Brian Krebs przez 15 lat (1995-2009) pracował jako reporter renomowanego dziennika The Washington Post. Ukończył stosunki międzynarodowe na George Mason University, a bezpieczeństwem teleinformatycznym zajmuje się od 2001 roku, gdy... chińscy hackerzy włamali się do jego domowej sieci. Ma na koncie ponad 1300 wpisów na blogu Security Fix oraz kilkaset artykułów w papierowym i sieciowym wydaniu The Washington Post. Prowadzony przez Briana blog krebsonsecurity.com to jedna z najpopularniejszych stron o bezpieczeństwie w sieci, notująca ponad 35 tysięcy unikalnych wejść dziennie. Na jego łamach można poczytać o prowadzonych przez autora śledztwach (świetna seria Pharma Wars!), dotyczących przestępstw internetowych, a także najnowszych zagrożeniach, uaktualnieniach bezpieczeństwa, spektakularnych włamaniach oraz – oby jak najczęściej – przestępcach, trafiających przed oblicze sprawiedliwości. Podczas październikowej konferencji Secure, odbywającej się w Warszawie, namówiłem Briana na dłuższą rozmowę.
Czytając Twojego bloga wyobrażałem sobie Ciebie jako nowoczesną wersję Sherlocka Holmesa, uporczywie tropiącego złych ludzi.
Każdy dzień to dla mnie nowa przygoda. A czy jest w tym coś z Sherlocka Holmesa? Cóż, spędzam sporo czasu na tajnych forach internetowych, z których korzystają sieciowi przestępcy i zdarza mi się wytropić ciekawe rzeczy.
Dla wielu osób bezpieczeństwo IT jest nudne, tymczasem na Twoim blogu staje się ono pasjonujące, niczym najlepszy kryminał.
Szukając tematu, zakładam, że jeśli coś jest interesujące dla mnie, najprawdopodobniej zainteresuje też innych, a zaręczam, że poprzeczkę stawiam sobie wysoko. Staram się dotrzeć do ludzi, pokazać im, że dbanie o bezpieczeństwo to nie tylko coś męczącego, do czego są w jakiś sposób zmuszani. W dzisiejszych czasach niemal wszystko skomputeryzowane, a najczęściej też dostępne w sieci. Dzisiejsze czasy wymagają zrozumienia, jak ważne są kwestie naszego własnego bezpieczeństwa online i nad tym przede wszystkim pracuję.
Wielu blogerów nie ma za sobą choćby dziennikarskiego epizodu, tymczasem Ty przez wiele lat pisałeś dla Washington Post.
Dzięki temu łatwiej przychodzi mi przekazywanie kwestii technicznych zrozumiałym językiem. W mediach ogólnotematycznych pisze się bowiem dla zwykłego czytelnika, a nie dla osób, przyzwyczajonych do technicznego żargonu.
Wchodzisz w drogę ludziom, dla których pieniądze są ostatnim z możliwych problemów, tymczasem zdarza Ci się poważnie ich rozzłościć... Nie obawiasz się konsekwencji swojej pracy?
Byłbym głupi, gdybym nie brał tego pod uwagę, ale nie wpływa to na moją pracę. Bez przesady, nie jestem reporterem wojennym. Dla nich żywię olbrzymi szacunek, w ich pracy naprawdę można odczuwać strach.
Czy myślisz, że praca Twoja oraz innych osób, blogujących o bezpieczeństwie IT, przyczynia się choć trochę do podniesienia poziomu bezpieczeństwa wśród internautów?
Mam taka nadzieję (śmiech). Fakt, iż sporo Czytelników kontaktuje się ze mną i nie narzeka, świadczy o tym, że chyba jest dobrze.
Co uważasz, za największy problem w podejściu ludzi do bezpieczeństwa IT? Mnie się wydaje, że wciąż nie jest ono traktowane poważnie. Widać to m.in., gdy publikowane są statystyki haseł, wykradanych z różnych serwisów i okazuje się, że bardzo dużo ludzi używa haseł w stylu “12345”, czy “qwerty”.
Ludzie wciąż nie rozumieją, jak to jest ważne. Nierzadko spraw, związanych z jakimkolwiek rodzajem bezpieczeństwa, nie traktujemy poważnie do momentu, aż to nam coś się stanie. Wtedy może się okazać – i oby tak było, bowiem takie zdarzenia najlepiej udowadniają, jak istotne jest bezpieczeństwo – że w efekcie czegoś się nauczyliśmy. Niestety, przekonanie do tego ludzi nie jest łatwe, gdy żyjemy we wściekłym tempie i mnóstwo kwestii walczy o zwrócenie naszej uwagi. Zapewne część tematów, związanych z bezpieczeństwem, można by przekazać w sposób łatwiejszy, bo ludzie nie chcą być ekspertami, by to wszystko zrozumieć. Zainteresują się tym jednak, jeśli zdołamy ich przekonać, że gra nie idzie o jakieś iluzoryczne bezpieczeństwo, tylko o ich pieniądze, ich tożsamość, ich spokój.
Według najnowszych badań, coraz bezpieczniej czujemy się na ulicach naszych miast. Może to dlatego, że przestępcy przenoszą się do internetu?
W internecie musimy się chronić tak samo, jak wychodząc na miasto! Jeśli nie jesteś ostrożny, nie zwracasz uwagi na to, co robisz, to aż się prosisz, by wpaść w czyjąś pułapkę. To nie jest nawet kwestia tego, że ktoś zastawi ją na ciebie – po prostu zwietrzy szansę. Tymczasem, mimo iż wiemy, że wyjście na ulicę po dużej dawce alkoholu może się skończyć stratą zdrowia i pieniędzy, wciąż są osoby, które nie tylko używają starych wersji „dziurawych” aplikacji, ale nawet nie mają zainstalowanego programu antywirusowego!
Nie masz wrażenia, że walka z sieciowymi przestępcami to syzyfowa praca?
Oczywiście, że tak! Złych ludzi jest znacznie więcej niż policjantów, a ci drudzy są często niewystarczająco wyszkoleni w tej dziedzinie...
A przede wszystkim zbyt często traktują przestępstwa online niepoważnie?
Nierzadko zdarza mi się rozmawiać ze stróżami prawa i w odpowiedzi na informację: „Ci ludzie prowadzą botnet”, słyszę: „No dobra, ale gdzie tu jest przestępstwo? Kto jest ofiarą?”. Łatwości w dokonywaniu przestępstw online dopatrywałbym się jednak bardziej w braku nieuchronności kary. Ilu e-przestępców trafia przed oblicze sprawiedliwości? Myślę, że poniżej procenta. Czy w tej sytuacji można się dziwić, że ludzie podejmują ryzyko?
Czy nie masz wrażenia, że znaczny wzrost przestępstw skierowanych przeciwko bankowości elektronicznej może spowodować odwrót jej klientów w stronę banków tradycyjnych?
Nie wydaje mi się, ludzie łatwo nie rezygnują z wygody. W USA zwykły klient nie ma się czego obawiać, bowiem jeśli straci pieniądze w wyniku działania przestępcy, bank mu je zwróci – w przypadku firm nie jest już tak łatwo. Rozmawiałem z przedstawicielami ponad 150 małych i średnich przedsiębiorstw, które straciły po kilkaset tysięcy dolarów, bowiem albo nie wiedziały jak łatwym są celem ataku, bądź nie były świadome ryzyka. Podniesienie poziomu świadomości w tej grupie to jeden z celów, które przed sobą stawiam.
A jak oceniasz szaleństwo serwisów społecznościowych? Ludzie są tak lekkomyślni, podając informacje o sobie w sieci, że kradzież naszej tożsamości staje się absurdalnie łatwa. Co więcej, nie zdajemy sobie sprawy z konsekwencji.
Ludzie wciąż nie są świadomi tego, że informacja, wrzucona do internetu, zostaje tam na zawsze, jednak mówienie o kradzieży tożsamości to dla mnie sztuczne nadmuchiwanie balonu. Bardziej obawiałbym się użycia informacji o nas do stworzenia dedykowanego ataku, pod kątem wyciągnięcia delikatnych danych, lub informacji, związanych z wykonywaną przez nas pracą.
Przykład Stuxnetu udowodnił, że złośliwe oprogramowanie może być użyte jako broń przeciwko państwu. Większość infrastruktury, kluczowej dla funkcjowania państw (elektrownie, przepompownie wody, itd.) powstawała, gdy nikomu nawet nie śniło się o wirusach. Może media, piszące coraz częście o cyber-wojnie jednak nie przesadzają?
Choć pojęcie cyber-wojny jest faktycznie przesadzone, na pewno nie spałbym całkiem spokojnie. Tym bardziej, że odnoszę wrażenie, iż rządy bardziej skupiają się na pracach nad ofensywnym użyciem złośliwego oprogramowania, zamiast bronić przed nim systemów, które nie były budowane z myślą o bezpieczeństwie takim, jak rozumiemy je dzisiaj.
A terroryści nie muszą zabezpieczać swoich systemów, mają więc wystarczająco dużo czasu, by skupić się na atakach...
Podatności nigdy nie zabraknie i być może już są wykorzystywane. Myślę jednak, że o naprawdę groźnych atakach dowiemy się tylko wtedy, kiedy się udadzą – w innym przypadku rządy z wielu względów nie będą absolutnie zainteresowane dzieleniem się tego typu informacjami.
Jaki masz pomysł na to, by dobrzy ludzie ostatecznie pokonali złych?
Nie wydaje mi się, byśmy byli w stanie pokonać złych ludzi. Możemy – i będziemy – wygrywać bitwy, ale nie wygramy wojny. Złym ludziom wystarczy znaleźć jedno wejście do systemu – my musimy bronić wszystkich „drzwi i okien”.
Biorąc pod uwagę powyższe można odnieść wrażenie, że powinniśmy się bać za każdym razem, gdy włączamy komputer, podłączony do internetu?
Strach to bardzo silny motywator, ale w tym przypadku nie jest to do końca odpowiednie słowo. Naszym motorem do działania są zazwyczaj chęć uniknięcia bólu lub sprawienia sobie przyjemności. Jeśli moje działania otworzą niektórym oczy, że bezpieczeństwo IT spełnia ważną rolę w naszym codziennym życiu i warto się nim przejmować – to znaczy, że moja praca przynosi efekty.
komentarze (0)
Dodaj komentarz