Zapraszamy do wysłuchania kolejnego podcastu.
Witamy w kolejnym odcinku podcastu „Cyber, cyber…”, dzisiaj mamy odcinek EXTRA i wyjątkowego gościa. Naszym gościem jest Bruce Schneier – amerykański kryptograf i specjalista z zakresu bezpieczeństwa teleinformatycznego. Autor wielu książek opisujących zagadnienia bezpieczeństwa teleinformatycznego oraz kryptografii. Rozmowę przeprowadził Mirosław Maj (Fundacja Bezpieczna Cyberprzestrzeń).
RSS: https://www.cybsecurity.org/feed/podcast/
iTunes: https://itunes.apple.com/pl/podcast/cyber-cyber…/id988807509?mt=2
Mirosław Maj: Witamy, prezentujemy kolejną rozmowę z cyklu „Cyber, cyber…”, dzisiaj mamy wyjątkowego gościa – Bruce’a Schneier’a. Witam!
Bruce Schneier: Cześć!
Mirosław Maj: To ogromny zaszczyt i okazja dla nas, móc porozmawiać z Tobą o tak interesujących rzeczach, nad którymi pracujesz od dłuższego czasu. Zacznijmy może od prawdopodobnie najbardziej gorącego tematu dla Ciebie w tej chwili, mianowicie Twojej nowej książki („Data and Goliath„) o masowej inwigilacji. Co możemy zrobić, żeby zatrzymać to zjawisko, jeśli naprawdę sądzisz, że możemy je w ogóle zatrzymać?
Bruce Schneier podarował jeden egzemplarz z dedykacją dla uczestnika konferencji Security Case Study
Bruce Schneier: Myślę, że możemy. Nie uważam żeby to był koniec prywatności i wolności na tej planecie. To o czym piszę tak naprawdę to to, że istnieje wiele technicznych rozwiązań. Inwigilacja jest bardzo politycznym problemem, przykładem mogą tu być wschodnie Niemcy, pamiętające ogromną inwigilację, którą rząd przeprowadzał na swoich obywatelach. Powstrzymaliśmy ją, zatrzymaliśmy ją nie przez rozwiązania techniczne ale poprzez proces polityczny. Wiele z tego co dzieje się w obszarze inwigilacji, dzieje się, ponieważ jest to legalne i tolerowane i jeśli zamierzamy to zmienić to musimy zaangażować się politycznie. W mojej książce mówię o szpiegostwie zarówno rządów jak i przemysłowym jako o czymś, co jest powszechne w Internecie. Bardzo chcę, byśmy zaangażowali się politycznie w temat prywatności, ponieważ uważam, że będzie to dla nas najlepszym rozwiązaniem.
[bctt tweet=”Nie uważam żeby to był koniec prywatności i wolności na tej planecie.”]
Mirosław Maj: Ok, ale nawet jeśli osiągniemy sukces, co pewnie potrwa trochę czasu, to co możemy my, jako zwykli użytkownicy Internetu, zrobić czekając na Godota?
Bruce Schneier: To zabawne, ale w większości przypadków nie możemy nic zrobić. Większość inwigilacji wynika z właściwości rzeczy których potrzebujemy. Gmail – Google daje nam darmową pocztę elektroniczną, ale czyta wszystko. Nasze komórki są niewiarygodnie wygodne, ale śledzą nasze położenie cały czas. Nie możesz ochronić się przed tymi wszystkimi rzeczami. Masz możliwość wyłączyć wszystkie systemy, nie mieć adresu e-mail, nie mieć telefonu komórkowego? Śmiejesz się, ponieważ jest to głupia rada. Potrzebujemy tych narzędzi, żeby być w pełni funkcjonującymi ludźmi XXI wieku. Są jednak rzeczy, których możesz użyć. W mojej książce mówię dużo o szyfrowaniu i różnych narzędziach do ochrony prywatności. Jest wiele rzeczy, które robimy i które będą szpiegowane po prostu dlatego, że właśnie je robimy i narzędzia służące ochronie prywatności nie będą działały i nie warto ich używać. Dla przykładu, w zeszłym tygodniu mieliśmy do czynienia z gigantycznym włamaniem chińskiego rządu do plików personelu rządu Stanów Zjednoczonych. I słyszałem, nie pamiętam kto to był, ale zeznawał przed Kongresem i powiedział, że szyfrowanie by nie pomogło. Szyfrowanie plików nie było rozwiązaniem, ponieważ hakerzy dostali się do komputerów, dostali się do sieci, zdobyli dane uwierzytelniające i byli w stanie „spacerować” po sieci i kraść dane. To interesujący przykład, że narzędzia do ochrony prywatności nie będą skuteczne, ponieważ system musi być pozbawiony ochrony, żeby funkcjonować. I wiele naszych systemów tak wygląda.
