Będę niedługo ruszać z kolejnym projektem (pomysłem) - bezpiecznedziecko.info

Z założenia ma to być miejsce gromadzące informacje pomagające zdrowo i bezpiecznie (acz z podkreśleniem zasad ZDROWEGO ROZSĄDKU) wychować dzieci. Chcesz pomóc? Masz pomysł jak to rozwinąć? Napisz do mnie
Plastikowe pieniądze są powszechne, pojawiają się udoskonalenia kart płatniczych takie jak mikropłatności czy integracje z innymi usługami realizowanymi przy pomocy kart. Wciąż jednak masa osób nie zdaje sobie sprawy z tego, że bardzo łatwo stracić swoje oszczędności (przynajmniej na jakiś czas) a stosując parę prostych metod można znacznie zredukować prawdopodobieństwo takiego zdarzenia. Poniżej załączam garść najlepszych praktyk
- Zaklej 3 cyfrowy kod znajdujący się na rewersie karty za jej numerem. Jest to tak zwany kod CVV2/CVC2 który, wraz z numerem karty i jej datą ważności pozwala na zakupy przez Internet. Bardzo często przestępca pracujący na przykład w hotelu pod pretekstem sprawdzenia wiarygodności podpisu zapamiętuje te 3 cyfry. Ponieważ ma już numer i datę ważności karty łatwo może w naszym imieniu dokonać zakupów często luksusowych dóbr
- Jak tylko masz taką możliwość uwierzytelniaj transakcję PIN’em a nie podpisem.
- Zawsze zasłaniaj dwoma rękoma wpisywany PIN, niezależnie czy w bankomatach czy urządzeniach POS (w restauracjach, kinach, stacjach benzynowych czy sklepach)
- Zachowaj kopie wszystkich anulowanych transakcji. Pomoże Ci to w przypadku reklamacji
- Nigdy nikomu pod żadnym pozorem nie podawaj PINu. Nie daj się nabrać na informacje, że jest on konieczny do autoryzacji transakcji. Przestępcy często próbują go wyłudzić od nieświadomych tego faktu ofiar. PIN masz znać tylko Ty, i samodzielnie wpisywać go w urządzenie
- Zapisywanie PINu nie jest dobrym pomysłem, a już szczególnie na karcie płatniczej, której dotyczy
- Zapisywanie nieprawdziwego PINu na karcie płatniczej może jednak być dobrym pomysłem. Przestępca może zablokować ukradzioną kartę próbując wpisać nieprawdziwy kod
- Nie noś ze sobą wszystkich kart płatniczych. Duża kolekcja kusi złodziei a jej utrata może odciąć Cię od pieniędzy.
- Gdy sprzedawca niszczy Ci kartę nożyczkami oznacza, że dostał takie polecenie z systemu. Może to oznaczać, że ktoś skopiował Twoja kartę a organizacja płatnicza postanowiła chronić Twoje pieniądze. Bezzwłocznie skontaktuj się z wystawcą karty ale nie wiń sprzedawcy, ostatecznie zrobił to by Cie chronić przed poważniejszymi kłopotami
- Kart płatniczych, identyfikatorów i bielizny osobistej nie pożycza się nawet znajomym
- Przeglądaj regularnie wyciągi z kart. Jak wypatrzysz nieznane transakcje to bezzwłocznie skontaktuj się z wystawcą karty.
- Pamiętaj, że gotówka nie jest passe!
Duzi chłopcy lubią duże zabawki, tyle, że jak pokazują ostatnie newsy nie zawsze potrafią się nimi bawić.

W ostatnich dniach pojawiły się dwie dość zaskakujące informacje o arsenale nuklearnym USA. najpierw wyszło na jaw, że za czasów prezydentury B.Clintona na kilka miesięcy zgubiono kody nuklearne, teraz okazało się, że w wyniku awarii sieci utracono na 45 nadzór nad 50 głowicami atomowymi. Jako pocieszenie autor artykułu zaznacza, że (tym razem) był to raczej błąd człowieka niż atak. Co za ulga.
Wyborcza opublikowała dobry artykuł dotyczący dostępu do ksiąg wieczystych - temat ten zresztą poruszał Wojciech Wiewiórowski podczas niedawnej konferencji.

O co chodzi? W internecie są udostępnione księgi wieczyste. Na pierwszy rzut oka nie jest to nic strasznego, jednak dzięki informacjom zawartym w tych dokumentach można wnioskować o stanie posiadania, a nawet preferencjach seksualnych praktycznie dowolnych obywateli. Wszystko oczywiście online i za darmo - rzadki przejaw pełnej informatyzacji, niestety w tym wypadku zbyt pełnej.

Ministerstwo Sprawiedliwości broni się twierdząc, że księgi wieczyste w tej postaci i tak są od lat dostępne. Jednak jak słusznie zauważył nasz GIODO problem polegał na tym, ze kiedyś trzeba się było wybrać do sądu, wiedzieć czego się szuka. Teraz, w wolnych chwilach przez sieć można mieć komplet informacji od ręki i mozolnie polować na interesujący nas cel.

Ministerstwo się broni, GIODO protestuje, a ja się zastanawiam, kiedy informacje będą udostępniane na zasadzie "need-to-know" - szczególnie w kwestii zakresu udostępnianych danych
Ciekawostka ma już co prawda kilku dni, ale warto ją odnotować.
Po raz kolejny okazało się, że polscy specjaliści od bezpieczeństwa dorównują (jeżeli nie przewyższają) umiejętnościami swoim zagranicznym kolegom.

Gdy przez świat przebiega dyskusja na temat zbyt dobrych zabezpieczeń oferowanych przez BlackBerry, zabezpieczeń, których nie potrafią złamać siły specjalne różnych Państw w ramach prowadzonych śledztw, prawie bez echa przeszła informacja, że Ministerstwo Finansów jest kilka kroków przed nimi. W ubiegłym tygodniu opublikowano informacje, że zabronione jest korzystanie z tych urządzeń przez pracowników ministerstwa. Podstawą do tej decyzji był fakt, że "urządzenia te nie gwarantują odpowiedniego poziomu zabezpieczeń - wyjaśnia Maria Hiż z biura prasowego Ministerstwa Finansów".

Polak potrafi... A jak :-)
W trakcie wczorajszej konferencji CheckPoint Security Day zwróciłem szczególną uwagą na prezentację „Polityka bezpieczeństwa 2.0” wygłoszoną przez Jarosława Prokopa. Zwrócił on szczególną uwagę na to, ze obecnie stosowane na urządzeniach aktywnych polityki bezpieczeństwa (czyli tytułowe reguły i regułki) w niedługim czasie utracą dalszy sens – ich bieżąca konfiguracja stanie się zbyt częsta i skomplikowana by móc za nią nadążyć. Tradycyjne „geograficzne” zarządzanie siecią oparte na adresach IP nie jest w stanie sprostać swojej roli w sytuacji gdy:
- Mamy mobilnych pracowników zmieniających nie tylko biurka ale i kontynenty
- W firmie pracują kontraktorzy, którzy naprawdę potrzebują dostępu do Internetu
- Odwiedzają nas goście, którzy naprawdę chętnie skorzystaliby z sieci
- Budujemy rozwiązania wirtualne, gdzie termin IP zaczyna się rozmywać

W takiej sytuacji tworzy się kolejne vlan’y, ustawia statyczne IP dla pojedynczych użytkowników… potrafi to być żmudne, nie jest to lubiane przez IT (bo trzeba to robić na wczoraj), nie jest to lubiane przez bezpieczeństwo (gdyż ktoś grzebie przy regułach bezpieczeństwa. Rozwiązaniem przyszłości są oczywiście funkcjonalności programów produkowanych przez CheckPoint :)

A tak na serio to po raz kolejny pewnie ta firma pokazuje nam trendy. Chociaż zresztą nie jest to nic nowego – proponują rozwiązania bazujące na rolach. Nowe systemy mają odejść od reguła ustawianych na konkretne IP na rzecz reguł przydzielanych konkretnym UŻYTKOWNIKOM, pracującym w konkretnych GRUPACH (rolach) na zdefiniowanych grupach KOMPUTERÓW.

Dobre skonfigurowanie systemu pozwoli na bardziej elastyczne tworzenie polityki bezpieczeństwa biorąc pod uwagę ROLĘ pracownika (zdefiniowaną w Active Directory) jak również miejsce z którego prowadzi pracę (laptop prywatny, służbowo utwardzony PC…). Na tej bazie będzie można określać z czym może się łączyć użytkownik (IP, serwer, aplikacja), czy opierając się o DLP określać jakie dane przesyłać (szczególnie podoba mi się funkcja ASK – pozwala na ruch, ale wymaga podania uzasadnienia, które jest analizowane i może służyć za podstawę do zdefiniowania polityki bezpieczeństwa dla konkretnego użytkownika).

CheckPoint już to potrafi, inni pewnie niedługo też będą, pozostanie tylko jedno małe ale… Jak tym teraz zarządzać?
Już teraz, bazując tylko na IP polityka bezpieczeństwa na firewallu potrafi być niesamowicie trudna do analizy. Gdy pojawią się polityki pisane per user (IT będzie musiało się tu wykazywać wielką asertywnością, ale na pewno będzie bardzo dużo wyjątków), to KTO i JAK będzie w stanie dokonać analizy tego czy dane naprawdę są zabezpieczone przed zniszczeniem, modyfikacją czy upublicznieniem?
Kilka dni temu przypomniałem opisany (i wykonany) przez gazeta.pl włam na super zabezpieczoną transmisję z serwisu prezydent.pl

Dziś znów w temacie włamań podczas transmisji na żywo. Nastolatek w NL postanowił włamać się do systemu wyświetlającego tekst osobom czytającym wiadomości w Editie NL. Wywołał tym spore zdziwienie prowadzących.


Independent Oracle Users Group (IOUG) opublikowała ostatnio raport dotyczący bezpieczeństwa danych "2010 IOUG Data Security Survey". Jedna rzecz mnie tam praktycznie powaliła na podłogę: szczetrość respondentów. Dokładniej chodzi mi o znajdujące się na stronie 14 pytanie czy osoby (zazwyczaj szefowie bezpieczeństwa lub IT) wypełniające ankietę wiedzą o wszystkich bazach danych zawierających poufne dane. Chcesz znać odpowiedź? Zajrzyj do raportu - znajdziesz tam również sporo innych szczerych odpowiedzi dotyczących szyfrowania danych, danych testowych...




30 listopada podczas konferencji IT Security Management GigaCon będę miał zaszczyt przedstawić, podczas wykładu inauguracyjnego, prezentację pod tytułem: "Jak skutecznie zarządzać bezpieczeństwem informacji czyli praktyczne zastosowanie modelu wielowarstwowej ochrony".

Przedstawię tam znane z teorii wojskowości podejście "defence in-depth" składające się z szeregu technicznych i organizacyjnych mechanizmów kontrolnych, które odpowiednio zorganizowane są w stanie znacznie zwiększyć poziom bezpieczeństwa informacji w organizacjach.

Serdecznie zapraszam czytelników tego bloga na tę darmową konferencję oraz na zapoznawczą kawę w trakcie którejś z przerw!
W trakcie konferencji HOPE w 2004 roku Kevin Mitnick zebrał się na szczerość i zaczął opowiadać różne historie z młodości. Niektóre z nich były raczej zabawne...











K-mart ot wielka sieć sklepów w USA. W trakcie konferencji HOPE regularnie urządzane są pokazy zastosowania technik inżynierii społecznej. W sierpniu 2007 roku Kevin Mitnick i Emmanuel Goldstein postanowili przekazać wszystkim klientom sklepu wiadomość przez interkom. Posłuchajcie jak im się to udało...

Kilka dni temu gazeta.pl opublikowała historię "włamania" to transmisji realizowanej przez serwis prezydent.pl. Aż przykro pisać o tym, że tak głupie błędy wciąż potrafią się pojawiać w wykonaniu profesjonalnych (chciałoby się napisać) dostawców.

Ochrona serwisu produkcyjnego hasłem identycznym do loginu, a szczególnie tak banalnego to maksymalna porażka. Na miejscu szefa firmy jeszcze tego samego dnia wyrzuciłbym z pracy światłego informatyka, który dopuścił do tej sytuacji. Nie dość, że nie wiadomo gdzie jeszcze ta osoba popisała się wybitną znajomością zagadnień dotyczących bezpieczeństwa to tak jaskrawy przypadek głupoty(niedbalstwa) powinien stać się przestrogą dla jego kolegów.
Na youtube znalazłem opublikowane przez AT&T filmy szkoleniowe dotyczące ochrony przed inżynierią społeczną. Polecam, każda duża firma powinna coś takiego posiadać.

Na JoeMonster można obejrzeć perfekcyjnie przygotowaną kradzież torebki z kartą kredytową oraz późniejszą kradzież PINu ofiary.
Polecam - tam naprawdę mogą pracować fachowcy (Marcin, wielkie dzięki za link)
W trakcie ubiegłotygodniowej konferencji "Informatyzacja administracji w państwie demokratycznym" Katarzyna Szymielewicz dyrektor fundacji Panaoptykon mówiąc w kontekście nakładania przez urzędy na obywateli konieczności korzystania z konkretnego oprogramowania powiedziała bardzo interesującą, choć w sumie prostą myśl dotyczącą wolności wyboru (tu oprogramowania". Brzmiało to mniej więcej tak:
"Wolność jest wartością podstawową. Jakiekolwiek jej ograniczenie wymaga uzasadnienia. To Państwo musi uzasadnić jaki wyższy interes społeczny wymaga ograniczenia wolności obywateli. Obywatel nie powinien musieć uzasadniać dlaczego chce skorzystać ze swojego przywileju wolności"

Na portalu niebezpiecznik.pl okazał się ciekawy artykuł dotyczący geolokalizacji. Znajduje się tam też link do strony pokazującej jak można zdalnie rozpoznać lokalizację użytkownika wyłącznie poprzez poznanie jego MAC adresu (też oczywiście wydobywanego skryptem). polecam się pobawić, to działa.
BIG Brother is watching you!!!


Przy okazji (też za niebezpiecznik.pl)- oglądałeś ostatnio strony pornograficzne?
Onet.pl przed chwilą podał, że:
Jerome Kerviel, makler z banku Societe Generale, został skazany we wtorek w Paryżu na 5 lat więzienia, w tym 2 w zawieszeniu, oraz zapłacenie odszkodowania w wysokości 4,9 mld euro za oszustwo i spowodowanie w 2008 roku rekordowej straty w tym banku.

Sąd uznał Kerviela za winnego wszystkich stawianych mu głównych zarzutów: świadomego narażenia banku na straty, fałszerstwa i niedozwolonego wprowadzania danych informatycznych.

Najciekawszą z kar jest niewątpliwie konieczność zapłacenia odszkodowania w wysokości prawie 5 mld euro. Wiadomo już, że p. Kerviel potrafi zarabiać (i tracić) pieniądze, zastanawia mnie jednak kto mu da niezbędny kapitał początkowy...
polecam lekturę reszty artykułu, jest tam więcej faktów...
Po ubiegłorocznej kradzieży danych z serwis RockYou w sieci opublikowano 32 miniony haseł. Pozwoliło to na analizę tego jak ludzie tworzą hasła. Próbka jest raczej reprezentatywna a Wojtek Smol pokusił się o ich analizę, dlatego szczerze zachęcam do lektury. Są tam pewne bardzo interesujące spostrzeżenia.

Stosunkowo często zaobserwować można natomiast następujące charakterystyczne połączenia:
* litera+cyfra: 9.834.095 wystąpień (30%), przykładowo: emillio1, holiday2, itp.
* cyfra+litera: 895.916 wystąpień (2,75%), przykładowo: 3orange, 1loveyou, itp.
* litera+znak interpunkcyjny: 240.993 wystąpień (0,74%), przykładowo: skating., balboa!, itp.
* litera+znak interpunkcyjny+cyfra: 185.610 wystąpień (0,57%), przykładowo: dude!2, kaitlyn.1, itp.

Poza tym, uwagę zwracają pewne typowe przekształcenia polegające na podmianie znaków:
* o -> 0: 30.485 wystąpień, przykładowo: il0veyou, ge0rge, itp.
* i/l -> 1: 57.456 wystąpień, przykładowo: 1loveyou, P1ayer, itp.
* s -> 5: 9.867 wystąpień, przykładowo: du5tin, eclip5e, itp.
* b/g -> 6: 7.059 wystąpień, przykładowo: straw6erry, hun6ry, itp.
* g -> 9: 6.599 wystąpień, przykładowo: an9els, en9ine, itp.

"Źródło: Analiza wzorców haseł przyszłością ataków słownikowych? (HARD CORE SECURITY LAB)"
Parokrotnie na łamach bloga przytaczałem różne wspaniałe idee prezentowane na spotkaniach TEX. TEDx to niezależnie organizowane spotkania TED, a następne odbędzie się w Krakowie. Zachęcam do próby rejestracji - miejsce już teoretycznie nie ma, ale wciąż są szanse, że się uda.



Mała aktualizacja - dostałem przed chwilą zaproszenie na TEDx więc...do zobaczenia
Rzadko reklamuję oferowane usługi, ale ponieważ jest to coś, co nie ma miejsca regularnie chciałbym zaprosić na organizowany przez IMMUSEC w dniach 25 - 29 października 2010 r. kurs przygotowawczy do egzaminów CISA.
Kradzież danych jest praktycznie zawsze przyczyną sporych kłopotów. Jest jeszcze gorzej gdy ukradzione dane świadczą o nie do końca legalnych zachowaniach ofiar. HSBC właśnie potwierdziło, że były pracownik ukradł dane kanadyjskich klientów, którzy ukrywali oszczędności w Szwajcarii.
Bardzo brzydko oszukiwać fiskus, ale jeszcze gorzej jest pozwalać na to by takie dane wyciekły. Ciekawe, że znów ze Szwajcarii...
Zagadnienie informatyki śledczej jest już znane od dawna, niemniej ponieważ pojawił się właśnie kolejny artykuł pełen przykładów z polskiego podwórka nie omieszkam go zamieścić.

Jeśli ktoś jeszcze myśli, że takie rzeczy to tylko na filmach to zachęcam do lektury