Facebook Instagram Youtube
Facebook Instagram Youtube
Społeczne tematy na lekko
Cięższe tematy bez tabu
Równowaga społeczna
Różności
Edukacja
Patronaty
Facebook Instagram Youtube
Strona główna

»

Edukacja

Biały wywiad, cyberbezpieczeństwo i Google na sterydach. Rozmowa z etycznym hackerem

Kamila Medzikowskiego poznałam na szkoleniu o bezpieczeństwie zdjęć w sieci, które prowadził w ramach Fundacji Rozwoju Interim Managementu. To spotkanie zmieniło moje myślenie o bezpieczeństwie – nie tylko  w internecie. Czy mamy wpływ na to, co dzieje się z naszymi danymi? Czy anonimowość w XXI wieku jest w ogóle możliwa? Zapraszam do lektury i wspólnej refleksji.

Aleksandra Wasilczuk: Cześć Kamil. Opowiedz naszym czytelniczkom i czytelnikom – czym właściwie się zajmujesz? 

Kamil Mędzikowski: Pracuję w banku Nordea. Zajmuję się (to jest bardzo niefortunne słowo) pentestami – ludzie śmieszkują, że zajmujemy się testowaniem długopisów. 

Ale generalnie robimy tak zwany etyczny hacking, czyli zajmujemy się tym, co robią “źli ludzie” – tyle że legalnie. Sprawdzamy, czy na przykład strona internetowa ma odpowiednie zabezpieczenia, czy są luki bezpieczeństwa i czy możemy w jakikolwiek sposób je obejść i zrobić coś, czego nie powinniśmy być w stanie zrobić. Takie typowe włamania na strony internetowe. Nie kręcą o nas w Hollywood z żadnych filmów, bo jesteśmy dużo bardziej nudni, niż hakerzy. W pewnym momencie staje się to dosyć mocno powtarzalne.

Ale umiesz robić takie rzeczy jak pokazują w filmach, prawda?

Hobbystycznie lubię zajmować się badaniem, jak działają różne urządzenia oparte na falach radiowych. Kluczyki do samochodów, karty, tego typu rzeczy. Niskopoziomowe security, sprawdzanie, czy w bebechach aplikacji są jakieś dziury. No i OSINT, to jest Open Source Intelligence, po polsku to się też nazywa biały wywiad. Czyli zbieranie informacji na jakiś temat, tych, które są publiczne, dostępne w internecie lub gdziekolwiek indziej. To może być obiekt, to może być miejsce, to może być cokolwiek. Nie trzeba być dużym specjalistą, nie musisz mieć żadnej technicznej wiedzy. To jest bardziej metoda szukania informacji, myślenia o tym, w jaki sposób, która informacja może być przydatna w poszukiwaniach.

Gdy coś nas interesuje –  patrzę w internecie, grzebię, sprawdzam, czego można się dowiedzieć. To może być Facebook, Instagram. W internecie rzeczy nie giną, jest na przykład taka strona Web.archive, gdzie wszystko się zapisuje. Więc jest to dosyć fascynujące i ciekawe, i też przerażające, jakie rzeczy można odkryć o kimś, kto myśli, że jest zwyczajną, anonimową osobą w internecie, zamieszcza sobie typowe rzeczy, które każdy zamieszcza. Te informacje mogą doprowadzić do złych rzeczy. Można udostępnić niechcący zbyt wiele.

Teraz rozmawiamy sobie przez dwie minuty i w tym czasie na internet zostało uploadowanych parę-parenaście milionów zdjęć i filmików. 

To wszystko, o czym mówisz, może być niepokojące. Może takim mniej specjalistycznym językiem mógłbyś spróbować opowiedzieć o najpopularniejszych zagrożeniach związanych z udostępnianiem treści w sieci? Na co zwracać uwagę?

Na przykład często się zdarza, że ludzie publikują zdjęcia ze szkolenia, na których gdzieś na ścianie sali jest zapisane hasło do Wi-Fi. 

Bardzo dużo ludzi robił zdjęcia przy komputerze, gdzie jest wyświetlone coś na monitorze.

Czasem nawet nie chodzi o naszą własną prywatność, tylko też o politykę firmy, możemy coś ujawnić. Bardzo często w tle są jakieś notatki. Ludzie bardzo lubią dzielić się informacjami odnośnie na przykład biletów.

Kiedyś pewna kobieta zamieściła na zdjęciu swój klucz do domu. Korzystając z łatwo dostępnej technologii kopię takiego klucza ze zdjęcia możemy sobie po prostu wydrukować na drukarce 3D. I takim kluczem da się otworzyć drzwi – robiliśmy taki eksperyment. Zwykle nie jest trudno namierzyć w internecie adres, gdy znamy imię i nazwisko. 

Była też taka sytuacja, że pewna japońska celebrytka została zaatakowana, bo stalker na podstawie odbicia w jej oku na zdjęciu był w stanie namierzyć dokładnie jej przystanek autobusowy. To jest straszne. Są takie rzeczy, o których myślimy w kontekście filmów, czy jakichś kryminalnych, szpiegowskich historii, a one się zdarzają.

To co rekomendujesz? Czy w takim razie w ogóle nie używać social mediów, w ogóle nie robić zdjęć? Co, gdy nasz wizerunek gdzieś już krąży? Zastanawiam się m.in. w kontekście pracy w organizacji pozarządowej albo firmie, która udostępnia np. twarze i dane osób z zespołu na swojej stronie www.

Wiesz co… nie wszystko zależy od nas, bo czasami znajdujemy się na jakichś zdjęciach grupowych, które gdzieś tam krążą po internecie. Gdzieś jest na przykład lista uczestników. Jesteśmy w stanie wyśledzić taką osobę, zobaczyć jak się nazywa no i później robić dalsze rzeczy, które zależą się od tego, jaką mamy motywację, co chcemy osiągnąć. Czyli nawet jak nie publikujemy sami naszych zdjęć, czy naszego otoczenia, to i tak te informacje w jakiś sposób prawdopodobnie da się o nas znaleźć.

Są różne narzędzia reverse image search. AI pozwala nam na podstawie jakiegoś zdjęcia znaleźć daną osobę, która paręnaście lat temu wyglądała zupełnie inaczej. I ciężko się przed tym ochronić. 

Możemy sami zadbać o nasze bezpieczeństwo, np. nie publikować rzeczy, których nie musimy publikować, ale nie nad wszystkim mamy panowanie. No bo tak jak powiedziałem, możemy znaleźć się w miejscu, gdzie po prostu zdjęcie będzie zrobione, tego nie przeskoczymy.

Czego jeszcze jesteś w stanie dowiedzieć się o kimś z internetu? 

Jeśli w opiniach Google są dodane zdjęcia ocenianych miejsc, to czasami możemy podejrzeć tak zwane metadane, czyli o której i gdzie to zdjęcie zostało wykonane. Już wiemy, gdzie i kiedy ta osoba chodzi. Jesteśmy w stanie, łącząc kropki, dojść do tego, kim faktycznie jest osoba pisząca z fejkowego, nieprawdziwego konta. Oczywiście to jest proces długotrwały. To nie jest bardzo łatwe i bardzo szybkie. 

Niektóre social media nie zapisują metadanych. Czyli z naszych zdjęć z mediów społecznościowych, przynajmniej w Meta, da się wyczytać tylko tyle, ile faktycznie jest na obrazie widoczne. Ale okazuje się, że zwykłe obrazy kryją różne ciekawe rzeczy i można odkryć wiele na podstawie pozornie nieistotnych detali, jeżeli wiemy, w jaki sposób szukać.  To nie muszą być specjalistyczne narzędzia, wystarczy nawet Google. Jest też narzędzie Google Dorking i są takie specjalne słowa kluczowe. Jeśli wiemy jak, to możemy znaleźć więcej rzeczy, niż po prostu wpisując zwykłe zapytania. To jest takie Google na sterydach.

Jest dużo innych narzędzi, które pozwalają nam jeszcze więcej rzeczy uzyskać, na przykład Overpass. Mamy zdjęcie jakiejś ulicy. Piszemy:  “znajdź miejsce w Polsce, na którym jest budynek, ma dwie wieżyczki, jest w stylu gotyckim”. Gdy przerobimy to na takie specjalne, bardziej techniczne zapytanie, używając np. Chata GPT, dostajemy w wynikach na mapie wszystkie miejsca, które spełniały dane wymagania.

Łatwo znaleźć miejsca po zwykłych zdjęciach – to znaczy troszkę się trzeba nagłówkować. 

Jest taka wyszukiwarka, nie chcę za bardzo ujawniać tu nazwy. Jak wpiszemy sobie w tej wyszukiwarce adres mailowy, to wyskoczą nam wszystkie miejsca, gdzie ta osoba ma założone konta z hasłami, które wyciekły. Już mamy dostęp do konta pocztowego. Na konta pocztowe najczęściej rejestrujemy różne serwisy społecznościowe. Już w zasadzie możemy przejąć wszystko – oczywiście, jeżeli taka dana osoba nie ma ustawionego dwuskładnikowego uwierzytelnienia, czyli na przykład, jeżeli logujemy się do Facebooka, to nie wystarczy nam hasło, tylko trzeba jeszcze kliknąć w telefonie, że potwierdzamy, że to jesteśmy my. Bardzo polecam, żeby zrobić. Albo mieć Yubikey, czyli takie urządzenie, które wkłada się do komputera, do USB.

Kto i gdzie wykorzystuje te narzędzia?

Z OSINT-u korzysta policja, służby, np. jeżeli załóżmy zaginie jakaś osoba. Na szkoleniu Sekuraka, które bardzo polecam, pokazywany jest przykład porwanego dziecka. Na podstawie tylko screenshota zdjęcia udało się dojść do tego, gdzie to dziecko jest. Wzięli pod uwagę m.in. pod jakim kątem były ustawione talerze satelitarne i w jaki sposób padały cienie. Charakterystyczne lody na patyku, buty, na ścianie było graffiti drużyny piłkarskiej i tak dalej.

Rekruterzy też już używają OSINTu, no bo jak już kogoś mamy zrekrutować, to fajnie byłoby wiedzieć, kim ta osoba rzeczywiście jest. Gdzie pracowała, być może jaka jest jej aktywność w sieci, co robiła, co pisze. No więc OSINT pojawia się teraz w zasadzie wszędzie. 

Jak radzisz sobie z dezinformacją? Jak rozpoznać, które informacje są prawdziwe, a które np. zrobiła sztuczna inteligencja?

Częściowo to przychodzi z doświadczeniem. Teraz będzie naprawdę dużo trudniej. Sam mam z tym olbrzymie problemy. Jeżeli widzimy jakąś informację, dobrze byłoby tą informację sprawdzić gdzieś indziej, w innych źródłach. Jeżeli okaże się, że w kilku zaufanych albo wiarygodnych źródłach ta informacja się pojawia, no to prawdopodobnie jest ok. To jest trochę inny obszar, ale miejmy świadomość tego, że da się podszyć pod daną osobę, w ogóle teraz też z deep fake’iem. Trzeba być podwójnie ostrożnym, żeby jednak nie dać się złapać.

Po Twoim szkoleniu udało mi się już znaleźć pewne miejsce ze zdjęcia. To faktycznie jest takie detektywistyczne podejście. Masz strzępek informacji i musisz to jakoś wykorzystać. Jednocześnie mam pewien opór w sobie przed stosowaniem tego typu narzędzi, no bo jednak każdy ma prawo do prywatności.

Ogólnie OSINT tak trochę brzmi pejoratywnie, bo bardzo często jest używany w kontekście stalkerów na przykład. Ale mi się osobiście OSINT bardzo przydał w paru sytuacjach. Udało mi się na przykład zbić cenę nieruchomości. Okazało się, że w okolicy był problem z drogą, tę drogę zalewało, oczywiście sprzedający nie do końca chcieli się podzielić tą informacją, Albo koleżanka pisze do mnie, zanim umówi się z kimś na randkę z Tindera. Ja jej pomagam ustalić, czy z tą osobą może się bezpiecznie spotkać.

To jest uzasadniona obawa i myślę, że dużo osób skorzystałoby z takiej usługi. Zastanawiam się, jaka jest Twoja metoda na zachowanie etycznego balansu między ciekawością a stalkingiem?

Staram się nie wychodzić poza to, to co powinienem zrobić. Mam też normalną pracę, tym zajmuję się bardziej hobbystycznie. Te rzeczy, których my szukamy, są publicznie dostępne, one są gdzieś w internecie i bardzo często strony, serwisy, które nam pozwalają na tego typu szukanie też są za darmo. Jest parę płatnych serwisów, z których korzystam, ale nie kosztują majątku. 

Miałem taki etap w życiu, że jak widziałem jakieś zdjęcia, gdzie ktoś się jawnie ukrywał, to już miałem takie: to ja zobaczę, kim ty jesteś, nie? Teraz już mi to minęło, ale miałem takie coś. Ja wiem, że to jest creepy, ale lubię to robić. 

Jak długo w ogóle trwa ta Twoja zajawka? Jak to się zaczęło?

Wiesz co, to się zaczęło w dosyć przykry sposób. To był chyba 2015 rok, pracowałem w dziale bezpieczeństwa i informacji, obsługiwaliśmy pocztę jednego z większych serwisów internetowych w Polsce. Policja odkryła, że po naszych skrzynkach pocztowych krąży pedofilka. Zapytali nas, czy jesteśmy w stanie przekazać informacje, skąd ta osoba się logowała, wysyłała materiały. Okazało się niestety, że wszystkie tropy prowadzą donikąd, nie można było namierzyć IP. Bardzo mnie to zabolało, że takie rzeczy się dzieją. Postanowiłem działać. Wiedziałem, z jakiego adresu pocztowego wiadomość była wysłana. W ramach próby napisałem po prostu maila z jakiegoś zupełnie fejkowego konta do tej osoby, coś w stylu “cześć, co tam u ciebie słychać” i wydawało mi się, że nic z tego nie będzie, bo kto by komuś obcemu odpisał. Odpisała mi ta osoba na tego maila i po IP można było już tę osobę wyśledzić. To jest coś, z czego jestem najbardziej zadowolony w pracy. To jest coś, czym można się pochwalić, takim myśleniem kreatywnym, taką odwagą – może nic z tego nie będzie, ale spróbuję. To jest takie właśni grzebanie, może nie do końca OSINT. To też była próba odnalezienia danej osoby, być może nie korzystania z otwartych źródeł tego, co nam daje internet, ale mimo wszystko taki właśnie troszeczkę już detektywistyczny klimat. Coś się we mnie narodziło i powoli się rozwijało.

Zmierzając do końca – podsumujmy, jak możemy zadbać o swoje bezpieczeństwo? 

Przede wszystkim zastanawiajmy się nad tym, co wrzucamy do sieci. Nie zostawiajmy rzeczy, mogą nas doprowadzić do danej osoby. Ja wiem, że lajki się liczą. Fajnie umieścić dobre zdjęcie z fajnymi widokami, ale chwila refleksji, przemyślenia, czy na pewno chcemy to udostępniać, czy jest to warte tych kilku lajków. 

Druga sprawa: jest taka strona haveibeenpwned.com, to jest taka wyszukiwarka, gdzie możemy sobie wpisać swój adres mailowy i zobaczyć, czy gdzieś wypłynęły hasła do naszego maila. Jeżeli był taki wyciek, no to zmieńmy tam hasło. Bo jeżeli nie mamy ustawionego dwuskładnikowego uwzględnienia, no to jesteśmy troszeczkę…Już jest źle.

Nie lubimy za bardzo sobie utrudniać życia, lubimy mieć jedno hasło do wszystkich serwisów. To hasło, które sprawdzamy, które wyciekło w zestawieniu z naszym mailem, jest testowane na różnych portalach. Mimo że ja uważałem na wszystko i dalej uważam, to też nie na wszystkim panuję. Jeżeli gdzieś zarejestrujemy się, a był wyciek danego serwisu, haseł, bazy danych, no to my nic z tym nie zrobimy. Trzeba zmieniać hasła, a najlepiej używać menadżera haseł, czyli na przykład Keepassa. On nam sam generuje bardzo bezpieczne hasło i my nawet tego hasła nie musimy znać.

Tylko trzeba uważać, bo dajemy w tym momencie swoje dostępy do ważnych narzędzi technologii, która jest zawodna.

Kiedyś koledze rozładował się telefon z Keepassem i nie mogliśmy dostać się do mieszkania. 

Niektóre serwisy nie walidują, że po iluś próbach nieudanego wpisania numeru CVV/CVC karty, jest zablokowana możliwość zakupu, więc jeśli udostępnimy dane z przodu karty, można sobie po kolei wpisywać te numery, no i w końcu uda się kupić coś na tym serwisie.

Dobrze jest dbać o taką czystość internetową, nie publikować rzeczy, które nie są do opublikowania. Myśleć o konsekwencjach. To jest bardzo ważne. Troszeczkę pochylić się nad tym, co robimy w internecie, jaka jest nasza aktywność. I nawet nie chodzi tylko o zdjęcia. Piszemy coś na forach, piszemy jakieś złe rzeczy. 

Ludziom się wydaje, że jesteśmy anonimowi w sieci. A to jest nieprawda. Bardzo łatwo ludzi zidentyfikować. Jeżeli mamy odpowiednie motywacje, odpowiednie umiejętności, cierpliwość, to możemy dostać informacje, jakie tylko chcemy.

Jak o anonimowości mówimy – jak sobie radzić z hejtem? To jest też duży problem, szczególnie jak organizacja podejmuje trudny temat, kontrowersyjny. 

Nie mówię o emocjonalnym aspekcie tego wszystkiego. Ale możemy poprosić administratora, żeby takie rzeczy były usunięte, to często działa. Możemy też to na policję zgłosić. Organy ścigania działają dobrze w tej sprawie. Przynajmniej działały, z tego co pamiętam. To nie jest tak, że to ląduje gdzieś tam w próżni, tylko tym się ludzie zajmują. Można też blokować hejtera. 

Jest taka fajna stronka, gdzie wpisujemy sobie nick, który jest wpisany w tym komentarzu. I ta strona nam wyszukuje wszystkich odniesień w internecie, gdzie to konto zostało użyte. Może gdzieś tam jest więcej informacji o tej osobie.

Ja mam to szczęście, że jak ja widzę jakiś hejt na mój temat, to ja się raczej tym nie przejmuję. Jest sobie jakaś osoba, która mnie nie zna, pisze o mnie rzeczy przykre, złe, ale to już jesteśmy na takiej warstwie emocjonalnej. Ja jestem w stanie to zupełnie odciąć się od tego i na to nie reagować. Ale wiem, że są osoby, które inaczej na to reagują.  Ale powiem Ci tak, to taka prywata też.

Jeżeli będziesz miała taką sytuację, albo nie wiem, ktokolwiek znalazłby się w takiej sytuacji, że spotkałby tego typu rzeczy w internecie, przykre, złe dla tej osoby, to też można się do mnie zgłosić. Ja mam taki problem, ja wiem, że to jest głupie, ale ja lubię ludziom pomagać. Ludzie nie lubią przyjmować pomocy za darmo. Ja takie rzeczy biorę i się tym zajmuję. Bo to też jest jakiś sposób, żeby dalej rozwijać się w tym, co ja robię. Bo mówimy o tym hejcie.

Mówiłeś wcześniej, że jak ktoś ma problem z hejtem czy z czymś innym, to może się do Ciebie zgłosić i pomyślałam, kurczę, spytać Cię o maila czy czytelniczki i czytelnicy muszą go sami znaleźć? 🙂

Bardzo łatwo będzie znaleźć mojego maila. Niech to będzie ćwiczenie. Ja akurat niektóre rzeczy celowo mówiłem, żeby no bo są rzeczy, których ja się nie boję mówić, bo wiem, że mi nie zaszkodzą. Chociaż kto wie?

Nie popadajmy w paranoję, bo to też może do tego dążyć. Jeżeli będziemy odrobinę uważni, to będzie OK. 

I z tą pozytywną myślą Was zostawiam.

Kamil Mędzikowski – na co dzień spędza 8h pracując dla nordyckiego Banku jako Senior Pentester. Wielki fan niskopoziomowego security. Uważa, że surowe bajty są całkiem seksowne. Ostatnimi czasy romansuje również z falami radiowymi i wziął sobie za cel zhakowanie swojego 13-letniego Renault Clio. Prywatnie kolekcjoner wszystkiego co jest związane z video gamingiem. Oprócz tego jest typowym niespełna 40-latkiem, który lubi warzyć piwo, grać na okarynie i walczyć na miecze świetlne.

  • Tematyka:

  • Projektantka społeczna i redaktorka Pomostu. Absolwentka wzornictwa na gdańskiej ASP. Doradza i szkoli organizacje pozarządowe w obszarze działań kreatywnych. W swojej pracy dba o dostępność i etyczne wykorzystanie zasobów. Jara się psychologią i łączeniem kropek. Poza tym lubi design i robić zdjęcia ludziom. 

Więcej artykułów

Pytanie miesiąca

Czy Twoja organizacja nawiązuje współprace międzynarodowe?