Bezpieczeństwo

Numer „na pendrive’a” ciągle żywy

Michał Rosiak Michał Rosiak
11 sierpnia 2016
Numer „na pendrive’a” ciągle żywy

Aż nie do wiary, że to jeszcze działa. O socjotechnice "na pendrive'a" mówi się już przynajmniej od pięciu lat (ale chyba dłużej), a ludzie wciąż się na to łapią. Kolejny dowód na to, że na idiotów zawsze można liczyć, przeprowadził Elie Bursztein, szef zespołu badawczego w Google odpowiedzialnego za zabezpieczenia przed cyber-atakami. Wnioski z badania zaprezentował na konferencji BlackHat USA 2016.

Zespół Burszteina "upuścił" 297 uprzednio odpowiednio przygotowanych pendrive'ów w starannie zaplanowanych lokalizacjach campusu Uniwerstytetu Illinois w Urbana-Champaign: na parkingu, terenach zielonych, salach wspólnych, salach wykładowych i w hallach. Jak myślicie, ile z nich wykonało potem "E.T. call home"?

45% (z czego ponad 9% zostało otwartych praktycznie natychmiast po ich "upuszczeniu")

W sumie zawsze mogło być 90%, ale czy przez to specjaliści od bezpieczeństwa powinni czuć się lepiej? Myślę, że wątpię... Przy groszowych kosztach przenośnych pamięci wystarczy ukryć na nich jakiś sprytny malware, instalujący się po wpięciu do portu USB. Nie trzeba rozrzucać aż trzystu - 45 procent z 50 sztuk to wciąż 22 (i pół :) ), nawet jeśli 2/3 wezmą ludzie nie pracujący w firmie-ofierze, wciąż zostanie 7 potencjalnych źródeł ataku, a tak naprawdę wystarczy jedno. A jeśli jeszcze na pendrivie dodamy jakiś nabazgrany markerem tekst, sugerujący, że są na nim mocno prywatne zdjęcia, albo dane poufne?

Zastanawiam się, jaki odsetek firm ma wdrożoną politykę bezpieczeństwa blokującą korzystanie z pendrive'ów? A weźmy pod uwagę, że zwykły "gwizdek" z malware'em to droga na skróty - Burstein i jego ekipa schowali w plastikowych obudowach całkiem wydajne małe komputerki, które niczego nie instalowały, ale nawiązywały połączenie z centrum kontroli botnetu przygotowanego przez badaczy i dopiero stamtąd mogły ściągnąć "malware".

Mam wrażenie, że ludzkich słabości nie da się do końca pokonać i w przypadku ataku "na zgubiony pendrive" jego skuteczność jest warunkowana wyłącznie przez to, jak dużo przenośnych pamięci zostanie rozsypanych i jak bardzo przypadkowo będzie to wyglądać. Kolejny dowód na to, że im większa firma, tym bardziej powinna inwestować w bezpieczeństwo, by nawet jeśli nie da się wykryć momentu ataku, zorientować się, gdy w firmowej sieci zaczyna się dziać coś złego.

Prezentację Eliego Burszteina z konferencji BlackHat 2016 znajdziecie tutaj.


Oferta

Gadżety do stacjonarnego internetu i bonus przy doładowaniu konta

Piotr Domański Piotr Domański
10 sierpnia 2016
Gadżety do stacjonarnego internetu i bonus przy doładowaniu konta

Wakacje w pełni, pomimo że trudno dostrzec to gołym okiem.  I pomimo sezonu ogórkowego nadal mamy dla Was ciekawe promocje.  Obok, tych trwających już jakiś czas – abonamentu za pół ceny do internetu domowego w ramach Orange Open Extra czy dodatkowych możliwości w Orange Finanse, mamy też dwie świeżutkie.

Pierwsza to trwający Happy Week, w ramach którego do Orange światłowodu i Neostrady dorzucamy za złotówkę jeden z dwóch fajnych gadżetów. Pierwszy to nawigacja Navitel E100 – urządzenie wyposażone w ekran o przekątnej 5” z rozdzielczości 480x272 pikseli. Posiada też takie niespotykane funkcje jak planowanie trasy czy możliwość wydawania wskazówek głosem ;-). Ma jednak tak kilka funkcji, których brakuje darmowym rozwiązaniom i które sprawiają, że to urządzenie ma sens.  To choćby możliwość wskazania jako celu skrzyżowania ulic, czy też informacje o  zagrożeniach dla portfela czyhających na drodze. Producent zapewnia także dożywotnią aktualizację map. Razem z nawigacją otrzymujecie także uchwyt na szybę oraz ładowarkę. Nawigacja jest dostępna tylko dla nowych klientów.

Drugim z gadżetów, dostępnym dla przedłużających umowę, są słuchawki Nokia Purity HD Stereo – gadżet wyróżniający się przede wszystkich niezwykłą kolorystyką i wyglądem. Wiem, że nie za to wyróżnia się słuchawki, lecz to nie moja wina – to właśnie w nich przykuwa uwagę na początku. Później oczywiście dochodzą takie elementy jak bardzo porządne wytłumienie dźwięku, czy jego jakość, ale pierwsze wrażenie pozostaje ;-)

A druga z promocji? Dodatkowy bonus za doładowanie prepaid poprzez stronę banku,  aplikacje mobilne i mPay. Jeżeli skorzystacie z którejś z tych możliwości otrzymacie 30% kwoty doładowania na konto promocyjne. Środki ważne są przez 14 dni, a promocja trwa do 14 sierpnia.

P.S. Skoro już przy promocjach jesteśmy, pamiętacie tą z powerbankami i darmowymi GB w roli głównej ;-).

Mam też dla Was mały konkurs. Można w nim wygrać dwa powerbanki Platinet 8000mah, dokładnie takie same, jak te które można kupić w promocyjnej cenie w ramach promocji. W komentarzach, do 12 sierpnia do godziny 10 napiszcie do jakiego najciekawszego miejsca dotarliście w czasie poszukiwania pokemonów? A jeżeli nigdy nie graliście napiszcie do czego innego może służyć paczka danych i potężny powerbank.  Ocena będzie dokonana przez kompetentnych blogerów Orange ;-)


Bezpieczeństwo

Orange Data Center, czyli żeglowanie po bezpiecznych wodach

Piotr Domański Piotr Domański
09 sierpnia 2016
Orange Data Center, czyli żeglowanie po bezpiecznych wodach

Od wczoraj możecie zobaczyć na naszym kanale na YouTube bardzo fajny film podsumowujący jakie usługi dla firm świadczy nasze Data Center. Jeżeli jeszcze nie mieliście okazji oto on:

W filmie jest sporo ciekawych informacji, głównie związanych z bezpieczeństwem, ja jednak skupię się na trzech technicznych faktach, związanych z Data Center. Ominę też żeglarską konwencję, choć moim zdaniem porównanie do regat jest bardzo trafne. Nazwę Data Center udało nam się zastąpić ładną polską wersją – Centrum Przetwarzania Danych i skrótem CPD, którego będę się trzymał. Znajduje się ono w Łodzi, a lokalizacja ma tutaj duże znaczenie. Dużo mniejsze ma natomiast odległość do miejsca, w którym znajduje się klient.  Jak kiedyś mądrze powiedział kolega zajmujący się siecią stacjonarną – „W internecie fizyczna odległość jest bez znaczenia, liczy się szybkość łącza doprowadzona do danego punktu”.

Ciekawostka pierwsza: energia. W przypadku klęski żywiołowej, katastrofy naturalnej, które spowodują wyłączenie zasilania włączają się automatycznie generatory prądotwórcze, które byłyby w stanie zasilić niewielkie miasto, liczące kilkadziesiąt tysięcy mieszkańców. Zapewniają one moc ok. 18 MVA. Są one zasilane przez ogromne zbiorniki z paliwem. Na ich zawartości średniej klasy samochód osobowy, mógłby przejechać dystans równy odległości Księżyca od Ziemi… 7 razy. I wystarczyłoby jeszcze na kilka pętelek w około ziemskiego równika.

Ciekawostka druga: pojemność. Centrum Przetwarzania Danych codziennie zabezpiecza około 340 terabajtów danych. To tak jakby każdego dnia wgrywano na dysk mniej więcej 6100 filmów DVD. W sumie centrum przechowuje ponad 13 petabajtów danych. Obecnie w CPD Łódź mamy ponad 2500 serwerów fizycznych, ok. 5000 serwerów wirtualnych

Ciekawostka trzecia: nadzór. CPD Łódź jest monitorowane 24h/365 dni w roku przez Centrum Nadzoru. Cała grupa specjalistów kontroluje wszystkie parametry systemów informatycznych, awaryjnych i zasilających, a także samego budynku. W sumie kontrolowanych jest ok. 63 000 parametrów.

Scroll to Top