29 czerwca 2010

Drobiazgi, które się liczą...

Zainspirowany przez Computerworld do oglądania nagrań z TED trafiłem na prezentację Rory Sutherlanda: Sweet the small stuff.



Dowodzi on, że firmy robią coraz lepiej wielkie rzeczy, przenosząc właśnie na nie główny ciężar swojej działalności pomijając drobiazgi jak na przykład interfejs użytkownika, które tak naprawdę są decydujące o tym jak klient odbiera dany produkt. Niektóre "drobiazgi" w rzeczywistości są kluczowymi dla całego produktu czy organizacji - są tanie ale mają wielki wpływ na organizację.
Poszukajmy ich w naszej pracy, zróbmy z tego ciągły proces - to przesłanie autora. A może nawet powołajmy osobę na stanowisko Chief Detail Officer

27 czerwca 2010

Wiemy kim jesteś...

Kilkakrotnie przewijał się już tu temat prywatności. Półtora miesiąca temu pisałem o fikcyjnym poczuciu prywatności w obecnym świecie. Na blogu Hard Core Security Labs pojawiła się informacja o projekcie Panaopticlick pozwalającym na bardzo dokładną identyfikację komputerów poprzez informacje dotyczące ich przeglądarek, zainstalowanych wtyczek, parametrów technicznych takich jak strefa czasowa, zastosowana rozdzielczość czy zainstalowane czcionki(bez wykorzystania cookies).
Okazuje się, że na chwilę obecną żadna z dobrze ponad miliona osób, które sprawdziły swój system nie posiada takiej konfiguracji jak ja. Innymi słowy - po raz kolejny okazuje się, że wcale nie jestem anonimowy w sieci (działa to również przy włączonym trybie anonimowości oferowanym przez najpopularniejsze z przeglądarek).
A Ty? Sprawdź się tutaj...

Zachęcam do lektury całego artykułu.
"Źródło: Opublikowano wyniki eksperymentu Panopticlick (HARD CORE SECURITY LAB)"

25 czerwca 2010

Wolność wyboru

Computerworld rozpoczął publikacje nagrań ze spotkań TED: Ideas Worth Spreading
Pierwszym był artykuł dotyczący wystąpienia profesora psychologii Berrego Schwartza. Nie jest to związane z zarządzaniem bezpieczeństwem informacji, niemniej wydaje mi się, że naprawdę warto poznać te przemyślenia.

Berry Schwartz zajął się ideą wolności wyboru oraz związanymi z tym konsekwencjami.
Mając zbyt dużo wyboru w rzeczywistości trudno jest wybrać cokolwiek. Ludzie coraz częściej postanawiają odkładać trudne decyzje, co potrafi doprowadzić do paraliżu decyzyjnego.




Pamiętajmy, że być może inny wybór byłby w ostatecznym rozrachunku lepszy...
Paradoks polega na tym, że wybierając coś automatycznie wybieramy by nie robić czegoś innego, co bywa trudną decyzją. I co ważne - to nasza decyzja, za którą jesteśmy odpowiedzialni.

Jeszcze innym zagadnieniem jest kwestia zadowolenia z powziętego wyboru. Mając mały wybór mamy mały oczekiwania. Wraz ze wzrostem możliwości rosną oczekiwania. A gdy te rosną, coraz trudniej jest nam osiągnąć zadowolenie...Co wpędza nas w depresję.
Podsumowaniem niech będą słowa "We do better but we feel worse"

24 czerwca 2010

Bujanie w chmurach (czyli SAS a SaaS)

W ubiegłym tygodniu na konferencji "IT w Bankowości" poruszyłem temat bezpieczeństwa przetwarzania w chmurach (cloud computing). Zwracałem między innymi uwagę na często się pojawiające mylenie terminu SOA (Service Oriented Architecture) z przetwarzaniem w chmurach (szczególnie modelem SaaS - Software as a Service). Jak dobrze tłumaczy David Linthicum SOA to tylko (aż) koncepcja związana z architekturą oprogramowania. To koncepcja zakładająca tworzenie systemów jako szeregu usług, które mogą być w dowolny sposób powiązane. Nie jest to koncepcja związana z oferowaniem usług jak to niekiedy jest prezentowane, co nie znaczy bynajmniej, że SaaS nie korzysta z takich rozwiązań architektonicznych.

