Bezpieczny Kod

vibe coding - koniec szyfrowania apple

Opublikowano 

 przez 

Bezpieczny Kod

 w ,

Rząd nas śledzi. Vibe Coding uczy… złych nawyków.

W tym odcinku podcastu „Bezpieczny Kod”, Andrzej i Krzysiek omawiają najgorętsze tematy z obszaru cyberbezpieczeństwa. Rozpoczynają od usługi Artemis od CERT NASK Polska – darmowego skanera webowego do wykrywania znanych podatności, który może pomóc w zarządzaniu powierzchnią ataku. Komentują ostatni trend vibe coding. Następnie przechodzą do gorącej dyskusji o decyzji Apple, które odmówiło rządowi Wielkiej Brytanii wbudowania backdoorów w swoją technologię szyfrowania (Advanced Data Protection). To pokazuje niezłomną postawę firmy w kwestii prywatności użytkowników i stwarza ważny precedens w walce o wolność cyfrową.

Kluczowe Tematy i Wnioski:

  • Szpiegowanie Obywateli i Rola Firm Technologicznych: Poruszamy temat szpiegowania obywateli przez rządy – od sprawy Pegasusa w Polsce po doniesienia o hakowaniu chińskich uniwersytetów przez NSA. Podkreślamy, jak rządy wykorzystują swoje możliwości cybernetyczne i dlaczego firmy technologiczne powinny stać na straży prywatności.
  • Zagrożenia w Łańcuchu Dostaw i Bezpieczeństwo AWS AMI: Datadog publikuje proof of concept ataku „Who Am I?” na Amazon Machine Images (AMI) w AWS, pokazując, jak fałszywe obrazy AMI mogą prowadzić do uruchomienia złośliwego oprogramowania. To kolejny przykład zagrożeń w łańcuchu dostaw, a my zastanawiamy się nad odpowiedzialnością AWS w kontekście bezpieczeństwa Marketplace’u AMI.
  • Kradzieże Kryptowalut i Znaczenie OPSEC: Na koniec omawiamy spektakularną kradzież 1,5 miliarda dolarów z platformy kryptowalutowej Bybit, dokonaną przez północnokoreańskich hakerów poprzez zhakowanie komputerów i podmianę adresów. To podkreśla krytyczne znaczenie bezpieczeństwa operacyjnego (OPSEC) i segmentacji sieci w ochronie przed zaawansowanymi atakami.

Odcinek dostępny na YouTubeSpotifyApple Podcasts i innych platformach.

Transkrypcja

Andrzej: Proszę Państwa, kolejny odcinek w 2025 roku, to jest drugi odcinek, więc jeszcze ile? Co najmniej 10.

Krzysztof: To staramy się, że było ich 10 albo więcej.

Andrzej: Właśnie, przynajmniej tych newsowych 10, bo to innych podcastów. to jeszcze chcemy jakieś nagrać, ale tych newsowych to… to dziesięć. Celujemy w jeden na miesiąc. To, co mówiliśmy, Krzysiek, co tydzień to jest ewidentnie za dużo. Co dwa tygodnie, no już powiedzmy, można byłoby to ciągnąć, ale bądźmy szczerzy. Co dwa tygodnie to też jest całkiem sporo kontentu. A, no kurczę, na świecie się nie dzieje aż tyle. Bądźmy szczerzy. No tak naprawdę to przynajmniej, żeby nagrywać o tym podcast. Może, jak będziemy kiedyś już za x lat zarabiać na reklamach, to wtedy będziemy wydawać jak porządna, jak kanał zero, codziennie. Codziennie będą newsy stawiać, cyber security. Ale na razie jeszcze musimy pracować nad innymi projektami.

Krzysztof: Jak wbijecie do końca tygodnia dzisiejsze tysięcy subskrypcji, to się zastanowimy nad jednym tygodniowo.

Andrzej: O, no i deal. That’s deal. Dobra, ale tak czy siak. Jesteśmy, mamy kolejny odcinek, mamy końcówkę lutego. Krzysiek, moje pierwsze pytanie, chociaż zobaczymy, czy odpowiesz tak, jak ja chciałbym, żebyś odpowiedział, ale co przykuło twoją największą, tak najbardziej twoją uwagę w ostatnich, nie wiem, dwóch, trzech, czterech tygodniach w lutym? Jest jedna rzecz, która myślę, że przynajmniej osoby związane z IT, z bezpieczeństwem dość mocno zafrapowała. Ale nie wiem, czy myślimy o tym samym. Co ciebie, co ciebie tak zaciekawiło w ostatnim czasie, a ja zaraz radzę, czym było to dla mnie.

Krzysztof: Może to nie będzie coś, o czym chciałem dzisiaj powiedzieć, ale coś, co mnie zaciekawiło, to było to, że…

Andrzej: Proszę państwa. proszę kliknąć lajka i proszę zasubskrybować kanał. Subskrybujemy tam na dole, a lajki, lajki też klikamy tam gdzieś na dole, więc na dole można zrobić i jedno, i drugie. No chyba, chyba, że nie słuchacie tego na YouTube, tylko słuchacie tego na platformie czysto podcastowej, takiej jak Spotify, Apple Podcasts, czy inne oprogramowanie do odsłuchiwania podcastów. W takim wypadku również, również… Proszę o suba, bo jednak te suby to się liczą. Im więcej subów, im więcej lajków. Tym algorytm poleca nasz szerszej ilości odbiorców, co wpływa bezpośrednio na nasz poziom zadowolenia.

Krzysztof: Lajkujcie, subskrybujcie.

Andrzej: No i oczywiście, jeśli są jakieś pytania, albo jeśli chcecie, żebyśmy poruszyli jakiś wątek w przyszłych odcinkach, to dajcie znać. Jeśli dacie znać w komentarzach, to postaramy się taki temat. jakiś konkretny news, poruszyć, wrócić i omówić z naszej eksperckiej perspektywy.

Krzysztof: CERT NASK Polska wypuścił Artemisa jako usługę, więc Artemisa, czyli skaner webowy, który skanuje posty, które im wskażecie pod kątem znanych podatności i takich low. low hanging fruits. To mnie tak jakoś zaciekawiło. To było dosyć ciekawe, bo rok temu gadaliśmy o Artemisie. Oni przedstawili proof of concept własnego narzędzia, które dokonuje rekonesansu i poddaje pewnej takiej podstawowej ocenie pod kątem bezpieczeństwa webowego. A teraz po prostu wystarczy, że zarejestrujecie się w serwisie administrator. Nie wiem, podamy to gdzieś w opisie.

Andrzej: W notatkach będzie.

Krzysztof: W notatkach będzie i wypchniecie rekordy DNS-owe, aby potwierdzić tę tożsamość, że się zgadzacie, żeby ten skaner periodycznie odwiedzał wasze domeny i zasoby i po prostu skanował to. Więc to mnie tak troszeczkę zaciekawiło. To było ciekawe i to jest fajne, że coś takiego jest i jest za darmo.

