numer 1/2016
Transkrypt
numer 1/2016
Siedlce 2016 NUMER 1/2016 CZASOPISMO POPULARNO-NAUKOWE INVIGILIA, to czasopismo popularno-naukowe traktujące o bezpieczeństwie IT, zagrożeniach bezpieczeństwa w sieci, inwigilacji i kontrinwigilacji oraz nowościach technicznych w polskich służbach mundurowych. INVIGILIA, to swoistego rodzaju przewodnik bezpieczeństwa zawierający interdyscyplinarną wiedzę, która przedstawiona jest za pomocą nietechnicznego języka, w sposób przystępny dla każdego czytelnika. Właścicielem czasopisma jest: KM INVEST NIP: 821-248-49-46 REGON: 361342353 REDAKTOR NACZELNY: mgr Kamil Mazurczak Czasopismo popularno-naukowe INVIGILIA zostało zarejestrowane dnia 19.04.2016r. przez Sąd Okręgowy w Siedlcach I Wydział Cywilny pod numerem Sygn. akt: I Ns Rej Pr 5/16 i jest dostępne w jawnym Sądowym Rejestrze Dzienników i Czasopism. Adres podczas rejestracji: 08-110 Siedlce, ul. Wojskowa 11 Adres do nadsyłania artykułów: [email protected] Adres publikacji: www.nocto.pl/category/czasopismo NUMER 1/2016 Spis treści BEZPIECZEŃSTWO DANYCH A WIRUSY SZYFRUJĄCE ..................... 3 Autor: mgr Kamil Mazurczak PRZECHOWYWANIE DANYCH W CHMURZE A BEZPIECZEŃSTWO 6 Autor: mgr Kamil Mazurczak OBOWIĄZEK REJESTRACJI KART SIM A BEZPIECZEŃSTWO .......... 9 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO W SIECI – PRYWATNOŚĆ NA PORTALACH SPOŁECZNOŚCIOWYCH ........................................................................ 12 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO W SIECI – RZĄD OCENZURUJE INTERNET .... 16 Autor: mgr Kamil Mazurczak PORADNIK BEZPIECZEŃSTWA W SIECI - 10 PRZYKAZAŃ .............. 19 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO APLIKACJI – POKEMON GO SZPIEGIEM? ....... 22 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO W SIECI – PUBLIKOWANIE WIZERUNKU DZIECKA W SIECI ................................................................................... 26 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO POŁĄCZEŃ VoIP. KOMISJA EUROPEJSKA CHCE ABY VoIP DOTYCZYŁY TE SAME REGULACJE CO OPERATORÓW TELEKOMUNIKACYJNYCH ....................................... 30 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO HASŁA ................................................................... 33 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO PERSONALNE – BLACKMAILING CZYLI ESZANTAŻ................................................................................................... 36 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO W E-ADMINISTRACJI NA PRZYKŁADZIE ZUS 40 Autor: mgr Kamil Mazurczak NUMER 1/2016 www.nocto.pl/category/czasopismo 1 BEZPIECZEŃSTWO TRANSAKCJI KARTAMI PŁATNICZYMI W ŚWIECIE FIZYCZNYM ............................................................................ 43 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO DANYCH OSOBOWYCH A SPRYTNY POMYSŁ NA KRADZIEŻ TOŻSAMOŚCI ................................................................. 47 Autor: mgr Kamil Mazurczak BEZPIECZEŃSTWO DANYCH OSOBOWYCH. KONSEKWENCJE KRADZIEŻY TOŻSAMOŚCI ..................................................................... 50 Autor: mgr Kamil Mazurczak NUMER 1/2016 www.nocto.pl/category/czasopismo 2 BEZPIECZEŃSTWO DANYCH A WIRUSY SZYFRUJĄCE Autor: mgr Kamil Mazurczak /blog.rootshell.be Przechowując istotne dane bez zapasowej kopii bezpieczeństwa można w sposób bezpośredni narazić się na ich bezpowrotną utratę. Ransomware, bo tak nazywa się złośliwe oprogramowanie szyfrujące dyski twarde i wymuszające na ofierze okup w zamian za odblokowanie możliwości do ich dostępu jest jednym z najczęściej używanych programów przez hakerów na świecie. Za zwiększającą się liczbą cyberprzestępstw związanych z wykorzystaniem ransomware przemawia przede wszystkim skuteczność oraz brak dodatkowej obsługi, gdyż zainfekowane urządzenie będzie zaszyfrowane dopóki, dopóty nie zostanie wpłacona „kaucja” na konto cyberprzestępcy. Wówczas to zautomatyzowany program sam, bez potrzeby ingerencji hakera odblokuje urządzenie. Ransomware rozsyłane masowo najczęściej nie zawiera większych opłat niż 500$, ponieważ cyberprzestępca zdaje sobie sprawę, że jest to kwota, którą za ważne dane na swoim urządzeniu pokryje niemal każdy użytkownik, który ponad format ceni sobie zawartość. Jednak w przypadku ataków personalnych, które są skierowane w konkretną osobę, grupę, firmę czy organizację te kwoty mogą być zdecydowanie wyższe, adekwatnie do możliwości finansowych danej ofiary. Ofiara musi zapłacić, nie ma bowiem innego wyjścia, gdyż dyski twarde zaszyfrowane są z reguły asymetrycznie NUMER 1/2016 www.nocto.pl/category/czasopismo 3 potężnymi algorytmami szyfrującymi, których nawet obecnie najlepsze komputery na świecie łamałyby dziesiątki tysięcy lat. Odkąd społeczeństwo zaczęło używać w codziennym życiu smartfonów oraz przechowywać w nich najróżniejsze dane coraz częściej dochodzi do ataków właśnie na urządzenia mobilne, gdyż właśnie tam najwięcej osób ma najważniejsze dane, a za tym idzie większa motywacja do ich odzyskania, czyli dla cyberprzestępcy będzie to potencjalnie większy zysk. Do infekcji smartfonów oprogramowaniem ransomware najczęściej dochodzi poprzez korzystanie z nieautoryzowanych sklepów z aplikacjami. Jedną z przyczyn łatwej infekcji może być również niezaktualizowane oprogramowanie na urządzeniu mobilnym. Im nowsze jest oprogramowanie, tym mniejsza szansa na infekcję, gdyż cyberprzestępcy bazują głównie na błędach programowych. Komunikat, który ustawił cyberprzestępca na jednym z zainfekowanych komputerów pracownika BBC NEWS bbc.com Jak się bronić – porady: Zapasowa kopia bezpieczeństwa Do tej pory najlepszym rozwiązaniem pozostawało (i w opinii autora wciąż pozostaje) regularne robienie zapasowej kopii bezpieczeństwa. Można ją umieścić w chmurze, na zewnętrznym dysku twardym, na komputerze bez dostępu do sieci. W przypadku umieszczania newralgicznych danych w chmurze należy wcześniej dla własnego NUMER 1/2016 www.nocto.pl/category/czasopismo 4 dobra zaszyfrować pliki. W przypadku infekcji złośliwym oprogramowaniem typu ransomware po prostu należy dokonać formatu dysku twardego, po czym wczytać zapasową kopię bezpieczeństwa i już można zapomnieć o problemie. Stosowanie podstawowych zasad bezpieczeństwa w poruszaniu się w sieci W przypadku tego konkretnego zagrożenia wystarczy nie pobierać plików z nieznanych i nieszanowanych źródeł. Nie otwierać podejrzanych linków ani nie wchodzić na strony, które nie cieszą się dobrą reputacją. Zdrowa logika będzie tu najlepszym rozwiązaniem. Specjalistyczne oprogramowanie Od jakiegoś czasu firma Trend Micro wprowadziła na rynek moduł, który dzięki analizie behawioralnej i wielopoziomowej ochronie jest w stanie odszukać i zneutralizować w czasie rzeczywistym procesy modyfikujące pliki. Oprogramowanie nie jest tanie, lecz bardzo skuteczne. Bibliografia: 1. Cyberdefence24, 2016, Ransomware wycelowany w użytkowników Android, <http://www.cyberdefence24.pl/430993,ransomware-wycelowany-wuzytkownikow-android>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 5 PRZECHOWYWANIE DANYCH W CHMURZE A BEZPIECZEŃSTWO Autor: mgr Kamil Mazurczak www.itechinfo.pl Szybki i wszędzie obecny dostęp do sieci powoduje w śród społeczeństwa zwiększenie zaufania do tego rozwiązania. Jeszcze kilka lat temu najważniejsze dane przechowywało się na dyskach zewnętrznych ukrytych gdzieś w zaciszu domostwa. Dzisiaj wiele osób od tego odchodzi na rzecz prostego, taniego i wygodnego rozwiązania jakim jest przechowywanie danych w chmurze. Prostego, bo platformy są niezwykle intuicyjne w obsłudze, taniego, gdyż jest wiele całkowicie darmowych i cieszących się dobrą sławą chmur, wygodnego, bo dostęp bywa zazwyczaj nieograniczony z każdego miejsca na Ziemi, które ma dostęp do Internetu. Czy jednak jest to rozwiązanie całkowicie bezpieczne? W 2012 roku doszło do bardzo dużego w skali wycieku haseł z czołowej platformy udostępniającej usługę przechowywania danych w chmurze – Dropbox. Platforma dopiero po 4 latach od zajścia przyznała się do tego wycieku, pomimo nieoficjalnych pogłosek, które krążyły w sieci tuż po zajściu. Wówczas firma zbagatelizowała problem. Dziś przyznaje się do winy. (Niebezpiecznik.pl, 2016.) Można by powiedzieć, że lepiej późno niż wcale, jednak straty jakie przez 4 lata wyrządzili cyberprzestępcy mający nieograniczony dostęp do kont Dropbox są dzisiaj nie do oszacowania. Platforma również teraz w pokrętny sposób informuje użytkowników, że w 2012r. coś poszło nie po ich myśli. Oto treść maila z ostrzeżeniem, jakie dostają: NUMER 1/2016 www.nocto.pl/category/czasopismo 6 Witaj, XXXX chcemy Cię poinformować, że nie aktualizowałeś(aś) swojego hasła Dropbox od połowy 2012 r.; poprosimy Cię o zaktualizowanie go przy następnym logowaniu. Jest to działanie wyłącznie zapobiegawcze, bardzo przepraszamy za ewentualne niedogodności. Aby dowiedzieć się więcej na temat tego, dlaczego wprowadzamy takie środki ostrożności, odwiedź tę stronę w naszym centrum pomocy. Jeśli masz jakieś pytania, skontaktuj się z nami pod adresem [email protected]. Dziękujemy Zespół Dropbox Polscy użytkownicy bardzo często korzystają z rodzimego rozwiązania jakim jest chomikuj.pl. Platforma udostępnia darmową rejestrację oraz darmową i nieograniczoną przestrzeń wirtualnej pamięci. W każdej chwili użytkownik może sięgnąć do wysłanych przez siebie danych. Za drobną opłatą może również sięgać po nieukryte dane innych użytkowników. Dane ukryte nie są dostępne w wyszukiwarce. Serwis działa już od kilku lat i zdążył stać się solidną marką. To dobre i proste rozwiązanie pod warunkiem, że użytkownik zachowa podstawowe zasady bezpieczeństwa w przechowywaniu zwłaszcza wrażliwych danych w chmurze. W przypadku gdy cyberprzestępca przejął by konto jakiego użytkownika, co nie jest rzadkim przypadkiem – mógłby bez problemu pobrać również pliki z ukrytych w platformie folderów, do których nie ma dostępu każdy użytkownik. Jak się zabezpieczyć? Jedynym bezpiecznym sposobem przechowywania newralgicznych danych na platformach udostępniających przestrzeń dyskową w chmurze NUMER 1/2016 www.nocto.pl/category/czasopismo 7 jest ich szyfrowanie przed przesłaniem. Do szyfrowania na użytek własny można również skorzystać z darmowych programów kryptograficznych. Wiele z nich korzysta z bardzo potężnych algorytmów szyfrujących np. AES – 256, który nawet w najlepszych warunkach jest nie do rozszyfrowania. Należy przy tym pamiętać, że najsłabszym ogniwem jest użytkownik, a w zasadzie jego hasło. Zaszyfrowany plik będzie tak bezpieczny jak mocne będzie hasło do jego deszyfracji. Jeśli nie dysponujemy wzorową pamięcią z pomocą przychodzą również programy przechowujące hasła, które tak samo korzystają z potężnych algorytmów szyfrujących. W takim wypadku użytkownik jest zmuszony do zapamiętania jednego mocnego hasła, które daje dostęp do programu przechowującego pozostałe hasła. To zdecydowanie mniej, niż pamiętanie wszystkich, a jak wynika z podstawowych zasad bezpieczeństwa w sieci – hasła muszą być różne. Przy wyborze wszelkich programów szyfrujących należy najpierw zbadać ich źródła. Autor poleca programy o otwartym kodzie, wówczas jest pewność, że oprogramowanie nie zawiera tylnych furtek. Tak zaszyfrowane pliki można umieszczać nawet w najbardziej dostępowych chmurach. W przypadku przejęcia konta przez cyberprzestępcę użytkownik wciąż pozostanie bezpieczny, a na straży bezpieczeństwa stać będzie szyfr nie do złamania. Haker wówczas nawet nie będzie próbował łamać hasła, to dla niego strata czasu, bowiem przejmie sobie następne konto, u którego pliki zaszyfrowane nie będą. Bibliografia: 1. Niebezpiecznik.pl, 2016, Dropbox po 4 latach przyznaje się, że doszło do kradzieży haseł, <https://niebezpiecznik.pl/post/dropbox-po-4-latach-przyznaje-ze-doszlo-dokradziezy-hasel/>, dostęp 2.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 8 OBOWIĄZEK REJESTRACJI KART SIM A BEZPIECZEŃSTWO Autor: mgr Kamil Mazurczak Człowiek bez strategii, który lekceważy sobie przeciwnika, nieuchronnie skończy jako jeniec. Sun Tsu Od 24 lipca 2016r. każdy kto kupi przedpłaconą kartę SIM (taką ze sklepu tudzież salonu operatora sieci, która dotychczas od razu po włożeniu do urządzenia działała) musi ją zarejestrować. Ma to związek z nową ustawą antyterrorystyczną, która nakazuje rejestrację każdej karty SIM. (R. Otoka-Frąckiewicz, 2016.) Minister Błaszczak uważa, że zapobiegnie to fali terroryzmu, a przynajmniej utrudni im komunikację i zabierze anonimowość. Jednak uzyskanie anonimowości jest o wiele bardziej złożonym procesem z szerokim wachlarzem możliwości. Rynek nie lubi próżni, zatem już kilka dni po wejściu w życie wyżej wymienionej ustawy można za 25zł kupić sobie przez Internet zarejestrowane na kogoś innego (z reguły na tzw. słupa) przedpłacone, anonimowe dla nabywcy karty SIM. Wysyłka odbywa się na paczkomaty, zatem sprzedawcy doskonale wiedzą do kogo kierują swoją ofertę. Czy sprzedawanie zarejestrowanych kart SIM jest nielegalne? (Jeszcze) nie, bowiem żaden przepis nie ogranicza możliwości handlu zarejestrowaną u operatora kartą. W zasadzie jest to czysty zysk, gdyż kartę kupuje się za 5zł, czasem rozdają je za darmo, rejestracja jest bezpłatna, a sprzedaż jest już tylko zyskiem. Załóżmy na potrzeby artykułu, że Kowalski kupuje kartę SIM, rejestruje ją i sprzedaje za pośrednictwem Internetu nie wiadomo komu. Nabywca popełnia przestępstwo za pomocą owej karty. Służby już zacierają ręce, gdyż statystyka się podniesie po złapaniu przestępcy, ale Kowalski podczas przesłuchania zeznaje, że sprzedał kartę SIM, bo tak mógł zrobić. W telefonie Kowalskiego nigdy nie była, zatem nie można postawić mu zarzutów. Kowalski jest niewinny. Załóżmy teraz, że Kowalski po rejestracji karty SIM osobiście popełnia przestępstwo z jej użyciem, pomaga mu w tym kupiony w NUMER 1/2016 www.nocto.pl/category/czasopismo 9 lombardzie za 60zł aparat telefoniczny. Po wszystkim Kowalski niszczy telefon wraz z kartą. Służby o 6:00 budzą Kowalskiego, który na przesłuchani zeznaje, że sprzedał zakupioną kartę SIM, bo tak mógł zrobić. W telefonie Kowalskiego nigdy nie była, zatem nie można postawić mu zarzutów. Kowalski jest niewinny. Twórcy nowej ustawy terrorystycznej w opinii autora tworzyli ją w takim pośpiechu, że zabrakło czasu na chłodną analizę. Co tak naprawdę wprowadza obowiązek rejestracji kart SIM? Czy zwiększa bezpieczeństwo? Czy może daje możliwość przestępcom do uniknięcia kary? To są pytania, które powinny pojawić się podczas tworzenia ustawy. Najwyraźniej Minister Błaszczak nie zważał na takie konsekwencje chcąc wyeliminować anonimowość poprzez nakaz rejestracji kart SIM. Terroryści i cyberprzestępcy używają do komunikacji innych sposobów – szyfrowanych połączeń VoIP, szyfrowanych komunikatorów, ostatecznie nawet konsol do gier z możliwością czatu. Zabranie możliwości posługiwania się nierejestrowanymi kartami SIM, to w opinii autora tak naprawdę utrudnienie dla szarego obywatela. Przestępcy są sprytniejsi, a nowa ustawa, to brak, chociażby docenienia wroga. Teraz twórcy wystawiają się na pośmiewisko wskazując luki. MSWiA chce wsadzać za kratki sprzedających karty SIM przestępcom. (M. Tomaszkiewicz, 2016.) Ale czy to jest możliwe? Czy to tylko płacz i lament po czystej głupocie spowodowanej brakiem analizy przed wprowadzeniem ustawy? Karanie sprzedawców nie jest możliwe, gdyż prokurator musiał by udowodnić, że osoba sprzedająca wiedziała o złych zamiarach kupującego, byłoby to wówczas pomocnictwo w popełnieniu przestępstwa. Jednak udowodnienie winy jest niemal niemożliwe. Skąd sprzedający miałby znać zamiary kupującego? To jak karanie za sprzedaż noża, którym można zarówno poderżnąć gardło jak i obierać ziemniaki na niedzielny obiad. Podsumowując, ustawowy obowiązek rejestracji kart SIM nie ma żadnego związku z bezpieczeństwem, jednak pod jego salwą został wprowadzony tym samym utrudniając życie zwykłemu obywatelowi. W opinii autora jest to kolejny krok do zwiększenia poziomu inwigilacji wśród ludzi, gdyż ani terroryści ani cyberprzestępcy nie przejęli się tym faktem. Nie obniży się w ten sposób odsetek popełnianych przestępstw z użyciem kart SIM. Ci, którzy będą chcieli zachować anonimowość i tak ją zachowają bez względu na wprowadzane przepisy. Wydaje się nawet, że nowa ustawa antyterrorystyczna nie została wprowadzona aby zwiększać bezpieczeństwo, lecz w głównej mierze po to, aby można było robić legalnie to, co wcześniej robiono za plecami . NUMER 1/2016 www.nocto.pl/category/czasopismo 10 Bibliografia: 1. R. Otoka-Frąckiewicz, 2016, Karta SIM a ustawa antyterrorystyczna. Ministrze Błaszczak, mamy spory problem…, <http://wpolityce.pl/polityka/305602-kartasim-a-ustawa-antyterrorystyczna-ministrze-blaszczak-mamy-spory-problem>, dostępny 5.09.2016. 2. M. Tomaszkiewicz, 2016, MSWiA straszy handlujących kartami SIM, <http://www.antyradio.pl/Technologia/Mobile/MSWiA-straszy-handlujacychkartami-SIM-10491>, dostępny 5.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 11 BEZPIECZEŃSTWO W SIECI – PRYWATNOŚĆ NA PORTALACH SPOŁECZNOŚCIOWYCH Autor: mgr Kamil Mazurczak Kiedy świat wkracza w dobę zastępowania klasycznych relacji interpersonalnych tymi cyfrowymi, bo tak jest prościej, szybciej i wygodniej, to nietrudno o stwierdzenie „nie masz Facebooka, to nie istniejesz”. Z jednej strony jest to smutne, lecz z innej nieuniknione. Postęp geometryczny zapewnia szybsze niż niegdyś przejścia z pewnych okresów do innych, nowych. Jeszcze 500 lat temu mentalność, dziadka, ojca i syna była niemal taka sama, gdyż świat tak szybko się nie zmieniał. Dzisiaj ojcowie nie rozumieją swoich synów, gdyż żyją, żyli w zupełnie innym świecie. Pokolenia są od siebie na tyle mentalnie różni, że bez zupełnie otwartego na rzeczywistość umysłu zrozumienie jest niemal niemożliwe. Wspaniałą zdobyczą techniki dla osoby urodzonej na początku XXw. był samochód. Dzisiaj obsługujemy lodówki za pomocą smartfonów. To przeskok zmieniający rzeczywistość. To właśnie postęp geometryczny. Ciężko dziś nie posiadać portalu społecznościowego, lecz jak z każdą nową technologią, tak i z tym wiąże się pewne ryzyko, niebezpieczeństwo. Ktoś w tym momencie może powiedzieć „jaka tam nowa technologia”, lecz biorąc pod uwagę np. ilość lat, w których człowiek posługuje się samochodem, a ilość lat, w których człowiek posługuje się portalami społecznościowymi, to zestawienie wygląda dość interesująco. Zagrożenia związane z portalami społecznościowymi, to przede wszystkim zagrożenia prywatności oraz możliwości wykorzystania danych osobowych jakie użytkownicy dostarczają cyberprzestępcom nie wiedząc o tym. Najprostszym rozwiązaniem problemu jest nie posiadanie konta na żadnym z portali społecznościowych, lecz nie jest to takie proste, jak się wydaje. Chęć zaspokojenia jednej z podstawowych potrzeb piramidy Maslowa jest większa niż potrzeba bezpieczeństwa, o którym w kontekście portali społecznościowych większość użytkowników nawet nie myśli. Można się przed tym jednak nieco uchronić i podnieść poziom bezpieczeństwa posiadając konta na różnych „społecznościówkach”. Do tego potrzebne są zasady, których należy przestrzegać. Niebezpieczeństw zarówno w życiu realnym jak i w cyberświecie nie można całkowicie wyeliminować, natomiast można je znacząco ograniczyć dzięki prewencji. NUMER 1/2016 www.nocto.pl/category/czasopismo 12 Zasada nr 1. Udostępnianie zdjęć. Nie warto zamieszczać zdjęć kompromitujących, które przedstawiają użytkownika w jednoznacznym świetle, np. w stanie nietrzeźwości. Nigdy nie wiadomo czy kilka lat później ktoś tego przeciwko użytkownikowi nie wykorzysta. Nie warto zamieszczać także fotografii własnego dziecka, często w negliżu. Należy też uchronić się przed robieniem zdjęć w domu, mieszkaniu na tle wejść (zarówno drzwi, jak i okien). Po pierwsze potencjalny przestępca od razu widzi czy warto do danego domostwa wchodzić i po co, a po drugie przestępca dzięki fotografiom oceni stan zabezpieczeń wejściowych np. dostrzeże nazwę firmy produkującej zamek do drzwi i nauczy się go otwierać. Kolejną sprawą związaną ze zdjęciami jest możliwość udostępniania zdjęć użytkownika na jego osi czasu przez znajomych lub oznaczanie. Te dwie opcje należy włączyć „za zgodą”. Wówczas wszystkie zdjęcia mogą zostać przez użytkownika zweryfikowane przed ich zamieszczeniem. Wyeliminuje to problem dowcipnych znajomych, którzy będą chcieli dodać zdjęcia nieodpowiednie nie biorąc pod uwagę możliwości krzywdy, jaka może zostać wyrządzona poprzez taką czynność. Zasada nr 2. Warto wyłączyć opcję wyszukiwania prywatnego profilu w wyszukiwarkach. Na Facebooku można to zrobić za pośrednictwem zakładki prywatność. Zasada nr 3. Podział znajomych na listy. Często się zdarza, że użytkownicy mają tyle znajomych na portalu społecznościowym, że większości właściwie dobrze nie znają lub nawet czasem się do nich nie odzywają, ale są, bo są. Autor uważa, że takich znajomych należy usunąć z grona indeksowanego, jednak jeśli użytkownik nie chce tego robić należy wprowadzić podział znajomych na listy, bliższych, dalszych, rodziny, itd. Stwarza to pewne zagrożenie w przypadku przejęcia konta przez hakera, jednak w przypadkach codziennych świetnie się sprawdzi, gdyż wówczas użytkownik publikując coś na swojej osi czasu może zaznaczyć dla jakiego grona znajomych może być to widoczne. (A. Świostek, 2016.) Warto również ukrywać listy znajomych przed widokiem publicznym. Najlepszą opcją jest zaznaczenie kompletnego ukrycia, czyli widoczność tylko dla posiadacza konta – użytkownika. Zasada nr 4. NUMER 1/2016 www.nocto.pl/category/czasopismo 13 Ograniczenie uprawnień dla aplikacji. Aby nie otrzymywać natarczywych upomnień czy zaproszeń do gier i innych aplikacji należy je bezwzględnie zablokować. Można to zrobić łatwym sposobem. Warto pamiętać, że wiele z nich może być potencjalnie niebezpiecznych i działając w tle wykradać dane użytkownika. Zasada nr 5. Bezpieczeństwo informacji kontaktowych. Zdaniem autora rubryki kontaktowe oprócz emaila, (który nie powinien być głównym adresem mailowym użytkownika, a stworzonym na potrzeby portalu społecznościowego mailem) należy wypełnić spamem, czyli informacjami zmyślonymi. Mogą sobie wówczas widnieć bez obaw o próby skorzystania z nich przez osoby nieuprawnione. W przypadku chęci podania prawdziwych danych kontaktowych należy je ukryć. Zasada nr 6. Zabezpieczenia przed nieautoryzowanym logowaniem. Przede wszystkim nie należy logować się na swoje konto prywatne korzystając z publicznego Wi-Fi lub cudzych urządzeń. To może stworzyć ryzyko przejęcia konta. Należy także pomyśleć nad wieloskładnikowym uwierzytelnianiem, czyli oprócz loginu i hasła np. kod, który zostanie wysłany SMS-em. Zasada nr 7. Oprogramowanie eliminujące śledzenie w sieci. Na pewno każdemu użytkownikowi zdarzyło się, że wyskakujące reklamy na różnego rodzaju stronach były związane z tym, co nie dawno przeglądał albo na niemal każdej stronie mógł coś skomentować bez rejestracji, bo od razu widniało jego konto Facebook. To wina tzw. „trackerów”, czyli aplikacji szpiegujących i śledzących. Ingerują one w prywatność, podążają za użytkownikiem aby dostosować reklamy i zbierać informacje. Można tego uniknąć instalując prosty dodatek do przeglądarki – program, który odetnie śledzenie. Jest nim np. Ghostery. Warto się w taki lub podobny zaopatrzyć. W połączeniu z dodatkiem blokującym wyskakujące wszędzie reklamy użytkownik jest wyposażony w całkiem niezły pakiet prywatnościowy. Podsumowując, można korzystać z portali społecznościowych w sposób bardziej prywatny niż większość ich użytkowników. Zapewniając sobie bezpieczeństwo na tym poziomie użytkownik może uniknąć naprawdę wielu problemów związanych z cyberprzestępczością. Do podanych wyżej zasad dołączyć należy jeszcze przede wszystkim zdrową logikę. NUMER 1/2016 www.nocto.pl/category/czasopismo 14 Bibliografia: 1. Świostek, 2016, Prywatność na Facebooku. 15 najlepszych porad, <http://www.komputerswiat.pl/artykuly/redakcyjne/2015/12/prywatnosc-nafacebooku-15-najlepszych-porad,7.aspx>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 15 BEZPIECZEŃSTWO W SIECI – RZĄD OCENZURUJE INTERNET Autor: mgr Kamil Mazurczak Antyweb.pl Dotychczas w Polsce było wiele inicjatyw, które miały na celu ocenzurować Internet, a najsłynniejszą była ACTA. Wszystkie upadały pod ciężarem społecznych sprzeciwów. Tym razem jednak jedna przeszła niepostrzeżenie. Ustawa hazardowa, to obok ustawy antyterrorystycznej jedyna regulacja z możliwością blokowania zasobów w sieci. Tym razem wejdzie w życie i raczej nic tego nie zmieni. Ustawa ma na celu eliminację dostępu obywateli do nielegalnych portali bukmacherskich, czyli takich, które nie posiadają odpowiedniego zezwolenia, a w rzeczywistości nie odprowadzają podatku. W praktyce jednak regulacja umożliwia blokowanie dostępu do zasobów każdej strony, która zostanie uznana za zagrożenie. Trzeba powiedzieć jasno, to jest cenzura. Metodyka blokowania dostępu do stron internetowych oraz wady i zalety: blokowanie na poziomie DNS – strona wpisana w przeglądarkę po prostu się nie wyświetla zalety – stosunkowo tanie i bardzo proste do wykonania wady – niezwykle proste do ominięcia blokowanie na poziomie IP – ruch do wskazanego adresu IP jest wyłączany zalety – stosunkowo proste i tanie wady – duża skala blokad nadmiernych i niepożądanych blokowanie na poziomie URL – zablokowane zostają wskazane pełne adresy stron internetowych zalety – duża precyzja NUMER 1/2016 www.nocto.pl/category/czasopismo 16 wady – pracochłonne, niełatwe do zapewnienia kompletności, drogie w wykonaniu, posiadające problemy z szyfrowaniem blokowanie na poziomie słów kluczowych – np. blokada stron zawierających frazę: „gry karciane” lub „bukmacherskie” zalety – dokładność i skuteczność wady – ogromne koszty wprowadzenia i realizacji, dużo blokad nadmiernych (Zaufana Trzecia Strona, 2016.) Jak można się domyślać rząd wybrał metodę pierwszą. Prawdopodobnie dlatego, że jest tania i prosta w wykonaniu. Na szczęście dla internautów ceniących sobie zarówno prywatność jak i wolne media jest bardzo wiele prostych sposobów do ominięcia cenzury. Gdy zostaną (a zostaną) rozpowszechnione niemal każdy będzie w stanie wyłączyć sobie cenzurę, zatem rząd znowu będzie musiał zmienia ustawę, chyba, że zadowoli się faktem blokowania dostępu „do niepożądanych treści” dla kilkuprocentowej grupy użytkowników w skali ogólnokrajowej. Praktyka blokowania treści przez rząd: Rząd nową ustawą zmusza dostawców Internetu, aby ci tak skonfigurowali swoje serwery DNS, że gdy użytkownik wejdzie na www.niepozadanaprzezrzadzlastrona.pl ta mu się nie wyświetli i przekieruje go na stronę Ministerstwa Finansów w celu uświadomienia jaką krzywdę wyrządza państwu. wiadomosci.monasterujkowice.pl Portal poświęcony bezpieczeństwu IT – Zaufana Trzecia Strona zwraca uwagę na niebezpieczeństwa związane z przekierowywaniem użytkowników pod jeden wskazany adres. Osoba zarządzająca danym NUMER 1/2016 www.nocto.pl/category/czasopismo 17 serwerem będzie w stanie między innymi: wykraść ciasteczka użytkownika aby zalogować się w realnym serwisie, ustawić stronę phishingową i kraść dane dostępowe do kont, przeprowadzić dowolne ataki na przeglądarki, którymi posługują się użytkownicy i wiele innych. To ogromna pokusa. Trzeba mieć nadzieję, że osoby odpowiedzialne za zarządzanie tym serwerem będą na tyle kompetentne, że zapewnią ochronę wchodzącym, jednak należy także pamiętać, że niewiele jest miejsc, do których nie da się wejść, zatem wszystko się może zdarzyć, a dostarczanie takiej możliwości jest skrajnie nieodpowiedzialne. Możliwości ominięcia ograniczeń: użycie VPN z serwerami poza Polską użycie TOR użyć aplikacji innej niż przeglądarka, a który będzie miał zapisane na stałe adresy, z którymi ma się łączyć użyć serwera proxy spoza Polski zmienić adresy DNS w routerze lub systemie operacyjnym Metod jest wiele, niektóre bardzo proste. Wymagające jedynie instalacji odpowiedniego oprogramowania. Użytkownik zatem nie będzie musiał się znać, aby ominąć cenzurę serwowaną przez rządzących. Optymalną opcją jest wybór tunelowania VPN. Serwer można kupić już za mniej niż 5zł miesięcznie. Można też go zrobić samemu, lecz do tego potrzeba nieco wiedzy i umiejętności, jednak należy zaznaczyć, że się da. Najtańszą opcją jest wybór sieci poza Internetem, czyli sieci TOR. Jednak ma on pewne ograniczenia prędkościowe, zatem dla wygodnych opcja może być zbyt powolna, natomiast na pewno jest skuteczna. Podsumowując. Rząd wprowadził ustawę po najniższych kosztach, jednak w skali kraju koszty i tak będą bardzo duże, tylko co to da? Intertet, to piąta władza w państwie. Władza, której żadna próba cenzury nigdy do końca nie wyeliminuje. Dróg do obejścia, jak widać jest wiele, a blokowanie, to nie szyfrowanie. Jeśli coś jest porządnie zaszyfrowane, to odszyfrować się nie da, ale jeśli chodzi o blokady, to większość zdecydowanie jest do obejścia. Bibliografia: 1. Zaufana Trzecia Strona, 2016, Wiemy jak rząd ocenzuruje Internet i jak się przed tym bronić, <https://zaufanatrzeciastrona.pl/post/wiemy-jak-rzad-ocenzurujeinternet-i-wiemy-jak-sie-przed-tym-bronic/>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 18 PORADNIK BEZPIECZEŃSTWA W SIECI - 10 PRZYKAZAŃ Autor: mgr Kamil Mazurczak Niniejszy artykuł, to zbiór dziesięciu zasad, które są dedykowane dla każdego użytkownika komputera podłączonego do sieci. Zastosowanie się do tego zestawienia podniesie poziom ogólnego bezpieczeństwa każdego z urządzeń użytkownika, eliminując możliwości podstawowych zagrożeń, które właśnie najczęściej dotykają zwykłych użytkowników. 1. ZASZYFRUJ CAŁY DYSK TWARDY Ta czynność uchroni użytkownika przed nieuprawnionym dostępem do danych znajdujących się w urządzeniu. Nigdy nie ma pewności co dzieje się z urządzeniem pozostawionym bez opieki. Taki zabieg wyeliminuje jedno z najpoważniejszych zagrożeń bezpieczeństwa. Można to zrobić na wiele sposobów używając wielu dostępnych na rynku programów szyfrujących asymetrycznie. W zależności od systemu będą się one różnić interfejsem i nazwą, natomiast w działaniu są zazwyczaj podobne. Występują solidne wersje darmowe, jak i ich płatne odpowiedniki. Warto wcześniej zasięgnąć informacji czy dane oprogramowanie nie posiada np. tylnych furtek. Wszystko można znaleźć w sieci. Warto również wykonywać regularną kopię zapasową na wypadek uszkodzenia się choćby jednego bita programu. Drobny błąd może uniemożliwić dostęp również użytkownikowi. Jednak wykonywanie tzw. backupu jest elementarną czynnością w bezpieczeństwie IT. 2. WYBIERAJ SILNE I UNIKATOWE HASŁA WSZĘDZIE TAM, GDZIE POSIADASZ KONTO. W WAŻNIEJSZYCH SERWISACH ZAWSZE STOSUJ WIELOSKŁADNIKOWE UWIERZYTELNIANIE Użytkownik podczas wirtualnego życia rejestruje się na setkach różnych forów i serwisów, które są zarządzane przez mniej lub bardziej kompetentne osoby. Czasem dana strona podupada i odchodzi w zapomnienie, pomimo, że znajduje się wciąż w sieci. Właściciel ją porzuca lub aktualizuje bardzo rzadko, przez co staje się ona podatna na różnego rodzaju ataki, w związku z nieaktualnym oprogramowaniem. W przypadku użytkowników używających takich samych haseł do każdego z serwisów (a jest ich zdecydowana większość i tyczy się to również osób używających prostych systemów haseł, które programy do łamania haseł łamią w mniej NUMER 1/2016 www.nocto.pl/category/czasopismo 19 niż sekundę) cyberprzestępca uzyskując dostęp do konta na forum o szydełkowaniu uzyskuje dostęp do np. portalu społecznościowego albo banku ofiary. Pomimo lepszych zabezpieczeń na innych stronach ten prosty błąd może wiele kosztować. Dlatego hasła wszędzie muszą być inne. Większość osób nie jest w stanie ich spamiętać, dlatego należy przechowywać je w specjalnych programach do tego służących. Wówczas trzeba pamiętać tylko jedno hasło – główne. Warto również w serwisach, które przechowują dane stosować wieloskładnikowe uwierzytelnianie, czyli np. login + hasło + kod SMS. 3. MIEJ ZAWSZE AKTUALNE OPROGRAMOWANIE Zwłaszcza te, które dosięga sieci. Ogranicza to większość ataków masowych na przeglądarki oraz po otwarciu np. .PDF. Gdyby oprogramowania nie posiadały błędów, to nie byłoby potrzeby aktualizacji ich. Każde oprogramowanie posiada błędy, które w miarę upływu czasu są znajdywane przez cyberprzestępców i wykorzystywane do włamań. Aktualizując oprogramowanie na bieżąco użytkownik wystrzega się masowych ataków. 4. KORZYSAJ Z VPN PODCZAS POŁĄCZEŃ Z NIEZNANYM Wi-Fi Podczas korzystania z często darmowych Wi-Fi w restauracjach, hotelach, pociągach itp. każdy użytkownik widzi ruch innych podłączonych do sieci użytkowników. Co sprytniejsi mogą podsłuchać ruch, np. przejąć dane dostępowe, hasła, loginy, kody. Cyberprzestępcy często udostępniają darmowe Wi-Fi aby móc podsłuchiwać. Warto wówczas korzystać z VPN, który można kupić już za grosze. 