Choć od zakończenia tegorocznych edycji Black Hat i DEF CON USA upłynęło już nieco czasu, aktualność tematu bezpieczeństwa w IT nie zmalała. Wręcz przeciwnie, wyzwań w tym temacie przybywa. Dlatego zaprosiliśmy do krótkiej rozmowy Michała Olawskiego i Adriana Korczyńskiego, managerów zespołów cybersecurity w Comarch. Podpytaliśmy o ich wrażenia z konferencji będących największymi wydarzeniami tego typu na świecie i bieżące wyzwania.
Dlaczego warto wybrać się za ocean na Black Hat i DEF CON?
Michał: Black Hat jak i DEF CON to jedne z największych konferencji o bezpieczeństwie IT na świecie, udział w nich to świetna okazja do zdobycia wartościowej wiedzy jak również do rozmowy z najlepszymi ekspertami na świecie.
Jakie tematy zdominowały tegoroczną dyskusję podczas konferencji?
Adrian: Na obu konferencjach wiele mówiło się o cyberatakach na infrastrukturę krytyczną, tj. lotniska, stacje benzynowe, dostawców energii. Jest to obecnie obszar bardzo narażony ze względu na niestabilną sytuację geopolityczną oraz duże znaczenie strategiczne tej infrastruktury.
Wiele prelekcji poświęconych było także bezpieczeństwu aplikacji mobilnych. Potencjał informacji dostępnych na tych urządzeniach jest naprawdę olbrzymi.
Które z prezentacji były dla Was wyjątkowo interesujące i dlaczego?
Michał: Na obu konferencjach mieliśmy duży wybór prezentacji na wielu równoległych ścieżkach. Wybierałem głównie wykłady dotyczące bezpieczeństwa aplikacji, sieci oraz obrony przed atakami, najlepiej z praktycznymi przykładami wykorzystania podatności. Te wykłady były najbliższe moim zainteresowaniom, jak również obszarowi bezpieczeństwa, którym się zajmuję.
Jednym z wielu ciekawych wykładów była prezentacja Jacoba Baines’a z Rapid7 dotycząca Firewalli Cisco ASA. To jeden z kluczowych elementów infrastruktury podczas przeprowadzania testów bezpieczeństwa sieci i co za tym idzie - oczywisty cel ataku. Podczas prelekcji Jacob pokazał w praktyce, jak można exploitować nowe podatności przy pomocy metasploit.
Adrian: Zawsze najbardziej efektowne są prezentacje, na których jest „technologiczne mięso” – czyli konkretnie opisane, jak łatwo można (lub można było) się gdzieś włamać. Często powodem jest banalny i pozornie nieistotny bug w implementacji lub specyfikacji. Takich prezentacji nie zabrakło na Black Hat i DEF CON.
Bardzo ciekawa okazała się prezentacja poświęcona koncepcji tzw. incomplete patches. Brian Gorenc i Dustin Childs przedstawili statystyki, z których wynika, jak dużym problemem jest niska jakość poprawek dostarczanych przez producentów oprogramowania.
Incomplete patch to sytuacja, gdy producent publikuje łatę, która nie jest w 100% skuteczna. Razem z łatą, udostępniana jest informacja nt. istniejącej podatności. W przypadku 0-day dla popularnych produktów często prowokuje to społeczność hackerów do drążenia tematu. Jeżeli łata nie zabezpiecza w 100%, zdarza się, że sytuacja jest gorsza niż przed udostępnieniem incomplete patch i przed ujawnieniem podatności. To pokazuje, jak duża odpowiedzialność ciąży na weryfikacji wypuszczanych patch-ów, oraz jak ważne jest skuteczne patch-owanie zarządzanych środowisk.
Interesujące było także posłuchać doświadczeń samych organizatorów. Podczas prelekcji „Annual Black Hat USA NOC Report” inżynierowie IBM Security X-Force opowiadali o tym, jak zabezpieczyli infrastrukturę techniczną konferencji. Biorąc pod uwagę ilość uczestników oraz ich profil (cyberbezpieczeństwo), to było naprawdę wymagające zadanie. Wśród uczestników znalazły się np. osoby, które z użyciem konferencyjnego Wi-Fi wysyłały / odbierały służbową pocztę bez włączonego szyfrowania SMTP / IMAP.
Pandemia znacznie przyspieszyła proces cyfrowej transformacji. Czy oznacza to więcej wyzwań dla specjalistów cyberbezpieczeństwa?
Michał: Infrastruktura IT jest coraz bardziej złożona, a informatyzacja wszystkich obszarów dynamicznie postępuje. Dla nas oznacza to konieczność dbania o bezpieczeństwo systemów na wielu warstwach, w tym integracje z innymi dostawcami.
To, na czym skupiamy się dziś w wytwarzaniu oprogramowania, to wdrożenie zasad SSDLC, tj. bezpiecznego cyklu życia oprogramowania (Secure Software Development Life Cycle – red.) automatyzując możliwie wiele zadań.