Pół miliona złotych za tydzień pracy. Na szkolenia Niebezpiecznika przychodzą tłumy

Wykłady Niebezpiecznika pt. „Jak nie dać się zhackować?” biją rekordy popularności. Traktują o tym, na co uważać podczas korzystania z internetu na komputerze i smartfonie. W ciągu ostatnich 11 miesięcy odbyło się 15 szkoleń i wykładów w 8 miastach rozsianych po całej Polsce. Wzięło w nich udział 2,5 tysiąca osób, które za bilety zapłaciły w sumie 560 tys. zł.

A koszty? Organizacja wykładów nie należy przecież do tanich - trzeba choćby wynająć salę czy zapłacić za dojazd i nocleg trenerów. Koszty opiewały 81 tys. zł. Piotr Konieczny podaje, że zysk wyniósł 503 tys. zł .

Niezła stawka, prawda? Trzeba jednak wziąć pod uwagę, że Piotr Konieczny - twórca Niebezpiecznika - na swój sukces pracuje od 13 lat. Tyle czasu zajmuje się bezpieczeństwem w sieci.

Większość czytelników kojarzy go zapewne z serwisu Niebezpiecznik, gdzie razem ze współpracownikami zajmuje się opisywaniem najciekawszych technik hakerskich czy doradzaniem internautom w zachowaniu bezpieczeństwa w sieci. Gros przychodów czerpie jednak z innego miejsca.

Trenerów zajmujących się szkoleniami zatrudnia dwunastu. Każdy z nich specjalizuje się w innym obszarze nowych technologii.

Karol Kopańko, Spider's Web: Jaki jest twój „sekretny sos”? Od lat jesteś na topie w tematach bezpieczeństwa w internecie, a miejsca na twoich szkoleniach rozchodzą się jak ciepłe bułeczki.

Piotr Konieczny, Niebezpiecznik: Dziękuję, to bardzo szczodra ocena, ale chyba trochę na wyrost. Staram się co prawda trzymać rękę na pulsie i wciąż chłonąć nowinki z branży, ale w Niebezpieczniku mamy osoby, które zdecydowanie przewyższają mnie kompetencjami w konkretnych dziedzinach bezpieczeństwa. Wstyd się przyznać, ale są dni kiedy ja więcej hackuję w Excelu niż w naszym labie. Niebezpiecznik przez ostatnie lata sporo się rozrósł i przejście z małej firmy w średnią generuje czasem bardzo niehackerskie problemy. Niestety część z nich mogę rozwiązywać tylko ja... a to zabiera cenny czas.

Jak go znajdujesz wobec ciągle poszerzającej się wiedzy na temat bezpieczeństwa?

Sektor o nazwie „bezpieczeństwo” jest dziś tak przepastny, że trzeba się sprofilować - więc z założenia nie da się być na topie wszystkich aspektów bezpieczeństwa. Coś musisz wybrać i z czegoś zrezygnować - mówiliśmy o tym w ostatnim odcinku naszego podcastu. Jego motywem przewodnim były rady, jak zacząć swoją przygodę z bezpieczeństwem: gdzie szukać wiedzy i jakich błędów nie popełniać.

Wydawać by się mogło, że teraz wszystko jest już w sieci. Sekretem sukcesu jest jednak sprzedawanie wiedzy, której nikt inny nie daje.

Niestety (i na szczęście!) nie wszystko jest w sieci. To prawda, że w internecie znajdziemy masę przydatnych informacji. Niestety, często porozrzucanych i nierzadko poprzeplatanych z - nie bójmy się tego nazwać wprost - głupotami. To powoduje, że nawet zaawansowane osoby, które chciałyby poszerzyć swoją wiedzę mają problem z oceną tego, czy dany materiał jest pełnowartościowy w każdym aspekcie. No bo jak ocenić, czy coś, o czym nie masz pojęcia, a czego chcesz się nauczyć jest przedstawione w rzetelny sposób? Można oczywiście wybrać drogę potwierdzania każdej tezy w kilku źródłach. Ale to zajmuje czas. A czasu każdy ma coraz mniej.

Bezpieczeństwo to ciągła nauka.

Można nawet zażartować, że od momentu kiedy czytelnik zaczął czytać ten wywiad powstały dwa albo trzy nowe frameworki JavaScriptowe i dobry bezpiecznik powinien je już znać. Żyjemy w świecie przeładowanym informacjami - nie da się wszystkiego wchłonąć, trzeba więc wiedzieć z czego zrezygnować i co naprawdę jest potrzebne. I chyba to właśnie jest sekret Niebezpiecznika.

Czyli skondensowana, dobrze przefiltrowana wiedza?

Nasze szkolenia czy wykłady są maksymalnie mięsiste. Dostajesz tylko sprawdzone, aktualne informacje i porady, które mają najlepszy stosunek efektu do czasu wdrożenia. Dzięki świetnym ludziom--praktykom jesteśmy w stanie tę wiedzę podać przez pryzmat doświadczeń, jakich nie znajdziesz w książkach czy internecie. Bo to czego uczymy, robiliśmy i analizowaliśmy sami setki razy. Wiemy co działa, a co - choć znajduje się w podręcznikach i jest uznawane za tak należy to robić - tak naprawdę jest ściemą i marnuje twój czas i budżet. Niestety, także nasza branża obrosła w głupie mity i miejskie legendy. Jeśli zaczniesz się nimi przejmować, będziesz zabezpieczał się przed zagrożeniami które albo nie istnieją albo w ogóle cię nie dotyczą.

Które ze szkoleń sprawia ci najwięcej frajdy?

Każde. Serio. Ja się naprawdę dobrze bawię. Za. Każdym. Razem.

Ale nie prowadzisz wszystkich, prawda?

Tylko 3: Atakowanie i ochronę webaplikacji, Bezpieczeństwo sieci komputerowych i wykład „Jak nie dać się zhackować?”.

Kto na nie chodzi?

Pierwsze odwiedzają programiści i testerzy, czasem architekci, drugie administratorzy i devopsi, a więc osoby techniczne. Natomiast na wykład może przyjść każdy, o ile tylko korzysta z internetu na komputerze lub smartfonie. Widzisz więc jak różni potrafią być odbiorcy. I to właśnie jest przepiękne! Bo tak różne grupy odbiorców uczą cię pokory i umiejętności prostego tłumaczenia rzeczy skomplikowanych.

Chyba trudno zbudować przekaz, który trafi do każdej grupy.

Odpowiem przykładem z podrobionym e-mailem. O ile adminom można powiedzieć: „aby wykryć czy e-mail jest zespoofowany należy rzucić okiem na nagłówki, znaleźć pierwszy (wiadomo, że od dołu) Received i sprawdzić czy podany tam adres IP pokrywa się z notacją CIDR-ową rekordu SPF dla domeny nadawcy”, to jak zapewne się domyślasz, ten języki nie trafi do Pani Halinki.

Też się zgubiłem pod koniec...

Ostatnio mam fazę na coś, co nazywam „skutecznym zabezpieczeniem”. W mojej opinii zabezpieczenie jest skuteczne jeśli jest (dobrze) używane. Mierzę, jak należy przekazać poradę, aby jak najwięcej osób ją nie tylko zrozumiało ale także zaczęło stosować. Spróbuj np. przekonać kogoś, kto korzysta z tego samego hasła wszędzie (a jest masa takich osób), żeby do 60 różnych serwisów jakich używa ustawił różne, długie i skomplikowane hasła z małą, duża literą, cyfrą i znakiem specjalnym. To się nie uda! Prawie nikt tego nie zrobi, chociaż być może czuje, że to ważne. Ludzie są beznadziejni jeśli chodzi o układanie silnych haseł i jeszcze bardziej beznadziejni jeśli chodzi o ich zapamiętanie.

Czyli walka z wiatrakami?

Dokładnie! Dlatego radzenie ludziom aby budowali „takie, a takie” hasła nie działa! Jest prostszy sposób aby ich nie męczyć takimi z góry skazanymi na niepowodzenie sugestiami. Wystarczy przekazać poradę: korzystaj z managera haseł. Nic o tym jak ma wyglądać hasło nie mówić, a pokazać jak pokazać jak proste jest zainstalowanie managera haseł i korzystanie z niego na komputerze oraz smartfonie. Jeśli Pani Halina potrafi obsłużyć Płatnika, da radę i z managerem haseł, wierz mi. Tylko trzeba jej też wytłumaczyć dlaczego warto to robić (przed czym nas to chroni i jakie mogą być negatywne skutki niekorzystania z managera haseł) oraz pokazać jak synchronizować stan pomiędzy urządzeniami.

Robiłem testy i okazuje się, że do porad związanych z tym jak budować bezpieczne hasło prawie nikt się nie stosuje, albo układa hasła typu Moje%Skomplik0wan3HasloDoAllegro, Moje%Skomplik0wan3HasloDoGMaila. Teraz zgadnij jakie ta osoba będzie miała hasło do Facebooka... I ja się nie dziwię, że nikomu się nie chce pamiętać 60 naprawdę różnych od siebie haseł, to masa roboty! A z managera haseł, jeśli zostanie w odpowiedni sposób pokazany (podkreślam w odpowiedni sposób), zaczyna korzystać prawie każdy. Bo widzi zalety nie tylko pod kątem bezpieczeństwa ale i pod kątem oszczędności czasu.

A która grupa bardziej ci odpowiada na wykładach - doświadczeni czy początkujący?

Praca z normalnymi ludźmi daje mi satysfakcję, że mam realny wpływ na bezpieczeństwo przeciętnych Polaków. A to właśnie oni, a nie pracownicy techniczni, częściej padają ofiarami różnych scamów. To jednak nie oznacza, że stronię od kontaktu z technicznymi - wręcz przeciwnie. Nie ma niczego lepszego niż trzaskanie labów z ludźmi, którzy przyszli na szkolenie z różnych firm i każdy z nich ma inny warsztat i doświadczenia. Tak, trener też się uczy na szkoleniach. Nie mówiąc już o tym, że nasi uczestnicy są bystrzy i często jeśli pokaże się im jak należy myśleć o bezpieczeństwie, to sami zaczynają rozjeżdżać laby zanim jeszcze pojawi się zadanie. Tak się wkręcają! I to też jest piękne. Że da się zaszczepić w innych tę iskrę bezpieczeństwa.

Zdradzisz trochę kuchni związanej z przeprowadzaniem takich warsztatów? Jak radzicie sobie z problemami?

Wszystkie nieprzewidywalne okoliczności staramy się przewidzieć zawczasu. W końcu szacowanie ryzyka to nasza praca!

Dlatego pokazywane na żywo - w trakcie wykładu demonstracje ataków mamy także przygotowane w formie filmów - jako backup - więc jeśli np. padnie internet albo inna infrastruktura, od której zależy atak jest chwilowo niedostępna, to jesteśmy w stanie pokazać je w tej wersji. Mniej spektakularne, ale dowiezione.

Każdy z nas ma też dziesiątki przejściówek, więc nawet podpięcia typu SCART do projektora-telewizora nie są dla nas straszne.

Prelegenci często popełniają ten błąd, że chcą odtwarzać prezentację z chmury...

My eksportujemy ją do PDF-a i umieszczamy na pendrive'ie noszonym w kieszeni (na wypadek kradzieży plecaka), więc nawet jak padnie laptop, damy radę dokończyć na cudzym sprzęcie. To się jeszcze nie zdarzyło, ale kiedyś ten dzień na pewno nastąpi.

Ja mam taki stopień paranoi, że na ważniejsze eventy podróżuje z dwoma laptopami i dwoma routerami (na wszelki wypadek). Więc chyba tylko EMP może nas pokonać. Albo - co bardziej prawdopodobne - alarm przeciwpożarowy lub zepsuty pociąg. A propos pociągów. Mieliśmy raz sytuację, gdzie trener pomylił pociąg i zamiast od Warszawy ruszył w innym kierunku. Ponieważ był to wczesny poranek, zorientował się dopiero za Katowicami. Szczęśliwie, w Opolu, miał znajomego z motocyklem i udało mu się dojechać z tylko 2 godzinnym spóźnieniem, które dzięki przesunięciu lunchu i wcześniejszego startu kolejnego dnia udało się odrobić.

Łał! O takiej historii z konferencjami jeszcze nie słyszałem. 

To świetnie pokazuje, że często obawiamy się nie tego, czego powinniśmy. Ludzie mają tendencję do wyolbrzymiania zagrożeń, które raczej ich nie spotkają i całkowitego bagatelizowania ryzyk, które są bardzo powszechne. Na konferencjach często pokazuję przykład z elektrowniami. W prawie każdym filmie, elektrownie atakują terroryści albo hakerzy.

A w rzeczywistości?

Największym zagrożeniem dla elektrowni są póki co ...wiewiórki. To one najczęściej są przyczyną braku w dostawach prądu. Inny, bliższy nam przykład to dzieci. Każdy rodzic powtarza dziecku „nie rozmawiaj z nieznajomymi”, podczas gdy w rzeczywistości krzywdę dzieciom najczęściej robią znane im wcześniej osoby. Co więcej, to nie przed ludźmi powinniśmy dzieci chronić, bo najczęstszą przyczyną śmierci dzieci do 12 roku życia w Polsce są wypadki samochodowe i zaraz potem utonięcia. Na sposób prowadzenia pojazdów przez innych mamy niestety niewielki wpływ. Ale każdy rodzic może i powinien jak najwcześniej nauczyć swoje dzieci pływać.

Z ludźmi korzystającymi z nowych technologii jest podobnie jak z dziećmi - z różnych miejsc słyszą porady, które choć brzmią sensownie, to nie chronią ich skutecznie przed zagrożeniami, które są najpopularniejsze i najbardziej mogą im zaszkodzić.

Możesz podać przykład?

Wielu z czytelników prawdopodobnie zakleja kamerkę w swoim laptopie albo chowa swoją zbliżeniową kartę płatniczą w różnych osłonkach i traci czas na jej wyjmowanie przed transakcją. Zupełnie niepotrzebnie! Ataki na karty zbliżeniowe lub podglądanie kogoś przez kamerę to działania jak najbardziej technicznie możliwe, ale zdarzające się głównie w amerykańskich serialach, a nie w realnym życiu. W rzeczywistości, jak ktoś ma dostęp do twojego komputera to zamiast podglądać cię przez kamerę, zacznie szyfrować pliki na twoim dysku lub wykradnie hasło do banku. Bo na tym zarobi. I dlatego przed tym każdy internauta powinien się w pierwszej kolejności chronić.

To właśnie jest misją Niebezpiecznika, wytłumaczyć ludziom, że jeśli chcą zaklejać kamerkę to niech ją zaklejają, jeśli to poprawia ich komfort psychiczny - ale niech przede wszystkim regularnie robią kopie bezpieczeństwa i aktualizują oprogramowanie, bo to właśnie m.in. te dwie czynności są zdecydowanie ważniejsze jeśli chodzi o dobrą ochronę przed negatywnymi skutkami „hackerskich ataków”.