Mirosław Maj: To co mówisz bardziej odnosi się do specjalistów, ale kiedy obserwuję na Facebooku, w mediach społecznościowych co ludzie robią ze swoimi danymi to trudno jest wierzyć, że mogą oni zmienić swój sposób postępowania w Internecie.
Bruce Schneier: Okazuje się, że oni właściwie chcą prywatności, ale czują się bezsilni. Ostatnie badania przeprowadzone na Uniwersytecie w Pensylwanii pokazały, że to nie jest tak, że ludzi nie obchodzi prywatność, ale że czują się bezsilni w kontekście ochrony. Facebook, e-mail, karty kredytowe są narzędziami nowoczesnego społeczeństwa i ludzie są zmuszeni do poświęcenia swojej prywatności – nie widzą żadnej alternatywy i żadnej opcji by to naprawić. Są więc nieszczęśliwi z tego powodu i zmieniliby to, gdyby mogli, ale nie mogą. Także myślę, że ludzie się zmienią, uważam, że chcą prywatności, ale nie chcą pozbawiać się tych narzędzi. Potrzebujemy zatem nowych sposobów. Dlatego myślę, że zaangażowanie rządu jest kluczowe. Potrzebujemy szerokiej ochrony prywatności i takiego prawa by firmy nie uzyskiwały przewagi. Ankiety, które widzę i działania, które podejmują ludzie dodają mi otuchy. I to jest coś, co w ciągu 10 lat się zmieni. I masz rację – 10 lat to długi czas. A co będziemy robić w tzw. międzyczasie… Ludzie chcą swojej prywatności, nie chcą by wszyscy wiedzieli o wszystkim co robią, po prostu nie widzą żadnego wyboru.
Mirosław Maj: Zmieńmy temat. Porozmawiajmy o tym, w czym jesteśmy dobrzy a w czym źli jako specjaliści od bezpieczeństwa. Jeśli np. weźmiemy standardowy model ataku APT, która faza Twoim zdaniem wymaga największej poprawy?
Bruce Schneier: Prawdopodobnie wszystkie? Tzn. to jest to, co wiemy o bezpieczeństwie. Zwykle bywamy bardzo dobrzy na niskim poziomie. Antywirus to historia sukcesu, antymalware, antyspyware to są bardzo dobre systemy i zawdzięczamy im wiele ochrony. Ale jesteśmy kiepscy w zaawansowanych przypadkach. Czy to jest cyberprzestępstwo, czy działania państw. Tutaj mamy też Kasperskiego zhackowanego przez Izrael, Chiny przez Stany Zjednoczone, Stany Zjednoczone przez Chiny. Wszystkie te poważne włamania mają miejsce i myślę, że możemy poprawić każde miejsce w tym aspekcie, musimy być lepsi w każdym obszarze bezpieczeństwa. Kiedy masz do czynienia z inteligentnym i elastycznym przeciwnikiem – on ma przewagę. Moja firma teraz zajmuje się reagowaniem na incydenty, ponieważ uważam, że potrzebujemy mnóstwa narzędzi, by być w stanie reagować, po tym jak odkryjemy, że zostaliśmy zhackowani. Jesteśmy w tym naprawdę słabi. To działanie ad hoc, niechlujne, powolne, ze złą wymianą informacji i cokolwiek możemy w tym zakresie zrobić będzie poprawą. Ale o APT, które określam jako każdego atakującego z wystarczającym budżetem, umiejętnościami i motywacją – tacy przeciwnicy włamią się.
Mirosław Maj: Powiedziałeś, że Twoja firma zajmuje się reagowaniem na incydenty i jak sądzę wierzysz, że jest to obszar do poprawy. Wielu specjalistów mówi: jesteśmy całkiem dobrzy od lat w zapobieganiu, ale teraz powinniśmy poprawić reagowanie na incydenty. Co właściwie możemy zrobić? Jak nauczyć właścicieli danych reagowania na incydenty?
Bruce Schneier: Widzę trzy fazy: ochronę, wykrycie i reagowanie. I tak, musimy być dobrzy we wszystkich trzech. Jeśli pomyślisz o latach dziewięćdziesiątych to był to czas „prewencji”, lata dwutysięczne poświęcone zostały „wykrywaniu”, a teraz mamy dekadę dla „reagowania”. Miło widzieć więcej osób zainteresowanych reagowaniem. Ta konferencja FIRST jest większa od poprzedniej, jest więcej dostawców sprzętu, jest więcej produktów, dlatego myślę, że jest tu sporo do zrobienia. To nie jest tak, że sądzimy, że prewencja nie działa – wiemy, że nie jest perfekcyjna. Dlatego potrzebujemy dobrego „reagowania” i myślę, że mamy pole do poprawy w każdym aspekcie. W otrzymywaniu informacji na czas, w opracowaniu co robić w odpowiednim czasie i robieniu tego, w korzystaniu z doświadczeń płynących z incydentów, w ćwiczeniach. Każdy aspekt reagowania może być poprawiony. Popatrz na realny świat. Wiele ochrony zapewnia nam „reagowanie”. Czy to jest Policja, czy Straż Pożarna, czy wojsko – wiele z tych systemów jest zaprojektowane by reagować na to co „wróg” zrobi pierwszy. Reagowanie szybkie, efektywne, elastyczne z celem jako „odporność” to jest sposobem w jaki możemy zapewnić naszym sieciom odporność pomimo funkcjonowania w świecie szerzących się ataków. W ubiegłym roku przemianowaliśmy nazwę naszej firmy na „Resilience Systems”, żeby uchwycić to słowo. Uważam, że jest ono bardzo mocne i powinniśmy myśleć o nim coraz więcej w bezpieczeństwie sieci.
Mirosław Maj: Wspomniałeś, że każdy hakuje każdego. Chiny Stany Zjednoczony, Stany Zjednoczone Chiny. Myślisz, że jest to nowa bomba atomowa która powstrzymuje państwa przez dużym konfliktem?
Bruce Schneier: Tego nie wiem, ale jest to z pewnością wyścig zbrojeń.
Mirosław Maj: Asymetryczny?
Bruce Schneier: Tak, bardzo asymetryczny. Widać to po Korei Północnej atakującej Stany Zjednoczone. Korea ma bardzo mało infrastruktury cybernetycznej, dlatego ma silną ochronę teleinformatyczną, ponieważ nie ma dużej powierzchni, którą można zaatakować. Stany Zjednoczone są nieprawdopodobnie podatne. Więc zdecydowanie mamy do czynienia z wyścigiem zbrojeń, ze zdecydowanie nowymi działaniami wojennymi i konfliktami. Ma to trochę wspólnego z konfliktem nuklearnym – możesz użyć tego do zniszczenia, ale możesz też wykorzystać do mniejszych rzeczy. Może się to wymknąć spod kontroli – możesz wyobrazić sobie mały konflikt w cyberprzestrzeni, który eskaluje. Myślę więc, że powinniśmy myśleć o „cyber” w nowy sposób i ludzie tak robią. Zaczynamy czytać magazyny wojskowe, zarówno na wschodzie jak i zachodzie – wszędzie i odnajdujemy w nich ekspertów wojskowych dyskutujących o cyber. Nie jestem przekonany, że myślimy już we właściwy sposób, ale zaczynamy. Martwię się. Nie sądzę, by ktoś wywołał cyberwojnę, ale te konflikty na niskim szczeblu dzieją się stale i mają potencjał by wymknąć się spod kontroli i cały ten cybernetyczny, wojenny wyścig zbrojeń będzie bardzo drogi i bardzo destabilizujący.
Mirosław Maj: Ostatnie pytanie. Odnośnie ostatnich wieści z obszaru awioniki. Czy czujesz się bezpiecznie latając?
Bruce Schneier: Tak, ale jest kilka zadziwiających historii. Wiemy że nowoczesna awionika nie jest odporna na włamania, ale tak długo włamania zdarzające się w samolotach są dużo mniejszym zagrożeniem, jak długo jest to trudne i tylko eksperci mogą to zrobić. Ale naprawdę potrzebujemy poważnych ludzi zajmujących się tym rodzajem bezpieczeństwa, nie akceptujących słów firm lotniczych, że ci zrobili to we właściwy i bezpieczny sposób i proszą, by tego nie weryfikować, ponieważ jest to bezpieczne. Ci z nas, którzy zajmują się bezpieczeństwem wiedzą, że takie słowa są przerażające i nie jest to bezpieczne. Chcę więc zobaczyć więcej badań i więcej analiz, ale nie martwię się tym, gdy lecę.
Mirosław Maj: Ale szukasz otwartych portów na pokładzie…
Bruce Schneier: Fakt, że istnieje otwarty port na pokładzie samolotu wydaje się czymś szalonym, prawda?
Mirosław Maj: Dziękuję Ci bardzo Bruce. Naszym gościem był Bruce Schneier.
Bruce Schneier: Dziękuję.
Poprzednie odcinki:
Cyber Cyber… – 10 – #OpParis i MON
Cyber Cyber… EXTRA
Cyber Cyber… – 9 – Barbie-to-Barbie
Cyber, Cyber… – 8 – ToRepublic i Wifatch
Cyber, Cyber… – 7 – iOS
Cyber, Cyber… – 6 – samochody i Android
Cyber, Cyber… – 5 – Hacking Team i LOT
Cyber, Cyber… – 4 – Plus Stonoga
Cyber, cyber … – 3 – doctor-in-the-middle
Cyber, Cyber… – 2 – system, którego nie ma
Cyber, Cyber… – 1 – Zaczynamy!