Bezpieczeństwo

Bezpieczny Polak, czyli inwigilacja w dobrej wierze

21 czerwca 2018

Bezpieczny Polak, czyli inwigilacja w dobrej wierze

Od 30 marca 2008, gdy Rzeczpospolita Polska przystąpiła do Układu z Schengen, lawinowo wzrosła liczba Polaków, wypoczywających (i nie tylko) za granicą. Z drugiej strony jednak, w ostatnich lata znacząco zmalało nasze poczucie bezpieczeństwa (obecnie 55% z nas nie czuje się zagrożona za granicą). Główne ryzyka to oczywiście terroryzm (42%) oraz konflikty zbrojne (27%). Doświadczenie uczy, że groźne sytuacje zdarzają się nagle. Czy jednak możemy zminimalizować ryzyko, na jakie się wystawiamy?

Technologie na ratunek

Oczywiście Ministerstwo Spraw Zagranicznych nie zasypia gruszek w popiele – możemy skorzystać z witryny Polak za granicą, zarejestrować podróż w serwisie Odyseusz, czy wreszcie zainstalować na smartfonie aplikację iPolak. Te wszystkie rozwiązania mają jednak jeden wspólny minus – trzeba wiedzieć, że istnieją i poświęcić czas na ich skonfigurowanie. Stąd pomysł na inicjatywę „Bezpieczny Polak”, dzięki której każdy Polak, który znajdzie się w obliczu niebezpieczeństwa: ataku terrorystycznego, katastrofy, wypadku komunikacyjnego, czy klęski żywiołowej, niemal bez konieczności interakcji ma dostać powiadomienie o zagrożeniu.

I to jest ten moment, gdy pojawią się mieszane uczucia. Stojąca za projektem „Bezpieczny Polak” firma marketingowa Selectivv to jeden z dominatorów na rynku mobilnej reklamy w naszym kraju. Nawet mnie, jako człowiekowi nieco przeczulonemu na punkcie bezpieczeństwa i prywatności (taka praca), resztki włosów stanęły dęba, gdy dowiedziałem się, że dysponują danymi o 14 z 20 mln użytkowników urządzeń mobilnych w Polsce, dysponując średnio 362 informacjami o każdym z nas (!!!), z których obecnie stworzonych jest 68 profili behawioralnych.

Oczywiście informacje są zanonimizowane i system, mimo, iż wie o mnie bardzo dużo, dopasowuje do mnie reklamy w sposób bliski ideału, w żadnym momencie nie kojarzy, że ja to Michał Rosiak (myślę, że takie firmy, szczególnie po wprowadzeniu RODO, pracują pod czujnym okiem UODO, więc jestem w stanie w to uwierzyć). Co nie zmienia faktu, iż widząc, ilu z uczestników konferencji w ostatnim miesiącu kupowało w dyskontach (38%), ilu aktywnie uprawia sport (3%), a 7 procent mężczyzn było ostatnio w centrum handlowym, a także, że któraś z pań spodziewa się dziecka, poczułem się… creepy. Bardzo creepy.

Sprofilowany Polak to Bezpieczny Polak?

Gdy wrzucałem na Twittera informacje z konferencji padło sporo pytań (na samej imprezie zresztą też), skąd firma marketingowa ma te wszystkie dane? Jakim prawem? Kto im dał zgodę? Cóż – my. Od momentu, fdy wprowadzenie RODO wymogło na dostawcach treści informowanie, komu udostępniają nasze dane, zaglądam do opcji na każdej z witryn. Gdzieniegdzie rubryka „nasi partnerzy” liczyła niemal 100 pozycji! Ja w każdym miejscu odznaczam zgodę, ale stawiam bitcoiny przeciwko orzechom, że jestem w absolutnej mniejszości.

Okazuje się jednak, że fakt sprzedawania naszej prywatności w zamian za „darmowe” aplikacje i usługi można wykorzystać w szczytnych celach. W rękach (czy raczej na serwerach) Selectivv są m.in. takie informacje, jak nasza szczegółowa lokalizacja, język w ustawieniach telefonu, czy dostawca karty SIM. To wystarczy, by wiedzieć, kto jest Polakiem (na co wskazuje karta SIM lub przynajmniej język menu jeśli używamy karty lokalnej) i czy znajduje się w strefie zagrożenia (geolokalizacja). Jeśli wszystko razem skoreluje, w przeglądarkach i/lub mobilnych aplikacjach zamiast reklam pokaże się informacja o zagrożeniu. W kolejnym kroku użytkownik będzie mógł zapoznać się ze strumieniem danych z Twittera/Facebooka oraz uzyskać adresy i numery telefonów pobliskich placówek dyplomatycznych.

Skąd wziąć informacje o zagrożeniu? Oczywiście z mediów społecznościowych, które od kilku lat regularnie wyprzedzają regularne media w kwestii szybkości przekazu. Analizą przepływu big data w social mediach pod kątem wzrostu poziomu fraz „zamach”, „strzelanina”, „katastrofa” w kontekście konkretnej lokalizacji zajmuje się firma SentiOne. Oczywiście ostateczną decyzję o publikacji alertu podejmuje człowiek, by uniknąć niepotrzebnego wzniecenia paniki.

Pilnujecie swoich danych?

Cel bez cienia wątpliwości jest szczytny, tym bardziej, że biorące w nim udział strony (prócz wspomnianych jeszcze Fundacja Pułaskiego) traktują go jako projekt społeczny. Fakt, iż można nas sprofilować tak dokładnie, przeraża. Fakt, że nieświadomie zdradzamy o sobie tyle informacji – też. Skoro jednak może to pomóc naszemu bezpieczeństwu? To już sensowna i warta uwagi korzyść. Ja jednak odczuwam w tym wszystkim pewien dysonans. Z jednej strony – chciałbym wyczyścić swoje dane reklamowe i nie zdradzać ich aż tylu. Z drugiej – jeśli wyjadę za granicę, warto by było jednak dostać taką informację. Pomysłodawcy projektu Bezpieczny Polak chcieliby oczywiście wykorzystywać go jak najrzadziej, ale możliwość warto mieć.

A jaka jest Wasza opinia? „Sprzedajecie” swoje dane, czy obsesyjnie pilnujecie prywatności? Czy mając na uwadze projekt Bezpieczny Polak zdecydowalibyście się udostępniać choćby część z nich? Ja mimo wszystko chyba tak, bo jeśli okaże się, że z tą anonimizacją to kicha, to dzięki RODO i tak się dowiemy 🙂 A jeśli uda się dzięki temu uratować choćby jedną osobę – to warto.

Udostępnij: Bezpieczny Polak, czyli inwigilacja w dobrej wierze

Bezpieczeństwo

Confidence: 1100 cyberbezpieczniaków wśród samolotów

7 czerwca 2018

Confidence: 1100 cyberbezpieczniaków wśród samolotów

Jeśli jakieś dziecko urodziło podczas pierwszej konferencji Confidence, gromadzącej specjalistów ds. bezpieczeństwa z całej Europy, to za rok będzie już mogło oficjalnie napić się piwa 🙂 W miniony poniedziałek i wtorek miała miejsce już 17. edycja konferencji Confidence. To najstarsza i największa tego typu impreza w Polsce i jedna z najpopularniejszych w Europie.

Tym razem przeszło 1100 uczestników konferencji spotkało się w krakowskim Muzeum Lotnictwa Polskiego. W miejscu absolutnie wyjątkowym, zarówno ze względu na okoliczne błonia pełne historii nie tylko naszego lotnictwa, jak i wypełnione eksponatami wnętrza. Widziałem już sporo konferencji, ale po raz pierwszy oglądałem wystąpienia w sali, gdzie nawet z sufitu zwieszały się prawdziwe, zawieszone na mocnych linach samoloty.

Kiedyś to wszystko runie

Impreza tego typu to ogromne przedsięwzięcie logistyczne. Tegoroczny Confidence to trzy – a w zasadzie cztery, licząc Community Corner – ścieżki tematyczne. Z tematami zarówno wysokopoziomowymi (nie zabrakło oczywiście odmienianego przez wszystkie przypadki RODO), jak i głęboko technicznymi, które rozumiało pewnie góra 10 procent gości konferencji. Ze względu na gości z Europy dominującym językiem prelekcji podczas Confidence jest angielski, prezentacje po polsku są rzadkością. A co najbardziej zapamiętałem? W skrócie można powiedzieć, że – jak zwykle – jest strasznie. Jest źle, będzie jeszcze gorzej, internet rozpycha się w każdym aspekcie naszego życia i nikt nie zdaje sobie tak naprawdę sprawy, co się stanie jak to wszystko z hukiem runie.

Konie trojańskie implementowane sprzętowo, np. w procesorach, już na etapie projektowania, to nie science fiction, to fakty. Co gorsza, ich wykrycie jest albo bardzo trudne (konieczność rozpuszczenie w odpowiedni sposób obudowy, sprawdzania pod mikroskopem warstwa po warstwie i porównywania z chipem wzorcowym) albo bardzo drogie. Albo jedno i drugie. A jeśli nie mamy pewności, czy sprzęt jest bezpieczny, to czy można na jego bazie zbudować bezpieczne oprogramowanie?

Karty do systemów kontroli dostępu (do biura albo pokoju hotelowego)? W sytuacji, gdy producenci idą na łatwiznę (a klucze szyfrujące są absurdalnie proste albo można je znaleźć w sieci) i na ilość, sklonowanie karty, a nawet stworzenie „master key” do wszystkich pokoi we wszystkich hotelach obsługiwanych przez konkretny system jest dla fachowca trywialnie proste. Pytanie brzmi do ilu takich fachowców mają dostęp „offline’owi” przestępcy? Czy na pewno żaden z nich nie da się kupić?

Prywatność? Jaka prywatność?

Zastanów się, czy wszystko musisz podpinać do internetu? Dzisiejsza sieć daje nieprzebrane możliwości wyszukiwania danych o potencjalnej ofierze (tzw. OSINT, Open Source Intelligence). Znaczna większość z nas nie zdaje sobie sprawy, ile informacji o nas jest łatwo i ogólnie dostępnych. Sami nic nie wrzucamy? Cóż, nasza prywatność nie zależy tylko od nas. Nawet jeśli my gardzimy mediami społecznościowymi, mamy szereg znajomych, którzy o nas piszą, robią z nami zdjęcia, tagują, opisują… A kolejnym krokiem przestępcy może być np. dedykowany phishing na sieć naszego pracodawcy. Nie trzeba przełamać zabezpieczeń w setkach komputerów. Wystarczy jeden, a – jak dowodzą doświadczenia firm, przeprowadzających socjotechniczne testy penetracyjne – zawsze przynajmniej jedna osoba złapie się na phishing, podając swój login i hasło.

To tylko kilka przykładów z tej trwającej dwa dni imprezy, pełnej jak zwykle bardzo interesujących treści. Mnie wniosek nasuwa się jeden, trawestując nieco granego przez Bogusława Lindę majora Kellera z filmu „Demony Wojny wg. Goyi”.

– To jest wojna! Musicie myśleć, co klikacie i piszecie w sieci, albo nie przeżyjecie.

Udostępnij: Confidence: 1100 cyberbezpieczniaków wśród samolotów

Bezpieczeństwo

5 rzeczy, które powinniście wiedzieć o cyberbezpieczeństwie i CERT

29 maja 2018

5 rzeczy, które powinniście wiedzieć o cyberbezpieczeństwie i CERT

Byście sami nie musieli tego robić na międzynarodowym spotkaniu CERT dopadliśmy trzech ekspertów i zadaliśmy im kilka pytań. Ekspertów nie byle jakich. Był to Krzysztof Silicki, Dyrektor ds. Cyberbezpieczeństwa i Innowacji w NASK, Przemysław Jaroszewski, Kierownik CERT Polska oraz Tomasza Matułę, Dyrektora Infrastruktury ICT i Cyberbezpieczeństwa, Orange Polska. Michał Rosiak w tym samym czasie uważnie słuchał prelegentów na konferencji, więc mi przypadło zadawanie pytań.

Miłego oglądania.

A jeżeli chcecie relację z samej konferencji nie pozostaje Wam nic innego, jak męczyć Michała!

Udostępnij: 5 rzeczy, które powinniście wiedzieć o cyberbezpieczeństwie i CERT

Bezpieczeństwo

Przestępcy nie mają majówki

26 kwietnia 2018

Przestępcy nie mają majówki

.Stawiam bitcoiny przeciwko orzechom, że większość z Was zaciera już ręce, że jeszcze tylko jeden dzień pracy, a potem dziewięć dni odpoczynku! Tzn. ja tak mam i Wam też tego życzę. A skoro czeka nas chwilka odpoczynku i wyluzowania, warto – jak zawsze w takim przypadku – pamiętać, że przestępcy też o tym wiedzą. Że w ramach odpoczynku nie będziemy się zbytnio skupiać na mniej ważnych rzeczach i łatwiej będzie nas oszukać nie tylko w cyberprzestrzeni.

Na co uważać?

Przed nami długi weekend. Czas, gdy wielu z nas za cenę trzech dni urlopu zafunduje sobie aż 9 dni odpoczynku. Czas, podczas którego będziemy mogli się wyluzować, być może na łonie natury, być może na wycieczce. Czas, podczas którego cyberprzestępcy będą chcieli skorzystać z naszej nieuwagi. Lista tego, na co powinniście uważać, bazuje na ostatnich wydarzeniach i spostrzeżeniach CERT Orange Polska. Generalnie na tym, co do nas w ostatnich tygodniach/miesiącach „wpadało”.

  • Maili najlepiej po prostu nie odbierać
    • Jeśli musimy lub nie możemy się powstrzymać – nie klikajmy w dziwne załączniki, ani w linki w wiadomościach podejrzanych lub takich, których nie oczekiwaliśmy. Przestępcy w okresie urlopowym skupiają się na tym, że na urlopie nie musimy być przecież tak skupieni, jak przed komputerem w pracy i łatwiej nam będzie kliknąć niejako z automatu.
  • Zwracać szczególną uwagę przy korzystaniu z bankomatów, szczególnie w miejscowościach turystycznych
    • Sprawdźmy, czy otwór, w który wsuwamy kartę i klawiatura od PINu wyglądają normalnie, nic się nie rusza, nie trzeszczy, etc.
    • Jeśli mamy jakiekolwiek wątpliwości – zrezygnujmy z wypłaty!
    • Wpisując PIN karty zasłaniajmy ręką klawiaturę
  • W miarę możliwości zamiast karty korzystajmy z wypłat BLIK
    • W systemie BLIK generowany jest jednorazowy kod do wpisania w bankomacie, a transakcja potwierdzana jest jeszcze w telefonie, co praktycznie uniemożliwia nadużycie przy korzystaniu z bankomatu, czy płatności
  • Nie korzystać z sieci WiFi otwartych, bądź takich do których hasło jest powszechnie znane (np. napisane na tablicy w kawiarni, wywieszone na recepcji, etc.)
    • W razie braku innej możliwości – nie ufać tego typu sieciom, nie przeprowadzać przy ich użyciu transakcji finansowych
  • Nie odbierać telefonów z dziwnych zagranicznych numerów (zaczynających się od symbolu + i innych cyfr, niż 48), a już na pewno nie oddzwaniać na nie.

Życzę udanej majówki 🙂

Udostępnij: Przestępcy nie mają majówki

Bezpieczeństwo

Jak nie wygrać iPhone’a 9?

19 kwietnia 2018

Jak nie wygrać iPhone’a 9?

Jeśli trafia do Was informacja, że właśnie dostaliście nagrodę (mimo, że nie braliście udziału w żadnym konkursie), można w zasadzie założyć, że każdy zorientuje się, że to ściema grubymi nićmi szyta. Dlaczego w zasadzie? Ano dlatego, że statystyki CyberTarczy pokazują, że wielu z Was wchodzi w interakcję z tego typu witrynami! Być może, w co mocno wierzę, nie z własnej woli.

Wybraniec, czy frajer?

„Zostałeś wybrany, przetestujesz iPhone’a 9!”. Brzmi jak wielka sprawa, choć Apple nie uchyliło jeszcze nawet rąbka tajemnicy o swoim nowym smartfonie. W ostatnich kilku tygodniach obserwujemy wysyp tego typu witryn, który można by już określić mianem hekatomby. Nie musi to – na szczęście – oznaczać, że ktokolwiek z Was kliknął na swoim telefonie w linki na stronie z tytułowego obrazka. Czy raczej „kliknąłby”, bowiem klienci usług Orange Polska zamiast strony zobaczą ostrzeżenie o phishingu. Jednak mimo tego, iż staramy się Was ustrzec zanim padniecie ofiarą, warto się zastanowić, dlaczego zostaliśmy przekierowani właśnie na taki oczywisty scam? Rzetelne witryny i sieci reklamowe unikają tego typu rzeczy jak ognia (inaczej wpadają pod ostrze miażdżącej krytyki klientów). Można więc z dużym prawpodobieństwem założyć, iż wcześniej weszliśmy (świadomie lub przypadkiem) na witrynę, którą można określić mianem „szarej strefy” (i tu znaczące mrugnięcie w moim wykonaniu), bądź taką skupiającą się na sferze kontaktów, którą określamy mianem intymnej.

Zamiast dać iPhone’a 9 – zabiorą dane

Nie zrozumcie mnie źle, nikogo nie krytykuję i nie oceniam. Raczej – jak zawsze – staram się otworzyć Wam oczy i pomóc zdać sobie sprawę z tego, jak można ograniczyć ryzyko w sieci i niepotrzebnie nie kusić licha. Co jednak zrobić, gdy już je skusiliśmy, a strona, na którą zostaliśmy przekierowani, nie trafiła jeszcze do CyberTarczy (acz pracujemy regularnie, by blokować je zanim pojawią się na Waszych telefonach)? Przede wszystkim w nic nie klikać. To, co widzimy na ekranie telefonu, może być mylące i jedynie zasłaniać faktyczną schowaną treść, którą mamy kliknąć. Najlepiej zamknąć bezpośrednio okno przeglądarki. Zagrożenie, o którym piszę, usiłowało tylko wyciągnąć od nas dane i zgody marketingowe. Równie dobrze możemy jednak trafić na takie, które będzie chciało wykorzystać podatności przeglądarki, czy zainstalowanego oprogramowania, by „obdarzyć” nas malware’em.

Bo o tym, że nie macie niczego wpisywać, chyba nie muszę mówić? Każdemu z Was życzę wygrania iPhone’a 9 🙂 Ale tylko w konkursach, w których weźmiecie udział.

Udostępnij: Jak nie wygrać iPhone’a 9?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej