Bezpieczeństwo

Bankomat vs. Bieszczady

Michał Rosiak Michał Rosiak
29 maja 2014
Bankomat vs. Bieszczady

Gdybym swoje opinie o życiu w cyber-przestrzeni czerpał tylko z branżowych konferencji, podejrzewam, że wyprowadziłbym się w Bieszczady i żył w samotni w towarzystwie niedźwiedzi i innych równie uroczych okazów tamtejszej flory. A na pewno z dala od internetu... Takie wrażenia towarzyszyły mi podczas słuchania kolejnych prezentacji na konferencji CONFidence 2014. W tym roku post-industrialne wnętrza wymarłego krakowskiego hotelu Forum gościły czołowych specjalistów od bezpieczeństwa IT z Polski i Europy, którzy pojawili się pod Wawelem już 10. raz. Jak było?

Różnie. Chwilami wesoło, jak podczas prezentacji niezwykle charyzmatycznego Chrisa Nickersona, ciekawie (gdy Paweł Goleń opowiadał o tym, jak najbezpieczniej potwierdzać e-przelewy), czasami... niezrozumiale – w moim przypadku zawsze, gdy prezentacja okazywała się być baaardzo techniczna (dla mnie nazwa C++ to wciąż tylko dziwna mieszanka liter i matematyki), zazwyczaj jednak po prostu smutno, lub wręcz przerażająco. No bo jak określić sytuację, gdy prezenter sypie jak z rękawa rozmaitymi podatnościami systemów SCADA (Supervisory Control And Data Acquisition), odpowiedzialnych za zarządzanie np. elektrowniami, czy miejskimi wodociągami? Albo opowiada jak duże systemy biznesowe wystarczająco ładnie poproszone same podadzą nam hasła, pozwalające na wprowadzanie w nich zmian? Jak rozwiązania, pozwalające np. zdalną kontrolę systemów alarmowych mają domyślnie ustawiane hasła o długości... czterech znaków, a na dodatek mogą je wysłać do napastnika otwartym tekstem?

Uważacie, że tak naprawdę wy, jako użytkownicy, nie macie z tym wszystkim nic wspólnego? A co powiecie na to, że – przynajmniej w opinii Yaniva Mirona i tajemniczego „M C” – nie ma bankomatu, którego nie da się okraść (a przynajmniej oni takiego nie spotkali)? Urządzenia, których odporność na atak testowali, okazywały się być wyposażone w trywialnie łatwe do otworzenia zamki, niedziałające (!) systemy alarmowe, dyski na których (zamiast niegdysiejszych drukarek) gromadzone są pełne dane milionów (!) kart, z których dokonywano wypłat, okazały się być nieszyfrowane i łatwe do skopiowania, oprogramowanie urządzenia bez problemów pozwalało na instalację złośliwego oprogramowania, zaś kamery albo nie działały, albo nie wywoływały reakcji ochrony. A przecież, żeby okraść bankomat, niekoniecznie trzeba wyciągać z niego pieniądze...

Jeśliby poszukać części wspólnej w prezentacjach, które zrozumiałem ;), w większości przypadków był nią – cóż za niespodzianka – człowiek. Najpierw ten, który oszczędza na zasobach (czasie/pracy/pieniądzach) i albo wypuszcza na rynek „dziurawy” produkt. Potem ten, który świadom kosztów wprowadzenia zmian, udaje, że nic się nie dzieje. Na koniec zaś ten, któremu nie chce się zastanowić zanim coś zrobi, reaguje automatycznie, a potem płacze. Co ciekawe, Chris Nickerson wcale nie odsądza od czci i wiary tych ostatnich, wysuwając teorię, że skoro użytkownik robi coś głupiego, to znaczy, że został źle nauczony. A kto miał go nauczyć? Oczywiście „branża”, czyli my. Nie da się ukryć, że coś w tym jest. Szereg przytoczonych przez Chrisa przykładów udanych socjotechnicznych ataków (najbardziej podobał mi się ten, gdy wraz z kolegą przebrali się za pracowników elektrowni i nawet nie musieli się zbytnio starać, bo ochroniarze wręcz wciągnęli ich do pomieszczeń serwerowni dużej firmy i... zostawili samych) wskazuje, że roboty niestety nie zabraknie. A jeśli ktoś wciąż nie daje się przekonać, zamiast mówić, co złego może się stać, trzeba po prostu to zrobić. Nic lepiej nie uświadomi ryzyka kradzieży kieszonkowej, niż stukający nas w ramię policjant w cywilu, wręczający nam „bezpiecznie” schowany portfel.


Odpowiedzialny biznes

Nowy Dobroczyńca Roku!

Monika Kulik Monika Kulik
29 maja 2014
Nowy Dobroczyńca Roku!

Wczoraj podczas uroczystej Gali poznaliśmy Dobroczyńców Roku 2014! Od 17 lat Akademia Rozwoju Filantropii przyznaje nagrody dla firm zaangażowanych społecznie.

Mieliśmy przyjemność otrzymać ten prestiżowy tytuł kilkakrotnie – za strategiczne podejście do społecznego zaangażowania, współpracę z organizacją społeczną czy za wolontariat pracowniczy. W tym roku nie było nas wśród laureatów i było to działanie zamierzone :)

Zostaliśmy partnerem merytorycznym konkursu. Wspólnie z organizatorami stworzyliśmy dodatkową kategorię konkursową - „Nowe technologie w społecznym zaangażowaniu". Wierzymy bowiem, że nowe technologie są sprzymierzeńcem rozwoju społecznego i dlatego wykorzystujemy je powszechnie w programach Fundacji Orange pokazując, jak wykorzystać potencjał grywalizacji do działań prospołecznych, promując używanie licencji creative commons i wspólne korzystanie z bazy dobrych praktyk społecznych.

Dobroczyńcą Roku 2014 w tej nowej kategorii została Fundacja Allegro All for Planet, która opracowała specjalną aplikację i w ramach kampanii ekologicznej zachęca -  „Kręć kilometry, zaparkuj klimatycznie”. W  2013 roku rowerzyści przejechali łącznie 477 692 km, co przełożyło się na 29 tys. propozycji nowych tras rowerowych oraz 100 nowych stojaków.

To dobry przykład, aby pokazać jak łatwo przejść od „cyfrowego” pomagania do realnej zmiany w naszym otoczeniu i ile dzięki temu możemy zyskać.

f8b2e511a8ecc799aaa870dcfe8196ad06b


Rozrywka

Co zrobisz by zdobyć bilet na OWF? ;)

Marek Wajda Marek Wajda
28 maja 2014
Co zrobisz by zdobyć bilet na OWF? ;)

Zobaczcie, co gotowi byli zrobić przypadkowi ludzie, aby dostać bilety na #OWF2014! Przez ukryty głośnik kierunkowy, dawaliśmy dziwne zadania jednej osobie (trzeba było zatańczyć, wylać ketchup, czy narysować napis OWF na plaży.

Wy również ciągle macie szanse wygrać bilety na OWF a przy okazji poznać redakcję bloga. Wystarczy, ze nakręcicie komórką minutowy filmik z oryginalną zapowiadzią jednej z gwiazd Orange Warsaw Festival. Na Wasze zgłoszenia czekamy do 2 czerwca. Powodzenia i do zobaczenia! ;)

Scroll to Top