Andrzej: To jest ciekawe, że jest to… To jest ciekawe, ale na takim polu lokalnym. U nas jest to faktycznie ciekawy news. By the way, te narzędzia tej klasy to się tak ładnie nazywają ASM, Address Surface Management, więc są takie startupy, które to realizują. Nawet gdzieś tam są chyba takie polskie firmy usługowe, które to robią, natomiast teraz można zrobić to w zupełności za darmo. Nawet nie trzeba stawiać tego Artemisa. samemu, tylko można, tak jak mówiłeś, Krzysiek, zarejestrować się w odpowiednim portalu, następnie potwierdzić swoją tożsamość w DNS-ach i oni będą skanować to na ich koszt, ich koszt, to tak trochę w cudzysłowie, no bo oni mają tam powiązania z rządem, więc trochę z naszych podatków, trochę nie, ale… Tak czy siak, faktycznie, to jest coś ciekawego i też robiło mi się to o uszy, ale ja w zasadzie nie klikałem, nie robiłem double click na tego newsa, tylko o, Artemis open, okej, dobra. Nawet, nawet tak naprawdę nie odnotowałem. Jakbyś mi o tym nie powiedział, to bym sobie tego nie przypomniał.

Krzysztof: To byś nie pamiętał.

Andrzej: Tak, no dokładnie tak. Okej. Ale to dzięki za przypomnienie, natomiast dla mnie takim dużym newsem, który przykuł moją uwagę i który gdzieś tam śledziłem, z popcornem w ręce, to news o jabłuszku, o Apple i o wniosku rządu Imperium Brytyjskiego, Wielkiej Brytanii, do Apple, żeby usunęli enkrypcję, szyfrowanie. To się tak nazywa ładnie w… Apple Advanced Data Protection i tam jest szereg różnych opcji, które możemy włączyć i dzięki któremu na koniec dnia, a nie będę wchodził w szczegóły, bo nie to tutaj jest ważne, nasza komunikacja, nasze zdjęcia, to co trzymamy w chmurze Apple, w iCloudzie jest dużo, dużo bezpieczniejsze, a w zasadzie można nawet powiedzieć, że jest bezpieczne, o ile nie znajdują się na to jakieś eksploity, ale z założenia jest bezpieczne i z założenia… Najwidoczniej Apple nie ma tam swoich backdoorów, bo właśnie o takie backdory wnosiła Wielka Brytania. I ta sprawa trwała dwa albo trzy tygodnie. Wiadomo, były dyskusje na Twitterze, etc. ekspertów, ale to żyjemy trochę w swojej bańce. Na koniec dnia, bo to kilka dni temu się już rozjaśniło, Apple powiedział figa z Maciem. do rządu Wielkiej Brytanii i po prostu wyłączy tą funkcjonalność dla Brytyjczyków. Co oczywiście tworzy dodatkowe problemy, no bo co jeśli ja jako Polak, obywatel Polski, no można też powiedzieć, że rezydent Unii Europejskiej, trudno to nazwać obywatelstwem, pojadę do Wielkiej Brytanii. To co, nagle ja mogę korzystać z Advanced Data Protection, czy nie mogę? Nie wiem. Okej, jak pojadę tylko turystycznie, to może mogę, a jak pojadę, nie wiem, do pracy na dwa lata, to będę mógł czy nie? Tworzy to pewne problemy. Ja tutaj nie jestem prawnikiem, więc nie będę roztrząsał, jak je należy rozwiązać. Natomiast… wytworzony jest pewien precedent. Podoba mi się postawa Apple’a, które po prostu poszło w odpowiednim kierunku i powiedziało, nie, nie będziemy tego robić, dlatego, że odwrotnie, gdyby tego nie zrobili, czyli gdyby wprowadzili tego backdora, to tak naprawdę wszyscy użytkownicy na całym świecie mieliby, no nie mieliby bezpieczeństwa swojej komunikacji, swoich danych, etc. Więc Apple tutaj zrobiło to, co powinno zrobić i jest to kongruentne z tym, jak zachowywało się w przeszłości. i oczywiście można mówić, no końcem końców chodzi mi o profit. Być może i tak, ale są firmy, którym chodzi o profit, a i tak zrobią, no, zrobią co mają zrobić. Też pytanie, jak bezpieczeństwo Androida w tym wypadku? Nie słyszeliśmy o takiej sprawie od Google’a, nie? Ale dobra, to… To można odłożyć gdzieś tam na bok, ale Apple przez lata pokazuje, że jednak o tą prywatność dba i jest to pewien selling point dla ich klientów i są niezłomni. Tutaj warto przypomnieć sprawę San Bernardino, gdzie Apple odmówiło od blokowania iPhona, pomimo tego, że sprawa była dość głośna, dość medialna, bo to był atak terrorystyczny w Stanach Zjednoczonych, była strzelanina ETC. zginęli ludzie, był nacisk opinii społecznej, żeby Apple się ugięło, oczywiście jakiejś części opinii społecznej, a Apple tego nie zrobiło. I teraz pytanie za 100 punktów, czy w takiej wypadku firma powinna się ugiąć, czy nie? Jak ty uważasz?

Krzysztof: Kurczę, ciężko jest mi z tym dealować, ale gdybym miał powiedzieć te twarzy, to po prostu niebezpieczny precedens, bo… Zawsze znajdzie się stan wyższej konieczności, w którym będziemy w stanie pewnymi argumentami przekonać drugą stronę, że jednak pogwałcenie tej prywatności może paść ofiarą ku wyższym celom. Można złożyć na ołtarzu naszą prywatność właśnie, aby zapobiec jakiemuś atakowi terrorystycznemu. Zresztą w Unii Europejskiej tak samo. jest wiele szumu dookoła tego. jak bardzo służby mogą ingerować w naszą prywatność i czy oby za bardzo nie obdzierają nas z niej pod płaszczykiem ochrony nas przed globalnym terroryzmem.

Andrzej: Dokładnie tak, ja się w pełni zgadzam, ale ja pójdę o krok dalej i jak jeden z wielkich Amerykanów, nie pamiętam czy ojciec założyciel, ale na pewno jedna z ważnych osób przy zakładaniu i przy budowaniu Stanów Zjednoczonych. powiedział, jeśli ktoś jest w stanie poświęcić swoją prywatność, żeby być trochę bezpieczniejszym, oddać swoim generalnie wolność. Żeby być trochę bezpieczniejszym, to nie zasługuje ani na wolność, ani na bezpieczeństwo. I tutaj strong opinions loosely held. ale jednak mocna opinia nie, nie powinno ani w tym przypadku, ani w żadnym innym tego typu przypadku. Wszystkie argumenty można zbić bez problemu, wystarczy sobie je rozpisać. argumenty typu a zróbmy to, albo musimy wprowadzić backdory, bo z tych narzędzi korzystają terroryści, albo inne rodzaje złych ludzi. Oczywiście ze złymi ludźmi trzeba walczyć, ale nie kosztem ludzi, którzy nie są źli. I pod płaszczykiem pretensjonalnym, gdzie o, bo musimy… Nie, nie, nie, nie. Ja nie mam nic do ukrycia, co nie znaczy, że pozwolę na instalowanie kamery w moim domu. Easy. I tak samo tutaj. Trzeba postawić granicę i granica jest jasna. Jako obywatele, nie tylko Stanów Zjednoczonych, ale szerzej, różnych państw mamy prawo do prywatności. I to rolą państwa jest… Bycie na tyle kreatywnym i wyłapywanie tych złych ludzi, a nie rolą firm, wolnego rynku lub obywateli na podkładanie się i umożliwianie prześwietlania wszystkiego w imię wyższego bezpieczeństwa. Nie, nie, nie. to nie znam te numery Brunner. Więc ja tutaj myślę, że już chyba raz albo dwa o tym wspominałem w podcaście, mam mocną opinię nie. Nasze bezpieczeństwo jest ważniejsze i nie widzę żadnego wyjątku, który mógłby to podważyć. i myślę, że trudno byłoby mnie tutaj przekonać. Wystarczy wspomnieć o tym, że większość ruchów które popchały ludzkość do przodu, zaczynały jako ruchy, które były zwalczane przez rząd. Więc gdyby wtedy można było infiltrować kanał informacji i przeglądać, co chcemy, bo byłyby backdory, no to prawdopodobnie te ruchy nie odniosłyby sukcesu. Więc bylibyśmy jako ludzkość do tyłu. no bo nie poszlibyśmy do przodu, a przynajmniej można byłoby tak gdybać, bo wiadomo, analiza wsteczna zawsze skuteczna, nie? Trudno jest powiedzieć, co by było, ale jedno jest pewne, na pewno byłoby dla tych ruchów działanie utrudnione i jako obywatele, jako ludzie mamy prawo do wolności, do tego, że nikt nam nie będzie… zaglądał do telefonu. Więc ja się cieszę, że Apple stanęło tutaj murem za i wolnością, i za zdrowym rozsądkiem, i za racjonalnością i nie ugięło się pod żądaniem Wielkiej Brytanii, które by the way zostało wystosowane w bardzo… w bardzo nieładny sposób, bo zostało wystosowane sekretnym kanałem. Najpierw, o ile dobrze pamiętam, w 2016 roku wyszła pewna poprawka do prawa w Wielkiej Brytanii, która pozwalała na wymuszanie, na tworzenie takich wniosków do firm i potem, teraz, w 2024 pod koniec, Takie zapytanie wyszło do Apple, które było oczywiście zamkniętym, ukrytym kanałem, czyli tak naprawdę opinia publiczna nawet by się o tym nie dowiedziała, gdyby nie jakiś insider, gdyby nie o publicznym tej informacji, co jest podwójnie, można powiedzieć, ohydne, jak się na to po prostu popatrzy. Jest to granie na niekorzyść. Obywateli, bo inaczej się tego nie da nazwać. To jest granie na niekorzyść obywateli. To nie jest tak, że ty masz o moje bezpieczeństwo. Ty po prostu chcesz mnie szpiegować. I teraz zrobię taki mały segue, bo skoro jesteśmy przy szpiegowaniu obywateli, jesteśmy przy urządzeniach Apple, to warto powiedzieć… że również w lutym chyba ziobro tam poszedł w końcu do sądu za to, że jako minister zlecał, pozwalał na szpiegowanie konkurencji, czyli swojej opozycji poprzez wykorzystanie Pegasusa. Pegasus to oprogramowanie, które pozwala na hakowanie między innymi iPhone’ów i za pośrednictwem Pegasusa można było infiltrować iPhone’y urządzenia opozycji i przez to skanować ich komunikację, co tylko pokazuje jak rządy wykorzystują, nieważne jaki rząd, bo… To nie jest tak, że o, Ziobro to zrobił, a teraz ta strona… Nie, każdy rząd to zrobi. Tu, jeśli ktoś jest naiwny jak dziecko i wierzy w to, że jak ktoś jest u władzy, to tego nie zrobi, bo to albo tamto, no to właśnie tyle, jest naiwny jak dziecko. Oczywiście, że każdy rząd to zrobi, dlatego nie firmy, takie jak Apple, dostawcy takich usług jak Apple… takiego sprzętu jak Apple nie powinni się uginać pod naporem rządu i powinni zrobić wszystko, co w ich mocy, żeby ich produkty były jak najbezpieczniejsze, a jak widać w dalszym ciągu da się je zhakować i w dalszym ciągu jako minister można zaglądać do konkurencji. Więc no, to taki mały przykład, w jaki sposób rząd wykorzystuje tego typu, jak to się ładnie mówi w cyberbezpieczeństwie, capabilities. Więc tu taki… Sprawa mnie rozgrzała, ale jak sam widzisz, ja jestem dość mocno za wolnością obywatelską i jak to…

Krzysztof: Ty byś, Andrzej, mógł wyjść ze sztandarem bezpieczeństwo prawem, nie towarem, tak? Dosłownie na ulicy.

Andrzej: Dokładnie tak. Wiesz co, ja muszę sobie powiesić, może nie tutaj w gabinecie, ale może gdzieś indziej flagę Gesadena, tą z grzechodnikiem, don’t tread on me. Ja bym pasował do Teksasu. Więc no, jak Stany, to proszę państwa, Teksas. Jeszcze tam nie byłem, a już to jest mój ulubiony stan.

Krzysztof: A jeszcze w kontekście eksploitów na iOS-a, to może, tak mi wpadło, to jest irracjonalne, wręcz, że może to jest strategia optymalizacyjna kosztów służb specjalnych, ponieważ eksploity zero day’e na iOS-a były już tak obrzydliwie drogie, że po prostu nie było ich na to stać, więc spróbowali pójść drogą legislacyjną.

Andrzej: Nie, niestety, ale pomimo tego, że dla nas mogą być drogie zwykłych maluczkich szaraczków, to jednak dla rządu to są peanuts. Co to jest zapłacić tam trzy bańki za eksploit? Dla mnie może i całkiem sporo, ale dla rządu, gdzie oni mają budżety liczone w miliardach, to to jest… Jak spluć, jak splunąć. Już pomijam, że przecież ci ludzie zatrudniają innych ludzi, którzy te eksploity dewelopują. Przypominam Wielka Brytania, GCHQ, jedna z topowych agencji wywiadowczych, bliska współpracująca i z NSA, i z innymi. agencjami, między innymi oczywiście z Izraelitami, więc oni tam wszyscy, wszyscy nie mają problemów ze znajdywaniem eksploitów. Oczywiście, nie wiem, choć się domyślam, zakładam, że u nas na lokalnym poletku wygląda to trochę inaczej. I dlatego my musimy kupować Pegasusa, a Wielka Brytania na koniec dnia nie musi kupować Pegasusa, ale wydaje mi się, że tam po prostu jest różnica pomiędzy, wiesz, kto zarządza GCHQ, ETC, wiesz, trójpodział władzy, inne takie pierdoły, nie? Bardzo ważne rzeczy, ale to raczej z tego wychodzi. Trójpodział władzy jest akurat ważnym wynalazkiem.

Krzysztof: Czyli dalej jesteśmy skazani na oprogramowanie od Rzymian.

Andrzej: Niestety, przynajmniej o ile mi wiadomo, to tak, to jesteśmy na to przynajmniej na razie jeszcze skazani. Ale wspomniałem o NSA, to od razu wspomnę o jednym innym newsie, który… Gdzieś tam mi wpadł w ręce, który mnie może nie jest za ciekawą jako sam news, dlatego że ja wiem, że NSA hakuje, tak samo jak inne grupy, nation state’y hakują Stany Zjednoczone, więc oni się tam wszyscy hakują. To nie jest tak, że jedni są dobrzy, a drudzy źli. Wszyscy się hakują, nawet jest takie bardzo ładne sformułowanie. który się nazywa… Jak się mówi na atakowanie? Nie, nie ma czegoś takiego jak atakowanie. Jest defending forward. I defend forward. No okej, dobra. Więc NSA defends forward i to, co mi wpadło, to to, że NSA może nie tyle to, co mi wpadło, tylko gdzieś tam… Natknąłem się na link, który omawiał sposób zhakowania chińskich uniwersytetów i gdzieś tam jednostek edukacji wyższej właśnie przez NSA. Jest to cały tam research. Fred Intelligence, etc. Generalnie to nie są jakieś moje sprawy. Ja się tym jakoś mocno nie zajmuję. Mogę sobie coś tam przeczytać. Rozumiem te wszystkie TTPs, etc. Ale to nie leży w kręgu moich zainteresowań. To, co mnie tutaj podniosło, to moją brew, to było to, że Ciekawy opis dość szczegółowy tego, że no nie tylko tam Korea hakuje Stany Zjednoczone, no ale jednak Stany Zjednoczone też hakują Chińczyków i tak jak powiedziałem na początku, wszyscy tam siebie hakują. Więc free for all. Trochę. Nie, no wiadomo, są tam jakieś allegiance i wiadomo, pięć oczu, five eyes, to się może nie hakuje między sobą, ale hakują innych, a ci inni hakują ich. Więc no, tak to niestety wygląda na świecie. Cyber security to poważna rzecz. Nie to, co kiedy zaczynają. Jak zaczynają. 20 lat temu, to easy peasy, lemon squeezy się hakowało, serwery podmieniało, robiły jakieś defacy i wszyscy byli zadowoleni. A teraz to jakieś poważne sprawy. Oczywiście żartuję. Bo tutaj jeszcze wspomnę, jest taka książka Lot nad kukułczym gniazdem. Nie, przepraszam. Nie Lot nad kukułczym, to jest film. To co innego. Kukułczy jajo, w którym jest opisywany case, gdzie hakerzy z… ze wschodniego bloku, ze wschodniego Berlina, hakowali świat zachodni, m.in. Stany Zjednoczone, tam Clif Stoll opisuje cały case, ale to pokazuje, że nawet pod koniec lat 80. już takie akcje się działy, więc to całe cyberbezpieczeństwo. to jednak jest trochę starsze niż 20 lat. Dobra, Krzysiek, chciałeś coś powiedzieć?

Krzysztof: Czyli byłeś haktywistą. To chciałem powiedzieć, chciałem ci wejść w słowo.

Andrzej: Nie, ja byłem takim ScriptKiddy. No bo faktycznie podmieniałem strony. Ja nie podmieniałem ich w imię wyższej idei. Ja je podmieniałem, wiesz, hacked by. Więc kiedyś był taki portal hacking.pl i na hacking.pl można było wejść w dział, w którym było listowane te podmienione strony. No i wiadomo, jak się miało tam jakąś stronę, to od razu rosła, rósł respekt na dzielni, nie? Wśród innych dzieci. bo poważni dorsi ludzie to mieli pewnie ciekawsze zajęcia.

Krzysztof: No tak, no tak. Dobrze, to już wiemy, znamy przeszłość Andrzeja, wiem czym się zajmował i dlaczego nie był haktywistą, dlaczego był ScriptKiddy. A jeżeli nie chcecie zostać ScriptKiddy, to posłuchajcie tego, albo może inaczej, jak nie chcecie zostać złymi programistami, to posłuchajcie tego, bo ScriptKiddy i tak nie posłuchałem. ScriptKiddy wkleją wszystko, co im LLM. Wypluje. Więc… Nie mogłem się opanować. Nie mogłem się opanować. Prawdziwe programowanie to tylko w assemblerze, nie?

Andrzej: LLN-y, kursory, XD.

Krzysztof: Abstrakcje, jakieś frameworki. Słuchajcie, Truffle Hogger część z was może kojarzyć. Na pewno kojarzy ja i Andrzej, bo mówimy o nim dosyć… dużo w module poświęconym statycznej analizie, a w szczególności detekcji sekretów w naszym kursie ABCD, który niedługo rusza z drugą edycją. Będzie można wpaść i posłuchać.

Andrzej: Osiem tygodni, proszę państwa. Osiem tygodni.

Krzysztof: Osiem tygodni, dokładnie. Tego mi zabrakło. Osiem tygodni do startu. I Truffle Hog to jest firma, która robił biznes na detekcji sekretów. Ma własne narzędzie, które nazywa się właśnie Truffle Hog. I Truffle Hog prowadzi też bardzo ciekawego bloga, którego ja bardzo lubię sobie od czasu do czasu poczytać, ponieważ case’y, które tam przedstawiają są naprawdę bardzo ciekawe. I tutaj… Coś, co może nie jest jakoś super odkrywczego, ale Truffle Hawk robi taki mini research dookoła tego, jak elemy uczą programistów złych nawyków związanych z hardkodowaniem kluczy. Wiecie, problem jest jakby poważny, no bo miliony takich sekretów krążą po publicznych repozytoriach kodu, a teraz zamiast elemy, które mają nas wspierać i wspierają nas w wielu rzeczach, ale akurat w tej nie są jeszcze najlepsze, przy okazji… W szczególności, jeżeli nie za bardzo skupiamy się na tym, jak wygląda nasz prompt i tak dalej, i tak dalej, co wiem, że nie jest wcale tak proste, żeby ten prompt fajnie sobie skraftować, no to LN-my pogarszają ten stan związany z ilością sekretów. No bo jakby nie patrzeć, i to mówię teraz w dużym, dużym uproszczeniu, Duże modele językowe działają jak modele statystyczne, więc jeżeli sobie weźmiemy rozkład normalny, to tam w tym centralnym punkcie na szczycie, gdzie mamy modę, można przewidywać z dużym prawdopodobieństwem, że output z takiego LL, z jakiegoś zapytania, będzie starał się dopasować w… sam środeczek, czyli w modę. No a większość internet, kodu, który krąży po internecie jest po prostu gówniany, nie oszukujmy się. Szczególnie ten, który jest…

Andrzej: Mocne słowa, mocne słowa, ale w pełni się zgadzam.

Krzysztof: Wiecie, szczególnie ten, który jest publiczny, a jak jeszcze dołożymy do tego i zawędzimy to do tego, w jaki sposób ludzie pokazują, jak obchodzić się z sekretami. to to jest naprawdę dno i 5 metrów mułu. No i Truffle Hawk na przykład pokazuje przykład Devina. Pamiętacie jeszcze Devina, bo w tym świecie LLM-u, w którym co 5 minut wychodzi nowy model, można się troszeczkę zgubić. Devin, czyli genialny AI, agent, programista, który ma nas wszystkich zastąpić. Chwilę po starcie. wrzucił klucze API do swojego publicznego repozytorium na GitHubie, więc to pokazuje, że nawet te super najbardziej wyhajpowane narzędzia, a w szczególności te najbardziej wyhajpowane narzędzia, nie są idealne. No i Trafalhawk testuje w tym swoim mini-researchu ten problem, stara się go zreplikować. Pokazuje w swoim artykule dwa przykłady z dokumentacji dwóch paczek, dwóch SDK, jedna dotyczyła Slacka, druga Stripe’a. No i w docs’ach tych paczek, w docs’ach na przykład od Slacka, token zaczytywany jest jako zmienna środowiskowa, co generalnie jest dobrą praktyką. Zaś w Stripe’ie, w docs’ach od tej paczki, ten token jest hardkodowany jako zmienna w kodzie. I co gorsza, nawet gdy dostępne są bezpieczne przykłady, takie jak ten ze Slacka, w którym token jest brany z os.envirum, bo tu mieliśmy akurat przykład z Pythona. No to takie modele jak GPT-4.0, GPT-01 czy Cloud3. Nie, to był Cloud3.opus. I tak pokazują, że korzystając z tej paczki, no to w zasadzie możesz sobie ten sekret zahardkodować w kodzie. Jeżeli mówimy o takich środowiskach programistycznych IDE, no ja wiem, że nie każdy uważa VS Code za IDE, ale to jest znowu dyskusja czysto filozoficzna, czy to jest pełnoprawne IDE, czy nie, to już to już zależy. Zostawiam to wam, powiedzcie w komentarzach, czy według was VS Code to jest pełnoprawne IDE.

Andrzej: Jest dobre pytanie. Ja mógłbym znaleźć argumenty i za, i przeciw, ale chyba tak na szybko znalazłbym więcej przeciw niż za. Chociaż, kurczę, jak powgrywam różne pluginy, to…

Krzysztof: Myślę, że tak. Musimy go scraftować pod własne zapagania, chociaż, no mówię, to dla mnie to jest dyskusja taka czysto filozoficzna. No to VS Code… zarządzany przez Microsofta, który ma również GitHub, a wrzucił tam teraz swojego co-pilota. No to co-pilot też potrafi, w zależności chyba od nastroju, o ile może mieć jakiś nastrój, w zależności od pogody, od czegokolwiek. potrafi podpowiadać raz rozwiązania, w których te sekrety są hardkodowane, a raz rozwiązania, w których te sekrety są brane ze zmiennych środowiskowych. I autorzy tego artykułu w zasadzie nie doszli do tego, w jaki sposób determinuje tą odpowiedź. Dlaczego raz podpowiada tak, a raz odpowiada tak. Więc wiecie, modele językowe dosyć mocno i w ogóle całe AI obniżają próg wejścia do programowania i to jest spoko. coraz więcej osób może zacząć prototypować, może zacząć cokolwiek pisać.

Andrzej: Prototypować.

Krzysztof: Tak, prototypować to jest słowo klucz.

Andrzej: Dokładnie, to jest słowo klucz. Tak, coraz więcej osób może prototypować, ale prototypowanie to zupełnie co innego niż tworzenie produkcyjnego systemu. I tak samo jak można prototypować z LLM, ale potem produkcyjny kod. to jednak będzie się trochę różnił, bo w produkcyjnym kodzie zależy nam bardzo na utrzymywalności. I ten sam case jest z no code. Ten sam case jest w no-code. Jasne, że można sobie zrobić jakiś prototyp w no-code, ale potem na koniec dnia utrzymywanie tego jeszcze w dużej organizacji, no to jest XD, więc takie przynajmniej na chwilę obecną mrzonki, że AI czy no-code zastąpi potrzebę programistów, no nie. No nie. Może kiedyś, ale jeszcze nie. Ale dobra, wszedłem ci słowo. Krzysiek, kontynuuj.

Krzysztof: Tak, bo to, co powiedziałem, no… Elemy niewątpliwie obniżyły próg wejścia w programowanie, więc coraz więcej osób z jakiegokolwiek doświadczenia zaczyna sobie sklejać na taśmę fragmenty kodu i powstają jakieś właśnie prototypy, proof of koncepty. Ale rodzi to też zagrożenia związane z tym, że te osoby nie mają świadomości jakości tego kodu. i przez jakość mam nie tylko na myśli aspekty funkcjonalne. A mam na myśli również te aspekty niefunkcjonalne, jakim jest bezpieczeństwo, performance itd. No i w szczególności te osoby, które nie mają tej świadomości, to one są najbardziej narażone na popełnienie takich błędów. A jeżeli ktoś bezmyślnie jeden do jednego przykleja ten kod, no to w mojej opinii nie ma na tyle świadomości, żeby potem na przykład skontrować go z jakimś innym modelem, który służy do tego, aby powiedzieć mu, że ej, tak jak staczna analiza, tutaj może popełniłeś błąd, więc kto będzie pilnował strażników na sam koniec

Andrzej: dnia? Exactly, ja tutaj podoba mi się, że właśnie mówisz o tym braku świadomości, bo ja w ogóle sobie dzisiaj myślałem i… Pokróci się o stwierdzenie, że większość naszych problemów w życiu, tak trochę szerzej, nie chodzi tylko o IT czy karierę, wynika z rzeczy, z wiedzy, której nie wiemy, że nie wiemy. Bo są cztery typy. Wiemy, że coś wiemy, wiemy, że czegoś nie wiemy. Wiemy, ale nie wiemy, że wiemy. No i możemy też nie wiedzieć, że nie wiemy. I to nie wiemy, że nie wiemy jest jednym z najgroźniejszych. Być może jest trochę zako z rzeczami, które myślimy, że wiemy, ale to jest nieprawda. Więc może, ale wydaje mi się, że jednak większość, że jednak na pierwszym miejscu byłoby to, czego nie wiemy, że nie wiemy, czyli totalna nieświadomość w ogóle istnienia. Bo gdybyśmy po prostu byli świadomi, że coś takiego istnieje, my nie musimy znać szczegółów. Ale sama ta mentalna zakładka, no to tak jak już powiedziałeś, to rzucę do silnika analizy statycznej. Nawet nie muszę rozumieć, na czym polega problem. Ja mogę skorzystać z innego narzędzia. Ja mogę nawet samemu LLM-owi powiedzieć, ty wiesz co, zrób, żeby ten kod był bezpieczny. No ale najpierw muszę w ogóle wiedzieć, że kod może być bezpieczny lub niebezpieczny. A jak w ogóle nie mam technicznego backgroundu, no to ja w ogóle nie wiem, że kod może być bezpieczny albo niebezpieczny. Jakie bezpieczeństwo? W ogóle… Nie jest to gdzieś tam na mojej mentalnej mapie, że kod może być niebezpieczny, że aplikacja może być niebezpieczna. Oczywiście prędzej czy później, jak się sparzę, to się nauczę. Albo i nie. Ale niestety często trzeba się najpierw sparzyć, dopiero potem ta lekcja przychodzi. Jeszcze tutaj odnośnie tych LLM-ów chciałbym dodać jedną rzecz. W tym miesiącu też wyszedł taki, nie tutorial, ale bardziej omówienie przez Andrzeja Krapatwiego, jednego ze współtwórców OpenAI-a. i generalnie GPT. Wyszło takie wideo, gdzie Andrzej opowiada o tym, jak działają LLM-y. Video ma ponad trzy godziny, ale generalnie polecam. Jest dobre.

Krzysztof: Świetne nagranie.

Andrzej: Świetne, no tak.

Krzysztof: Jest to w połowie.

Andrzej: Ja też jeszcze nie przejrzałem całego, też jestem w połowie, ale otwiera oczy. A, tak, dlatego to działa. I faktycznie… Jest to fajne nie tylko dlatego, że otwiera oczy, fajnie, spoko, ale pokazuje też, że jeśli ktoś realnie rozumie, naprawdę jest ekspertem, jest najwyższej klasy ekspertem w danym temacie, to potrafi mówić o skomplikowanych rzeczach w prosty sposób. I to jest jedna z najważniejszych cech, która odróżnia prawdziwych ekspertów od pseudoekspertów, od ludzi, którzy w Dunic Krugerze są jeszcze, no, mi się wydaje, że jestem ekspertem, nie? Dwa lata doświadczenia, XD. Nie, nie jesteś ekspertem. Ekspertyza to pewna progresja i można mieć i dziesięć lat i nie być ekspertem. Kto nie zna seniora z dziesięcioletnim doświadczeniem tylko dziesięć razy, dziesięć razy po jeden rok, nie? No to nie piosisz drzwi kamień, oczywiście. Więc długość stażu wcale tutaj nie ma znaczenia, bo co ma znaczenie to praca głęboka i praca świadoma nad poprawianiem swojego skilla myślenie o czymś. to ma znaczenie, a nie tylko 10 tysięcy godzin. 10 tysięcy godzin, ale z tak zwanym deliberate practice, a nie samo 10 tysięcy godzin. A tutaj, słuchając właśnie Andrieja, możemy zobaczyć, że okej, nie dość, że jest topowym ekspertem w tym, czym się zajmuje, Tutaj nie będę nawet używał czegoś takiego jak najlepszy, bo jak mówimy o ekspertach, to nie ma czegoś takiego jak najlepszy, najlepszy ekspert. Tak samo jak realnie w sportach nie ma najlepszy sportowiec. Jak ktoś jest w pierwszych trzech miejscach, oczywiście jak ktoś jest na trzecim, to może nie być zadowolony, ale tam to już jest po prostu szczęście. Tam są takie zmienne jak wyspałem się albo nie wyspałem się, czy będę na pierwszym, czy na drugim. Więc trudno jest mówić o najlepszym ekspercie, po prostu mówimy o topce. Więc Andrzej jest na pewno w topce ekspertów w tym, czym się zajmuje i potrafi mówić o tym w prosty sposób. Czemu? Bo tak dogłębnie rozumie to, o czym mówi. Że potrafi mówić o tym prosto. A gdyby tego nie rozumiał, no to nie mógłby mówić prosto, bo musiałby się odnosić do różnego rodzaju sformułowań ETC, których nie potrafi przełożyć na prostszy język. A czemu? Bo ich tak naprawdę do końca nie rozumie. No on je właśnie rozumie. Więc tutaj podwójnie możemy zrozumieć… LLM-y, ich działanie, po pierwsze zrozumieć działanie LLM-ów, a po drugie możemy zobaczyć prawdziwego, najwyższej klasy eksperta w akcji, więc podwójna przyjemność.

Krzysztof: No i możemy to, co powiedziałeś Andrzej, zwieńczyć cytatem Alberta Einsteina, wybitnego finzyka, który kiedyś powiedział, że bodajże zaleciało tak, jeśli nie potrafisz wyjaśnić czegoś prosto, to nie rozumiesz tego wystarczająco dobrze.

Andrzej: Tak, tak.

Krzysztof: Słowa Alberta.

Andrzej: Dokładnie tak. I to jest też dobra taka heurystyka, że jeśli my z czymś mamy problem, żeby to wytłumaczyć, to być może tego po prostu nie rozumiemy. I to jest takie doświadczenie, które pozwala nam nabrać trochę pokory. Ja na przykład często się łapię, że jak wchodzę w jakąś dziedzinę albo w jakiś temat, takim ostatnim dużym tematem, w który wchodziłem, no to był system finansowy i wszystko z tym powiązane. I na początku, jak próbowałem o tym rozmawiać, to sam się łapałem, że to, co mówię, ja tego, ja nie rozumiem, co ja mówię. Tak? Tyle jest różnych odnóg i paplaniny. A co dopiero ta osoba, do której to mówię? No właśnie dlatego, że byłem na początku i nie potrafiłem o tym mówić. Prosto. Bo tak naprawdę do końca sam tego jeszcze nie rozumiałem. Nie miałem tego niejako wbudowanego, nie miałem przemyślanego tego w ten sposób, w jaki mam teraz. Teraz potrafimy to wyłożyć i wyjaśnić w dużo prostszy sposób, dlatego że już po tych kilku latach rozumiem to dużo lepiej, dużo głębiej niż rozumiałem to na początku. No ale właśnie, to zrozumienie się wzięło z przerabiania, z myślenia, z czytania, z pogłębiania wiedzy. przede wszystkim po prostu z myślenia, z cały czas obcowania, z takim wrestlowaniem się, z zapasy z tym tematem. Stąd się bierze zrozumienie. Ale jak jesteśmy przy AI-u, to ja mam jedną rzecz. bo też mi wpadła. To w zasadzie wpadło mi już jakiś czas temu, bo to nie jest nic z 2025 roku, to jest jeszcze z poprzedniego roku. Wydaje mi się z czwartego kwartału, ale na pewno z 2024. było takie opracowanie z Microsoftu Microsoft AI Red Team, który wypuścił red teaming tych generatywnych AI. Taki opis na podstawie 100 przypadków, 100 engagementów, które przeprowadzał Red Team w Microsoftzie. Jakie podobieństwa w tych wszystkich engagementach znaleźli? Takie 8 topowych problemów, może nawet nie tyle problemów, co takich szerokich zagrożeń, które… które można spotkać w Gen.ai, w AI generatywnym, czyli między innymi w LLM, ale również w innym generatywnym AI, który generuje obrazki czy dźwięk. I te osiem rzeczy, to jest wylistowane osiem punktów. Po pierwsze, sam papierek jest ciekawy, bo też wprowadza model zagrożeń, wprowadza odnośniki do innych frameworków, których używa się przy ocenie, przy asesmencie bezpieczeństwa systemów AI-owych, ale te osiem punktów to jest tak, understand what the system can do and where it is applied, no to to jest po prostu zrozum, co system może zrobić i gdzie jest aplikowany, no to jest taka podstawa w modelowaniu zagrożeń, więc to wiadomo. Red teaming generalnie, one są takie trochę generyczne, że przykładowo red teamowanie systemów AI nie jest benchmarkowaniem tego systemu. Czyli nie zależy nam na tym, żeby zbenchmarkować coś, tylko żeby to miało jakąś implikację związaną z bezpieczeństwem. Więc to jest takie trochę, ja bym powiedział, ogólne. jest zbyt ogólne, żeby używać tego do oceny, chodzi mi tego dokumentu i tych ich wylistowanych wniosków, żeby wykorzystywać to do oceny bezpieczeństwa systemów, jeśli ktoś takie buduje, ale te narzędzia, które są wymieniane w tym papierku, one jak najbardziej są, no one są już konkretnymi narzędziami, które można wykorzystać do oceny. Między innymi, jak to się nazywało, Krzysiek, pomóż mi. to z Mitre, nie Atak, nie Defend, Atlas. Więc Atlas to jest coś podobnego do Atak, coś podobnego do Defend, ale właśnie dla systemów LLM-owych, AI-owych. Pominę te kolejne osiem, może, nie wiem, wrzucimy jakiś obrazek z tym, albo na pewno podlinkujemy sam papierek, ale to jeśli ktoś ma do czynienia z systemami AI, jeśli ktoś, nie tylko od strony bezpieczeństwa, ale może przede wszystkim od strony budowania, inżynierii, architektury, to warto sobie to przeczytać, rzucić na to okiem i mieć to gdzieś z tyłu głowy, bo wracając do tego, o czym powiedzieliśmy wcześniej, najczęściej gryzie nas to, czego nie wiemy, że nie wiemy. Więc tutaj przeczytając ten papierek możemy się dowiedzieć czegoś, czego nie wiemy i dzięki temu będziemy bezpieczniejsi, bo nawet jeśli… w tym punkcie czasu nie wykorzystamy tego, to przynajmniej będziemy mieć mentalną zakładkę, że coś tam takiego jak Atlas jest, więc jak będzie mi zależało na bezpieczeństwie tego LLM-a, który na razie jest pocem, ale potem będzie produkcyjny, to ja wcześniej sobie pójdę do tego Atlasu i sobie przetestuję bezpieczeństwo tego, co testuję, albo komuś to zlecę, więc tutaj usuwamy te unknown unknowns. Dobra, w zasadzie z mojej perspektywy jest tylko jeszcze jedna rzecz, o której chcę wspomnieć, ale Krzysiek, oddaję na razie mikrofon w Twoją stronę. Proszę Państwa, proszę kliknąć lajka i proszę zasubskrybować kanał. Subskrybujemy tam na dole, a lajki, lajki też klikamy tam gdzieś na dole, więc na dole można zrobić i jedno, i drugie. No chyba, chyba, że nie słuchacie tego na YouTube, tylko słuchacie tego na platformie czysto podcastowej, takie jak… Spotify, Apple Podcasts, czy inne oprogramowanie do odsłuchiwania podcastów. W takim wypadku również, również proszę o suba, bo jednak te suby to się liczą. Im więcej subów, im więcej lajków, tym algorytm poleca nasz szerszej ilości odbiorców. co wpływa bezpośrednio na nasz poziom zadowolenia. Lajkujcie, subskrybujcie. No i oczywiście, jeśli są jakieś pytania, albo jeśli chcecie, żebyśmy poruszyli jakiś wątek w przyszłych odcinkach, to dajcie znać. Jeśli dacie znać w komentarzach, to postaramy się taki temat lub jakiś konkretny news poruszyć, wrócić i omówić z naszej eksperckiej perspektywy.

