Nie tak dawno pojawiła się informacja o stworzeniu softu na smartphony, pozwalającego na przejmowanie kontroli nad tymi urządzeniami.
Nie jest to moim zdaniem żadna sensacja, niemniej przy okazji warto przypomnieć parę faktów:
- komputerowy włamywacze mogą zdalnie uruchamiać kamerki i mikrofony (spójrz teraz prosto w kamerkę i powiedz "dzień dobry")
- komputerowi włamywacze mogą przejmować kontrolę nad całym komputerem: wykorzystywać zasoby dyskowe do przechowywania informacji (typu serwer pornograficzny), pamięć do wykonywania operacji (typu łamania haseł), sieć (typu atakowanie nielubianej strony), czytać zapisane informacje (czaty, maile, dokumenty...)
Ponieważ komórki to de facto komputery - je też można zdalnie kontrolować. Tym samym:
- można zdalnie czytać to co masz zapisane w komórce (zdjęcia, sms'y, kalendarze, kontakty)
- można dowolnie manipulować powyższymi (kasować, dodawać, manipilować)
- można dzwonić lub wysyłać sms'y w Twoim imieniu
- można włączać kamerkę i mikrofon (i wiedzieć gdzie jesteś i co robisz)
- można podsłuchiwać Twoje rozmowy
- można sprawdzać Twoją lokalizację dzięki GPS
16 czerwca 2010
15 czerwca 2010
Nowe formy świadczenia usług IT
Kilka dni temu zapraszałem do uczestnictwa w moim wykładzie na konferencji „IT w bankowości”. Na konferencji przedyskutowałem zagadnienia związane z outsoucingiem, offshoringiem oraz przetwarzaniem w chmurze (oraz trochę perfidnie SOA).
Główne myśli dotyczyły tego, że kupowanie usług od wyspecjalizowanych podmiotów i koncentrowanie się na podstawowej działalności jest już faktem i rzeczywistością a nie koncepcją, którą wciąż teoretycznie się rozważa. Dlaczego?
    - Bo to działa!
    - Bo jest tanio!
    - Bo można to zrobić dobrze!
    - Bo chcemy troszczyć się o środowisko naturalne!
To co może niepokoić to:
- Problem zaufania i prywatności:
    - Gdzie są moje dane?
    - Kto nimi zarządza?
    - Co się z nimi dzieje?
    - Czy usługodawca na pewno wywiązuje się z kontraktu
- Utrudnione kontrolowanie oraz brak standardów audytu
- Ryzyka prawne (które prawo jest ważniejsze) i reputacyjne
- Łatwo zacząć, trudniej skończyć
- Niebezpieczeństwo potężnych strat w przypadku utraty ciągłości działania
- Duża standaryzacja kosztem indywidualnych rozwiązań
Tego typu decyzja powinna być świadoma. Należy przeanalizować ryzyko, dobrze zdefiniować cele jakie chcemy osiągnąć. Nie należy się bać oddawania usług i danych na zewnątrz, pod warunkiem, że:
    - nie będziemy się śpieszyć
    - przygotujemy dobrą umowę zabezpieczającą interesy obydwu stron, pamiętając, że niska cena idzie w sprzeczności z dobrą jakością
    - będziemy przestrzegać umowy, w razie problemów nie bojąc się renegocjacji
    - będziemy sobie ufać, ale i kontrolować wypełnianie warunków
    - będziemy się komunikować
Zachęcam do przejrzenia całej prezentacji.
Główne myśli dotyczyły tego, że kupowanie usług od wyspecjalizowanych podmiotów i koncentrowanie się na podstawowej działalności jest już faktem i rzeczywistością a nie koncepcją, którą wciąż teoretycznie się rozważa. Dlaczego?
    - Bo to działa!
    - Bo jest tanio!
    - Bo można to zrobić dobrze!
    - Bo chcemy troszczyć się o środowisko naturalne!
To co może niepokoić to:
- Problem zaufania i prywatności:
    - Gdzie są moje dane?
    - Kto nimi zarządza?
    - Co się z nimi dzieje?
    - Czy usługodawca na pewno wywiązuje się z kontraktu
- Utrudnione kontrolowanie oraz brak standardów audytu
- Ryzyka prawne (które prawo jest ważniejsze) i reputacyjne
- Łatwo zacząć, trudniej skończyć
- Niebezpieczeństwo potężnych strat w przypadku utraty ciągłości działania
- Duża standaryzacja kosztem indywidualnych rozwiązań
Tego typu decyzja powinna być świadoma. Należy przeanalizować ryzyko, dobrze zdefiniować cele jakie chcemy osiągnąć. Nie należy się bać oddawania usług i danych na zewnątrz, pod warunkiem, że:
    - nie będziemy się śpieszyć
    - przygotujemy dobrą umowę zabezpieczającą interesy obydwu stron, pamiętając, że niska cena idzie w sprzeczności z dobrą jakością
    - będziemy przestrzegać umowy, w razie problemów nie bojąc się renegocjacji
    - będziemy sobie ufać, ale i kontrolować wypełnianie warunków
    - będziemy się komunikować
Zachęcam do przejrzenia całej prezentacji.
14 czerwca 2010
Program zwiększania świadomości pracowników
W trakcie ubiegłotygodniowej konferencji naukowej „Management 2010” przedstawiłem referat dotyczący programu zwiększania świadomości użytkowników. Jest to zagadnienie ściśle związane z pluralistyczną koncepcją zrównoważonego rozwoju o której pisze prof. dr hab. Jan Jeżak z Uniwersytetu Łódzkiego.
Zwracałem uwagę na smutną rzeczywistość osób odpowiedzialnych za bezpieczeństwo – fakt, że aby ochronić zasoby informacyjne konieczne jest wyeliminowanie wszystkich potencjalnych podatności. Przestępcy potrzeba jednakże znalezienia jedynie jednej podatności by wykraść, usunąć bądź zmodyfikować dane. Zaproponowałem by tak ukierunkować świadomość pracowników aby myśleli tak jak specjaliści do spraw bezpieczeństwa, by sami proaktywnie wykrywali i eliminowali potencjalne problemy, stając się tym samym pierwszą zewnętrzną warstwą systemu ochrony informacji.
Referat koncentrował się na metodach zdobywania tego poparcia. Kilka głównych praktyk wdrożenia programu zwiększenia świadomości użytkowników przedstawiłem następująco:
Więcej znajduje się w publikacji wydanej przez Studio EMKA (Społeczny Wymiar zrównoważonego rozwoju organizacji pod redakcją J.S. Kardasa i M. Jasińskiej). Zachęcam do lektury bądź przynajmniej do przeanalizowania i korzystania z powyższej listy podczas przygotowywania kampanii uświadamiających.
Zwracałem uwagę na smutną rzeczywistość osób odpowiedzialnych za bezpieczeństwo – fakt, że aby ochronić zasoby informacyjne konieczne jest wyeliminowanie wszystkich potencjalnych podatności. Przestępcy potrzeba jednakże znalezienia jedynie jednej podatności by wykraść, usunąć bądź zmodyfikować dane. Zaproponowałem by tak ukierunkować świadomość pracowników aby myśleli tak jak specjaliści do spraw bezpieczeństwa, by sami proaktywnie wykrywali i eliminowali potencjalne problemy, stając się tym samym pierwszą zewnętrzną warstwą systemu ochrony informacji.
Referat koncentrował się na metodach zdobywania tego poparcia. Kilka głównych praktyk wdrożenia programu zwiększenia świadomości użytkowników przedstawiłem następująco:
Zdobywanie poparcia kierownictwa
- zalety płynące z programu
- przekaz koncentrujący się na priorytetach
- postępy w realizacji planów
Stała obecność
- regularne akcje uświadamiające
- umiejscowienie zasad bezpieczeństwa w procedurach operacyjnych
- ułatwienie dostępu do niezbędnej dokumentacji
- testy bezpieczeństwa
- bezzwłoczne reagowanie na zgłaszane incydenty
Prowadzenie akcji uświadamiających
- krótkie wiadomości elektroniczne
- publikacje w korporacyjnym Intranecie, artykuły w firmowej gazetce, plakaty
- wiadomości umieszczane na tapecie pulpitu lub w treści wygaszacza ekranu
- krótkie filmy szkoleniowe
Więcej znajduje się w publikacji wydanej przez Studio EMKA (Społeczny Wymiar zrównoważonego rozwoju organizacji pod redakcją J.S. Kardasa i M. Jasińskiej). Zachęcam do lektury bądź przynajmniej do przeanalizowania i korzystania z powyższej listy podczas przygotowywania kampanii uświadamiających.
13 czerwca 2010
Odcinanie piratów od sieci
Świat obiegła jakiś czas temu informacja o tym, że Irlandia jako pierwszy kraj w UE postanowiła odcinać od sieci piratów.
Pomysł niezły...na pierwszy rzut oka. Wartość intelektualną trzeba chronić więc niszczmy piratów w każdy możliwy sposób.
Tak pomyślałem sobie o kilku scenariuszach:
- przestępca przejmuje komputer gospodyni domowej i publikuje pirackie materiały
- dziecko mniej lub bardziej nieświadomie bawi się komputerem rodziców (prowadzących w domu działalność gospodarczą - albo i sklep internetowy)
- pracownik (np IT) nudząc się w źle zabezpieczonej firmie umieszcza tam zakazane materiały
- znudzony nastolatek włamuje się do niezabezpieczonej sieci bezprzewodowej sąsiada i wysyła nielegalny materiał
I co w takich sytuacjach? Niewinne osoby będą cierpieć za nieznajomość technik zabezpieczania sieci? Kto zwróci koszty związane z niezrealizowanymi transakcjami? Czy będą wypłacane odszkodowania za niesłuszne odcięcie dostępu?
Pomysł niezły...na pierwszy rzut oka. Wartość intelektualną trzeba chronić więc niszczmy piratów w każdy możliwy sposób.
Tak pomyślałem sobie o kilku scenariuszach:
- przestępca przejmuje komputer gospodyni domowej i publikuje pirackie materiały
- dziecko mniej lub bardziej nieświadomie bawi się komputerem rodziców (prowadzących w domu działalność gospodarczą - albo i sklep internetowy)
- pracownik (np IT) nudząc się w źle zabezpieczonej firmie umieszcza tam zakazane materiały
- znudzony nastolatek włamuje się do niezabezpieczonej sieci bezprzewodowej sąsiada i wysyła nielegalny materiał
I co w takich sytuacjach? Niewinne osoby będą cierpieć za nieznajomość technik zabezpieczania sieci? Kto zwróci koszty związane z niezrealizowanymi transakcjami? Czy będą wypłacane odszkodowania za niesłuszne odcięcie dostępu?
11 czerwca 2010
Burze słoneczne
Rafał Rudnicki opublikował niedawno na swoim blogu bardzo interesujący artykuł o burzach słonecznych i związanym z tym "Efektem Carringtona".
Pozwolę sobie zacytować fragment, po resztę zapraszam na stronę autora.
Pozwolę sobie zacytować fragment, po resztę zapraszam na stronę autora.
Tegoroczny raport opublikowany przez The Academmy of Natural Sciences w Filadelfii szacuje, że skutki ekonomiczne burzy elektromagnetycznej o skali zjawiska Carringtona spowodują straty w wysokości od biliona (milion milionów) do dwóch bilionów dolarów - tylko w samych Stanach Zjednoczonych. W tym 30 miliardów dziennie traciłyby sieci energetyczne, a 70 miliardów dziennie operatorzy sieci komórkowych. Nic dziwnego, że utworzono rządowy Space Weather Prediction Center, a zagrożeniem interesuje się nawet NASA, która kontroluje kilka satelitów dedykowanych obserwacji aktywności słońca. Istniejący system bezpieczeństwa daje nam wyprzedzenie rzędu 15 do maksymalnie 60 minut - tyle czasu mamy, aby uchronić najbardziej eksponowane części sieci enegrgetycznych przed przeładowaniem i zniszczeniem. System sprawdził się już 12 lat temu, kiedy alarm wysłany przez NASA z 40 minutowym wyprzedzeniem, uratował amerykańska sieć energetyczną.
10 czerwca 2010
Przeciwdziałanie bojkotowi
Wczoraj pisałem o bojkocie firm w mediach. Internet doskonale ułatwia zawiązywanie tego typu grup.
Od paru tygodni świat interesuje się skutkami potężnej katastrofy ekologicznej w związku ze zniszczeniem platformy BP. Koncern postanowił się ratować (w końcu takie akcje stanowią zagrożenie dla ciągłości działania) i wykupił potężne ilości sponsorowanych linków w głównych wyszukiwarkach prowadzących na strony "wybielające" skandal BP.
To tylko dowodzi temu jak potężne może być jednak oddziaływanie społeczeństwa w walce przeciw wspólnemu wrogowi
Od paru tygodni świat interesuje się skutkami potężnej katastrofy ekologicznej w związku ze zniszczeniem platformy BP. Koncern postanowił się ratować (w końcu takie akcje stanowią zagrożenie dla ciągłości działania) i wykupił potężne ilości sponsorowanych linków w głównych wyszukiwarkach prowadzących na strony "wybielające" skandal BP.
To tylko dowodzi temu jak potężne może być jednak oddziaływanie społeczeństwa w walce przeciw wspólnemu wrogowi
Subskrybuj:
Posty (Atom)