (śmiech) podejrzewam, że ona czy on nie wiedzą, że dostali Spyphone’a. Nie chcemy tutaj wnikać w kwestię, dlaczego taki prezent. To jest telefon, który jest wyposażony w funkcje szpiegowskie.
M.W.: Co on może?
Łukasz Bobrek: Podsłuchuje, przechwytuje wiadomości SMS, pokazuje, z jakich stron korzystamy, jakich aplikacji używamy. Właściwie wszystko. co robimy na telefonie. może być zdalnie przekazywane w inne miejsce. np. do komputera stacjonarnego. Tu pamiętajmy, że jeśli kupujemy telefon w sklepie to ma oprogramowanie głównie od firm Google albo od Apple. Jeśli kupimy Spyphone’a to dostaniemy mocno zmodyfikowane oprogramowanie. Nie wiemy tak naprawdę, kto je wydał i czy naszych danych, danych małżonka nie wykorzystuje do swoich celów.
Wojciech Dworakowski: Dlatego odradzamy tę metodę wszystkim zaniepokojonym mężom albo żonom.
M.W.: Poza tym jeszcze jedno. Nie musimy kupować Spyphone'a. Można takie szpiegowskie oprogramowanie zainstalować w telefonie męża, kiedy np. idzie do łazienki.
B.Z.: Dobrze, że nie jesteś moją żoną.
Wojciech Dworakowski: Technicznie jest to możliwe.
B.Z.: Smartfony są też wykorzystywane w wojnach cybernetycznych. Na czym polega taka bitwa o osobiste smartfony żołnierzy?
Łukasz Bobrek: Chodzi o lokalizowanie ich pozycji za pomocą telefonów albo infekowanie ich, aby mieć dostęp do ich informacji.
B.Z.: Jakieś spektakularne przykłady?
Wojciech Dworakowski: Każdy żołnierz ma przy sobie telefon, choć przyznam, że nie wiem po co. Taki osobisty smartfon - nie wojskowy. Każdy taki telefon ma mikrofon, kamerę i GPS, więc jest idealnym urządzeniem do szpiegowania. Historia, jeśli dobrze pamiętam z Ukrainy, polegała na tym, że żołnierze używali aplikacji do obsługi armaty. Ten sprzęt był poradziecki, więc wybrali rosyjską aplikację. Ta aplikacja, jak się okazało, najpewniej wysyłała do Rosji informacje o tym, gdzie oni są i sami znaleźli się pod ostrzałem.
Łukasz Bobrek: Wykorzystywana jest czasem nieuwaga żołnierzy czy terrorystów. Pamiętamy sytuację, w której terrorysta szkolący się w Afganistanie wrzucił zdjęcie do mediów społecznościowych i były na nim ukryte metadane z dokładną lokalizacją. Jego miejsce pobytu namierzyły Stany Zjednoczone. Obóz został rozbrojony.
B.Z.: Czytałem też o bardzo ciekawym przykładzie poszukiwania zagubionego telefonu. Można było śledzić zdjęcia, które złodziej zrobił aparatem właścicielki.
Łukasz Bobrek: Osoba, która ukradła telefon, zapomniała go zresetować. Był on połączony z chmurą Apple’a i każde zdjęcie zrobione przez złodzieja trafiało do tej bazy, do chmury. Nawet zorganizowano wtedy akcje na Facebooku i ludzie oglądali fotografie i to gdzie ten telefon jest. Ostatecznie złodziej został zidentyfikowany, a telefon odzyskany.
Wojciech Dworakowski: Jeśli przy tym jesteśmy to warto wspomnieć słuchaczom o tym, że jeśli zgubimy telefon albo ktoś nam go ukradnie, możemy szybko zareagować. Musimy wejść na odpowiednią stronę Apple bądź Google i tam sprawdzimy, gdzie ten telefon jest. Ostatnio z tego korzystałem, bo członek mojej rodziny został okradziony. Po paru minutach go namierzyliśmy i udało się nawet złapać złodzieja. Czyli jeśli ktoś ma telefon z Androidem proszę poszukać czegoś, co się nazywa " find my device". Proszę sprawdzić w internecie już teraz, jak to zainstalować.
B.Z.: Jestem przerażony.
Wojciech Dworakowski: Trzeba mieć świadomość, że autorzy takich aplikacji jak Facebook, Twitter czy inne nie dają nam tego za darmo. Dają nam za to, że my dzielimy się jak największą dawką informacji o nas. Jesteśmy non stop śledzeni.
M.W. Jak mam zabezpieczyć swój telefon, żebym nie musiała przeżywać tego, o czym tu rozmawiamy?
Wojciech Dworakowski: Pierwszy krok to jest lockscreen. To jest podstawa. Jeśli nie mamy wprowadzonego kodu PIN albo odcisku palca do odblokowana ekranu to polecam natychmiast to zrobić. Druga sprawa to zainteresowanie się i przetestowanie na sobie jak działa "Find my device" w przypadku Androida albo "find my iPhone" w przypadku iPhone’ów. Lepiej teraz na spokojnie, niż potem w nerwach. Trzecia sprawa to nieinstalowanie aplikacji z nieznanych sklepów. Ja bym jeszcze dodał ograniczenie liczby aplikacji. Za każdym razem warto się zastanowić, czy chcemy dawać dostęp np. do naszych zdjęć i innych rzeczy, bo te aplikacje mogą to zrobić.
B.Z.: Czyli najpierw musimy dbać o oprogramowanie naszej głowy.
Wojciech Dworakowski: tak jest i czytać to, co wyskakuje, żeby klikając OK wiedzieć, na co się zgadzamy.
Wojciech Dworakowski - Konsultant bezpieczeństwa IT z kilkunastoletnim doświadczeniem, wspólnik w firmie SecuRing, zajmującej się testami bezpieczeństwa i doradztwem w zakresie bezpieczeństwa aplikacji i systemów IT.
Łukasz Bobrek - Starszy konsultant w firmie SecuRing. Specjalizuje się w zagadnieniach bezpieczeństwa urządzeń i aplikacji mobilnych. Brał udział w wielu projektach realizowanych dla wiodących firm z sektora finansowego, ubezpieczeniowego, handlowego oraz IT.
(mn)