Bezpieczeństwo

„Potrzebuję numeru Pańskiej karty”

8 czerwca 2017

„Potrzebuję numeru Pańskiej karty”

Michał Rosiak

Przyznam się Wam, że czasami nad tematami na bloga myślę długo i tak intensywnie, że mam wrażenie, iż wyżyma mi się mózg. Zdarzają się jednak takie dni jak dzisiaj, gdy przy zwykłej, codziennej sytuacji, dostaję impuls niczym Pomysłowy Dobromir kulką w łeb 🙂

Rezerwowałem dziś hotel na weekendowy wakacyjny wypad. Gdy zgłosiłem przy rezerwacji, że będę po 21, usłyszałem:

W takim razie potrzebuję od pana numer karty płatniczej, żeby przedłużyć czas zameldowania poza godz. 18

No dobra, w sumie jak trzeba to – choć z bólem mojej bezpieczniackiej duszy – mogę dać, pytam więc panią, czy przyślą mi linka do strony, gdzie go wpiszę.

Nie, nie, albo poda mi go pan przez telefon albo mailem

O-o… Mówimy o hotelu pan-europejskiej sieci, gdzie z jednej strony można domniemywać zaufanie (choć wciąż uważam, że w takich kwestiach absolutnie się nie powinno), ale z drugiej: no kurde, oni powinni mieć na to jakieś mechanizmy! Poteoretyzować jednak można, ale co w tej sytuacji zrobić, gdy – było nie było – po drugiej stronie telefonu jest ktoś, kogo nie widzieliśmy na oczy, a maili, które wysyłamy do hotelu, nie ma jak zaszyfrować? A jechać trzeba!

Najlepiej unikać takich sytuacji, ale jeśli już trzeba to np. możemy w mailu podać numer w formie xxxx1234xxxx5678, a pozostałe cyfry podać przez telefon. O ile w ten sposób nie unikniemy ryzyka związanego z nieuczciwym recepcjonistą, ale w przypadku, gdy nasz mail trafi w niepowołane ręce – już tak.

Ciekaw jestem, czy Wam też zdarzały się takie dylematy, związane z koniecznością podania numeru karty? A może robicie zakupy online i za każdym razem stresujecie się, czy na pewno chcecie wpisać dane karty? A jak z certyfikatem strony – sprawdzacie szczegóły, czy wystarczy Wam zielona zwodnicza zielona kłódeczka?

Udostępnij: „Potrzebuję numeru Pańskiej karty”

Bezpieczeństwo

Co ciekawego na Confidence 2017?

25 maja 2017

Co ciekawego na Confidence 2017?

Michał Rosiak

Jakoś tak wyszło, że końcówkę ubiegłego tygodnia spędziłem w Krakowie. Raz na jakiś czas dzięki uprzejmości mojej firmy mam okazję zaglądać na bezpieczniackie konferencje i o ile zawsze wybieram Secure (bo tam najwięcej rozumiem 😉 ), w tym roku dostałem też szansę zrozumieć co nieco podczas organizowanego pod Wawelem Confidence. Tu już tak łatwo nie było, bo to jednak konferencja bardziej hakersko-techniczna, ale – chwała organizatorom – znalazło się parę tematów dla mnie, dzięki czemu mogę podzielić się z Wami spostrzeżeniami, które sobie wynotowałem.

Maciej jakąś kamerę IP? W domu albo w pracy? No to przyjrzyjcie się jej, czy przypadkiem nie wypuszcza obrazu do internetu, a jeśli ma wypuszczać – nie używajcie domyślnego hasła administratora, najlepiej przepuszczajcie sygnał przez niestandardowe porty, no i sprawdźcie, czy przypadkiem Wasze urządzenie nie jest podatne na ataki. Posiadacze dostępnych z internetu kamer IP podczas wykładu Michała Sajdaka zyskali (…by, ale tam byli sami bezpieczniacy 😉 ) wiele siwych włosów, widząc, ile kamer dostępnych jest z sieci bez zbytniego szukania, co można zobaczyć na ekranie i jak do niektórych z nich (również tych za tysiące dolarów) łatwo się włamać (a raczej jak było łatwo, bowiem Michał pokazał nam efekty swoich prac dopiero po tym, gdy producenci załatali luki). Co nie zmienia faktu, że przydzielanie kamerom publicznego IP, nie separowanie sieci nadzoru wideo od WiFi dostępnego np. dla klientów hotelu i różne inne tego typu kwiatki wcale nie są rzadkością…

30-40%. Co to za odsetek? Ano odsetek corocznego wzrostu cyberprzestępstw, przy spadku zwykłej przestępczości na przestrzeni ostatnich kilku lat nawet o 50%. Prezentacja szefa biura do walki z cyberprzestępczością Komendy Głównej Policji (co ciekawe, powstało dopiero 1 grudnia ubiegłego roku). 250 policjantów w całej Polsce w pierwszym kwartale tego roku zajęło się niemal tysiącem spraw (!), notując – o ile dobrze pamiętam, bo tego akurat nie zanotowałem – średnio niemal 2 tzw. realizacje (czyli de facto zatrzymania podejrzanych) dziennie. Kawał wielkiej roboty, a czemu o nich nie słychać w mediach? „Bo my nie jesteśmy od wywiadów, tylko od roboty”. Dlatego też pozwoliłem sobie nie wymieniać tutaj personaliów szefa „cyberglin”, bowiem robił wrażenie, że ostatnie, co go interesuje, to parcie na szkło.

Drugiego dnia konferencji w pamięć wbiła mi się na pewno świetna jak zwykle prezentacja charyzmatycznego Adama Haertle. Świetna i nieco smutna, opowiada bowiem historię naszego polskiego domorosłego „hakiera”, który mimo dwóch lewych rąk do roboty i interesów zarobił na tym interesie całkiem sporo, na szkodę wielu uczciwych ludzi, i chociaż wiadomo, jak się nazywa, jak wygląda, i gdzie mieszka (w Belgii), ze względów proceduralnych… nie ma podstaw do wystawienia nań Europejskiego Nakazu Aresztowania. Ciekawy był też opisany przez mł. inspektora Jana Klimę, szefa krakowskich „cyberglin” przypadek bardzo przemyślanego phishingu, kierowanego do kancelarii prawniczych. Otrzymywały one bowiem dokładnie przygotowane, napisane piękną polszczyzną, zaproszenie do współpracy od polskiej firmy z siedzibą za granicą. Nic podejrzanego, czysty biznes, żadnych linków, załączników, nic. Ludzie kryształowo czyści, jako łza niewieścia. Jak tu z takimi nie współpracować, jasne, że chcemy! Super, to my się bardzo cieszymy, potrzebujemy tylko Waszych danych, żadnych loginów, haseł, nic tajnego, ale żeby wszystko było na miejscu, wypełnijcie proszę ten dokument Word. Ups. O tym, że zanim makro w dokumencie zainstaluje ransomware to najpierw wyssie z Waszych dysków wszystkie dokumenty w formatach Office’owych jakoś tak… zapomnieliśmy Wam powiedzieć.

Lubię takie imprezy, można się sporo dowiedzieć, a czasami jeszcze bardziej się przerazić. Ale przede wszystkim skorzystać – najpierw ja, a potem Wy.

 

Udostępnij: Co ciekawego na Confidence 2017?

Bezpieczeństwo

„Transakcje PayU” – analiza trojana vjw0rm

16 marca 2017

„Transakcje PayU” – analiza trojana vjw0rm

Michał Rosiak

Ciężko zapamiętać kolejne akcje phishingowe, przestępcy nie zwalniają tempa, ale malware przesyłany jako transakcje z PayU jest dość świeży, bo sprzed zaledwie 4 dni. Nasi eksperci przyjrzeli mu się dokładniej i okazało się, że mamy do czynienia z tym samym trojanem vengeance&justice w0rm (w skrócie vjw0rm) który był również używany w kampanii „paragony z Zary”. O ile vjw0rm sam w sobie nie robi naszemu komputerowi wielkiej krzywdy, może służyć przestępcy do „otwarcia drzwi” i zainstalowania bez naszej wiedzy dowolnego innego malware’u.

Dokładną analizę działania vjw0rm’a znajdziecie tutaj.

Udostępnij: „Transakcje PayU” – analiza trojana vjw0rm

Bezpieczeństwo

(nie)Bezpieczna Sieć, odc. 11 – Prywatność w social mediach

23 lutego 2017

(nie)Bezpieczna Sieć, odc. 11 – Prywatność w social mediach

Michał Rosiak

Wracamy z (nie)Bezpieczną Siecią! Tym razem odpowiedź na tzw. pilną potrzebę społeczną. Kiedy słuchałem podczas 10. Międzynarodowej Konferencji „Bezpieczeństwo Dzieci i Młodzieży w Internecie” wykładu Oli Kuś z Fundacji Orange i Szymona Wójcika z Fundacji Dajemy Dzieciom Siłę, trochę opadły mi ręce. Dobra, nawet nie trochę, bo jak tak może być, że w sytuacji, gdy edukujemy, edukujemy i edukujemy do u… padłego, dzieci i młodzież wciąż nie zmieniają haseł, używają je w wielu miejscach, czy też nie zmieniają ustawień prywatności w serwisach społecznościowych? Efekt jest taki, że w wielu przypadkach wszystko co piszą, może przeczytać i obejrzeć każdy! Dlatego na tym aspekcie skupia się kolejny odcinek (nie)Bezpiecznej Sieci. To szczegółowy poradnik jak zabezpieczyć swoją prywatność w serwisach społecznościowych. Obejrzyjcie, pokażcie dzieciom, przekażcie linka komu się da, oglądajcie w szkołach. To ważne!

Udostępnij: (nie)Bezpieczna Sieć, odc. 11 – Prywatność w social mediach

Bezpieczeństwo

Nasi internauci mogą czuć się bezpiecznie

19 kwietnia 2012

Nasi internauci mogą czuć się bezpiecznie

Michał Rosiak

Przyznam się Wam, że czasami nad tematami na bloga myślę długo i tak intensywnie, że mam wrażenie, iż wyżyma mi się mózg. Zdarzają się jednak takie dni jak dzisiaj, gdy przy zwykłej, codziennej sytuacji, dostaję impuls niczym Pomysłowy Dobromir kulką w łeb 🙂

Rezerwowałem dziś hotel na weekendowy wakacyjny wypad. Gdy zgłosiłem przy rezerwacji, że będę po 21, usłyszałem:

W takim razie potrzebuję od pana numer karty płatniczej, żeby przedłużyć czas zameldowania poza godz. 18

No dobra, w sumie jak trzeba to – choć z bólem mojej bezpieczniackiej duszy – mogę dać, pytam więc panią, czy przyślą mi linka do strony, gdzie go wpiszę.

Nie, nie, albo poda mi go pan przez telefon albo mailem

O-o… Mówimy o hotelu pan-europejskiej sieci, gdzie z jednej strony można domniemywać zaufanie (choć wciąż uważam, że w takich kwestiach absolutnie się nie powinno), ale z drugiej: no kurde, oni powinni mieć na to jakieś mechanizmy! Poteoretyzować jednak można, ale co w tej sytuacji zrobić, gdy – było nie było – po drugiej stronie telefonu jest ktoś, kogo nie widzieliśmy na oczy, a maili, które wysyłamy do hotelu, nie ma jak zaszyfrować? A jechać trzeba!

Najlepiej unikać takich sytuacji, ale jeśli już trzeba to np. możemy w mailu podać numer w formie xxxx1234xxxx5678, a pozostałe cyfry podać przez telefon. O ile w ten sposób nie unikniemy ryzyka związanego z nieuczciwym recepcjonistą, ale w przypadku, gdy nasz mail trafi w niepowołane ręce – już tak.

Ciekaw jestem, czy Wam też zdarzały się takie dylematy, związane z koniecznością podania numeru karty? A może robicie zakupy online i za każdym razem stresujecie się, czy na pewno chcecie wpisać dane karty? A jak z certyfikatem strony – sprawdzacie szczegóły, czy wystarczy Wam zielona zwodnicza zielona kłódeczka?

Udostępnij: Nasi internauci mogą czuć się bezpiecznie

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej