CRN Jest Pani jedyną Polką, która otrzymała dostęp do kodu źródłowego systemu Windows. W jaki sposób dochodzi się do takiego wyróżnienia?

Paula Januszkiewicz Zajęło to trochę czasu, chociaż historia jest dość prosta. Już jako dziecko miałam dostęp do komputera i interesowały mnie zagadnienia, które – wiem to dziś – miały bardzo duży związek z bezpieczeństwem danych. Jako uczeń szkoły podstawowej byłam… administratorem sieci. Z kolei w liceum uczęszczałam do klasy o profilu matematyczno-informatycznym. Trafiłam wtedy na wspaniałego nauczyciela informatyki, który obdarzył mnie dużym zaufaniem, więc administrowałam siecią, jak też spędzałam wiele czasu po zajęciach lekcyjnych, aby rozwiązywać różne problemy. Na studiach – oczywiście informatycznych – wybrałam dwa kierunki: bezpieczeństwo sieci oraz zarządzanie bezpieczeństwem informacji. Później pracowałam w firmie konsultingowej, ale finalnie zrealizowałam jedno ze swoich marzeń, czyli założyłam własny biznes w sektorze bezpieczeństwa IT. Microsoft darzy nas bardzo dużym zaufaniem, a mnie, jako osobie z tytułem Most Valuable Professional oraz Microsoft Regional Director, przyznany został dostęp do kodu źródłowego Windows. Zyskana dzięki temu wiedza ułatwia nam prowadzenie wielu badań.

No właśnie, prowadzi Pani własną działalność, ale jednocześnie publicznie przedstawia się jako Microsoft Regional Director. Jak daje się pogodzić pracę w korporacji z prowadzeniem własnej firmy?

Ten tytuł ma trochę mylącą nazwę. Nie jestem i nigdy nie byłam pracownikiem Microsoftu. Jest to honorowy tytuł, który firma przyznaje za wkład w innowacyjność – w każdym kraju tego zaszczytu dostępuje tylko jedna lub dwie osoby. Bardzo blisko współpracujemy z Microsoftem, dostarczamy im wiele usług oraz występujemy na ich konferencjach. Konsekwentnie stosujemy też przyjęte w tej branży zasady etyki: jeśli wykryjemy jakiś problem, to najpierw informujemy zainteresowanego klienta, czekamy, aż niebezpieczeństwo zostanie zażegnane, a dopiero później mówimy o tym na konferencjach. Dzięki tak zbudowanym relacjom cieszymy się bardzo dużym zaufaniem Microsoftu.

Skąd pomysł na założenie własnej firmy? Mając tak ogromne kwalifikacje, nie łatwiej było zostać pracownikiem korporacji na wysokim szczeblu?

 

Firmę Cqure założyłam trochę z przekory, w listopadzie 2008 r., bo dość często słyszałam, że „bezpieczeństwo się nie sprzedaje”. Ja natomiast uważałam, że jest zdecydowanie odwrotnie, tylko trzeba zaoferować wysokiej jakości usługę, która umożliwi kompleksowe zadbanie o bezpieczeństwo przedsiębiorstwa. Od zawsze byłam osobą, której ogromną satysfakcję sprawiało dochodzenie do założonego celu. Jeśli czegoś nie dało się zrobić, to szukałam innej ścieżki, aby to było możliwe. Stąd moje motto: nie ma rzeczy niemożliwych, wszystko jest kwestią czasu albo wyboru innej drogi. Czasami jednak okazuje się, że poświęcenie tego czasu jest nieopłacalne.

Czym zatem zajmuje się Cqure?

Działamy w kilku obszarach. Podstawą są szeroko rozumiane usługi konsultacyjne w dziedzinie cyberbezpieczeństwa. U naszych klientów prowadzimy także testy penetracyjne, wszelkiego rodzaju badania związane z bezpieczeństwem, a także szkolenia. Pomagamy im też w przypadku poważnych ataków. Stworzyliśmy własną metodologię testowania oraz ponad 40 autorskich programów szkoleniowych.

Czy z racji tak bliskiej współpracy z Microsoftem specjalizujecie się tylko w systemie Windows?

Nie, zajmujemy się wszystkim, co dotyczy bezpieczeństwa IT. W zespole jest tylko pięć osób odpowiedzialnych za badania i testy w systemie Windows, natomiast większość z nas zajmuje się Linuksem. Są także osoby odpowiedzialne za aplikacje mobilne i webowe.

Jak duże jest zainteresowanie tego typu usługami w Polsce?

Umiarkowane, ale jest coraz lepiej. Bardzo mi miło widzieć, jak polskie firmy zaczynają z nami współpracować. Usługi związane z bezpieczeństwem generalnie nie były w Polsce popularne, bo klient nic nie „dostaje do ręki”, widzimy natomiast, że to się zmienia. Między innymi dlatego od początku zakładałam, że moja firma będzie miała zasięg międzynarodowy. Natomiast okazało się, że nie jest to takie proste. Nasi klienci z Bliskiego Wschodu byli zdziwieni, że będzie ich obsługiwać firma z Polski. Dlatego powstał oddział w Dubaju. Podobnie było z Amerykanami i Szwajcarami. Kto wie, może konieczne będzie otwieranie kolejnych oddziałów – mam już parę miejsc na oku. Dzięki takiemu podejściu wśród naszych klientów znajdują się organizacje rządowe z całego świata.

Spotykamy się w Singapurze podczas azjatyckiej edycji konferencji Black Hat. Pokazała Pani publiczności m.in. zestaw autorskich narzędzi opracowanych przez Cqure do wydobywania ukrytych i zaszyfrowanych haseł z systemu Windows. A następnie umożliwiła… pobranie tych narzędzi za darmo. Gdzie tu biznes?

Rzeczywiście, nasze narzędzia ułatwiają nam działania przy prowadzeniu chociażby testów penetracyjnych, ale biznes Cqure polega przede wszystkim na tym, że wiemy, jak efektywnie z nich korzystać. Firmowy zespół jako pierwszy na świecie stworzył kompletny zestaw narzędzi wykorzystujących możliwości opracowanego przez Microsoft interfejsu Data Protection API i umożliwiających ujawnienie różnych sekretów znajdujących się w systemie Windows. Wychodzę z założenia, że powinniśmy dzielić się z innymi ekspertami wiedzą i doświadczeniem, bo tylko w ten sposób będziemy popularyzować wiedzę o tym, jak skuteczniej się zabezpieczać.

 

Co na to Microsoft, który wam tak ufa?

Gdy uda nam się złamać jakieś zabezpieczenia lub dojść do jakiejś informacji, która mogłaby skompromitować system, zawsze kontaktujemy się z daną firmą. Etyka to podstawa działania w dziedzinie bezpieczeństwa.

Czy może zaistnieć taka sytuacja, że Microsoft – wiedząc, że publicznie są już dostępne narzędzia umożliwiające wydobycie tego, co powinno być ukryte – utrudni to zadanie i wprowadzi dodatkowe zabezpieczenia? Cała wasza praca pójdzie wtedy na marne…

To bardzo dobrze, jeśli tak się stanie. Dla nas będzie trudniej, ale dla użytkowników będzie jeszcze bezpieczniej. My natomiast na brak pracy i tak nie będziemy narzekać.

W ubiegłej dekadzie połączenie słów „Windows” i „bezpieczeństwo” u wielu osób wywoływało uśmiech politowania na twarzy. Microsoft jednak broni się, że przez ostatnie 10 lat włożył ogromny wysiłek w poprawę zabezpieczeń. Czy rzeczywiście jest to prawda?

Jak najbardziej tak, Microsoft ma obecnie całą gamę rozwiązań, które chronią system Windows oraz aplikacje. W przypadku Windows 10 mieliśmy do czynienia z ogromnym skokiem w dziedzinie poprawy bezpieczeństwa. Przeprowadzenie wielu ataków, które były popularne wcześniej, dziś jest po prostu niemożliwe. Oczywiście nadal oprogramowanie jest tworzone przez ludzi i błędy się zdarzają, jak chociażby możliwość dokonania ataku Pass-The-Hash, występująca w różnych wersjach Windows. Cieszy natomiast, jak poważnie Microsoft reaguje w tego typu sytuacjach. Poza tym bezpieczeństwo systemu operacyjnego najczęściej wystawiane jest na szwank przez nieświadomych administratorów, wprowadzających niepoprawne ustawienia konfiguracyjne.

Podczas konferencji Black Hat zaprezentowała Pani także narzędzie do wydobywania haseł z oprogramowania KeePass. Czy to oznacza, że korzystanie z menedżerów haseł właśnie traci sens?

Zademonstrowane przeze mnie narzędzie umożliwia dostanie się do bazy haseł i odszyfrowanie jej tylko w jednej sytuacji – gdy użytkownik ma zintegrowane logowanie do KeePass z systemem Windows. Atak, który pokazałam, polega na skopiowaniu bazy danych użytkownika i na podstawie danych DPAPI uzyskanie dostępu do tej bazy. To jest fragment tego, nad czym nasz zespół pracował od ponad dwóch lat. Natomiast gdy użytkownik nie dopuści do integracji menedżera haseł z systemem operacyjnym, korzystanie z tego typu oprogramowania jest bezpieczne.

Ostatnie lata przyniosły kilka przełomów, jeśli chodzi o bezpieczeństwo IT. Odkryto poważne luki w procesorach, mówi się o tym, że łamanie skomplikowanych haseł będzie trwało nie tysiące lat, a minuty dzięki przetwarzaniu kwantowemu, rządy państw zaś oskarżają duże prywatne firmy o działania szpiegowskie. Czy to oznacza, że wkrótce będziemy mieli do czynienia z zupełnym przeobrażeniem branży bezpieczeństwa IT, a zasady ochrony będą pisane od nowa?

Z pewnością któregoś dnia taki przełom nastąpi. Ale to będzie zauważalny, rozciągnięty w czasie proces, dzięki czemu będziemy mieli trochę czasu na wdrożenie nowych rodzajów zabezpieczeń. Na szczęście wiele rodzajów ataku nie wychodzi spoza fazy proof of concept. Natomiast musimy pamiętać, że zawsze z eliminowaniem błędów, opracowywaniem nowych sposobów ochrony, jak też łamaniem ich wiążą się duże koszty – finansowe, organizacyjne i czasowe. To determinuje, kto będzie atakującym i atakowanym. Tam, gdzie te koszty są największe, będziemy mieli do czynienia z walką między dużymi organizacjami. Tam, gdzie są mniejsze, ofiarą może okazać się każdy z nas, dzięki automatyzacji procesów ataku. Ja jednak nie wierzę w ataki, które są nie do wykrycia. Walczy się jedynie z czasem.