Najpierw reaktywna ochrona, potem – ewentualnie, jeśli starczy pieniędzy – wczesne wykrywanie i odpowiedź na atak. Tak, według raportu RSA „Ubóstwo w świecie cyberbezpieczeństwa” wygląda priorytetyzacja zadań jeśli chodzi o ochronę danych w przedsiębiorstwach na całym świecie. Nie jest dobrze – biorąc pod uwagę, że w większości przypadków, gdy dochodzą do głosu rozwiązania reaktywne, przestępca już jest w naszym systemie i zazwyczaj już wyssał, co mógł.

Dane do raportu RSA zbierało wśród małych, średnich i dużych firm na całym świecie. Generalnie największym problemem respondentów okazały się możliwości zmierzenia, oceny i mitygacji ryzyk. A nie znając ryzyk – nie mogą realnie i rzetelnie ocenić niezbędnych działań i inwestycji, a w efekcie wracamy do punktu wyjścia.

Jak w skrócie wyglądały wyniki badania? 74 procent respondentów oceniło, iż ich organizacje w jakimś stopniu są wystawione na cyber-zagrożenia – pozostali menedżerowie uznali, iż ich doświadczenie i ponoszone inwestycje są na tyle duże, iż mogą ocenić swoje organizacje jako przygotowane, bądź nawet mające przewagę nad przestępcami. Źle jest niezależnie od rozmiaru firmy, jednak te duże (ponad 10 tys. pracowników) oceniają się w tej materii o 10 procent gorzej od małych i średnich. Najlepszą opinię o przygotowaniu do odparcia cyber-ataku mają firmy z regionu Azji i Pacyfiku – aż 40% czuje się przygotowanymi, bądź mającymi przewagę (26% region EMEA, 24% obie Ameryki). Najlepiej w tej kwestii radzi sobie sektor telekomunikacyjny (50% gotowych, brawo my!), zaś najgorzej – rządowy (zaledwie 18 procent!).

Czyli na koniec roku powtarzamy starą śpiewkę, znaną nam wszystkim od wielu lat – w dziedzinie cyber-bezpieczeństwa zawsze będzie co robić, i zawsze będą się pojawiały nowe ryzyka. A Wam, poza super imprezą sylwestrową, życzę, by jak najmniej z nich – a najlepiej żadne – dotknęło Was. Pamiętajcie jednak, że szczęściu trzeba pomóc!

Wszystkiego najlepszego!

PS: A więcej o RSA Cybersecurity Poverty Index przeczytacie tutaj.

Po raz kolejny zastanawiam się, gdzie kończy się prywatność… Od jakiegoś czasu ciekawiła mnie koncepcja „technologii ubieralnych” i traf chciał, że w poniedziałek w moje ręce trafiła inteligentna opaska Sony Smartband SWR 10. Z jednej strony to bardzo fajne urządzenie, z drugiej jednak – kolejne rozwiązanie redefiniujące pojęcie prywatności jaką kiedyś znaliśmy.

Jak być może niektórzy z Was zauważyli w moich poprzednich tekstach, nie cierpię na manię prześladowczą i o ile kwestie, związane ze sprawą niejakiego Edwarda Snowdena trochę mnie niepokoją, nie można powiedzieć, by spędzały mi sen z powiek. Być może dlatego, że mam czyste sumienie i tym samym świadomość, że zebrane na mnie Big Data ciężko wykorzystać do niecnych celów. Opaska proponowana przez Japończyków nie ogranicza się bowiem do liczenia kroków, spalonych kalorii i budzenia w odpowiedniej fazie snu (swoją drogą ta funkcjonalność, niezależnie od producenta, to znakomita sprawa!). W zasadzie nie ogranicza się do niczego, po prostu… logując całe nasze życie. Gdzie byliśmy o danej porze, kiedy robiliśmy zdjęcia (i jakiej), słuchaliśmy muzyki (i jakiej), korzystaliśmy z Twittera, czy surfowaliśmy po sieci, ile czasu spaliśmy, etc. Najważniejsze sytuacje można oznaczyć „zakładką”, dzięki czemu zobaczymy je od razu, przeglądając historię danego dnia…
Czy taka perspektywa budzi Wasze obawy? Ja sam nie wiem, trochę się waham. Na pewno znajdzie się wielu takich, którzy powiedzą, że to przecież nasze dane, że ktoś może wiedzieć, gdzie chodziłem, jeśli wpadną w czyjeś ręce, będzie mógł ustalić schemat naszego dnia… No i?
Pamiętam, jak za moich czasów w podstawówce pisało się pamiętniki (w czym celowały głównie dziewczyny). Potem gromadziliśmy zdjęcia, pieczołowicie wywoływane, zapisywaliśmy gdzie bądź śmieszne zdania, mówione przez nasze latorośle… Sporą część tych aktywności i tak przenosimy do sieci, różnica jest tylko w tym, że tego typu aplikacja część z nich gromadzi w jednym miejscu, co ułatwia identyfikację i sprofilowanie użytkownika. I tutaj znów wracamy do koncepcji „prywatność kontra świadome udostępnianie danych”. Przy założeniu, że na to, co naprawdę prywatne, uważam wyjątkowo, w miarę możliwości szyfruję i nie udostępniam w sieci, no i oczywiście nie mam niecnych planów, w efekcie których wyciek tego typu danych mógłby postawić mnie np. przed obliczem sprawiedliwości, chyba jednak mnie to nie boli… Powiem więc – wręcz możliwość takiego specyficznego „cofnięcia się w czasie”, przypomnienia sobie, gdzie byłem danego dnia o konkretnej godzinie, może być nawet pomocna 🙂 A, że w takiej formie? Cóż, jak by powiedział(a) klasyk: „Sorry, takie mamy technologie”. Z drugiej strony – mam wrażenie, że kiedyś zachowanie prywatności w przypadku papierowego pamiętnika było nieco trudniejsze…

Grafika: sonymobile.com

Czy zdarzyła się Wam już sytuacja, gdy korzystając z Facebooka widzieliście, że Wasi znajomi „polubili” jakieś dziwne strony, użytkowników, czy aplikacje, a może przesyłają Wam jakieś dziwne linki? Nie musi to świadczyć o tym, że zyskali nagle dziwne zainteresowania – raczej o tym, że ich konto zostało przejęte i jego nowi „właściciele” usiłują przejąć Wasze.

By ustrzec się wielu ataków, wystarczy po prostu myśleć, co się robi. Zaczyna się od przynęty: linku na Facebookowym czacie do „wyjątkowo ciekawej” aplikacji, czy też informacji, że „polubiła” ją osoba, którą znamy i której ufamy. Po kliknięciu może się zdarzyć, że Facebook każe nam się ponownie zalogować. Mało kto zastanowi się dlaczego, wiele osób po prostu pomyśli, że zostali wylogowani. Tymczasem po spojrzeniu na pasek adresu może się okazać, że strona, na którą się logujemy, tylko bliźniaczo przypomina portal społecznościowy, ma bowiem zupełnie inny adres! W efekcie padamy ofiarą phishingu i z własnej woli oddajemy cyber-przestępcy nasz login i hasło. W kolejnym kroku trzeba jeszcze tylko dać rzeczonej aplikacji prawa do korzystania z naszego profilu i załatwione! W najlepszym przypadku będziemy nieświadomi tego, co czynimy, rozsyłać spam znajomym. Napastnik jednak może wykorzystać informacje o nas do spreparowania ataku wyłącznie pod naszym kątem.
Warto też krótko wspomnieć o powiązanym z Facebookiem click-jackingu, nazywanym czasem like-jackingiem. Od momentu, gdy przyciskiem Like można oznaczyć również treści poza FB, crackerzy wykorzystując błędy w zabezpieczeniach popularnych stron internetowych, umieszczają pod „Like” niewidoczną, tzw. „pływającą ramkę”. Nieświadomy użytkownik, święcie przekonany, że właśnie poinformował Facebook’owy świat o tym, co lubi, tak naprawdę klika wtedy w podłożony przez przestępców link, którym może być np. trojan, albo inny, równie interesujący program…
Co zatem robić? Kilka rad: nie akceptować zaproszeń od osób, których nie znamy; być świadomym jakie informacje o sobie udostępniamy i komu; używać i systematycznie uaktualniać program antywirusowy i firewall; no i wreszcie… myśleć, w co klikamy! A jeśli już nasze konto zostało przejęte i jakimś cudem napastnik nie zmienił hasła, natychmiast zmieńmy je sami.
A na koniec ku przestrodze dwie historie celebrytów. Prezes jednej z amerykańskich firm zajmujących się ochroną przez efektami kradzieży tożsamości był tak pewny siebie, że na billboardach umieszczał swój numer ubezpieczenia społecznego, zaznaczając, iż dzięki jego firmie ten numer będzie bezużyteczny dla przestępców. Efekt? Jego danymi posłużono się skutecznie w celach przestępczych… trzynastokrotnie! Prezenter motoryzacyjnego programu TopGear Jeremy Clarkson po aferze z wyciekiem danych jednego z angielskich banków w swoim prześmiewczym stylu podał publicznie numer swojego konta, twierdząc, że nic nie może się stać. Trafił na porządnego człowieka, bowiem 500 funtów, o które kilka dni później stał się uboższy, trafiło do Brytyjskiego Stowarzyszenia Cukrzyków. To nie jedyna tego typu przygoda Clarksona, zdarzyło mu się bowiem kiedyś „zatankowanie” za 35 tys. funtów, gdy ktoś na stacji benzynowej w USA sklonował jego kartę, ale nie o takich kradzieżach tutaj mówimy 🙂

Źródło: http://www.net-security.org/

Facebook, Nasza Klasa, Goldenline, Linkedin, Twitter, Flickr i jeszcze sporo innych – wszechwładna moda na social networking przyciąga miliardy ludzi na całym świecie. Tymczasem dzieląc się radośnie szczegółami ze swojego życia, dajemy potężną broń do ręki ludziom, którzy niekoniecznie muszą mieć uczciwe zamiary…

Frederic Raynal, francuski specjalista od bezpieczeństwa IT, podczas tegorocznej konferencji Hack In The Box pokazał, jak – bazując wyłącznie na ogólnodostępnych informacjach – podsunąć pracownikowi firmy, współpracującej m.in. z Departamentem Obrony USA złośliwy program, dzięki któremu mógł dostać się do jego komputera.

Po wybraniu firmy, Raynal skupił się na profilach jej pracowników w portalu Linkedin. Korzystając z wyszukiwarki oraz informacji o osobach, przeglądających profile, wyodrębnił ok. 10 tys. pracowników. Spośród nich „wyłowił” tego, który interesował go pod względem wykonywanych zadań, a także podał linki do prywatnej strony internetowej i profili w portalach społecznościowych. Potem było już „z górki” – wyłącznie za pomocą przeglądarki internetowej znalazł: adres i numer telefonu „ofiary” (zapytanie whois, dotyczące prywatnej witryny), jego pełną karierę zawodową (Linkedin, Facebook), zdjęcia domu (Google Maps), informacje o rodzinie, włącznie ze zdjęciami dzieci i informacją o chorej na raka babci (blog) oraz systemach informatycznych, którymi administruje w pracy (blog), historię zapłaconych podatków, numer konta bankowego, informację o zaciągniętych kredytach hipotecznych (serwisy urzędowe, na bazie informacji m.in. z Facebooka), imiona i nazwiska przyjaciół (Facebook), czy też informację o hobby, poglądach politycznych, a nawet o nastroju danego dnia (blog, Twitter)!

Raynal dowiedział się też, że jego cel jest fanem scrabble i zasugerował podrzucenie mu trojana, zaszytego w Facebook’owej aplikacji z tą popularną grą. Dla uwiarygodnienia „zainstalowałaby” ją grupa osób, którym wyłącznie w tym celu stworzyłby konta w serwisie. Po otwarciu w ten sposób drogi do komputera Eda, można by już zrobić praktycznie wszystko. A dla Francuza wiedza o firmie Eda nie była warta na przykład porwania jego dziecka…
Na naszym krajowym podwórku też co jakiś czas słychać o nieświadomych użytkownikach portali społecznościowych – policjantach operacyjnych, czy komandosach, którzy pokazywali zdjęcia z odkrytą twarzą, czy też po prostu zwykłych ludziach, którzy z dumą chwalą się bogactwem. Jeśli jednak nie możemy się powstrzymać od korzystania z portali społecznościowych, co zrobić, by zminimalizować ryzyko?

– Nawet jeśli nie dopuszczamy do świadomości scenariusza, w którym ktoś mógłby proste informacje wykorzystać przeciwko nam, warto dbać o prywatność choćby na wszelki wypadek – mówi ekspert ds. zabezpieczeń systemów teleinformatycznych w TP SA, który niejako dla poparcia swojej tezy, pozostaje anonimowy. – Chodzi o wszelkie serwisy, które zbierają o nas dane i w mniej lub bardziej świadomy sposób udostępniają je innym. Niektóre z nich, zapewne bardziej w trosce o swój wizerunek niż o użytkowników, zdają sobie sprawę z potencjalnych zagrożeń. Przykładem jest jeden z serwisów aukcyjnych, który od pewnego czasu nie pokazuje pełnych identyfikatorów uczestników transakcji osobom postronnym. Chęć uszanowania własnej prywatności powinna być jedną z żelaznych zasad naszego korzystania z internetu – uważa ekspert TP.
Przede wszystkim trzeba jednak pamiętać o myśleniu i zdrowym rozsądku, bowiem czego by nie robili administratorzy serwisów, to od nas, jako użytkowników, zależy jakie wiadomości o sobie upubliczniamy.

I na koniec, już standardowo :), pytanie do Was, stanowiące mam nadzieję przyczynek do dyskusji w komentarzach. Jak Wy traktujecie portale społecznościowe? Czy korzystacie z nich, czy zostawiacie tam osobiste informacje? I czy naprawdę w dzisiejszych czasach bez takich serwisów nie da się żyć?

Żródło: Fredric Raynal  „Gathering and Exploiting Information”, HackInTheBox 2010