Pełny program XII Konferencji Naukowej Bezpieczeństwo w Internecie Cyberpandemia dostępny jest pod tym adresem. Była to konferencja o charakterze otwartym, bez żadnych zastrzeżeń odnośnie publikowania materiałów – spieszymy więc z publikacją slajdów.

„RODO zabiło bazy Whois”

Jest to dosłowny cytat dr Agnieszki Gryszczyńskiej i zarazem pierwszy z najciekawszych wg nas cytatów z całej konferencji.

Inne ciekawe cytaty z tej prezentacji (z drobnym przeredagowaniem):

• Jedyna użyteczna baza Whois – unijna, dla domen *.eu
• Zasada „follow the money” działa dużo lepiej niż „follow the ip”
• Największym problemem jest zbyt krótkie trzymanie logów i zapisów z monitoringu wizyjnego. Banki odpowiadają zbyt wolno. Po 3 miesiącach nie będzie już monitoringu z bankomatu, kto wypłacał środki.

Oto najważniejsze slajdy z prezentacji dr Gryszczyńskiej (jest to ok. 90% całej części merytorycznej):

Poprosiliśmy dr Gryszczyńską o pełną wersję tej interesującej prezentacji, oraz o odpowiedzi na kilka nurtujących nas pytań, głównie związanych ze zrzutami ekranu zamieszczonymi w tym artykule. Gdy tylko dostaniemy odpowiedź, podzielimy się kolejną ciekawą wiedzą.

(Aktualizacja 31.10.2020: niestety dr Gryszczyńska pomimo kilku prób kontaktu nie odpowiedziała na nasze pytania – a wiemy, że te pytania do niej dotarły.)

Bonus – skrócony cytat z odpowiedzi dr Gryszczyńskiej na chacie: Odpowiadając na pytanie zadane na czacie i dotyczące wycieku z KSSiP – dysponuje tylko takimi informacjami w tym zakresie w jakim zostały podane do publicznej wiadomości. (…) Z posiadanych przeze mnie wiadomości baza nadal jest dostępna do pobrania z forów i stron, które nie reagują na żądania „abuse”.

„można sobie poczytać na Lolifoksie”

A to drugi z najciekawszych wg nas cytatów z całej konferencji, tym razem autorstwa dr Jana Kostrzewy, Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Sprawiedliwości. Cytat ten pochodzi z jego prezentacji „Inicjatywy ustawodawcze MS mające na celu przeciwdziałanie cyberprzestępczości”, w której przedstawił on tytułowe zmiany w prawie związanym z bezpieczeństwem IT.

Dlaczego ten cytat jest taki ważny? Oznacza to, że Ministerstwo Sprawiedliwości wie o istnieniu forum Lolifox. Forum to istnieje co najmniej od 1.5 roku, więc jeśli przez tyle czasu organom nie udało się doprowadzić do jego zamknięcia (lub chociaż zamknięcia proxy udostępniającego jego kopię w „clearnecie” i korzystającego do tego celu z usług firmy Cloudflare), oznacza to, że osoby decyzyjne w wymiarze sprawiedliwości świadomie tolerują jego istnienie. A robią to najprawdopodobniej z powodów przytoczonych w tym artykule (w sekcji „8 lat później”).

Inne ciekawe cytaty z tej prezentacji (z drobnym przeredagowaniem i częściowo z pamięci):

• Problemem jest fakt, że za zwykłe włamanie do piwnicy grozi do 10 lat, a za cyberprzestępstwa, których skala i efekty są dużo większe, tylko do 2 lat.
• Nie powinienem tego mówić (ale powiedział – dop. red.), ale jeżeli za jakiś czyn grozi mała kara, to jest mała inicjatywa organów, aby takie osoby łapać. Podwyższenie tych kar oznacza, że hacking nawet jeśli nie będzie w danym przypadku kończył się maksymalnym wyrokiem, to będzie inaczej wliczany do statystyk i traktowany bardziej poważnie przez organy.
• Z inicjatywy empatii pani Gryszczyńskiej (…) w art. 267 po §4 dodaje się §4a w brzmieniu: „W wypadku mniejszej wagi, sprawca czynu określonego w §1-4 podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”. Nowy zapis jest po to, aby oddzielić świadomych przestępców, którzy mają pełną świadomość tego co robią i śmieją się z tego, o czym można sobie poczytać na Lolifoksie, od zdarzeń lżejszej wagi, gdzie zasądzenie maksymalnego wyroku mogło by komuś złamać życie.

Oto najciekawsze slajdy z prezentacji dr Jana Kostrzewy (zaznaczenia na żółto są również jego autorstwa i były robione podczas omawiania kolejnych propozycji zmian), wraz z naszymi komentarzami:

Zmiana w art. 190kk związana z kradzieżą tożsamości – zastąpienie „w celu wyrządzenia jej szkody” przez „w zamiarze wyrządzenia szkody” (czyli już bez „jej” i bez konieczności precyzowania konkretnego celu):

Podwyższenie kar z art. 267 i dodanie wspomnianego wyżej §4a dla lżejszych przypadków:

Unowocześnienie obecnego prawa: odejście od koncepcji oryginalnego, pojedynczego nośnika danych, oraz od koncepcji impulsów telefonicznych i dostosowanie prawa do dzisiejszych realiów (np. koncepcji chmury):

Inne ułatwienia, związane ze współpracą organów ścigania z instytucjami zagranicznymi (dobrowolne udostępnienie ma obejmować przypadki, gdzie firmy typu Facebook nie mają obowiązku udzielania informacji polskim organom, ale „nie zaszkodzi przynajmniej spróbować”), oraz z dużymi i wolno reagującymi organizacjami polskimi (stąd wydłużenie retencji danych):

„służby będą miały dostęp” [do odcisków palców wszystkich Polaków]

Jest to cytat z prezentacji dr Kamila Czaplickiego „Wpływ zastosowania biometrii w dowodach osobistych na przeciwdziałanie kradzieży tożsamości”. Wnioski z całej tej, dość nudnej prezentacji, są następujące:

• w tej chwili w obiegu są 4 generacje dowodów osobistych, za kilka miesięcy dojdzie piąta
• dopiero w 2030 wszyscy Polacy będą mieli dowody osobiste w wersjach zawierających 2 cechy biometryczne, w tym odcisk palca
• odcisk palca w dowodzie jest wymogiem unijnym, ponieważ przetwarzanie zdjęć twarzy bywa w różnych przypadkach problematyczne
• kluczowe jest pytanie 2 z ostatniego przytoczonego slajdu, tj. kto będzie miał dostęp do danych biometrycznych? Ze słów prowadzącego wynika, że służby dostaną dostęp do odcisków palców wszystkich Polaków, natomiast banki i inne instytucje nie – zostało to powiedziane w kontekście zmian w art. 66 Ustawy o dowodach osobistych.

„Tor powoli umiera z powodu przeświadczenia użytkowników o jego infiltracji”

Trzeci z najciekawszych wg nas cytatów z całej konferencji (przytoczony z pamięci, dokładne słowa mogą się nieco różnić) pochodzi z prezentacji „Handel narkotykami w cyberprzestrzeni” autorstwa dr Krzysztofa J. Jakubskiego.

W pierwszej części prezentacji (z której pochodzi pierwszy ze slajdów), dr Jakubski przytoczył statystyki darkmarketu Empire z czerca 2020, a także wymienił 4 wyszukiwarki działające w sieci Tor (biorąc pod uwagę drobny błąd w prezentacji, najprawdopodobniej skopiowane z tego artykułu):

• http://kbhpodhnfxl3clb4.onion
• http://ndj6p3asftxboa7j.onion
• http://xmh57jrzrnw6insl.onion
• http://grams7enufi7jmdl.onion

W drugiej części omawiane były różne działania przeciwko darkmarketom w sieci Tor – powyższy cytat pochodzi z końcówki tej części, w której dr Jakubski przytaczał alternatywy dla Tor, np. I2P:

TSUE przeciwko państwu policyjnemu

Jedną z bardziej stronniczych była prezentacja prok. Tomasza Iwanowskiego, kierownika Działu ds. Cyberprzestępczości Departamentu ds. Przestępczości Gospodarczej Prokuratury Krajowej. Przedstawił on bieżącą sytuację prawną odnośnie retencji danych i jej konsekwencje, aby następnie przejść do wyroku TSUE w tej sprawie i jego „ocen” przez innych prokuratorów.

Zdaniem Trybunału retencja jest dopuszczalna wyłącznie w sprawach o poważne przestępstwa i w sytuacji zagrożenia bezpieczeństwa narodowego lub publicznego i wyłącznie w odniesieniu do danych o ruchu i lokalizacji. Jeżeli chodzi o dane osobowe użytkowników łączności elektronicznej, retencja jest możliwa we wszystkich sprawach karnych.

CyberTarcza Orange

Najbardziej techniczną z prezentacji przygotował Przemysław Dęba, Dyrektor Cyberbezpieczeństwa Orange. Najważniejsze fakty przedstawia trzeci slajd, pokazujący zależności czasowe: przeciętna reakcja na sms-a to zaledwie kilkanaście sekund, rzadziej kilkadziesiąt.

.

„Są tacy, co potrafią, a są tacy, co nie potrafią. I w tym cała rzecz.”

Pod tym linkiem znajdziecie oficjalne podsumowanie konferencji przez serwis CyberDefence24, skupiające się głównie na prezentacjach Piotra Balcerzaka i Adama Lange.

Slajdem z tej ostatniej, dotyczącym zmian w trendach phishingu w okresie pierwszego lockdownu, kończymy relację z XII Konferencji Naukowej Bezpieczeństwo w Internecie Cyberpandemia. Adam zdecydowanie jest z tych, co potrafią…