Przy okazji polecam 2 dokumenty, które dotyczą tego tematu:
- Security Guidance for Critical Areas of Focus in Cloud Computing przygotowany przez Cloud Security Alliance oraz
- Cloud Computing: Business Benefits With Security, Governance and Assurance Rerspectives przygotowany przez ISACA

23 czerwca 2010

Ciągłość działania - maszynka do robienia pieniędzy czy rzeczywista potrzeba

W ubiegłym tygodniu miałem okazję przeprowadzić dość ciekawą i oryginalną rozmowę. Mój oponent - osoba wykształcona, z wieloletnim doświadczeniem zawodowym (również na wysokich stanowiskach) zaczęła zadawać mi serię pytań dotyczących zarządzania ciągłością funkcjonowania, a dokładniej sensowności stosowania tego typu rozwiązań. Bardzo rzadko spotykam się już z tego typu utwardzonym stanowiskiem, zazwyczaj dyskusje, które prowadzę dotyczą zagadnień "jak" a nie "po co", dlatego pozwolę sobie w skrócie podać parę argumentów za normą BS 25999 i całym BCMS (Business Continuity Management System).

Otóż norma powstała w dużej mierze na żądanie środowisk związanych z bezpieczeństwem i ciągłością. Korzystanie z niej nie jest (jeszcze - w Wielkiej Brytanii może się to niedługo zmienić) obowiązkowe. Jej celem jest dbanie o interes klientów poprzez "wymuszanie" właściwych zachowań w organizacji. Myśląc o prowadzeniu interesu należy się zabezpieczyć. Ponieważ łatwiej to powiedzieć niż zrobić stworzono BS 25999 by stał się swoistym przewodnikiem, narzędziem z którego należy korzystać.
Zapewnienie ciągłości funkcjonowania jest strategicznym celem wszystkich organizacji. Brak działalności nie tylko może destrukcyjnie wpłynąć na organizację (tu trzeba zaznaczyć, że nie ma obowiązku prowadzenia działalności, więc teoretycznie każdy może sobie bankrutować kiedy chce) ale również na inne strony, zależne od firmy (przede wszystkim klientów). Poważniejsza awarie, katastrofa czy atak nie powinny niszczyć całej struktury (jak bywa obecnie). Niewielka liczba najlepszych praktyk pozwoli bardzo ograniczyć rozmiary tego typu incydentów, znacznie skrócić czas potrzebny na przywrócenie działalności.

Argumenty typu "Jak przyjdzie powódź to takimi planami nawet nie da się uszczelnić rowów" są niezasadne. Jeżeli firma wcześniej przeanalizuje ryzyko biorąc pod uwagę zagrożenia dla ciągłości funkcjonowania to:
- będzie się mogła dobrze ubezpieczyć;
- będzie mogła wybudować własne wały;
- będzie mogła przenieść zakłady w inne miejsce;
- będzie mogła zastanowić się nad zapewnieniem redundancji - prowadzeniem działalności z innej lokalizacji.

Możliwości jest jeszcze trochę. Trzeba jednak się nad nimi zastanowić, w czym bardzo pomaga korzystanie ze standardów.

22 czerwca 2010

Obiektywna analiza ryzyka

Trochę nawiązując do tematu zapoczątkowanego postem Zabezpieczyć się czy nie... sprzed paru dni.

2 tygodnie temu rozmawiałem z Dr. Bolesławem Szomańskim o kwestiach związanych z koniecznością podejmowania trudnych i niepopularnych decyzji, na przykład koniecznych dla zapewnienia bezpieczeństwa publicznego. Akurat podobne przemyślenia w tym czasie miał Bruce Schneier publikując na blogu niniejszy post.

Naprawdę polecam, w pełni zgadzam się z tym punktem widzenia. Pozwolę sobie zacytować kilka słów:
So, in practice, governments do not make fully rational risk assessments. Their calculations are based partly on cost-benefit analyses, and partly on what the public will tolerate.

21 czerwca 2010

Zabezpieczyć się czy nie...

Bruce Schneider odnalazł w sieci bardzo interesujący artykuł o ludzkich zachowaniach - o uczeniu się na błędach, podejmowaniu strategicznych decyzji.

Howard Kunreuther oraz Robert Meyer ze Philadelphia school’s Risk Management and Decision Processes Center przeprowadzili serię symulacji w których studentom (oraz szefom firm) dano zadanie - zbudować mocny dom i go utrzymywać w terenie w którym zdarzają się trzęsienia ziemi. Oczywiście pieniądze przeznaczone na dom można było również ulokować w banku na eleganckie 10%.

Okazało się, że wszyscy uczestnicy symulacji przegrywali. Obserwowali poczytania innych uczestników i nakręcali się w poczuciu, że ryzyko jest niewielkie, że nic się nam złego nie zdarzy. Po początkowych inwestycjach w dom ignorowano resztę zabezpieczeń aż do katastrofy. Uczestnicy woleli zyski z krótkim czasie niż konsekwentne podążanie zgodnie ze strategicznym celem. Polecam lekturę całości artykułu.

Czytając ten artykuł miałem nieodparte wrażenie, że coś mi to przypomina. Jakże często ignorujemy sygnały o zagrożeniach poprzez obserwację innych osób nic nie robiących by się zabezpieczyć. Jakże często wiedząc, że zagrożenie jest realne wolimy jednak odłożyć inwestycję w czasie troszcząc się o krótkoterminowe zyski.

Niejednokrotnie słyszałem, że jest to rezultatem braku zrozumienia dla bezpieczeństwa, niezrozumienia prawdziwej skali zagrożeń. A tu wygląda, że jest to kwestia psychologiczna. Ludzie po prostu tacy są...

19 czerwca 2010

"Nowe" zagrożenie dla USA - cyberterroryzm

Na onet.pl ukazał się artykuł dotyczący „nowego” zagrożenia dla USA – cyberprzestępczości. Autorzy zwracają uwagę na kilka faktów szczególnie istotnych dla osób, które liczą, że rząd zabezpieczy swoją krytyczną infrastrukturę (że powinien to zrobić to nie mam wątpliwości. Pisałem zresztą o tym w swoim artykule w publikacji "CYBERTERRORYZM - nowe wyzwania XXI wieku").

Spodobał mi się szczególnie jeden cytat:
Raport inspektora generalnego zawiera krytykę US-CERT, ponieważ nie ma ona odpowiedniej liczby pracowników, by prowadzić swoją misję. Agencja może mieć 98 pracowników, ale na razie tylko 55 ze stanowisk jest zajętych, a 25 kolejnych osób czeka na odpowiednie zezwolenia związane z bezpieczeństwem.

Przy okazji – interesujące jest 278 tysięcy przypadków szkodliwej działalności miesięcznie. Zastanawiam się jak definiowana jest „szkodliwa działalność przestępcza”. Skanowanie portów rozsyłane ślepo przez boty? Spam wysyłany na konta DHS? Pracownicy wchodzący na strony nie związane z pracą zawodową?

18 czerwca 2010

17 czerwca 2010

ABRA - rozwiązanie dla pracusiów

Dr. Mariusz Stawowski (Clico) zaprezentował w poniedziałek bardzo ciekawe urządzenie produkcji Checkpoint o nazwie ABRA.

Nie planuję zajmować się recenzjami sprzętu, niemniej jest to urządzenie, które zwróciło moją szczególną uwagę ze względu na szereg bardzo praktycznych zastosowań. Często spotyka się sytuację w której pracownicy muszą skończyć coś w domu. Pojawia się wtedy problem jak mogą zabrać pracę ze sobą, zapewnić bezpieczeństwo poufnych informacji na domowym PC.

No i tu rozwiązaniem jest właśnie ABRA. Jest to pendrive z wbudowanymi z wirtualnymi windowsami oraz podstawowymi narzędziami. Zapewnia bezpieczeństwo danych zarówno podczas transportu (AES 256) jak i pracy w domu (wirtualna maszyna uruchamiająca się samoczynnie, korzystająca z zasobów PC ale uniemożliwiająca wyniesienie danych z pendrive poza bezpieczne środowisko.

Załączam kilka notatek jakie Zrobiłem podczas pokazu:
- Nie można nic zainstalować, standardowy zestaw aplikacji, wszystko podpisane cyfrowo,
- Rozpoznawanie sieci zewnętrznej i uniemożliwienie wyniesienia danych poza urządzenie,
- Szyfrowanie AES 256, ograniczona ilość prób odgadnięcia hasła,
- Blokowanie po określonym czasie braku aktywności,
- Weryfikacja środowiska pod kątem zabezpieczeń i decyzja czy uruchomić wirtualną maszynę,
- Nie ma konfiguracji sieciowej, wykorzystuje to co jest w komputerze,
- Centralna aktualizacja, centralne odzyskiwania hasła ,
- Bezpieczne środowisko dostępu do sieci wewnętrznej - można umożliwić VPN po SSL,
- Teoretycznie uniemożliwia włamania 0- day exploit, gdyż takowe próbują wstrzyknąć kod do maszyny wirtualnej a ten jest natychmiast wykrywany i blokowany.

Potencjalne zastosowania umożliwiają również środowiska dla centrów zapasowych, zabezpieczenie najważniejszych czynności (typu wykorzystywanie online służbowych kart kredytowych czy dokonywanie przelewów) . Klientem chwilowo jeszcze nie zostanę, niemniej warto wiedzieć, że są już takie zabawki.

16 czerwca 2010

Halo, czy ktoś mnie słyszy?

Nie tak dawno pojawiła się informacja o stworzeniu softu na smartphony, pozwalającego na przejmowanie kontroli nad tymi urządzeniami.

Nie jest to moim zdaniem żadna sensacja, niemniej przy okazji warto przypomnieć parę faktów:
- komputerowy włamywacze mogą zdalnie uruchamiać kamerki i mikrofony (spójrz teraz prosto w kamerkę i powiedz "dzień dobry")
- komputerowi włamywacze mogą przejmować kontrolę nad całym komputerem: wykorzystywać zasoby dyskowe do przechowywania informacji (typu serwer pornograficzny), pamięć do wykonywania operacji (typu łamania haseł), sieć (typu atakowanie nielubianej strony), czytać zapisane informacje (czaty, maile, dokumenty...)

Ponieważ komórki to de facto komputery - je też można zdalnie kontrolować. Tym samym:
- można zdalnie czytać to co masz zapisane w komórce (zdjęcia, sms'y, kalendarze, kontakty)
- można dowolnie manipulować powyższymi (kasować, dodawać, manipilować)
- można dzwonić lub wysyłać sms'y w Twoim imieniu
- można włączać kamerkę i mikrofon (i wiedzieć gdzie jesteś i co robisz)
- można podsłuchiwać Twoje rozmowy
- można sprawdzać Twoją lokalizację dzięki GPS

15 czerwca 2010

Nowe formy świadczenia usług IT

Kilka dni temu zapraszałem do uczestnictwa w moim wykładzie na konferencji „IT w bankowości”. Na konferencji przedyskutowałem zagadnienia związane z outsoucingiem, offshoringiem oraz przetwarzaniem w chmurze (oraz trochę perfidnie SOA).
Główne myśli dotyczyły tego, że kupowanie usług od wyspecjalizowanych podmiotów i koncentrowanie się na podstawowej działalności jest już faktem i rzeczywistością a nie koncepcją, którą wciąż teoretycznie się rozważa. Dlaczego?
&nbsp &nbsp - Bo to działa!
&nbsp &nbsp - Bo jest tanio!
&nbsp &nbsp - Bo można to zrobić dobrze!
&nbsp &nbsp - Bo chcemy troszczyć się o środowisko naturalne!

To co może niepokoić to:
- Problem zaufania i prywatności:
&nbsp &nbsp - Gdzie są moje dane?
&nbsp &nbsp - Kto nimi zarządza?
&nbsp &nbsp - Co się z nimi dzieje?
&nbsp &nbsp - Czy usługodawca na pewno wywiązuje się z kontraktu
- Utrudnione kontrolowanie oraz brak standardów audytu
- Ryzyka prawne (które prawo jest ważniejsze) i reputacyjne
- Łatwo zacząć, trudniej skończyć
- Niebezpieczeństwo potężnych strat w przypadku utraty ciągłości działania
- Duża standaryzacja kosztem indywidualnych rozwiązań

Tego typu decyzja powinna być świadoma. Należy przeanalizować ryzyko, dobrze zdefiniować cele jakie chcemy osiągnąć. Nie należy się bać oddawania usług i danych na zewnątrz, pod warunkiem, że:
&nbsp &nbsp - nie będziemy się śpieszyć
&nbsp &nbsp - przygotujemy dobrą umowę zabezpieczającą interesy obydwu stron, pamiętając, że niska cena idzie w sprzeczności z dobrą jakością
&nbsp &nbsp - będziemy przestrzegać umowy, w razie problemów nie bojąc się renegocjacji
&nbsp &nbsp - będziemy sobie ufać, ale i kontrolować wypełnianie warunków
&nbsp &nbsp - będziemy się komunikować
Zachęcam do przejrzenia całej prezentacji.

14 czerwca 2010

Program zwiększania świadomości pracowników

W trakcie ubiegłotygodniowej konferencji naukowej „Management 2010” przedstawiłem referat dotyczący programu zwiększania świadomości użytkowników. Jest to zagadnienie ściśle związane z pluralistyczną koncepcją zrównoważonego rozwoju o której pisze prof. dr hab. Jan Jeżak z Uniwersytetu Łódzkiego.

Zwracałem uwagę na smutną rzeczywistość osób odpowiedzialnych za bezpieczeństwo – fakt, że aby ochronić zasoby informacyjne konieczne jest wyeliminowanie wszystkich potencjalnych podatności. Przestępcy potrzeba jednakże znalezienia jedynie jednej podatności by wykraść, usunąć bądź zmodyfikować dane. Zaproponowałem by tak ukierunkować świadomość pracowników aby myśleli tak jak specjaliści do spraw bezpieczeństwa, by sami proaktywnie wykrywali i eliminowali potencjalne problemy, stając się tym samym pierwszą zewnętrzną warstwą systemu ochrony informacji.

Referat koncentrował się na metodach zdobywania tego poparcia. Kilka głównych praktyk wdrożenia programu zwiększenia świadomości użytkowników przedstawiłem następująco:
Zdobywanie poparcia kierownictwa
- zalety płynące z programu
- przekaz koncentrujący się na priorytetach
- postępy w realizacji planów
Stała obecność
- regularne akcje uświadamiające
- umiejscowienie zasad bezpieczeństwa w procedurach operacyjnych
- ułatwienie dostępu do niezbędnej dokumentacji
- testy bezpieczeństwa
- bezzwłoczne reagowanie na zgłaszane incydenty
Prowadzenie akcji uświadamiających
- krótkie wiadomości elektroniczne
- publikacje w korporacyjnym Intranecie, artykuły w firmowej gazetce, plakaty
- wiadomości umieszczane na tapecie pulpitu lub w treści wygaszacza ekranu
- krótkie filmy szkoleniowe

Więcej znajduje się w publikacji wydanej przez Studio EMKA (Społeczny Wymiar zrównoważonego rozwoju organizacji pod redakcją J.S. Kardasa i M. Jasińskiej). Zachęcam do lektury bądź przynajmniej do przeanalizowania i korzystania z powyższej listy podczas przygotowywania kampanii uświadamiających.

13 czerwca 2010

Odcinanie piratów od sieci

Świat obiegła jakiś czas temu informacja o tym, że Irlandia jako pierwszy kraj w UE postanowiła odcinać od sieci piratów.

Pomysł niezły...na pierwszy rzut oka. Wartość intelektualną trzeba chronić więc niszczmy piratów w każdy możliwy sposób.
Tak pomyślałem sobie o kilku scenariuszach:
- przestępca przejmuje komputer gospodyni domowej i publikuje pirackie materiały
- dziecko mniej lub bardziej nieświadomie bawi się komputerem rodziców (prowadzących w domu działalność gospodarczą - albo i sklep internetowy)
- pracownik (np IT) nudząc się w źle zabezpieczonej firmie umieszcza tam zakazane materiały
- znudzony nastolatek włamuje się do niezabezpieczonej sieci bezprzewodowej sąsiada i wysyła nielegalny materiał

I co w takich sytuacjach? Niewinne osoby będą cierpieć za nieznajomość technik zabezpieczania sieci? Kto zwróci koszty związane z niezrealizowanymi transakcjami? Czy będą wypłacane odszkodowania za niesłuszne odcięcie dostępu?

11 czerwca 2010

Burze słoneczne

Rafał Rudnicki opublikował niedawno na swoim blogu bardzo interesujący artykuł o burzach słonecznych i związanym z tym "Efektem Carringtona".
Pozwolę sobie zacytować fragment, po resztę zapraszam na stronę autora.

Tegoroczny raport opublikowany przez The Academmy of Natural Sciences w Filadelfii szacuje, że skutki ekonomiczne burzy elektromagnetycznej o skali zjawiska Carringtona spowodują straty w wysokości od biliona (milion milionów) do dwóch bilionów dolarów - tylko w samych Stanach Zjednoczonych. W tym 30 miliardów dziennie traciłyby sieci energetyczne, a 70 miliardów dziennie operatorzy sieci komórkowych. Nic dziwnego, że utworzono rządowy Space Weather Prediction Center, a zagrożeniem interesuje się nawet NASA, która kontroluje kilka satelitów dedykowanych obserwacji aktywności słońca. Istniejący system bezpieczeństwa daje nam wyprzedzenie rzędu 15 do maksymalnie 60 minut - tyle czasu mamy, aby uchronić najbardziej eksponowane części sieci enegrgetycznych przed przeładowaniem i zniszczeniem. System sprawdził się już 12 lat temu, kiedy alarm wysłany przez NASA z 40 minutowym wyprzedzeniem, uratował amerykańska sieć energetyczną.

10 czerwca 2010

Przeciwdziałanie bojkotowi

Wczoraj pisałem o bojkocie firm w mediach. Internet doskonale ułatwia zawiązywanie tego typu grup.
Od paru tygodni świat interesuje się skutkami potężnej katastrofy ekologicznej w związku ze zniszczeniem platformy BP. Koncern postanowił się ratować (w końcu takie akcje stanowią zagrożenie dla ciągłości działania) i wykupił potężne ilości sponsorowanych linków w głównych wyszukiwarkach prowadzących na strony "wybielające" skandal BP.

To tylko dowodzi temu jak potężne może być jednak oddziaływanie społeczeństwa w walce przeciw wspólnemu wrogowi

9 czerwca 2010

Bojkot w mediach

W trakcie dyskusji panelowych podczas Konferencji "Management 2010" zorganizowanych przez Akademię Podlaską byłem uczestnikiem bardzo interesującej dyskusji na temat Społecznej Odpowiedzialności Biznesu (CSR - Corporate Social Responsibility). Wymieniane były takie przykłady "kar" bojkotu nakładanych na firmy przez oszukanych czy rozżalonych konsumentów jak Constar, który do tej pory nie może odzyskać ok. 40% utraconego rynku, czy Nestea będące pod obstrzałem Greenpeace ze względu na wycinkę lasów deszczowych i powiązaną z tym zagładę orangutanów (uwaga, drastyczne)


Przypomniał mi się również inny przykład, tym razem zaprezentowany w bardzo dowcipnej postaci gdy linie lotnicze United połamały gitarę... :)


Drżyjcie nieuczciwe firmy. Sprawiedliwość nadchodzi!

8 czerwca 2010

Konferencja "Zarządzanie jakością - Doskonalenie organizacji"

W dniach 17 i 18 czerwca 2010 Uniwersytet Ekonomiczny w Krakowie organizuje konferencję naukową "Zarządzanie jakością - Doskonalenie organizacji".

Drugiego dnia konferencji będę miał zaszczyt wygłosić referat przygotowany wraz z prof. dr hab. inż. Stanisławem Tkaczykiem pod tytułem "Rola zarządu w zapewnianiu ciągłości funkcjonowania organizacji".

7 czerwca 2010

Bezpieczeństwo kart raz jeszcze - hackowanie POS

Pozostając w temacie bezpieczeństwa kart kredytowych (i kart płatniczych oczywiście) warto przypomnieć o tym, że poza skimmingiem czyli skanowaniem pasków magnetycznych kart (które przestałoby istnieć gdyby wykorzystywano możliwości kart chipowych EMV) istnieje jeszcze inny sposób na zdobywanie PIN'ów. Tym sposobem jest "modernizowanie" terminali POS.

Polecam obejrzenie przykładowego filmiku poglądowego (z dawnych czasów, ale ładnie zrobiony).


A jak to wygląda w praktyce?
Po pierwsze gdy kelner podaje Ci w restauracji POS byś zapłacił za obiad, to skąd masz pewność co to jest za urządzenie? Kto potrafi zweryfikować co to jest i co ma tak naprawdę w środku?


Po drugie znam przypadek gdy w supermarkecie grupa Rumunów zamknęła dziecko na noc, schowane na półce między towarami. Dobrze przeszkolony maluch potrafił rozwiercić i otworzyć skądinąd dość dobrze zabezpieczone urządzenie i dokonać paru przeróbek. W końcu wszystko jakoś można złamać. Klienci cały dzień grzecznie korzystali z kart, a przestępcy zacierali ręce ze szczęścia.

5 czerwca 2010

Karta płatnicza z klawiaturą

VISA wyprodukowała (wreszcie) kartę płatniczą będącą równocześnie tokenem generującym jednorazowe hasła. Użytkownik przed użyciem karty byłby zobligowany do podania na klawiaturze PIN, dzięki czemu na wyświetlaczu otrzymywałby hasło.
Pomysł jak najbardziej dobry, tylko...czemu nie posiada to już wbudowanej biometryki? To byłoby rozwiązanie na miarę obecnych czasów, szczególnie, że pojawiły się już bankomaty weryfikujące w ten sposób tożsamość klientów]

Tylko w sumie, co z tego wynalazku, gdy techniki przełamywania zabezpieczeń są kilka długości z przodu. nawet trudny, długi i jednorazowy PIN (czy też zdigitalizowany odcisk palca nie pomogą w sytuacji, gdy można oszukać terminale, że weryfikacja danych nastąpiła poprawnie.
Przypomnijmy sobie historię z początku roku: opis oraz poglądowe video:

4 czerwca 2010

CIO przyszłości

Andrew McAfee, szef - działającego w ramach MIT - Centrum Cyfrowego Biznesu podzielił się ostatnio swoimi przemyśleniami na temat roli przyszłych CIO. Polecam szczególnie następujący fragment:

* Po pierwsze, decyzje biznesowe firm stają się obecnie coraz częściej oparte na danych naukowych (np. drobiazgowej analizie danych). "To zupełnie inny model niż ten, który obowiązywał przed kryzysem - wtedy zwykle decyzje podejmował jakiś facet, ogłaszając wszystkim: Uwierzcie mi, wiem co mówię" - tłumaczył McAfee.
* Drugim wyzwaniem szefów IT będzie nauczenie się, jak optymalnie wykorzystać najnowocześniejsze technologie w służbie biznesu.
* Trzecim zaś usuwanie kłód spod nóg użytkownikom, chcą wykorzystywać nowe technologie i narzędzia (np. serwisy społecznościowe) w codziennej pracy i relacjach z klientami i współpracownikami.

3 czerwca 2010

Jak w rzeczywistości wyglądają projekty?

Wszyscy już chyba znamy oryginalny rysunek pokazujący smutną prawdę o zarządzaniu projektami. Otóż autor wciąż pracuje nad kolejnymi, ulepszonymi wersjami. Nie wszystkie są moim zdaniem idealne, niemniej większość zasługuje na uwagę.

Wersji 2.0 jest wzbogacona w stosunku do 1.0 między innymi o:
- zaznaczenie roli beta-testerów
- czas trwania projektu
- centrum zapasowe

Oto jak wygląda najnowsza "How Projects Really Work (version 2.0)"


2 czerwca 2010

Wirtualne oszustwo zakończone realnym porwaniem!

O niebezpieczeństwach związanych z phishingiem wie coraz więcej osób.
Podobnie hasło "nigeryjski scam" też zaczyna już być rozpoznawane jako synonim oszustwa w stylu "Zmarł milioner, pracuję w banku w którym miał pieniądze. jeśli pomożesz mi je wyciągnąć to dam ci połowę" czy "Wygrałeś w loterii, jak uiścisz opłaty manipulacyjne to przelejemy Ci całość wygranej".
Mówiło się też o tym, że tego typu ataki potrafią przyjmować bardziej niebezpieczną formę gdy nie tylko ofiara jest "oskubywana" z pieniędzy ale i może mieć problemy w realnym życiu. Wojtek Smol opisuje ostatni tego typu przypadek:

Pod pozorem wysokiej wygranej, grupie Afrykańczyków udało się od Amerykanki w ciągu kilku miesięcy wyłudzić 60 tys. USD! To jednak dopiero początek. Po wielomiesięcznej korespondencji z oszustami, kobieta otrzymała propozycję osobistego odebrania swej rzekomej nagrody (ponad milion USD) na terenie... RPA. 15 kwietnia kobieta przyleciała więc na wskazane przez oszustów lotnisko. Tam została porwana przez trzech Nigeryjczyków oraz obywatelkę RPA.

Zachęcam do lektury całego artykułu.
"Źródło: Wirtualne oszustwo zakończone realnym porwaniem! (HARD CORE SECURITY LAB)"

1 czerwca 2010

ABW szlifuje angielski (w zakresie bezpieczeństwa informacji)

Rzeczypospolita opublikowała ciekawy artykuł pod tytułem "Czy język zdradzi agentów ABW". Poza słusznymi skądinąd wnioskami gazeta, że przeszkolenie językowe prawie 1000 agentów w szkoleniu wyłonionym poprzez przetarg publiczny może zakończyć się dekonspiracją części z nich jeszcze jedna rzecz zwróciła moją uwagę - tematyka wystąpienia: agenci szkolić się będą z j. angielskiego w zakresie bezpieczeństwa informacji!

Czyżby zaczynała się nowa era naszych tajnych służb nakierowana przede wszystkim na to co w sieci piszczy? Załączam zakres szkolenia:

2.2.2 Preferowany zakres obszarów tematycznych szkoleń
A) Zapewnienie bezpieczeństwa teleinformatycznego:
a) bezpieczeństwo systemów i sieci teleinformatycznych oraz telekomunikacyjnych;
b) ochrona informacji niejawnych w systemach I sieciach teleinformatycznych;
c) cyberprzestępczość, cyberterroryzm, oraz ochrona sieci teieinformatycznych;
d) reagowanie na incydenty komputerowe w systemach i sieciach teleinformatycznych;
e) słownictwo specyficzne dla NATO I UE w kontekście bezpieczeństwa teleinformatycznego np. EPCIP (European Program for Critical Infrastructure Protection).

B) Zapewnienie bezpieczeństwa informacji i zbiorów danych:
a) instytucje i prawo UE w zakresie bezpieczeństwa wewnętrznego;
b) instytucje bezpieczeństwa wewnętrznego w Polsce;
c) ochrona informacji niejawnych — przepisy;
d) bezpieczeństwo przemysłowe, w tym bezpieczeństwo w biznesie;
e) zarządzanie kryzysowe — zarządzanie bezpieczeństwem Informacji;
f) bezpieczeństwo fizyczne — Ochrona budynków i dokumentów;
g) zarządzanie informacjami;
h) organizacja i funkcjonowanie kancelarii tajnych;
i) prawa człowieka I ich ograniczenia w zakresie dostępu do Informacji.

C) Zwalczanie przestępczości gospodarczej, w tym działań korupcyjnych:
a) słownictwo dotyczące elementów prawodawstwa krajowego oraz Unii Europejskiej dotyczącego zwalczania przestępczości gospodarczej, w tym działań korupcyjnych;
b) słownictwo dotyczące czynności śledczych, w tym legitymowania, zatrzymania, przeszukania, kontroli osobistej, użycia bron! palnej oraz stosowania środków przymusu bezpośredniego;
c) tematyka związana ze środkami Unii Europejskiej I funduszy celowych;
d) tematyka dotycząca przestępczości zorganizowanej;
e) słownictwo związane ze strategicznymi sektorami gospodarki;
f) słownictwo związane z przeciwdziałaniem proliferacji.


Zaznaczę również, że w ofercie nie stawia się wymagań merytorycznych z zakresu znajomości tej terminologii.