5. ZABEZPIECZ PRZEGLĄDARKĘ Najczęściej używanym programem u większości użytkowników jest przeglądarka internetowa. Warto aby miała dobrą opinię i była dość znana. Po pierwsze, to najważniejszy program do aktualizacji. Zawsze musi być aktualna. Po drugie – należy wyłączyć wszystkie nie niezbędne wtyczki, takie jak np. JAVA. Niezbędną wtyczką na dzień dzisiejszy jest tylko FLASH, który również należy aktualizować automatycznie. Trzeba wyłączyć funkcję „click-to-play” aby żaden „wyskakujący” obiekt nie przekierował użytkownika do innego (niebezpiecznego) miejsca. Autor sugeruje również wyłączenie „trackingu reklamowego” w celu zachowania prywatności oraz zainstalowanie wtyczek blokujących Java Script dla przeglądarki. 6. NIE KORZYSTAJ NA CO DZIEŃ Z KONTA ADMIN I UŻYWAJ OPROGRAMOWANIA ANTYWIRUSOWEGO NUMER 1/2016 www.nocto.pl/category/czasopismo 20 Antywirusy płatne są tak samo nieskuteczne jak antywirusy darmowe. Na nowe złośliwe oprogramowanie nic nie poradzą, lecz ochronią użytkownika przed znanym i masowo rozsyłanym oprogramowaniem złośliwym. To wielka zaleta, gdyż najczęściej ataki są niepersonalne. W przypadku ataków personalnych wykonanych przez doświadczonego cyberprzestępcę żaden antywirus nie pomoże, lecz poprzez używanie konta z ograniczonymi uprawnieniami (konto user, nie konto admin) użytkownik może zmniejszyć pole manewru dla hakera. Komputer nie zostanie przejęty w całości. 7. UŻYWAJ FIREWALLA Ta opcja ochroni użytkownika przed dostępem hakera do szerokich uprawnień. Usługi dla „wszystkich” z komputera użytkownika będą niewykonalne. Warto ustawić blokadę połączeń dla wszystkich połączeń przychodzących oraz zainstalować oprogramowanie monitorujące usługi wychodzące. Bez obaw, firewall pozwala na dodawanie wyjątków. 8. HASŁO W BIOS To ochrona przed fizyczną kradzieżą sprzętu. Atakujący nie da rady uruchomić komputera użytkownika za pośrednictwem innego oprogramowania na LIVECD/USB. Tym samym niezaszyfrowane dane również będą do pewnego stopnia bezpieczne. 9. OSTROŻNIE DOBIERAJ TREŚĆ PUBLIKOWANĄ W SIECI Nie chodzi tutaj tylko o to jakie zdjęcia i filmy użytkownik wrzuca na ścianę swojego konta w portalu społecznościowym. Należy każde przesłane nade traktować jako publiczne. Np. wysyłanie skanów dowodów osobistych, CV i innych dokumentów na skrzynkę email do kolegi lub współpracownika, kogokolwiek należy traktować jako dane udostępnione publicznie, gdyż ich wyciek, to kwestia czasu, chęci lub możliwości. Warto mieć na uwadze, że wszystko może zostać złamane. 10. ZAINSTALUJ OPROGRAMOWANIE NAMIERZAJĄCE Tzw. przyjazny trojan, to świetna sprawa. W przypadku kradzieży sprzętu będzie można go namierzyć używając do tego innego urządzenia. Podkreślić należy tutaj, że i tak najważniejszy jest podpunkt pierwszy! (niebezpiecznik.pl, 2014.) Bibliografia: 1. Niebezpiecznik.pl, 2014, 10 porad bezpieczeństwa od Niebezpiecznika, <https://docs.google.com/document/d/1iiKYZJWGihNculKbEyA5agI32EjaYuEvcTy-XTu23Y/edit>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 21 BEZPIECZEŃSTWO APLIKACJI – POKEMON GO SZPIEGIEM? Autor: mgr Kamil Mazurczak Instalując jakąś aplikację czy to z dedykowanego marketu, czy z innych zasobów tuż przed samą instalacją użytkownik zostaje zapytany czy wyraża zgodę na następujące uprawnienia instalowanej aplikacji. W tym momencie są one pokazywane. Jedne aplikacje wymagają dostępu do mniejszej, a inne do większej ilości zasobów urządzenia, na którym pracują. Niektóre, wydaje się, że wymagają nieco za dużo. Użytkownicy na całym świecie niemal nie zwracają na to uwagi jakich uprawnień wymaga od nich dany program. Po prostu stukają w ekraniki swoich smartfonów „dalej, dalej, zainstaluj”. Poniżej znajduje się zrzut ekranu z wymaganych uprawnień dla ostatnio bardzo popularnej gry Pokemon GO. Warto zwrócić uwagę zarówno na elementy, bez których ten rodzaj gry nie mógłby działać, ale i również na elementy zupełnie niepotrzebne. NUMER 1/2016 www.nocto.pl/category/czasopismo 22 Zrzut ekranu – zasoby własne Powyższa aplikacja musi mieć dostęp do aparatu i lokalizacji, lecz po co jej pliki przechowywane na urządzeniu? Takich nadgorliwych aplikacji jest tysiące, jeśli nie miliony. Wymagają zawsze więcej niż potrzebują. Są również aplikacje, u których powyższa lista będzie zupełnie pusta. Wówczas zdecydowanie bezpieczeństwo się podnosi. Użytkownik nie ma pewności co robi dana aplikacja zarówno w czasie gdy jest używana, jak i w tle podczas, gdy smartfon spoczywa w kieszeni właściciela. Rosyjscy naukowcy podejrzewają, że aplikacja została stworzona przez zachodnie służby wywiadowcze w celach szpiegostwa przemysłowego. Ich zachodni koledzy również podzielają pogląd jakoby aplikacje były tajną bronią wywiadów różnych państw świata. (B. Józefiak, 2016.) Wszak nic nie stoi na przeszkodzie aby tak właśnie było. Aplikacje, które są instalowane przez użytkowników z całego świata i mające dostęp do NUMER 1/2016 www.nocto.pl/category/czasopismo 23 zasobów urządzeń właścicieli z bezbłędnym określeniem ich lokalizacji zarówno w czasie rzeczywistym jak i przeszłym a z dużą dozą prawdopodobieństwa określenia położenia w przyszłości, to narzędzia idealne do szpiegowania. Użytkują je ludzie na wszystkich szczeblach hierarchii społecznej bez względu na wiek, wykształcenie czy wykonywany zawód. W świecie, gdzie informacja odgrywa największą rolę niemal nie do pomyślenia byłby fakt, że tak idealne narzędzie do szpiegowania nie jest do tego wykorzystywane. Właśnie dlatego chociaż nie ma potwierdzonych w 100% informacji, że tak jest należy dla bezpieczeństwa uważać, że tak może być, bowiem ciężko oprzeć się tak wielkiej pokusie, tak skutecznemu i tak prostemu sposobowi wejścia w posiadanie nieautoryzowanych tajnych danych. Ministerstwo Obrony Izraela już wprowadziło specjalną czarną listę aplikacji, których nie mogą używać oficjele. Ministerstwo Spraw Wewnętrznych Rosji również się na tym zastanawia i znając życie na pewno wdroży. Takie prewencyjne działanie jest najskuteczniejsze. Niestety w Polsce jeszcze się o tym nie mówi, a dane na smartfonach polityków są zabezpieczane jedynie „na własną rękę”. Oprócz ryzyka szpiegostwa przemysłowego należy również wspomnieć o możliwości jakie aplikacje dają cyberprzestępcom, którzy celują w zarobek i najczęściej ich ofiarami padają zwykli użytkownicy. Haker w zależności od posiadanych danych może wykorzystać je przeciwko (zazwyczaj) finansom użytkownika. Jeśli wejdzie w posiadanie danych kompromitujących – będzie szantażował ofiarę, jeśli nabędzie dane dostępowe do kont bankowych – sam sięgnie po ich zasoby. Niekiedy użytkownicy przechowują zdjęcia swoich ważnych dokumentów na urządzeniach z mobilnym dostępem do sieci. One również padną ofiarą wytrawnego cyberprzestępcy, który nie zawaha się wziąć kredyt w imieniu swojej ofiary. Podsumowując, nie tylko Pokemon GO jest przedmiotem dyskusji ekspertów od bezpieczeństwa IT na całym świecie. Aplikacje mobilne mogą być wykorzystywane do zbierania danych o ich użytkowniku. Warto przed instalacją zweryfikować uprawnienia danego oprogramowania, gdyż może się okazać, że pracuje on również, gdy jego użytkownik śpi smacznie w domowym łóżku. Poprzez uzyskanie dostępu do urządzenia autor aplikacji może wprowadzać na nie inne oprogramowanie, np. konie trojańskie, które mogą uzyskać dostęp do kamerki czy mikrofonu w telefonie. W przypadku wielkich aplikacji, jaką jest Pokemon GO celem inwigilacji na pewno nie są przeciętni obywatele. Jeśli obawy rosyjskich ekspertów są zasadne bać się powinni jedynie oficjele czy też osoby decyzyjne dużych korporacji. NUMER 1/2016 www.nocto.pl/category/czasopismo 24 Bibliografia: 1. B. Józefiak, 2016, Pokemon GO to narzędzie zachodnich szpiegów – mówią analitycy z Rosji, <http://www.cyberdefence24.pl/417193,pokemon-go-tonarzedzie-zachodnich-szpiegow-mowia-analitycy-z-rosji>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 25 BEZPIECZEŃSTWO W SIECI – PUBLIKOWANIE WIZERUNKU DZIECKA W SIECI Autor: mgr Kamil Mazurczak Jeszcze parę lat temu aparaty były dobrem, na które nie było stać każdego. Służyły do upamiętniania ważniejszych w życiu chwil. Film kosztował, wywołanie kosztowało, gromadzenie wymagało albumów. Miało to znamiona jakiejś magii w sobie, jednak te czasy już nie wrócą. Dzisiaj urządzeń, które na swoim wyposażeniu mają aparaty fotograficzne jest cała masa. Pomijając klasyczne aparaty, są jeszcze telefony, z którymi użytkownicy niemal nigdy się nie rozstają, tablety, laptopy, telewizory, są też lodówki wyposażone w kamerkę do selfie… Kiedyś robiło się kilka zdjęć na ważnym spotkaniu rodzinnym, dzisiaj jest to liczone w setkach. To ogromna zmiana. Rodzice mogą być zagrożeniem dla swoich małych dzieci. Zwłaszcza rodzice, którym zależy na zdobyciu powszechnej aprobaty, czyli tzw. internetowym fejmie. Publikują oni zdjęcia swoich nie mogących się w żadne sposób przeciwstawić pociech w nadziei na parę lajków. Tym samym mogą wyrządzać dziecku wielką krzywdę. „Śmieszne zdjęcia dzieci rozchodzą się w sieci podobnie dobrze jak śmieszne zdjęcia kotów, różnica jest taka, że kot ubrany w prześmiewcze ciuszki z cygarem w pyszczku i napisem „to napad” nigdy nie poniesie konsekwencji niestosownego czynu właściciela, zaś w analogicznym przykładzie – dziecko może takie konsekwencje ponieść. Dlaczego nie powinno się publikować wizerunku dzieci w Internecie póki same na to nie wyrażą zgody? Czego nie warto upubliczniać? 1. Należy się przyjrzeć uprzedmiotowianiu w takich sytuacjach. Podmiotowość dziecka zostaje zaburzona, a rodzić pomimo iż nie ma złych zamiarów przedstawia swoją pociechę jako zabawkę. NUMER 1/2016 www.nocto.pl/category/czasopismo 26 nk.pl 2. Coraz dokładniejsze wyszukiwarki oferują wyszukiwanie po zdjęciach. Wystarczy, że za kilka lat ktoś będzie chciał upokorzyć daną osobę i wrzuci w taką wyszukiwarkę jej aktualne zdjęcie. Okaże się, że niektóre rysy twarzy pozostają bez zmian. Wówczas wyszukiwarka powiąże nowe zdjęcie z wszystkimi informacjami, które znajdzie. Będą to nie tylko zdjęcia, ale również filmy oraz dane, informacje, opisy, kontakty. Tworzy się naturalny profil psychologiczny. Cyberprzestępcy specjalizujący się w e-szantażu mogą to wykorzystać. 3. Dzisiaj dziecko może trafić na portal społecznościowy jeszcze zanim się urodzi. Chodzi o zdjęcia USG i wszelkie przedporodowe symulacje. To są prywatne ujęcia, które nie powinny stanowić pożywki dla potencjalnych zagrożeń. Niektóre kliniki oferują także transmisje online z porodów… 4. Kiedy granica podmiotowości zostaje przekroczona? Zazwyczaj szybciej niż ktokolwiek mógł by przypuszczać. Często mamy publikują zdjęcia swoich dzieci nago, w kąpieli czy podczas czynności pielęgnacyjnych. Są to zdjęcia niekiedy 4 i 5 latków. Statystyki pokazują, że 50% dzieci w wieku od 7 do 13 roku życia posiada już konto na Facebooku. Kiedy rówieśnicy odszukają takie upokarzające fotografie zaczynają wyśmiewać swoich kolegów i koleżanki. Dzieci w tym wieku nie zdają sobie sprawy z konsekwencji swoich czynów. Same się przed tym nie obronią, a każda fotografia czy filmik prezentujące kolegę w prześmiewczym świetle zostaną wykorzystane. Wtedy pozostaje tylko liczyć na mocny charakter dziecka i brak skłonności samobójczych. 5. Zdjęcia, o których mowa w punkcie 4. mogą zasilać prywatne kolekcje pedofilów. Pedofile, którzy mają swoje fora w darknecie publikują je tam i wymieniają się nimi niczym kilka lat temu dzieci naklejkami Pokemonów z gum do żucia. NUMER 1/2016 www.nocto.pl/category/czasopismo 27 6. Pedofile tworzą nawet fikcyjne konta na Facebooku, na których gromadzą zdjęcia pociech nieroztropnych rodziców. Poniżej przykład. facebook.pl „Najseksowniejsze 4, 5 i 6 latki”, to istniejący profil. Został co prawda zamknięty, lecz nie za treści, a naruszenie praw autorskich. Pedofile gromadzili w nim głównie zdjęcia dziewczynek w w/w wieku, których rodzice przebierali je za starsze niż są. Dodając atrybuty seksualności w postaci szminek, ostrych makijaży, pończoszek, szpilek i innych. Często z dopiskiem „moja lolitka”. W tym wypadku uprzedmiotowienie widać bezsprzecznie. Szkoda tylko, że rodzice tego nie dostrzegają… 7. Troll parenting – Termin z j. ang., który oznacza wyśmiewanie się z dziecka dla zabawy i fejmu. Są to zazwyczaj zdjęcia w przebraniach, w dziwnych pozycjach, sytuacjach. Zdjęcia takie często trafiają na portale „ze śmiesznymi obrazkami” jak powyżej. Są one rozpowszechniane i „podbijają Internet”. Chwila śmiechu nie jest warta dobra i bezpieczeństwa dziecka. Bardzo często zdarza się, że takie zdjęcia odsłaniają patologiczne aspekty w rodzinie. Są to fotografie typu „stary maleńki” przedstawiające dziecko z np. używkami. NUMER 1/2016 www.nocto.pl/category/czasopismo 28 8. Public shaming – czyli publiczne upokarzanie dziecka dla zwiększenia kary. Najczęściej jest to zdjęcie dziecka z jakąś tabliczką i napisem. Na jednej z popularniejszych na świecie była przedstawiona mała dziewczynka, która trzymała tabliczkę z napisem „Zrobiłam kupę pod prysznicem, a tata musiał to posprzątać.” W innych okolicznościach może to prowadzić do tragedii. W USA pewien ojciec nagrał film jak za karę odcina swojej 13 letniej córce włosy. Dziewczynka kilka dni później poprzez falę prześmiewczych komentarzy w sieci popełniła samobójstwo. (rt.com, 2015.) Między dzieleniem się radością a trollowaniem Zagrożenia związane z publikowaniem przez rodziców treści dotyczących ich dzieci w Internecie SEMINARIUM EKSPERCKIE 9.06.2015 Bibliografia: 1. rt.com/usa, 2015, Teen commits suicide following father’s public shaming video, <https://www.rt.com/usa/265342-public-shaming-suicide-father/>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 29 BEZPIECZEŃSTWO POŁĄCZEŃ VOIP. KOMISJA EUROPEJSKA CHCE ABY VOIP DOTYCZYŁY TE SAME REGULACJE CO OPERATORÓW TELEKOMUNIKACYJNYCH Autor: mgr Kamil Mazurczak giganet.info.pl Ostatnia regulacja prawna dotycząca komunikacji głosowej w czasie rzeczywistym za pośrednictwem Internetu pochodzi sprzed ponad 15 lat. W zestawieniu z faktem, iż dotyczy ona sieci można by rzec, że jest przestarzała, jednak co tak naprawdę chce uzyskać teraz Komisja Europejska? Usługi VoIP (Voice over Internet protocol) pozwalają na to samo, na co klasyczne usługi operatorów sieci komórkowych. Można bez problemu zadzwonić na numer wszystkich sieci na świecie, bez roamingu, często nawet bez opłat. Komisja Europejska ma zastrzeżenie jakoby usługi VoIP nie oferowały użytkownikom takiego poziomu bezpieczeństwa jaki oferują klasyczni operatorzy telekomunikacyjni. Usługi VoIP są w większości przypadków szyfrowane. Te płatne są szyfrowane bardzo skutecznie i nie ma możliwości odsłuchania rozmowy zarówno w czasie rzeczywistym, jak i później, co umożliwiają dzisiaj operatorzy popularnych sieci telekomunikacyjnych. Zdaniem autora właśnie to najbardziej nie podoba się komisji – BRAK MOŻLIWOŚCI SKUTECZNEJ INWIGILACJI OBYWATELA. Pryzmat bezpieczeństwa połączeń, to jedynie powód, dla którego chcą zmienić prawo. Jeszcze kilka lat temu nikomu to nie przeszkadzało, gdyż rynek usług VoIP nie był tak rozwinięty i mały odsetek populacji z nich korzystał. Dzisiaj każdy NUMER 1/2016 www.nocto.pl/category/czasopismo 30 posiadający rodzinę w innym kraju nie wydaje horrendalnych sum na komunikację głosową za pomocą operatorów sieci, tylko wybiera połączenia za pośrednictwem Internetu. Słyszalność jest doskonała, interfejsy są intuicyjne, oprócz fonii do dyspozycji użytkownik ma jeszcze wizję. Połączenie jest szyfrowane. Darmowe lub bardzo tanie. Czego chcieć więcej? Komisja Europejska przedstawiła już wersję wstępną dyrektywy, która zmusi popularne firmy odpowiadające za masowo wykorzystywane aplikacje do „zapewnienia odpowiedniego poziomu bezpieczeństwa aplikacji oraz integralności serwisów”. Firmom narzuci się też konieczność informowania organów władzy o włamaniach do systemów. Komisję Europejską mierzi bardzo szyfrowanie połączeń np. takie jakie oferuje popularny komunikator WhatsApp (Facebook). Według dyrektywy wstępnej mechanizmy zabezpieczające powinny pozwolić na odczytanie wiadomości przesyłanych przez użytkownika. (T. Fastyn, 2016.) Wszystko oczywiście dla bezpieczeństwa, które na całym świecie jest niemoralnie wykorzystywane przez niemal każdą władzę do wprowadzania coraz większej kontroli obywatela. Usługi VoIP i próba zmiany prawa przez Komisję Europejską, to jedynie przykład. W rzeczywistości takich przykładów jest coraz więcej. Wykorzystywanie parytetu bezpieczeństwa do wprowadzania coraz bardziej postępującej inwigilacji jest powszechne i nieetyczne. To żerowanie na tragediach. Warto zwrócić uwagę na zmiany w światowych procedurach bezpieczeństwa po zamachach terrorystycznych. O ile niektóre elementy wymagały poprawy, o tyle inne zmiany są wprowadzane jedynie w celu wyciągnięcia danych od obywatela. Jak korzystać z VoIP zachowując podstawowe prawa do prywatności rozmów po wprowadzeniu w życie w/w dyrektywy Komisji Europejskiej? Przede wszystkim należy unikać najpopularniejszych komunikatorów, gdyż to na nie zostaną nałożone ograniczenia i obowiązki. Warto też zwrócić uwagę na lokalizację serwerów usługodawcy. Wybierając te spoza Unii Europejskiej np. z Rosji, Chin, Panamy czy innych krajów, które nie współpracują ze UE w związku z udostępnianiem danych użytkowników Internetu. Wówczas należy zweryfikować opinie o usługodawcy. Sprawdzić czy nikt nie wypowiada się o nim negatywnie. Jest to bardzo proste, gdyż wystarczy jedna wpadka i ktoś coś gdzieś napisze, a po to są wyszukiwarki, żeby to odnaleźć. Gdy opinie są pozytywne, serwer leży gdzieś poza UE, a szyfrowanie rozmów jest adekwatne, to można zacząć mówić o prywatności rozmów. NUMER 1/2016 www.nocto.pl/category/czasopismo 31 Bibliografia: 1. T. Fastyn, 2016, Komisja Europejska chce aby VoIP dotyczyły te same regulacje co sektora telekomunikacyjnego, <http://www.cyberdefence24.pl/446946,komisja-europejska-chce-aby-voipdotyczyly-te-same-regulacje-co-sektora-telekomunikacyjnego>, dostępny 6.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 32 BEZPIECZEŃSTWO HASŁA Autor: mgr Kamil Mazurczak plblog.kaspersky.com Hasło wraz z nazwą użytkownika są najczęściej wykorzystywaną formą uwierzytelnienia we wszystkich serwisach internetowych na świecie. Ogromna liczba ludzi na świecie używa jednego hasła do wszystkich kont w każdym serwisie. Jest to poważny błąd, który może wiele kosztować. W grę wchodzą zarówno straty materialne jak i moralne. Dochodzą również nieprzyjemności związane z odzyskiwaniem skradzionych kont użytkownika. Warto zadbać o bezpieczeństwo hasła. Nie jest to wcale takie trudne, chociaż zasadność podjętych środków bezpieczeństwa może być nie do końca zrozumiała. Bezpieczne hasło nie istnieje. Można je stracić zawsze i wszędzie. Hasło samo w sobie ma znaczenie tylko wówczas, kiedy jest właściwie chronione. Nie tylko użytkownik czuwa nad bezpieczeństwem swojego hasła, ale i każdy serwis, w którym jest używane. Jeśli takowy portal posiada słabe zabezpieczenia, to naraża hasło na wyciek. Serwisy przetrzymują zaszyfrowane hasła po to aby system mógł je identyfikować podczas logowania. Niestety najczęstszym przypadkiem jest użycie popularnego na całym świecie szyfrowania MD5, które bez trudu rozszyfrowują nawet komputery z przeciętnej jakości kartą graficzną. Tutaj nie ma znaczenia czy hasło jest trzyznakowe czy czterdziestoznakowe. Zostanie rozszyfrowane z takim samym stopniem trudności. Dowodzą tego wycieki ponad 40 milionów haseł z popularnego serwisu z muzyką – last.fm. Przykłady rozszyfrowanych z MD5 haseł zawierały ponad 40 znaków różnego rodzaju. Zostały jednak w konsekwencji i tak rozszyfrowane. (Zaufana Trzecia Strona, 2016.) Zatem długość i skomplikowanie nie mają w ogóle znaczenia? NUMER 1/2016 www.nocto.pl/category/czasopismo 33 Mają znaczenie, gdyż eliminują inne formy ataków, np. bruteforce czy ataki słownikowe. Im trudniejsze jest hasło, tym większe bezpieczeństwo przy takich atakach. Warto pamiętać, żeby nie ustawiać na hasło czegoś co istnieje. Konkretnie chodzi o to aby fraza nigdzie nie występowała np. jako fragment lub tytuł piosenki, rozdział znanej książki czy inny powszechny cytat. Należy dodawać do hasła znaki specjalne, w tym również o ile to możliwe spacje, cyfry, wielkie i małe litery. Jak można stworzyć całkiem niezłe hasło ze słowa, które występuje? klawisz kL4W!52 _ $$ kL4W!52— Jak widać z prostego słowa „klawisz” zostało stworzone 14 znakowe hasło, które z całą pewnością może zostać nazwane jako mocne. Hasło to nie występuje w słownikach – nie istnieje w użyciu Zawiera znaki specjalne w tym 2 spacje Zawiera cyfry Zawiera małe i wielkie litery Można je zapamiętać, lecz nie za pierwszym razem Zawiera dużą ilość znaków (14) Takie hasło jest dobre, lecz nawet i ono może zostać złamane. Czym różni się to hasło od swojego pierwowzoru? Przede wszystkim faktem, iż nie zostanie złamane metodami, do jakich mają dostęp programy masowo wyszukujące w sieci słabych haseł na różnych portalach internetowych. Czyli jest lepsze. Dlaczego może zostać złamane? Takie hasło samo w sobie nie zostanie złamane, jest to niemal niemożliwe, lecz może zostać wykradzione w postaci zaszyfrowanych w MD5 pliku, a specjalny program je odszyfruje, gdyż program ten nie będzie go łamał, zgadywał, tylko obliczy równanie potrzebne do złamania MD5. Jakie są na to rady? Rada zasadniczo jest jedna. Należy używać haseł jednorazowych i zawsze innych do każdego konta na każdym serwisie. Wówczas w przypadku wycieku haseł w serwisie o szydełkowaniu haker nie dostanie się do serwisu o wędkarstwie. Jednak kiedy hasło (nawet najmocniejsze) wszędzie jest takie samo cyberprzestępca bez trudu uzyska dostęp do kolejnych kont użytkownika. Niektórzy używają prostych systemów haseł. NUMER 1/2016 www.nocto.pl/category/czasopismo 34 Mają inne do każdego serwisu, lecz inność polega na dodaniu czegoś systemowo. Np. „mojetajnehaslodofacebooka, mojetajnehaslodopoczty, mojetajnehaslodobadoo” itd. Cyberprzestępca domyśli się jak działa prosty system użytkownika, a nawet jeśli nie zrobi tego samodzielnie, to pomoże mu w tym specjalistyczne oprogramowanie, które zna takie „sztuczki”. Zatem pojawia się problem w postaci zapamiętywania trudnych, jednorazowych (do każdego serwisu innych) haseł dostępowych, lecz tutaj z pomocą przychodzi technologia, a konkretnie odpowiednie oprogramowanie. Warto użyć mocnego programu do przechowywania haseł. Wówczas użytkownik musi znać tylko jedno hasło – „hasło master”, które daje uprawnienia do programu przechowującego pozostałe hasło. Należy sprawić aby to hasło było jak najmocniejsze. Programów tego typu jest wiele. Jedne są warte uwagi, a inne nie. Darmowym i polecanym programem przechowującym hasła jest KeePass. Szyfruje on za pośrednictwem algorytmu AES-256, który nie został jeszcze złamany, a obliczenia pokazują, że jeszcze przez wiele set, a może tysięcy lat nie pozostanie złamany. Podsumowując warto dodać również, że bezpieczeństwo hasła można poprawić poprzez wieloskładnikowe uwierzytelnianie. Stosując się do tych reguł użytkownik jest w stanie zapewnić sobie najlepsze z możliwych bezpieczeństwo hasła. Bibliografia: 1. Zaufana Trzecia Strona, 2016, Twoje 46 znakowe hasło też ktoś może bez problemu złamać, <https://zaufanatrzeciastrona.pl/post/twoje-46-znakowehaslo-tez-ktos-moze-bez-problemu-zlamac/>, dostępny 8.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 35 BEZPIECZEŃSTWO PERSONALNE – BLACKMAILING CZYLI E-SZANTAŻ Autor: mgr Kamil Mazurczak doctors.am Na początek należy rozróżnić podejmowane w niniejszym artykule kwestie, gdyż istnieją co najmniej dwie formy e-szantażu. Jedną z nich nazywa się cyberterroryzmem i dotyczy ona głównie działań w strukturach rządowych. Są to blokady stron internetowych, przechwytywanie informacji niejawnych mogących godzić w bezpieczeństwo państwa w zestawieniu z groźbami ich ujawnienia lub w przypadku blokad – powtórek czy nieodszyfrowania już zaszyfrowanych istotnych danych. (K. Rogala, 2016.) Druga forma e-szantażu nie ma jeszcze polskiej nazwy, lecz godzi w bezpieczeństwo personalne mniej roztropnych obywateli. Blackmailing, bo tak zwykło się mawiać na e-szantaż personalny jest jednym z najmniej zbadanych zjawisk cyberprzestępczych. Żadne statystyki nie są w stanie oddać w pełni, ani nawet w znaczącej części prawdy o tej pladze. Dzieje się tak, ponieważ blackmailing dotyka najintymniejszej sfery ofiary, co przekłada się przede wszystkim na znikomą ilość zgłoszeń do organów ścigania takich form e-szantażu. Z reguły cyberprzestępca – blackmailer drogą kradzieży z włamaniem, kupna bądź przypadku wchodzi w posiadanie materiałów kompromitujących na daną osobę. Osoba ta od razu staje się ofiarą. O ile nie jest to osoba publiczna, a ujawnienie informacji NUMER 1/2016 www.nocto.pl/category/czasopismo 36 czy materiałów nie zagraża bezpieczeństwu państwa nie ma mowy o cyberterroryzmie. Czym są materiały kompromitujące? Dla każdego będzie to co innego, jednak niemal dla wszystkich ludzi materiałem kompromitującym będą fotografie i filmy zawierające sceny intymne – nagość. Są to rzeczy, które wbrew pozorom posiada bardzo wielu internautów. Cyberprzestępcy w takie dane celują. Na potrzeby niniejszego artykułu załóżmy następującą historię: Ambitna licealistka czatuje za pośrednictwem sieci. Poznaje w drugim końcu państwa jej zdaniem miłość swojego życia. (Tak, można się zakochać przez Internet). Wirtualna miłość rozkwita, popęd seksualny jest na wysokim poziomie, lecz zaczyna brakować czegoś, czego wymaga od człowieka fizjologia. Mowa o zbliżeniu, kontakcie fizycznym. Wówczas to nastolatkowie wynagradzają sobie brak kontaktu fizycznego wzmożonym kontaktem wirtualnym. Uprawiają cyberseks, wysyłają do siebie nawzajem intymne zdjęcia, filmy, lecz po roku i tylko dwóch spotkaniach w świecie realnym miłość nie wytrzymuje próby odległości. Kochankowie się rozstają. Nie ma w tym nic dziwnego, ani niepokojącego. Ambitna licealistka dostaje się na wymarzone studia i zaczyna poważą przygodę z prawem. Przypomina sobie, że kilka lat wcześniej wysyłała swoje nagie zdjęcia do w zasadzie nieznajomego mężczyzny, ale przecież minęło tyle lat, a on obiecał, że nic z tym nie zrobi, to chyba jest w porządku. Dla pewności usuwa starą skrzynkę mailową, na której ów materiały się znajdują. Ex licealistki rzeczywiście nigdzie nie opublikował kompromitujących fotek i filmów, lecz jego pasją są od jakiegoś czasu motocykle. W celu zdobywania wiedzy rejestruje się on na różnych forach o danej tematyce. Na jednym z nich administrator nie zadbał w 100% o bezpieczeństwo. Forum pada atakiem cyberprzestępcy handlującego bazami danych. Wykradzione zostają nazwy użytkownika oraz hasła zaszyfrowane w MD5 (słaby szyfr). Bazę danych kupuje znany i ceniony w cyberprzestępczym świecie blackmailer, który rozszyfrowuje za pomocą specjalistycznego oprogramowania setki haseł na sekundę. Inne specjalne oprogramowanie sprawdza czy hasła z forum dla motocyklistów pasują do skrzynek e-mail. Ok 30% pasuje. Akurat ex licealistki pada ofiarą takiego włamania. Jeszcze inne specjalne oprogramowanie wyszukuje interesujące blackmailera pliki. Jako, że ex ma ustawiona automatyczne usuwanie wiadomości wysłanych oprogramowanie cyberprzestępcy nie znajduje treści kompromitujących na niego. Za to znajduje zdjęcia i filmy jakiejś dziewczyny. W specjalnym raporcie blackmailer otrzymuje „podane na tacy” materiały NUMER 1/2016 www.nocto.pl/category/czasopismo 37 kompromitujące pochodzące z folderu „odebrane” na skrzynce ex licealistki. Na razie nie wie kim jest „[email protected]” lecz po wpisaniu w popularną wyszukiwarkę jej maila znajduje jeszcze kilka miejsc, w których występuje ten e-mail. Po nitce dochodzi do kłębka. Ustala tożsamość ofiary i tworzy jej profil psychologiczny oraz szacuje ile jest w stanie zarobić na eszantażu konkretnie tej osoby. Znajduje informację, że ofiara uczęszcza do prywatnej uczelni, na której studiuje prawo. Z uśmiechem na twarzy wpisuje do maila szantażującego wyższą niż zazwyczaj kwotę w zamian za nieujawnienie materiałów kompromitujących. Ofiara doznaje szoku, lecz studiując prawo wybiera zgłoszenie sprawy na Policję. (Takich przypadków jest mało. Cyberprzestępcy na forach w darknecie chwalą się, że z reguły ofiary płacą aby było już po sprawie) Policja nie wie czy ma do czynienia z profesjonalistą czy osobą szantażującą po raz pierwszy w życiu. Podchodzi do sprawy systemowo, lecz nie udaje się ustalić kim jest sprawca. Blackmailer nie dostaje wpłaty na czas, więc ujawnia materiały kompromitujące znajomym z Facebooka ofiary oraz publikuje je w podziemnych forach dla takich jak on sam. Zaczyna się publiczny lecz cichy lincz. Ofiara zdruzgotana bezradnością organów ścigania, które naprawdę nie mogły jej pomóc, (gdyż dla profesjonalnych cyberprzestępców anonimowość w Internecie w rzeczywistości istnieje) załamuje się i popada w głęboką depresję, gdyż jej kariera zawodowa prawnika jest już na starcie skazana na porażkę. W chwili zwątpienia w sprawiedliwość na świecie popełnia samobójstwo. Tragedia gotowa. Na szczęście powyższa historia jest jedynie założeniem i ma na celu zobrazować ciąg przyczynowo skutkowy. Jednak podobne historie występują na całym świecie. Nie mówi się o tym, gdyż organy ścigania dostrzegają problemy tylko po statystykach. Zwiększa się coś, znaczy, że jest problem. Nie zmienia się – problemu nie ma. Jak zapobiegać staniu się ofiarą blackmailera? Przede wszystkim prewencja. Nie można pozwolić sobie nawet na chwilę miłosnego uniesienia przed obiektywem aparatu czy kamery. To może słono kosztować. Jeśli użytkownik posiada na dysku twardym jakiekolwiek materiały kompromitujące, a sentymentalność nie pozwala mu ich trwale usunąć należy je zaszyfrować za pośrednictwem programu kryptograficznego opartego na algorytmach będących we współczesnym świecie nie do złamania. Ogromnym dylematem i niesłychanie frustrującą sprawą jest pytanie czy warto zgłaszać e-szantaż organom ścigania? Jeśli cyberprzestępca bardzo dobrze opanował anonimowość w Internecie, to szansa na jego schwytanie i postawienie do odpowiedzialności karnej jest NUMER 1/2016 www.nocto.pl/category/czasopismo 38 niebywale niska, zatem na ten dylemat należy odpowiedzieć sobie we własnym zakresie. Rady dla potencjalnych ofiar. Potencjalną ofiarą jest osoba, która gdzieś kiedyś wysłała materiały kompromitujące. Warto usunąć wszystko ze skrzynki e-mail czy komunikatora, w którym dane pliki zostały przesłane. Należy także skontaktować się z drugą stroną w celu usunięcia danych. Jeśli druga strona nie chce tego zrobić, to jak najbardziej można skorzystać z uprzejmości Policji, która bez wątpienia w takiej delikatnej sprawie pomoże. Bibliografia: 1. K. Rogala, 2016, Jak wygląda internetowy szantaż?, <http://mojafirma.infor.pl/e-firma/blog-firmowy/269532,Jak-wygladainternetowy-szantaz.html>, dostępny 8.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 39 BEZPIECZEŃSTWO W E-ADMINISTRACJI NA PRZYKŁADZIE ZUS Autor: mgr Kamil Mazurczak E-administracja w Polsce dopiero raczkuje, lecz koszty jakie ponosi państwo aby utrzymywać i tak niesprawne systemy, które nie częściej nie działają, niż działają są ogromne. W 2014r, na sam EPUAP zostało przeznaczone 32 000 000 zł przez rok (S. Czubkowska i R. Zieliński, 2014.), a kwota ta z roku na rok rośnie. Społeczeństwo niechętnie podchodzi do nowych technologii w tym kontekście. Trudno się dziwić, skoro wciąż są jakieś problemy. Należy się zastanowić jak to jest, że niektóre ogromne platformy obsługujące miliony użytkowników działają za kwotę 1000 krotnie niższą niż rządowe serwisy? Do tego działają sprawnie, szybko, błędy są wyłapywane w ekspresowym tempie, a użytkowników przybywa. Odpowiedź nasuwa się w zasadzie jedna, a jest nią korupcja. Podczas organizowanych przetargów na napisanie rządowych serwisów dochodzi do łamania prawa, a jako, że portale są tworzone za ogromne pieniądze chętnych po wyciągnięcie po nie ręki nie brakuje. Gdyby ci chętni byli profesjonalistami, ekspertami od bezpieczeństwa IT, to szło by to jeszcze jakoś wybaczyć, niestety tak nie jest. Idealnym przykładem jest ostatnia luka, która powstała w internetowej platformie ZUS. Każdy użytkownik posiadający profil zaufany w EPUAP oraz znający imię, nazwisko i PESEL dowolnej osoby mógł zobaczyć szerokie dane osobowe dowolnego obywatela. Co można było zobaczyć: - nieznane dotąd dane adresowe, - numer dowodu osobistego, - datę urodzenia, - miejsca pracy ofiary, - informacje o wszystkich składkach ofiary, (pozwala to w dużej mierze precyzyjnie oszacować wysokość zarobków ofiary) - wybrany OFE, - informacje o pobranych zasiłkach, - przyznane renty, NUMER 1/2016 www.nocto.pl/category/czasopismo 40 - wystawione zaświadczenia lekarskie, - można było zmienić np. sposób i adres przesyłania renty, emerytury… To mnóstwo danych osobowych i możliwości. Raj dla cyberprzestępców. Raj, który stworzyła ZUS-owa platforma internetowa. Administratorzy znanego i szanowanego portalu o bezpieczeństwie w sieci (Niebezpiecznik.pl) już w lipcu poinformowali o groźnej luce Ministerstwo Cyfryzacji, panią Minister Annę Strzeżyńską oraz sam ZUS. Dwa miesiące później luka wciąż była. (M. Maj, 2016.) Jaką politykę bezpieczeństwa uprawiają administratorzy ZUS-owej platformy internetowej? Luka została załatana dopiero w połowie Września 2016r. Ponad 2,5 miesiąca po interwencji Niebezpiecznika. Jednak nałożona łatka naprawcza systemu nie usuwa kont założonych w sposób nieautoryzowany. Oznacza to, że wszystkie konta, które zostały założone w czasie gdy luka miała swój czas świetności są wciąż aktywne i można z nich bez problemu korzystać. Mało tego, jeśli ktoś założył innemu użytkownikowi profil na PUE ZUS, to nie ma możliwości założyć go ponownie, nawet w sposób autoryzowany. Komentarza o luce ze strony ZUS brak, chociaż można było ją załatać już w październiku 2015, kiedy to pierwszy raz została zgłoszona do ZUS. Sprawa najwyraźniej nikogo nie przejęła. Podsumowując, e-administracja w Polsce leży na bardzo niskim poziomie. Zarządzanie oraz tworzenie platform rządowych takich jak EPUAP, to farsa w najczystszej postaci i chociaż platformy te są doskonalone, to jest to robione na zasadzie prób i błędów, a błędy, to utrata danych osobowych obywateli. Tak wcale być nie musi. Wystarczyłoby aby firmy w pełni kompetentne wygrywały przetargi na tworzenie takich platform i sprawa byłaby o wiele bardziej korzystna zarówno dla rządu jak i obywateli. Bibliografia: 1. S. Czubkowska i R. Zieliński, 2014, EPUAP kosztuje miliony, a mało kto z niego korzysta, < http://forsal.pl/artykuly/773790,epuap-kosztuje-miliony-amalo-kto-z-niego-korzysta.html, dostępny 19.09.2016. 2. M. Maj, 2016, Jak można było poznać wysokość zarobków milionów Polaków przez lukę NUMER 1/2016 w internetowej platformie www.nocto.pl/category/czasopismo ZUS?, 41 <https://niebezpiecznik.pl/post/jak-mozna-bylo-poznac-wysokosc-zarobkowmilionow-polakow-przez-luke-w-internetowej-platformie-zus-u/?more>, dostępny 19.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 42 BEZPIECZEŃSTWO TRANSAKCJI KARTAMI PŁATNICZYMI W ŚWIECIE FIZYCZNYM Autor: mgr Kamil Mazurczak finanse.egospodarka.pl Mówi się, że karty są bezpieczniejszym rozwiązaniem niż gotówka. To prawda, lecz za bezpieczeństwem karty płatniczej stoi pewien odsetek wiedzy. Przy nieostrożnym obchodzeniu się z kartami użytkownik może stracić w szybkim tempie część lub całość środków. W przypadku kiedy wina będzie leżała ewidentnie po stronie właściciela karty, nie otrzyma on odszkodowania od banku. Bank zrobi wszystko, żeby właśnie to udowodnić. W tym artykule autor postara się przytoczyć kilka prostych zasad, które znacząco zwiększają poziom bezpieczeństwa transakcji kartami płatniczymi w rzeczywistości. NUMER 1/2016 www.nocto.pl/category/czasopismo 43 Dane znajdujące się na karcie płatniczej, to nie tylko imię i nazwisko posiadacza oraz numer karty. Na rewersie karty płatniczej znajduje się zawsze niezwykle ważna informacja, a jest nią kod CVC2, który wchodzi w zakres danych osobowych i jest potencjalnie bardzo kuszącą dla przestępców informacją, gdyż dzięki temu kodowi połączonemu z numerem karty oraz datą jej ważności można bez trudu dokonywać nieautoryzowanych transakcji w Internecie. Przestępca może kupić sobie np. laptopa używając tylko zdjęcia bądź skanu awersu i rewersu karty płatniczej ofiary. Niektóre internetowe kantory kryptowalutowe oferują również zakup kryptowalut właśnie w ten sposób. To ogromne ułatwienie dla przestępców „zawodowo” zajmujących się kradzieżami z kart płatniczych. Na świecie o takich profesjonalistach zwykło się mawiać carderzy. Carderzy mają mnóstwo sposobów na pozyskanie danych z karty ofiary. Najważniejsze z nich, to: Skimming, czyli skanowanie karty włożonej do terminala płatniczego. Skimmery, to urządzenia, które przestępcy nakładają na otwory wlotowe dla kart w bankomatach, sklepach i wszędzie tam, gdzie dochodzi do płatności kartami. Niektóre z nich potrafią być na tyle zakamuflowane, że wyglądają identycznie jak oryginał. Rozróżnia się dwa typy skimmerów – pełne (takie, które oprócz skanów karty z obu stron nagrywają również za pomocą kamery zainstalowanej nad klawiaturą kod PIN właściciela karty) oraz skimmery bez możliwości pozyskiwania PINu. Obie metody są skuteczne i obie potrafią pozbawić ofiarę jej środków z konta. Dobre praktyki: - zasłanianie dłonią wpisywanego kodu PIN, - weryfikacja wzrokowa i dotykowa terminala pod kątem możliwości zainstalowanych nakładek (skimmerów). Warto szarpnąć elementem, do którego wsuwa się kartę płatniczą. Należy sprawdzić czy np. bankomat nie ma dodatkowej kamerki lub czegokolwiek, co wzbudza podejrzenia. Kradzieże danych za pośrednictwem kamer. Ludzkie oko nie jest w stanie zanotować numeru karty, kodu CVC2, danych personalnych oraz daty ważności jeśli widzi je przez ułamek sekundy. Oko kamery pozbawione jest tej wady. Płacąc kartą w markecie za marchewkę można stać się ofiarą przestępcy, który stoi za użytkownikiem, kupuje batonika, a na nosie zamiast okularów korekcyjnych ma okulary z ukrytą kamerą o dużej rozdzielczości. Ofiara szybciutko wpisuje kod PIN, szybko używa karty aby nikt nie zobaczył, jednak wystarczy ułamek sekundy, by przestępca później NUMER 1/2016 www.nocto.pl/category/czasopismo 44 odtworzył film w zwolnionym tempie i wszystko zanotował, po czym ograbił niczego nie świadomą ofiarę. Dobre praktyki: - wyjmując kartę z portfela od początku do końca operacji należy trzymać ją w dłoni w taki sposób aby dane na niej zawarte były przez cały czas zasłonięte. Płacąc zbliżeniowo jest to jak najbardziej możliwe, - zasłaniać wpisywany kod PIN dłonią - pod żadnym pozorem nie można pozwolić aby pracownik miejsca, gdzie się płaci oddalił się z kartą płatniczą, niewskazane jest nawet aby wziął ją w rękę Kradzieże zbliżeniowe Pomimo faktu, iż limit transakcji zbliżeniowej bez potwierdzania kodem PIN, to tylko 50zł, to przestępcy uczynili sobie z tego dochodowy biznes. Dobra dniówka wpada takiemu już po kilku ofiarach dziennie. Podchodzą blisko (np. w kolejkach, zatłoczonych miejscach, tramwajach itp.) zbliżają specjalny terminal płatniczy do kieszeni, w której znajduje się portfel z kartą płatnicą i w ułamek sekundy kradną 50zł. Dobre praktyki: - Warto nabyć specjalne etui na kartę płatniczą, które chroni przed transakcjami zbliżeniowymi. Występują również takie bezpieczne portfele, aczkolwiek zarówno etui jak i portfel bezpieczny, to nic innego jak mikro klatka Faradaya. Można sobie taką zrobić za darmo używając folii aluminiowej. Wystarczy wyłożyć nią zakładkę na kartę w portfelu. Jest to proste, szybkie i skuteczne. Kradzieże fizyczne kart płatniczych Takie również występują. Wystarczy chwila nieuwagi i sprytne ręce złodzieja wsuwają się do torebki niczego nie podejrzewającej ofiary. Plus tego jest taki, że złodzieje kradnący w ten sposób w dużej mierze nie są profesjonalistami i po kradzieży od razu pójdą do bankomatu aby wyciągnąć ile się da. Dobre praktyki: - Warto na karcie specjalnym flamastrem do płyt napisać: PIN: XXXX, zaś w miejsce XXXX wstawić nieprawidłowy, zmyślony kod PIN. Złodziej kradnący taką kartę będzie w pierwszych chwilach przeszczęśliwy, natomiast jeśli ofiara nie zdąży zablokować karty dzwoniąc do banku, to złodziej ją wyręczy poprzez trzykrotne niepoprawne wprowadzenie numeru PIN. Użytkownik stosujący się do powyższych kilku prostych rad poprawiających bezpieczeństwo transakcji kartami płatniczymi w świecie NUMER 1/2016 www.nocto.pl/category/czasopismo 45 fizycznym z całą pewnością może powiedzieć, że karta jest bezpieczniejsza niż gotówka. Istnieje wiele sposobów kradzieży, lecz jest tak samo dużo sposobów przeciwdziałania. Zatrważającym jest fakt, że tak elementarnej i przydatnej wiedzy w życiu nie uczą w szkołach od najmłodszych lat. NUMER 1/2016 www.nocto.pl/category/czasopismo 46 BEZPIECZEŃSTWO DANYCH OSOBOWYCH A SPRYTNY POMYSŁ NA KRADZIEŻ TOŻSAMOŚCI Autor: mgr Kamil Mazurczak Dane osobowe, to wszelkie informacje, które w zarówno sposób bezpośredni jak i pośredni mogą posłużyć do zidentyfikowania osoby fizycznej. W dobie społeczeństwa informacyjnego, w jakim przyszło egzystować dzisiaj człowiekowi są to dane wyjątkowo wrażliwe, zawierające wiele newralgicznych elementów, które mogą zostać wykorzystane w sposób nieautoryzowany do czynności godzących w bezpieczeństwo ich właściciela. W artykule o luce w internetowej platformie ZUS zostało opisane, że wystarczyło znać najbardziej podstawowe dane człowieka aby zobaczyć np. ile zarabia albo powiększyć o dane szczegółowe bazę danych o kimś. Gdy szczegółowe dane osobowe znajdą się w nieodpowiedniej dyspozycji mogą wyrządzić wiele szkód zarówno materialnych jak i moralnych. Liczna grupa cyberprzestępców bezustannie żeruje na danych osobowych swoich ofiar. Czerpią oni korzyści kosztem właścicieli danych, którzy „sami” im te dane powierzają. Wykorzystując do tego odpowiednią socjotechnikę „łowcy danych osobowych” zdobywają za pośrednictwem sieci nawet skany dowodów osobistych i prawa jazdy. Są przypadki wyłudzania szczegółowych planów dnia, informacji o rodzinie, miejscu zamieszkania. Wszystko to nie jest kradzione w sposób bezpośredni. Te dane przekazują dobrowolnie same ofiary. Ludzie, którzy nie są świadomi możliwości zagrożeń, jakie stwarzają powierzając komuś dane. Nie oddają oni danych instytucjom państwowym, które w jakiejś mierze zapewniają ich ochronę. Przekazują dane osobowe osobie pod drugiej stronie monitora, o której wiedza jest ograniczona. Najważniejsze zagrożenia przy kradzieży tożsamości: Aktywowanie na telefonach wysokopłatnych subskrypcji Zakładanie na dane różnych kont w serwisach i portalach społecznościowych Zakładanie kont w sklepach internetowych oraz portalach aukcyjnych Wyłudzanie na dane ofiary kredytów gotówkowych Zakładanie kont bankowych, które zostaną użyte do fraudów (A. Przybysz, 2015.) W jaki sposób odbywa się zuchwała kradzież tożsamości przez sieć? NUMER 1/2016 www.nocto.pl/category/czasopismo 47 Sposobów jest wiele, jednak w tym artykule autor skupi się na jednej z prostszych i ciekawszych technik, która jest szeroko stosowana z uwagi na skuteczność. Trzeba zaznaczyć, że technika ta jest skuteczna z dwóch powodów – psychologicznym – daje poczucie możliwości zyskania czegoś oraz pragmatycznym – brak wiedzy ofiary o zagrożeniach. Na potrzeby artykułu autor pozwoli sobie posłużyć się przykładem: Kowalski Jan szuka pracy. Jak to szukanie pracy w sieci, oferty jakieś są, ale najniższa krajowa nie jest celem Kowalskiego. Szuka czegoś ekstra. Codziennie wysyła wiele CV i listów motywacyjnych. Trafia w końcu na ogłoszenie, które oferuje duże zarobki, niewielką ilość pracy i naprawdę dogodne warunki. Wysyła CV i LM na adres mailowy podany w ogłoszeniu, lecz patrząc na liczbę odwiedzin ogłoszenia nie liczy na zbyt wiele. Jednak następnego dnia Kowalski otrzymuje odpowiedź od wymarzonego pracodawcy, że jest zainteresowany jego kandydaturą. Jednocześnie ogłoszeniodawca w wiadomości zwrotnej podkreśla, że proces rekrutacji składa się z kilku etapów, które każdy wytypowany musi przejść. Kowalskiemu w głowie rodzi się pomysł aby przejść wszystkie etapy rekrutacji bez względu na cokolwiek. Pierwszym etapem jest wypełnianie szczegółowego formularza, w którym pomiędzy nieistotnymi pytaniami ukryte są pytania wyłudzające dodatkowe dane osobowe. Kowalski wysyła starannie wypełniony formularz i oczywiście otrzymuje maila zwrotnego, że został zakwalifikowany do drugiego etapu rekrutacji, a jest nim rejestracja w wewnętrznym serwisie ogłoszeniodawcy, a w tym celu niezbędny jest skan dowodu osobistego. Jako, że Kowalski wiele razy dzielił się swoim skanem dowodu osobistego, to nie sprawia mu to kłopotu. Po kilku etapach rekrutacji, w którym każdy wyłudza jakieś dane osobowe Kowalski jest zaślepiony przedostaniem się tak wysoko, że wyśle do ogłoszeniodawcy już niemal wszystko. Kiedy cyberprzestępca po drugiej stronie monitora zdobędzie to, czego chciał urywa kontakt, a Kowalski może już zgłosić przestępstwo kradzieży tożsamości. Na pewno ktoś jego dane wykorzysta. Dane, które sam przekazał. Problem leży zarówno w naturze człowieka i jego ufności jak i szczególnie w braku wiedzy. Kowalski wie jak rozmnaża się pantofelek, wie „co autor wiersza miał na myśli”, zna przyczyny śmierci Lenina, lecz nie ma pojęcia o bezpieczeństwie danych osobowych, którymi posługuje się na co dzień. Coś tam gdzieś słyszał o braniu kredytów na czyjeś dane, lecz nigdy nie podejrzewał, że sprawa może dotknąć właśnie jego. Dlaczego tak się stało? Kowalskiemu nikt nigdy nie powiedział, nie nauczył go, gdyż program szkolny nie przewiduje nauki o bezpieczeństwie podstawowych danych osobowych. Zatrważające jest to, że bezpieczeństwo danych NUMER 1/2016 www.nocto.pl/category/czasopismo 48 osobowych mogłoby poprawić się w prosty sposób, lecz poprawiane nie jest, a dostęp do elementarnej wiedzy zdobywają pracownicy korporacji na kosztownych szkoleniach. Bibliografia: 1. Przybysz, 2015, Uwaga na ogłoszenia o pracę jako „tajemniczy klient”, <http://gazetapraca.pl/gazetapraca/1,90443,17268397,Uwaga_na_ogloszenia_o_p race_jako__tajemniczy_klient_.html>, dostępny 19.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 49 BEZPIECZEŃSTWO DANYCH OSOBOWYCH. KONSEKWENCJE KRADZIEŻY TOŻSAMOŚCI Autor: mgr Kamil Mazurczak Kradzieże tożsamości stają się coraz popularniejszym sposobem zarabiania cyberprzestępców łączących wirtualne umiejętności przestępcze ze światem realnym. Zarówno zgubienie dokumentów jak i udostępnienie danych osobowych nieodpowiednim czy też nieprawidłowe przechowywanie mogą tak samo być przyczyną wielu finansowych i moralnych przykrości, które cyberprzestępca może wyrządzić swojej ofierze. Ból może zostać przysporzony na kilka różnych sposobów. W tym artykule autor porusza najważniejsze z nich celach naukowych. Inteligentny człowiek uczy się na błędach innych ludzi, dlatego warto je przytoczyć i opisać. Wiedza ta może pomóc zapobiec wielu stresowym sytuacjom związanym bezpośrednio z bezpieczeństwem danych osobowych. Jedną z bardziej przykrych konsekwencji jest założenie działalności gospodarczej na dane ofiary. Celem nie jest oczywiście zarabianie pieniędzy w sposób uczciwy. Przestępcy celują w wyłudzanie zwrotu podatku VAT. Najczęściej odbywa się to przez tzw. karuzele podatkowe. Termin ten utworzył się sam i obrazuje sposób fraudu. Wystarczy, że przestępca założy dwie fikcyjne działalności gospodarcze na cudze dane i przez jakiś czas w sposób zasadniczo normalny je poprowadzi. Sztuczne zakupy, sprzedaże, może biuro rachunkowe? Wynajem lokalu, a można to zrobić poprzez Internet. Odprowadzenie podatku. Wszystko pozornie wygląda bardzo zwyczajnie. Nagle jedna z fikcyjnych firm sprzedaje drugiej usługę o dużej wartości. Zazwyczaj jest to usługa nie do udowodnienia, np. szkolenie, usługa informatyczna, itp. Zatem firma numer 1 wzbogaciła się na poczet firmy numer 2 o kwotę X, którą to firma numer 2 musiała zapłacić za usługę firmie numer 1. Teraz firma numer 2 może wystąpić do Urzędu Skarbowego o zwrot podatku VAT za poniesione koszty usługi od firmy numer 1. Pieniądze z US trafiają na konto firmy numer 2, zaś firma numer 1 przepada bez wieści. Organy ścigania w pierwszej kolejności udadzą się do ofiar kradzieży tożsamości. Urzędu Skarbowego do wyjaśnienia sprawy nie będzie obchodziło kto jest winny. Tak wygląda w skrócie założenie działalności gospodarczej na skradzione dane ofiary. Do bardziej zuchwałych przestępstw z wykorzystaniem tożsamości ofiary zalicza się kradzieże z wypożyczalni. Złodzieje z reguły nie celują w wypożyczalnie łyżworolek czy kajaków. Z reguły są to przedmioty, które w łatwy sposób mogą zostać spieniężone na czarnym rynku. Do takich rzeczy NUMER 1/2016 www.nocto.pl/category/czasopismo 50 należą przede wszystkim wszelkiego rodzaju wysokiej jakości sprzęty budowlane. Wypożyczyć je można w każdym większym i mniejszym mieście na dowód osobisty. Złodzieje sięgają również po samochody z wypożyczalni aut. Przestępca po podpisaniu umowy na dane ofiary, której tożsamość została skradziona już nigdy nie wraca samochodem do miejsca, skąd je wziął. Auto najczęściej jest rozbierane na części i sprzedawane daleko od miejscowości wypożyczalni, a często w innym kraju. Ofierze po takim zajściu zostają przykre konsekwencje. Udowodnienie, że „nie jest się wielbłądem” nie jest takie proste jak się pozornie wydaje. Zarzut zainicjowania fikcyjnej kradzieży tożsamości nie należy do najrzadziej stawianych przez organy ścigania. Skoro już mowa o samochodach warto skupić uwagę również na mandatach oraz punktach karnych. Przestępca, który drogą znalezienia bądź kradzieży wejdzie w posiadanie prawa jazdy ofiary często wykorzystuje je podczas kontroli drogowych. Wówczas niemal nie do udowodnienia jest, że mandat nie został wypisany słusznie. Jak często ludzie oglądają swoje prawo jazdy, dowód osobisty i inne dokumenty tożsamości? Zapewne większość nie pamięta jak wygląda ich zdjęcie sprzed kilku laty. Ten czas jest pożywką dla przestępcy. Kolejnym przestępstwem z użyciem cudzej tożsamości jest wynajem nieruchomości. W przypadku wynajęcia przez przestępcę pokoju hotelowego o wysokim standardzie zapewne dokonana zostanie kradzież fizyczna wartościowych przedmiotów. Policja może być pod drzwiami ofiary kradzieży tożsamości już następnego dnia o 6.00, zaś o 6.01 ofiara może leżeć w bieliźnie twarzą przy podłodze z wykręconymi rękami za plecami. Cyberprzestępcy są bardziej wyrafinowani. Wynajmując pokój hotelowy często dokonują z hotelowych łączy przestępstw internetowych. Wówczas organy ścigania zapukają do drzwi ofiary nieco później, jednak na pewno zapukają. Zdarza się również, że przestępca wynajmuje mieszkanie od osoby prywatnej na dane ofiary kradzieży tożsamości. W tym przypadku prywatny wynajmujący nie jest w stanie zweryfikować czy dowód osobisty został zarejestrowany jako skradziony. Hipotetycznie może to zrobić, jednak w praktyce mało kto jest taki podejrzliwy. Ciekawym z przestępczego punktu widzenia sposobem na wykorzystanie czyjejś tożsamości jest założenie abonamentu telekomunikacyjnego. Podpisanie umowy na drogi abonament „ze wszystkim w pakiecie”. Oczywiście również z flagowym smartfonem znanej marki. To przestępstwo wykrywane jest bardzo późno, ponieważ jeśli przestępca zmieni adres korespondencji do faktur za abonament, to długo nic nie przyjdzie do ofiary kradzieży tożsamości. Dopiero po kilku NUMER 1/2016 www.nocto.pl/category/czasopismo 51 miesiącach niepłacenia operator wyśle wezwanie do zapłacenia również na faktyczny adres z dowodu osobistego. Przestępcy oprócz oczywistych korzyści materialnych na tym czynie zyskują jeszcze względnie wysokiego szczebla anonimowość telekomunikacyjną. Chyba do najbardziej popularnych i znanych przestępstw z wykorzystaniem cudzej tożsamości zalicza się oczywiście wyłudzenie kredytu. Najczęściej są to tzw. „kredyty – chwilówki” czyli kolokwialnie mówiąc – lichwa. Pożyczki „od ręki” na dowód osobisty i nawet kilkutysięczny procent. Pożyczki te są udzielane niemal każdemu, gdyż firmy nie tracą na tym, że ktoś coś wyłudzi. Wszystko jest ubezpieczone, a ubezpieczenie, choć wysokie, jest tylko jednym z kosztów prowadzenia takiej działalności. Firmy windykacyjne pracujące na zlecenie działalności zajmującymi się udzielania kredytów - chwilówek szczycą się wysokim odsetkiem skuteczności. Nie dadzą łatwo za wygraną. Nie jeden cwaniak próbował tłumaczenia „to nie ja brałem ten kredyt, ktoś ukradł mi dowód”. W takim przypadku działanie jest schematyczne i nikogo nie faworyzuje. Oddać pieniądze musi ofiara. Oczywiście prawo do sądzenia jak najbardziej występuje, jednak udowodnienie faktu kradzieży tożsamości jest wyjątkowo trudnym wyzwaniem. Kradzieże tożsamości, to popularne przestępstwa. Występują niemal na całym świecie. Warto wiedzieć co może się stać w przypadku padnięcia ofiarą przestępcy, w którego ręce wpadną dane osobowe czy dokumenty tożsamości. Obrazowanie przestępstw ma na celu pokazanie czytelnikowi co może stracić. To o wiele mocniejsza motywacja niż potencjalny zysk. Warto jednak uprzedzić złodzieja i zastrzec dokument jednym kliknięciem. Łatwo, wygodnie, online. Wystarczy zarejestrować dokument tożsamości w internetowym serwisie BIK (Biuro Informacji Kredytowej), by w przypadku dostrzeżenia kradzieży zadziałać jak najszybciej, gdyż każda minuta ma znaczenie. W przypadku przekazywania danych osobowych należy zwracać szczególną ostrożność na to komu, co, gdzie i w jaki sposób przekazujemy. Nawet Policja, która często nadużywa swoich uprawnień w tej kwestii może być potencjalnym zagrożeniem, bowiem często zdarza się tak, że zostajemy zatrzymani do kontroli drogowej. Wyjmujemy dokumenty, przekazujemy je w ręce funkcjonariusza, a ten idzie z nimi do radiowozu. Nie ma pewności czy nie zostanie zrobione zdjęcie tych dokumentów. Prawo nakłada na kontrolowanego obowiązek okazania dokumentów, a nie przekazania. Warto uprzejmie poprosić o nie oddalanie się z dokumentami tożsamości. Może zdarzyć się tak, że funkcjonariusz zechce być złośliwy w takim przypadku, jednak jeśli dodać do tego zdanie, że padliśmy ofiarą kradzieży tożsamości, gdyż podczas kontroli nieuczciwy NUMER 1/2016 www.nocto.pl/category/czasopismo 52 strażnik miejski zrobił zdjęcie i sprzedał dane, to możemy spotkać się z wyrozumiałością kontrolującego policjanta. Bibliografia: Artykuł inspirowany ogólnopolską akcją edukacyjną zainicjowaną przez Biuro Informacji Kredytowej oraz Komendę Główną Policji, <nieskradzione.pl>, dostęp 16.09.2016. NUMER 1/2016 www.nocto.pl/category/czasopismo 53