Krzysztof: Okej. Bardzo ciekawa rzecz, o której przeczytałem dzisiaj i od razu sobie sporządziłem z tego notatkę. Atak Who Am I? przeprowadzony przez researcherów z Data Dogger, czyli proof of concept takiego ataku, bo oni przeprowadzali go jako ta strona typowo taka ofensywna, ta zła strona. A zanim opowiem o tym ataku, o tym wektorze, to muszę powiedzieć, czym jest AMI w Amazonie. AMI to jest Amazon Machine Image, czyli prekonfigurowany obraz systemu operacyjnego i oprogramowania używane do uruchomienia waszych instancji EC2, czyli waszych wirtualnych sermerów właśnie w chmurze AMOES-a. I takie AMI zawiera wszystko, od systemu po aplikacje, biblioteki, wszystko co jest potrzebne łącznie z ustawieniami, aby szybko stworzyć na podstawie tego… żeby szybko taki obraz uruchomić na EC2. No i Amazon oferuje własne AMI w swoim Marketplace’ie, jakie obrazy mogą dostarczać firmy lub sama społeczność. No i tak jak powiedziałem, to wszystko można znaleźć w publicznym Marketplace’ie AWS-a. Część tych obrazów jest darmowa, część jest licencjonowana i płatna. No i tak, istnieją publiczne. i prywatne AMI. Każde AMI ma swój identyfikator, który jest unikalny w całej przestrzeni AWS-a i w przypadku publicznych użytkownicy mogą wyszukać w katalogu AWS-a odpowiedni identyfikator AMI, którego potrzebują. Aby upewnić się, że takie AMI pochodzi z zaufanego źródła, no to trzeba zweryfikować, kto jest twórcą tego obrazu. Ale bardziej Częstszą praktyką, może nie częstszą, ale praktyką, która również jest często spotykana, to jest to, że nie definiujemy, nie szukamy sobie tych obrazów stricte po ID-kach, tylko szukamy ich po prostu po nazwach, a bardzo często szukamy ich poprzez różne skrypty, które korzystają z API Amazona i posługujemy się wild. kardami, żeby było nam po prostu prościej. No i tutaj właśnie wchodzą cało na biało badacze z Datadoga, którzy odkryli niedawno nową metodę ataku na Amazona, na AWS-a nazwaną Who Am I? I ja tutaj mam, Andrzej, takie pytanie, bo swoją drogą zawsze podoba mi się, że researcherzy prześcigają się w pomysłach nie na… super zajebisty wektor ataku, tylko na nazewnictwo swoich znalezisk. Zgodzisz się, czy nie?

Andrzej: Tak, wiesz co, ja jeszcze, ja w security byłem wtedy, kiedy jeszcze to nie miało miejsca, ale cała jazda chyba się zaczęła od 2013-2014 roku, gdzie takim nominalnym, może nominalnym, takim ważnym wydarzeniem był Heartbleed. I od wtedy już każda podatność taka duża miała swoją nazwę. I oczywiście często swój landing. No, traktują marketing. SEO, SEO. Tak, dokładnie tak.

Krzysztof: No i tak, atak nazwany jako WhoMai wykorzystuje pewną lukę w sposobie, w jaki wybierane są te AMI, czyli gotowe konfiguracje, gotowe obrazy maszyn wirtualnych. No bo wyobraźcie sobie, że ktoś publikuje fałszywy obraz AMI w amazonowym publicznym marketplace’ie z nazwą identyczną do tego, z którego… identyczną nazwą do obrazu, którego wykorzystacie. Na przykład popularny obraz na EC2. popularny obraz, którego możecie używać, czyli na przykład Amazon, Amazon Linux 2. No klasyka gatunku. Można powiedzieć, że mamy to do czynienia z takim dependency confusion, tak? No bo podszywamy się niejako pod jakąś zależność. Tutaj tą zależnością jest system operacyjny. No i jeżeli wasze systemy automatycznie wybierają najnowszy obraz bez weryfikacji właściciela, to mogą naciąć się i uruchomić złośliwy obraz na waszym serwerze, na waszej EC2. I tutaj było tak właśnie w przypadku Terraforma, kilku konfiguracji Terraforma, gdzie domyślny przykład w doksach, jakbyście sobie wyszli na doksy… hashicorpa, konkretnie na doxy providera w USA, to co domyślny przykład w doksach pokazuje wybieranie najświeższego obrazu. Tam można zdefiniować sobie taki atrybut most recent, ustawić go na true. No i ten przykład tego, w jaki sposób to definiujemy, ten kawałek infrastruktury nie weryfikuje ownera. No i w takim przypadku, jeżeli byśmy po prostu bezmyślnie wzięli ten przykład z… doksów hashicorpa, no to bylibyśmy podatni na ten atak. Terraform teraz od jakiejś tam wersji, gdy będziemy chcieli zrobić to w taki sposób, no to po prostu poinformuje nas tym ostrzeżeniem, ale come on, no kto czyta te ostrzeżenia? Gdybyśmy wszyscy czytali ostrzeżenia, to świat byłby dużo bardziej bezpieczny. Dokładnie. No i tak, Amazon potwierdził, że wewnętrzne systemy nieprodukcyjne zostały zaafektowane tym atakiem, który przeprowadzał na przestrzeni kilku miesięcy DataDog tym researchem. Oczywiście wcale nie dziwi mnie to, że powiedzieli, że były to nieprodukcyjne wewnętrzne systemy. Nie spodziewałbym się po Amazonie, że powiedziałby, nie, tak, produkcyjne serwisy używane przez naszych największych klientów zostały zaafektowane takim atakiem. Pozdrawiamy.

Andrzej: Pozdrawiamy i idziemy na weekend, idziemy na piwo. Dokładnie.

Krzysztof: I ostatnie takie moje przemyślenie, jeżeli chodzi o attack who am I, to kolejny przykład, który pokazuje, że supply chain to jest coś tylko więcej niż tylko te paczki, które zaciągamy z MPM. A tutaj przykład DataDoga pokazuje, że nawet całe obrazy systemów operacyjnych w kontekście usług chmurowych, na których te obrazy… chcemy uruchamiać, może być przykładem takiego ataku. No a co tutaj dużo mówić, jeżeli uważacie, że to powinna być odpowiedzialność Amazona, no to Amazon wyśle wam po prostu link do swojego słynnego shared responsibility model, w którym wszystko wyjaśnia, gdzie za co Amazon jest odpowiedzialny, a gdzie wy jesteście odpowiedzialni za swoje własne bezpieczeństwo w murze.

Andrzej: Tutaj nie wiem, tutaj nie jestem pewien, czy nie dałoby się wchodzić i podważać tego, bo na koniec dnia, jeśli to było na marketplace’ie, to można zakładać, że to jest odpowiedzialność Amazona za to, żeby ich marketplace był bezpieczny i żeby nie dało się mieć dwóch obrazów o tej samej nazwie i żeby nie dało się mnie wprowadzić w błąd. Tylko pytanie jest takie, czy nawet jeśli mam rację, to czy jestem w stanie ją udowodnić i czy stać mnie na tych prawników i na tak długi proces prawniczy, co Amazona?

Krzysztof: No nie. Andrzej, Andrzej, ja rzucę tylko argumentem, może nie z Marketplace’u Amazona. To powiedz to użytkownikom Google Play Store. Snap!

Andrzej: No, ale nie. Dokładnie tak. I możemy mieć rację, a na koniec dnia i tak nie ma to znaczenia, bo no, bo trzeba mieć rację i środki. A z dwojga z tego lepiej mieć środki niż rację. bo nawet jak wtedy nie mamy racji, to możemy jakoś z sytuacji wybrnąć. Dobra, teraz jak już mówimy o środkach, to na pewno gdybyśmy mieli tyle środków, ile ostatnio ukradli z Bybitu, czyli singapurskiej platformy…

Krzysztof: Krypto?

Andrzej: Tak, platformy krypto. No to na pewno moglibyśmy się gdzieś tam z tym Amazonem bić w sondach, bo wykrali z niej półtora miliarda dolarów XD. D, d, d, d, d, d, d, d. Ale, by the way, to są ci twoi ulubieni hakerzy koreańscy, wiesz? Nie ci z South, tylko z North.

Krzysztof: A, okej. Bardzo ich lubię.

Andrzej: No, oni, wiesz, oni, nie wiem, czy oni ciebie lubią, ale ty ich lubisz, to wiem na pewno. Fajne chłopaki, mają trochę sukcesów na koncie przez ostatnie lata. No i tutaj kolejny sukces, półtorej bańki, bańki? To więcej niż półtorej bańki, to bardzo dużej bańki, nie? Półtora miliarda dolarów wykradzione. Jak? Poprzez schakowanie ludzi, czyli… dość słabszego ogniwa w łańcuchu. No po prostu zhakowaniu ich komputerów i podmiana w locie adresów, więc wiecie, ja widzę na ekranie coś, ale tak naprawdę na koniec dnia to coś idzie gdzieś indziej. I podczas korzystania z Cold Walletów, z Hot Walletów i przerzucania funduszy z Hot Walleta do Cold Walleta, no jak robię to na komputerze, który jest spawnowany, I to komputer może mi wyświetlać jedno, a pod spodem robić co innego. Więc tutaj to bezpieczeństwo operacji OPSEC jest mega ważne, szczególnie jeśli jesteśmy crypto exchange’em, który obraca takimi sumami pieniędzy. To tak naprawdę w zasadzie powinniśmy mieć… Dla mnie to jest pierdolny absurd, że oni mieli komputer, na którym przesyłali takie środki, to oni tam w ogóle sprawdzali jakiegoś maila czy inne takie rzeczy. Ten komputer to powinien być w ogóle w odzizolowanej sieci. Tam powinno być bezpieczeństwo fizyczne bardzo mocne. Ten komputer technicznie, nawet jeśli musi się łączyć z internetem, to nie powinien się na pewno łączyć z żadnymi innymi komputerami w sieci lokalnej.

Krzysztof: Oczywiście, segmentacja, wycięcie tego całkowicie.

Andrzej: Totalna paranoja. Ja takie rzeczy bym robił, jakbym obracał, nie wiem, funduszem, który ma 10 tysięcy złotych, no nie przesadzam, ale który ma ileś tam milionów, a co dopiero miliardy. To jest absurdalne, absurdalne, więc można nawet… się pokusić, że było to bardzo duże… Kurczę, teraz nie mogę znaleźć słowa, ale generalnie był to po stronie operatorów bardzo, bardzo, bardzo duży fuck up. Nie wiem, jakie będą tam implikacje. Ale z boku jako pasywny obserwator to XDA, jak już jesteśmy przy Singapurze, bo ta crypto exchange jest z Singapuru, to powiem, że byłem w Tajlandii, byłem w Singapurze i w Singapurze. moja ocena Singapuru jest taka. Dopiero jak zobaczysz prawdziwe bogactwo, to zdajesz sobie sprawę, jaki jesteś biedny. I tak właśnie się czułem w Singapurze.

Krzysztof: Ale wychodziłeś, wychodziłeś poza lotnisko?

Andrzej: Wyszedłem poza lotnisko, no właśnie, mogłem nie wychodzić. Właśnie. Wyszedłem poza lotnisko i niestety… No, panie, panowie, są ludzie, co naprawdę mają pieniądze.

Krzysztof: Słuchajcie, no Kim Jong-un po tym ataku… Też ma. Cały ród Kimów jest już ustawiony.

Andrzej: No więc, dobra, tym pozytywnym akcentem kończymy dzisiejszy odcinek podcastu. Krzysiek, bardzo miło było się przeciąć. Teraz robimy szybkie switcheru i wskakujemy do spotkania naszej społeczności.

Krzysztof: Tak, dzięki wielkim Andrzej i do usłyszenia za chwilę, a z wami, którzy słuchają tego podcastu, do usłyszenia za miesiąc.

Andrzej: Tak, do usłyszenia, do zobaczenia. za miesiąc.

Sprawdź pozostałe odcinki →

Obszary

Tagi

Assessment Podcast

Zobacz naszą ofertę

Zaciekawiła Cię tematyka tego artykułu? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →