numer 1/2016

Transkrypt

numer 1/2016

Siedlce 2016
NUMER
1/2016
CZASOPISMO POPULARNO-NAUKOWE
INVIGILIA, to czasopismo popularno-naukowe traktujące o
bezpieczeństwie IT, zagrożeniach bezpieczeństwa w sieci,
inwigilacji i kontrinwigilacji oraz nowościach technicznych w
polskich służbach mundurowych. INVIGILIA, to swoistego
rodzaju
przewodnik
bezpieczeństwa
zawierający
interdyscyplinarną wiedzę, która przedstawiona jest za
pomocą nietechnicznego języka, w sposób przystępny dla
każdego czytelnika.
Właścicielem czasopisma jest:
KM INVEST
NIP: 821-248-49-46
REGON: 361342353
REDAKTOR NACZELNY:
mgr Kamil Mazurczak
Czasopismo
popularno-naukowe
INVIGILIA
zostało
zarejestrowane dnia 19.04.2016r. przez Sąd Okręgowy w
Siedlcach I Wydział Cywilny pod numerem Sygn. akt: I Ns Rej
Pr 5/16 i jest dostępne w jawnym Sądowym Rejestrze
Dzienników i Czasopism.
Adres podczas rejestracji:
08-110 Siedlce, ul. Wojskowa 11
Adres do nadsyłania artykułów:
[email protected]
Adres publikacji:
www.nocto.pl/category/czasopismo
NUMER 1/2016
Spis treści
BEZPIECZEŃSTWO DANYCH A WIRUSY SZYFRUJĄCE ..................... 3
Autor: mgr Kamil Mazurczak
PRZECHOWYWANIE DANYCH W CHMURZE A BEZPIECZEŃSTWO 6
OBOWIĄZEK REJESTRACJI KART SIM A BEZPIECZEŃSTWO .......... 9
BEZPIECZEŃSTWO W SIECI – PRYWATNOŚĆ NA PORTALACH
SPOŁECZNOŚCIOWYCH ........................................................................ 12
BEZPIECZEŃSTWO W SIECI – RZĄD OCENZURUJE INTERNET .... 16
PORADNIK BEZPIECZEŃSTWA W SIECI - 10 PRZYKAZAŃ .............. 19
BEZPIECZEŃSTWO APLIKACJI – POKEMON GO SZPIEGIEM? ....... 22
BEZPIECZEŃSTWO W SIECI – PUBLIKOWANIE WIZERUNKU
DZIECKA W SIECI ................................................................................... 26
BEZPIECZEŃSTWO POŁĄCZEŃ VoIP. KOMISJA EUROPEJSKA
CHCE ABY VoIP DOTYCZYŁY TE SAME REGULACJE CO
OPERATORÓW TELEKOMUNIKACYJNYCH ....................................... 30
BEZPIECZEŃSTWO HASŁA ................................................................... 33
BEZPIECZEŃSTWO PERSONALNE – BLACKMAILING CZYLI ESZANTAŻ................................................................................................... 36
BEZPIECZEŃSTWO W E-ADMINISTRACJI NA PRZYKŁADZIE ZUS 40
NUMER 1/2016
1
BEZPIECZEŃSTWO TRANSAKCJI KARTAMI PŁATNICZYMI W
ŚWIECIE FIZYCZNYM ............................................................................ 43
BEZPIECZEŃSTWO DANYCH OSOBOWYCH A SPRYTNY POMYSŁ
NA KRADZIEŻ TOŻSAMOŚCI ................................................................. 47
BEZPIECZEŃSTWO DANYCH OSOBOWYCH. KONSEKWENCJE
KRADZIEŻY TOŻSAMOŚCI ..................................................................... 50
NUMER 1/2016
2
BEZPIECZEŃSTWO DANYCH A WIRUSY
SZYFRUJĄCE
/blog.rootshell.be
Przechowując istotne dane bez zapasowej kopii bezpieczeństwa
można w sposób bezpośredni narazić się na ich bezpowrotną utratę.
Ransomware, bo tak nazywa się złośliwe oprogramowanie szyfrujące dyski
twarde i wymuszające na ofierze okup w zamian za odblokowanie
możliwości do ich dostępu jest jednym z najczęściej używanych programów
przez hakerów na świecie. Za zwiększającą się liczbą cyberprzestępstw
związanych z wykorzystaniem ransomware przemawia przede wszystkim
skuteczność oraz brak dodatkowej obsługi, gdyż zainfekowane urządzenie
będzie zaszyfrowane dopóki, dopóty nie zostanie wpłacona „kaucja” na
konto cyberprzestępcy. Wówczas to zautomatyzowany program sam, bez
potrzeby ingerencji hakera odblokuje urządzenie.
Ransomware rozsyłane masowo najczęściej nie zawiera większych
opłat niż 500$, ponieważ cyberprzestępca zdaje sobie sprawę, że jest to
kwota, którą za ważne dane na swoim urządzeniu pokryje niemal każdy
użytkownik, który ponad format ceni sobie zawartość. Jednak w przypadku
ataków personalnych, które są skierowane w konkretną osobę, grupę, firmę
czy organizację te kwoty mogą być zdecydowanie wyższe, adekwatnie do
możliwości finansowych danej ofiary. Ofiara musi zapłacić, nie ma bowiem
innego wyjścia, gdyż dyski twarde zaszyfrowane są z reguły asymetrycznie
NUMER 1/2016
3
potężnymi algorytmami szyfrującymi, których nawet obecnie najlepsze
komputery na świecie łamałyby dziesiątki tysięcy lat.
Odkąd społeczeństwo zaczęło używać w codziennym życiu
smartfonów oraz przechowywać w nich najróżniejsze dane coraz częściej
dochodzi do ataków właśnie na urządzenia mobilne, gdyż właśnie tam
najwięcej osób ma najważniejsze dane, a za tym idzie większa motywacja
do ich odzyskania, czyli dla cyberprzestępcy będzie to potencjalnie większy
zysk. Do infekcji smartfonów oprogramowaniem ransomware najczęściej
dochodzi poprzez korzystanie z nieautoryzowanych sklepów z aplikacjami.
Jedną z przyczyn łatwej infekcji może być również niezaktualizowane
oprogramowanie
na
urządzeniu
mobilnym.
Im nowsze
jest
oprogramowanie, tym mniejsza szansa na infekcję, gdyż cyberprzestępcy
bazują głównie na błędach programowych.
Komunikat, który ustawił cyberprzestępca na jednym z zainfekowanych
komputerów pracownika BBC NEWS
bbc.com
Jak się bronić – porady:

Zapasowa kopia bezpieczeństwa
Do tej pory najlepszym rozwiązaniem pozostawało (i w opinii autora
wciąż pozostaje) regularne robienie zapasowej kopii bezpieczeństwa.
Można ją umieścić w chmurze, na zewnętrznym dysku twardym, na
komputerze bez dostępu do sieci. W przypadku umieszczania
newralgicznych danych w chmurze należy wcześniej dla własnego
NUMER 1/2016
4
dobra zaszyfrować pliki. W przypadku infekcji złośliwym
oprogramowaniem typu ransomware po prostu należy dokonać
formatu dysku twardego, po czym wczytać zapasową kopię
bezpieczeństwa i już można zapomnieć o problemie.

Stosowanie podstawowych zasad bezpieczeństwa w poruszaniu się w
sieci
W przypadku tego konkretnego zagrożenia wystarczy nie pobierać
plików z nieznanych i nieszanowanych źródeł. Nie otwierać
podejrzanych linków ani nie wchodzić na strony, które nie cieszą się
dobrą reputacją. Zdrowa logika będzie tu najlepszym rozwiązaniem.

Specjalistyczne oprogramowanie
Od jakiegoś czasu firma Trend Micro wprowadziła na rynek moduł,
który dzięki analizie behawioralnej i wielopoziomowej ochronie jest
w stanie odszukać i zneutralizować w czasie rzeczywistym procesy
modyfikujące pliki. Oprogramowanie nie jest tanie, lecz bardzo
skuteczne.
Bibliografia:
1. Cyberdefence24, 2016, Ransomware wycelowany w użytkowników Android,
<http://www.cyberdefence24.pl/430993,ransomware-wycelowany-wuzytkownikow-android>, dostępny 6.09.2016.
NUMER 1/2016
5
PRZECHOWYWANIE DANYCH W CHMURZE A
BEZPIECZEŃSTWO
www.itechinfo.pl
Szybki i wszędzie obecny dostęp do sieci powoduje w śród
społeczeństwa zwiększenie zaufania do tego rozwiązania. Jeszcze kilka
lat temu najważniejsze dane przechowywało się na dyskach zewnętrznych
ukrytych gdzieś w zaciszu domostwa. Dzisiaj wiele osób od tego odchodzi
na rzecz prostego, taniego i wygodnego rozwiązania jakim jest
przechowywanie danych w chmurze. Prostego, bo platformy są niezwykle
intuicyjne w obsłudze, taniego, gdyż jest wiele całkowicie darmowych i
cieszących się dobrą sławą chmur, wygodnego, bo dostęp bywa zazwyczaj
nieograniczony z każdego miejsca na Ziemi, które ma dostęp do Internetu.
Czy jednak jest to rozwiązanie całkowicie bezpieczne?
W 2012 roku doszło do bardzo dużego w skali wycieku haseł z
czołowej platformy udostępniającej usługę przechowywania danych w
chmurze – Dropbox. Platforma dopiero po 4 latach od zajścia przyznała
się do tego wycieku, pomimo nieoficjalnych pogłosek, które krążyły w sieci
tuż po zajściu. Wówczas firma zbagatelizowała problem. Dziś przyznaje
się do winy. (Niebezpiecznik.pl, 2016.) Można by powiedzieć, że lepiej
późno niż wcale, jednak straty jakie przez 4 lata wyrządzili
cyberprzestępcy mający nieograniczony dostęp do kont Dropbox są dzisiaj
nie do oszacowania.
Platforma również teraz w pokrętny sposób informuje
użytkowników, że w 2012r. coś poszło nie po ich myśli. Oto treść maila z
ostrzeżeniem, jakie dostają:
NUMER 1/2016
6
Witaj, XXXX
chcemy Cię poinformować, że nie aktualizowałeś(aś)
swojego hasła Dropbox od połowy 2012 r.;
poprosimy Cię o zaktualizowanie go przy następnym
logowaniu.
Jest
to
działanie
wyłącznie
zapobiegawcze, bardzo przepraszamy za ewentualne
niedogodności.
Aby dowiedzieć się więcej na temat tego, dlaczego
wprowadzamy takie środki ostrożności, odwiedź tę
stronę w naszym centrum pomocy. Jeśli masz jakieś
pytania, skontaktuj się z nami pod adresem [email protected].
Dziękujemy
Zespół Dropbox
Polscy użytkownicy bardzo często korzystają z rodzimego
rozwiązania jakim jest chomikuj.pl. Platforma udostępnia darmową
rejestrację oraz darmową i nieograniczoną przestrzeń wirtualnej pamięci.
W każdej chwili użytkownik może sięgnąć do wysłanych przez siebie
danych. Za drobną opłatą może również sięgać po nieukryte dane innych
użytkowników. Dane ukryte nie są dostępne w wyszukiwarce. Serwis
działa już od kilku lat i zdążył stać się solidną marką. To dobre i proste
rozwiązanie pod warunkiem, że użytkownik zachowa podstawowe zasady
bezpieczeństwa w przechowywaniu zwłaszcza wrażliwych danych w
chmurze. W przypadku gdy cyberprzestępca przejął by konto jakiego
użytkownika, co nie jest rzadkim przypadkiem – mógłby bez problemu
pobrać również pliki z ukrytych w platformie folderów, do których nie ma
dostępu każdy użytkownik.
Jak się zabezpieczyć?
Jedynym bezpiecznym sposobem przechowywania newralgicznych
danych na platformach udostępniających przestrzeń dyskową w chmurze
NUMER 1/2016
7
jest ich szyfrowanie przed przesłaniem. Do szyfrowania na użytek własny
można również skorzystać z darmowych programów kryptograficznych.
Wiele z nich korzysta z bardzo potężnych algorytmów szyfrujących np.
AES – 256, który nawet w najlepszych warunkach jest nie do
rozszyfrowania. Należy przy tym pamiętać, że najsłabszym ogniwem jest
użytkownik, a w zasadzie jego hasło. Zaszyfrowany plik będzie tak
bezpieczny jak mocne będzie hasło do jego deszyfracji. Jeśli nie
dysponujemy wzorową pamięcią z pomocą przychodzą również programy
przechowujące hasła, które tak samo korzystają z potężnych algorytmów
szyfrujących. W takim wypadku użytkownik jest zmuszony do
zapamiętania jednego mocnego hasła, które daje dostęp do programu
przechowującego pozostałe hasła. To zdecydowanie mniej, niż pamiętanie
wszystkich, a jak wynika z podstawowych zasad bezpieczeństwa w sieci –
hasła muszą być różne. Przy wyborze wszelkich programów szyfrujących
należy najpierw zbadać ich źródła. Autor poleca programy o otwartym
kodzie, wówczas jest pewność, że oprogramowanie nie zawiera tylnych
furtek.
Tak zaszyfrowane pliki można umieszczać nawet w najbardziej
dostępowych chmurach. W przypadku przejęcia konta przez
cyberprzestępcę użytkownik wciąż pozostanie bezpieczny, a na straży
bezpieczeństwa stać będzie szyfr nie do złamania. Haker wówczas nawet
nie będzie próbował łamać hasła, to dla niego strata czasu, bowiem
przejmie sobie następne konto, u którego pliki zaszyfrowane nie będą.
Bibliografia:
1. Niebezpiecznik.pl, 2016, Dropbox po 4 latach przyznaje się, że doszło do kradzieży
haseł, <https://niebezpiecznik.pl/post/dropbox-po-4-latach-przyznaje-ze-doszlo-dokradziezy-hasel/>, dostęp 2.09.2016.
NUMER 1/2016
8
OBOWIĄZEK REJESTRACJI KART SIM A
BEZPIECZEŃSTWO
Człowiek bez strategii, który lekceważy sobie przeciwnika, nieuchronnie
skończy jako jeniec.
Sun Tsu
Od 24 lipca 2016r. każdy kto kupi przedpłaconą kartę SIM (taką ze
sklepu tudzież salonu operatora sieci, która dotychczas od razu po włożeniu
do urządzenia działała) musi ją zarejestrować. Ma to związek z nową
ustawą antyterrorystyczną, która nakazuje rejestrację każdej karty SIM.
(R. Otoka-Frąckiewicz, 2016.) Minister Błaszczak uważa, że zapobiegnie to
fali terroryzmu, a przynajmniej utrudni im komunikację i zabierze
anonimowość. Jednak uzyskanie anonimowości jest o wiele bardziej
złożonym procesem z szerokim wachlarzem możliwości. Rynek nie lubi
próżni, zatem już kilka dni po wejściu w życie wyżej wymienionej ustawy
można za 25zł kupić sobie przez Internet zarejestrowane na kogoś innego
(z reguły na tzw. słupa) przedpłacone, anonimowe dla nabywcy karty SIM.
Wysyłka odbywa się na paczkomaty, zatem sprzedawcy doskonale wiedzą
do kogo kierują swoją ofertę.
Czy sprzedawanie zarejestrowanych kart SIM jest nielegalne?
(Jeszcze) nie, bowiem żaden przepis nie ogranicza możliwości handlu
zarejestrowaną u operatora kartą. W zasadzie jest to czysty zysk, gdyż
kartę kupuje się za 5zł, czasem rozdają je za darmo, rejestracja jest
bezpłatna, a sprzedaż jest już tylko zyskiem.
Załóżmy na potrzeby artykułu, że Kowalski kupuje kartę SIM,
rejestruje ją i sprzedaje za pośrednictwem Internetu nie wiadomo komu.
Nabywca popełnia przestępstwo za pomocą owej karty. Służby już zacierają
ręce, gdyż statystyka się podniesie po złapaniu przestępcy, ale Kowalski
podczas przesłuchania zeznaje, że sprzedał kartę SIM, bo tak mógł zrobić.
W telefonie Kowalskiego nigdy nie była, zatem nie można postawić mu
zarzutów.
Kowalski jest niewinny.
Załóżmy teraz, że Kowalski po rejestracji karty SIM osobiście
popełnia przestępstwo z jej użyciem, pomaga mu w tym kupiony w
NUMER 1/2016
9
lombardzie za 60zł aparat telefoniczny. Po wszystkim Kowalski niszczy
telefon wraz z kartą. Służby o 6:00 budzą Kowalskiego, który na
przesłuchani zeznaje, że sprzedał zakupioną kartę SIM, bo tak mógł zrobić.
W telefonie Kowalskiego nigdy nie była, zatem nie można postawić mu
zarzutów.
Kowalski jest niewinny.
Twórcy nowej ustawy terrorystycznej w opinii autora tworzyli ją w
takim pośpiechu, że zabrakło czasu na chłodną analizę. Co tak naprawdę
wprowadza obowiązek rejestracji kart SIM? Czy zwiększa bezpieczeństwo?
Czy może daje możliwość przestępcom do uniknięcia kary? To są pytania,
które powinny pojawić się podczas tworzenia ustawy. Najwyraźniej
Minister Błaszczak nie zważał na takie konsekwencje chcąc wyeliminować
anonimowość poprzez nakaz rejestracji kart SIM. Terroryści i
cyberprzestępcy używają do komunikacji innych sposobów – szyfrowanych
połączeń VoIP, szyfrowanych komunikatorów, ostatecznie nawet konsol do
gier z możliwością czatu. Zabranie możliwości posługiwania się
nierejestrowanymi kartami SIM, to w opinii autora tak naprawdę
utrudnienie dla szarego obywatela. Przestępcy są sprytniejsi, a nowa
ustawa, to brak, chociażby docenienia wroga. Teraz twórcy wystawiają się
na pośmiewisko wskazując luki. MSWiA chce wsadzać za kratki
sprzedających karty SIM przestępcom. (M. Tomaszkiewicz, 2016.) Ale czy
to jest możliwe? Czy to tylko płacz i lament po czystej głupocie
spowodowanej brakiem analizy przed wprowadzeniem ustawy? Karanie
sprzedawców nie jest możliwe, gdyż prokurator musiał by udowodnić, że
osoba sprzedająca wiedziała o złych zamiarach kupującego, byłoby to
wówczas pomocnictwo w popełnieniu przestępstwa. Jednak udowodnienie
winy jest niemal niemożliwe. Skąd sprzedający miałby znać zamiary
kupującego? To jak karanie za sprzedaż noża, którym można zarówno
poderżnąć gardło jak i obierać ziemniaki na niedzielny obiad.
Podsumowując, ustawowy obowiązek rejestracji kart SIM nie ma
żadnego związku z bezpieczeństwem, jednak pod jego salwą został
wprowadzony tym samym utrudniając życie zwykłemu obywatelowi. W
opinii autora jest to kolejny krok do zwiększenia poziomu inwigilacji wśród
ludzi, gdyż ani terroryści ani cyberprzestępcy nie przejęli się tym faktem.
Nie obniży się w ten sposób odsetek popełnianych przestępstw z użyciem
kart SIM. Ci, którzy będą chcieli zachować anonimowość i tak ją zachowają
bez względu na wprowadzane przepisy. Wydaje się nawet, że nowa ustawa
antyterrorystyczna
nie
została
wprowadzona
aby
zwiększać
bezpieczeństwo, lecz w głównej mierze po to, aby można było robić legalnie
to, co wcześniej robiono za plecami .
NUMER 1/2016
10
Bibliografia:
1. R. Otoka-Frąckiewicz, 2016, Karta SIM a ustawa antyterrorystyczna. Ministrze
Błaszczak, mamy spory problem…, <http://wpolityce.pl/polityka/305602-kartasim-a-ustawa-antyterrorystyczna-ministrze-blaszczak-mamy-spory-problem>,
dostępny 5.09.2016.
2. M. Tomaszkiewicz, 2016, MSWiA straszy handlujących kartami SIM,
<http://www.antyradio.pl/Technologia/Mobile/MSWiA-straszy-handlujacychkartami-SIM-10491>, dostępny 5.09.2016.
NUMER 1/2016
11
BEZPIECZEŃSTWO W SIECI – PRYWATNOŚĆ NA
PORTALACH SPOŁECZNOŚCIOWYCH
Kiedy świat wkracza w dobę zastępowania klasycznych relacji
interpersonalnych tymi cyfrowymi, bo tak jest prościej, szybciej i
wygodniej, to nietrudno o stwierdzenie „nie masz Facebooka, to nie
istniejesz”. Z jednej strony jest to smutne, lecz z innej nieuniknione. Postęp
geometryczny zapewnia szybsze niż niegdyś przejścia z pewnych okresów
do innych, nowych. Jeszcze 500 lat temu mentalność, dziadka, ojca i syna
była niemal taka sama, gdyż świat tak szybko się nie zmieniał. Dzisiaj
ojcowie nie rozumieją swoich synów, gdyż żyją, żyli w zupełnie innym
świecie. Pokolenia są od siebie na tyle mentalnie różni, że bez zupełnie
otwartego na rzeczywistość umysłu zrozumienie jest niemal niemożliwe.
Wspaniałą zdobyczą techniki dla osoby urodzonej na początku XXw. był
samochód. Dzisiaj obsługujemy lodówki za pomocą smartfonów. To
przeskok zmieniający rzeczywistość. To właśnie postęp geometryczny.
Ciężko dziś nie posiadać portalu społecznościowego, lecz jak z każdą
nową technologią, tak i z tym wiąże się pewne ryzyko, niebezpieczeństwo.
Ktoś w tym momencie może powiedzieć „jaka tam nowa technologia”, lecz
biorąc pod uwagę np. ilość lat, w których człowiek posługuje się
samochodem, a ilość lat, w których człowiek posługuje się portalami
społecznościowymi, to zestawienie wygląda dość interesująco.
Zagrożenia związane z portalami społecznościowymi, to przede
wszystkim zagrożenia prywatności oraz możliwości wykorzystania danych
osobowych jakie użytkownicy dostarczają cyberprzestępcom nie wiedząc o
tym. Najprostszym rozwiązaniem problemu jest nie posiadanie konta na
żadnym z portali społecznościowych, lecz nie jest to takie proste, jak się
wydaje. Chęć zaspokojenia jednej z podstawowych potrzeb piramidy
Maslowa jest większa niż potrzeba bezpieczeństwa, o którym w kontekście
portali społecznościowych większość użytkowników nawet nie myśli.
Można się przed tym jednak nieco uchronić i podnieść poziom
bezpieczeństwa posiadając konta na różnych „społecznościówkach”. Do tego
potrzebne są zasady, których należy przestrzegać. Niebezpieczeństw
zarówno w życiu realnym jak i w cyberświecie nie można całkowicie
wyeliminować, natomiast można je znacząco ograniczyć dzięki prewencji.
NUMER 1/2016
12
Zasada nr 1.
Udostępnianie zdjęć. Nie warto zamieszczać zdjęć kompromitujących, które
przedstawiają użytkownika w jednoznacznym świetle, np. w stanie
nietrzeźwości. Nigdy nie wiadomo czy kilka lat później ktoś tego przeciwko
użytkownikowi nie wykorzysta. Nie warto zamieszczać także fotografii
własnego dziecka, często w negliżu. Należy też uchronić się przed
robieniem zdjęć w domu, mieszkaniu na tle wejść (zarówno drzwi, jak i
okien). Po pierwsze potencjalny przestępca od razu widzi czy warto do
danego domostwa wchodzić i po co, a po drugie przestępca dzięki
fotografiom oceni stan zabezpieczeń wejściowych np. dostrzeże nazwę
firmy produkującej zamek do drzwi i nauczy się go otwierać. Kolejną
sprawą związaną ze zdjęciami jest możliwość udostępniania zdjęć
użytkownika na jego osi czasu przez znajomych lub oznaczanie. Te dwie
opcje należy włączyć „za zgodą”. Wówczas wszystkie zdjęcia mogą zostać
przez użytkownika zweryfikowane przed ich zamieszczeniem. Wyeliminuje
to problem dowcipnych znajomych, którzy będą chcieli dodać zdjęcia
nieodpowiednie nie biorąc pod uwagę możliwości krzywdy, jaka może
zostać wyrządzona poprzez taką czynność.
Zasada nr 2.
Warto
wyłączyć
opcję
wyszukiwania
prywatnego
profilu
w
wyszukiwarkach. Na Facebooku można to zrobić za pośrednictwem
zakładki prywatność.
Zasada nr 3.
Podział znajomych na listy. Często się zdarza, że użytkownicy mają tyle
znajomych na portalu społecznościowym, że większości właściwie dobrze
nie znają lub nawet czasem się do nich nie odzywają, ale są, bo są. Autor
uważa, że takich znajomych należy usunąć z grona indeksowanego, jednak
jeśli użytkownik nie chce tego robić należy wprowadzić podział znajomych
na listy, bliższych, dalszych, rodziny, itd. Stwarza to pewne zagrożenie w
przypadku przejęcia konta przez hakera, jednak w przypadkach
codziennych świetnie się sprawdzi, gdyż wówczas użytkownik publikując
coś na swojej osi czasu może zaznaczyć dla jakiego grona znajomych może
być to widoczne. (A. Świostek, 2016.) Warto również ukrywać listy
znajomych przed widokiem publicznym. Najlepszą opcją jest zaznaczenie
kompletnego ukrycia, czyli widoczność tylko dla posiadacza konta –
użytkownika.
Zasada nr 4.
NUMER 1/2016
13
Ograniczenie uprawnień dla aplikacji. Aby nie otrzymywać natarczywych
upomnień czy zaproszeń do gier i innych aplikacji należy je bezwzględnie
zablokować. Można to zrobić łatwym sposobem. Warto pamiętać, że wiele z
nich może być potencjalnie niebezpiecznych i działając w tle wykradać dane
użytkownika.
Zasada nr 5.
Bezpieczeństwo informacji kontaktowych. Zdaniem autora rubryki
kontaktowe oprócz emaila, (który nie powinien być głównym adresem
mailowym użytkownika, a stworzonym na potrzeby portalu
społecznościowego mailem) należy wypełnić spamem, czyli informacjami
zmyślonymi. Mogą sobie wówczas widnieć bez obaw o próby skorzystania z
nich przez osoby nieuprawnione. W przypadku chęci podania prawdziwych
danych kontaktowych należy je ukryć.
Zasada nr 6.
Zabezpieczenia przed nieautoryzowanym logowaniem. Przede wszystkim
nie należy logować się na swoje konto prywatne korzystając z publicznego
Wi-Fi lub cudzych urządzeń. To może stworzyć ryzyko przejęcia konta.
Należy także pomyśleć nad wieloskładnikowym uwierzytelnianiem, czyli
oprócz loginu i hasła np. kod, który zostanie wysłany SMS-em.
Zasada nr 7.
Oprogramowanie eliminujące śledzenie w sieci. Na pewno każdemu
użytkownikowi zdarzyło się, że wyskakujące reklamy na różnego rodzaju
stronach były związane z tym, co nie dawno przeglądał albo na niemal
każdej stronie mógł coś skomentować bez rejestracji, bo od razu widniało
jego konto Facebook. To wina tzw. „trackerów”, czyli aplikacji
szpiegujących i śledzących. Ingerują one w prywatność, podążają za
użytkownikiem aby dostosować reklamy i zbierać informacje. Można tego
uniknąć instalując prosty dodatek do przeglądarki – program, który
odetnie śledzenie. Jest nim np. Ghostery. Warto się w taki lub podobny
zaopatrzyć. W połączeniu z dodatkiem blokującym wyskakujące wszędzie
reklamy użytkownik jest wyposażony w całkiem niezły pakiet
prywatnościowy.
Podsumowując, można korzystać z portali społecznościowych w
sposób bardziej prywatny niż większość ich użytkowników. Zapewniając
sobie bezpieczeństwo na tym poziomie użytkownik może uniknąć
naprawdę wielu problemów związanych z cyberprzestępczością. Do
podanych wyżej zasad dołączyć należy jeszcze przede wszystkim zdrową
logikę.
NUMER 1/2016
14
Bibliografia:
1.
Świostek,
2016, Prywatność na Facebooku. 15 najlepszych porad,
<http://www.komputerswiat.pl/artykuly/redakcyjne/2015/12/prywatnosc-nafacebooku-15-najlepszych-porad,7.aspx>, dostępny 6.09.2016.
NUMER 1/2016
15
BEZPIECZEŃSTWO W SIECI – RZĄD
OCENZURUJE INTERNET
Antyweb.pl
Dotychczas w Polsce było wiele inicjatyw, które miały na celu
ocenzurować Internet, a najsłynniejszą była ACTA. Wszystkie upadały pod
ciężarem społecznych sprzeciwów. Tym razem jednak jedna przeszła
niepostrzeżenie. Ustawa hazardowa, to obok ustawy antyterrorystycznej
jedyna regulacja z możliwością blokowania zasobów w sieci. Tym razem
wejdzie w życie i raczej nic tego nie zmieni. Ustawa ma na celu eliminację
dostępu obywateli do nielegalnych portali bukmacherskich, czyli takich,
które nie posiadają odpowiedniego zezwolenia, a w rzeczywistości nie
odprowadzają podatku. W praktyce jednak regulacja umożliwia
blokowanie dostępu do zasobów każdej strony, która zostanie uznana za
zagrożenie. Trzeba powiedzieć jasno, to jest cenzura.
Metodyka blokowania dostępu do stron internetowych oraz wady i
zalety:



blokowanie na poziomie DNS – strona wpisana w przeglądarkę po
prostu się nie wyświetla
 zalety – stosunkowo tanie i bardzo proste do wykonania
 wady – niezwykle proste do ominięcia
blokowanie na poziomie IP – ruch do wskazanego adresu IP jest
wyłączany
 zalety – stosunkowo proste i tanie
 wady – duża skala blokad nadmiernych i niepożądanych
blokowanie na poziomie URL – zablokowane zostają wskazane pełne
adresy stron internetowych
 zalety – duża precyzja
NUMER 1/2016
16


wady – pracochłonne, niełatwe do zapewnienia kompletności,
drogie w wykonaniu, posiadające problemy z szyfrowaniem
blokowanie na poziomie słów kluczowych – np. blokada stron
zawierających frazę: „gry karciane” lub „bukmacherskie”
 zalety – dokładność i skuteczność
 wady – ogromne koszty wprowadzenia i realizacji, dużo
blokad nadmiernych (Zaufana Trzecia Strona, 2016.)
Jak można się domyślać rząd wybrał metodę pierwszą. Prawdopodobnie
dlatego, że jest tania i prosta w wykonaniu. Na szczęście dla internautów
ceniących sobie zarówno prywatność jak i wolne media jest bardzo wiele
prostych sposobów do ominięcia cenzury. Gdy zostaną (a zostaną)
rozpowszechnione niemal każdy będzie w stanie wyłączyć sobie cenzurę,
zatem rząd znowu będzie musiał zmienia ustawę, chyba, że zadowoli się
faktem
blokowania
dostępu
„do
niepożądanych
treści”
dla
kilkuprocentowej grupy użytkowników w skali ogólnokrajowej.
Praktyka blokowania treści przez rząd:
Rząd nową ustawą zmusza dostawców Internetu, aby ci tak skonfigurowali
swoje
serwery
DNS,
że
gdy
użytkownik
wejdzie
na
www.niepozadanaprzezrzadzlastrona.pl ta mu się nie wyświetli i
przekieruje go na stronę Ministerstwa Finansów w celu uświadomienia
jaką krzywdę wyrządza państwu.
wiadomosci.monasterujkowice.pl
Portal poświęcony bezpieczeństwu IT – Zaufana Trzecia Strona
zwraca uwagę na niebezpieczeństwa związane z przekierowywaniem
użytkowników pod jeden wskazany adres. Osoba zarządzająca danym
NUMER 1/2016
17
serwerem będzie w stanie między innymi: wykraść ciasteczka użytkownika
aby zalogować się w realnym serwisie, ustawić stronę phishingową i kraść
dane dostępowe do kont, przeprowadzić dowolne ataki na przeglądarki,
którymi posługują się użytkownicy i wiele innych. To ogromna pokusa.
Trzeba mieć nadzieję, że osoby odpowiedzialne za zarządzanie tym
serwerem będą na tyle kompetentne, że zapewnią ochronę wchodzącym,
jednak należy także pamiętać, że niewiele jest miejsc, do których nie da się
wejść, zatem wszystko się może zdarzyć, a dostarczanie takiej możliwości
jest skrajnie nieodpowiedzialne.
Możliwości ominięcia ograniczeń:





użycie VPN z serwerami poza Polską
użycie TOR
użyć aplikacji innej niż przeglądarka, a który będzie miał zapisane
na stałe adresy, z którymi ma się łączyć
użyć serwera proxy spoza Polski
zmienić adresy DNS w routerze lub systemie operacyjnym
Metod jest wiele, niektóre bardzo proste. Wymagające jedynie instalacji
odpowiedniego oprogramowania. Użytkownik zatem nie będzie musiał się
znać, aby ominąć cenzurę serwowaną przez rządzących. Optymalną opcją
jest wybór tunelowania VPN. Serwer można kupić już za mniej niż 5zł
miesięcznie. Można też go zrobić samemu, lecz do tego potrzeba nieco
wiedzy i umiejętności, jednak należy zaznaczyć, że się da. Najtańszą opcją
jest wybór sieci poza Internetem, czyli sieci TOR. Jednak ma on pewne
ograniczenia prędkościowe, zatem dla wygodnych opcja może być zbyt
powolna, natomiast na pewno jest skuteczna.
Podsumowując. Rząd wprowadził ustawę po najniższych kosztach,
jednak w skali kraju koszty i tak będą bardzo duże, tylko co to da? Intertet,
to piąta władza w państwie. Władza, której żadna próba cenzury nigdy do
końca nie wyeliminuje. Dróg do obejścia, jak widać jest wiele, a blokowanie,
to nie szyfrowanie. Jeśli coś jest porządnie zaszyfrowane, to odszyfrować
się nie da, ale jeśli chodzi o blokady, to większość zdecydowanie jest do
obejścia.
Bibliografia:
1. Zaufana Trzecia Strona, 2016, Wiemy jak rząd ocenzuruje Internet i jak się przed
tym bronić, <https://zaufanatrzeciastrona.pl/post/wiemy-jak-rzad-ocenzurujeinternet-i-wiemy-jak-sie-przed-tym-bronic/>, dostępny 6.09.2016.
NUMER 1/2016
18
PORADNIK BEZPIECZEŃSTWA W SIECI - 10
PRZYKAZAŃ
Niniejszy artykuł, to zbiór dziesięciu zasad, które są dedykowane dla
każdego użytkownika komputera podłączonego do sieci. Zastosowanie się
do tego zestawienia podniesie poziom ogólnego bezpieczeństwa każdego z
urządzeń użytkownika, eliminując możliwości podstawowych zagrożeń,
które właśnie najczęściej dotykają zwykłych użytkowników.
1. ZASZYFRUJ CAŁY DYSK TWARDY
Ta czynność uchroni użytkownika przed nieuprawnionym dostępem do
danych znajdujących się w urządzeniu. Nigdy nie ma pewności co dzieje się
z urządzeniem pozostawionym bez opieki. Taki zabieg wyeliminuje jedno z
najpoważniejszych zagrożeń bezpieczeństwa.
Można to zrobić na wiele sposobów używając wielu dostępnych na rynku
programów szyfrujących asymetrycznie. W zależności od systemu będą się
one różnić interfejsem i nazwą, natomiast w działaniu są zazwyczaj
podobne. Występują solidne wersje darmowe, jak i ich płatne odpowiedniki.
Warto wcześniej zasięgnąć informacji czy dane oprogramowanie nie
posiada np. tylnych furtek. Wszystko można znaleźć w sieci. Warto również
wykonywać regularną kopię zapasową na wypadek uszkodzenia się choćby
jednego bita programu. Drobny błąd może uniemożliwić dostęp również
użytkownikowi. Jednak wykonywanie tzw. backupu jest elementarną
czynnością w bezpieczeństwie IT.
2. WYBIERAJ SILNE I UNIKATOWE HASŁA WSZĘDZIE TAM,
GDZIE POSIADASZ KONTO. W WAŻNIEJSZYCH SERWISACH
ZAWSZE
STOSUJ
WIELOSKŁADNIKOWE
UWIERZYTELNIANIE
Użytkownik podczas wirtualnego życia rejestruje się na setkach różnych
forów i serwisów, które są zarządzane przez mniej lub bardziej
kompetentne osoby. Czasem dana strona podupada i odchodzi w
zapomnienie, pomimo, że znajduje się wciąż w sieci. Właściciel ją porzuca
lub aktualizuje bardzo rzadko, przez co staje się ona podatna na różnego
rodzaju ataki, w związku z nieaktualnym oprogramowaniem. W przypadku
użytkowników używających takich samych haseł do każdego z serwisów (a
jest ich zdecydowana większość i tyczy się to również osób używających
prostych systemów haseł, które programy do łamania haseł łamią w mniej
NUMER 1/2016
19
niż sekundę) cyberprzestępca uzyskując dostęp do konta na forum o
szydełkowaniu uzyskuje dostęp do np. portalu społecznościowego albo
banku ofiary. Pomimo lepszych zabezpieczeń na innych stronach ten prosty
błąd może wiele kosztować. Dlatego hasła wszędzie muszą być inne.
Większość osób nie jest w stanie ich spamiętać, dlatego należy
przechowywać je w specjalnych programach do tego służących. Wówczas
trzeba pamiętać tylko jedno hasło – główne.
Warto również w serwisach, które przechowują dane stosować
wieloskładnikowe uwierzytelnianie, czyli np. login + hasło + kod SMS.
3. MIEJ ZAWSZE AKTUALNE OPROGRAMOWANIE
Zwłaszcza te, które dosięga sieci. Ogranicza to większość ataków masowych
na przeglądarki oraz po otwarciu np. .PDF. Gdyby oprogramowania nie
posiadały błędów, to nie byłoby potrzeby aktualizacji ich. Każde
oprogramowanie posiada błędy, które w miarę upływu czasu są
znajdywane przez cyberprzestępców i wykorzystywane do włamań.
Aktualizując oprogramowanie na bieżąco użytkownik wystrzega się
masowych ataków.
4. KORZYSAJ Z VPN PODCZAS POŁĄCZEŃ Z NIEZNANYM Wi-Fi
Podczas korzystania z często darmowych Wi-Fi w restauracjach, hotelach,
pociągach itp. każdy użytkownik widzi ruch innych podłączonych do sieci
użytkowników. Co sprytniejsi mogą podsłuchać ruch, np. przejąć dane
dostępowe, hasła, loginy, kody. Cyberprzestępcy często udostępniają
darmowe Wi-Fi aby móc podsłuchiwać. Warto wówczas korzystać z VPN,
który można kupić już za grosze.
5. ZABEZPIECZ PRZEGLĄDARKĘ
Najczęściej używanym programem u większości użytkowników jest
przeglądarka internetowa. Warto aby miała dobrą opinię i była dość znana.
Po pierwsze, to najważniejszy program do aktualizacji. Zawsze musi być
aktualna. Po drugie – należy wyłączyć wszystkie nie niezbędne wtyczki,
takie jak np. JAVA. Niezbędną wtyczką na dzień dzisiejszy jest tylko
FLASH, który również należy aktualizować automatycznie. Trzeba
wyłączyć funkcję „click-to-play” aby żaden „wyskakujący” obiekt nie
przekierował użytkownika do innego (niebezpiecznego) miejsca. Autor
sugeruje również wyłączenie „trackingu reklamowego” w celu zachowania
prywatności oraz zainstalowanie wtyczek blokujących Java Script dla
przeglądarki.
6. NIE KORZYSTAJ NA CO DZIEŃ Z KONTA ADMIN I UŻYWAJ
OPROGRAMOWANIA ANTYWIRUSOWEGO
NUMER 1/2016
20
Antywirusy płatne są tak samo nieskuteczne jak antywirusy darmowe. Na
nowe złośliwe oprogramowanie nic nie poradzą, lecz ochronią użytkownika
przed znanym i masowo rozsyłanym oprogramowaniem złośliwym. To
wielka zaleta, gdyż najczęściej ataki są niepersonalne. W przypadku
ataków personalnych wykonanych przez doświadczonego cyberprzestępcę
żaden antywirus nie pomoże, lecz poprzez używanie konta z ograniczonymi
uprawnieniami (konto user, nie konto admin) użytkownik może zmniejszyć
pole manewru dla hakera. Komputer nie zostanie przejęty w całości.
7. UŻYWAJ FIREWALLA
Ta opcja ochroni użytkownika przed dostępem hakera do szerokich
uprawnień. Usługi dla „wszystkich” z komputera użytkownika będą
niewykonalne. Warto ustawić blokadę połączeń dla wszystkich połączeń
przychodzących oraz zainstalować oprogramowanie monitorujące usługi
wychodzące. Bez obaw, firewall pozwala na dodawanie wyjątków.
8. HASŁO W BIOS
To ochrona przed fizyczną kradzieżą sprzętu. Atakujący nie da rady
uruchomić komputera użytkownika za pośrednictwem innego
oprogramowania na LIVECD/USB. Tym samym niezaszyfrowane dane
również będą do pewnego stopnia bezpieczne.
9. OSTROŻNIE DOBIERAJ TREŚĆ PUBLIKOWANĄ W SIECI
Nie chodzi tutaj tylko o to jakie zdjęcia i filmy użytkownik wrzuca na ścianę
swojego konta w portalu społecznościowym. Należy każde przesłane nade
traktować jako publiczne. Np. wysyłanie skanów dowodów osobistych, CV
i innych dokumentów na skrzynkę email do kolegi lub współpracownika,
kogokolwiek należy traktować jako dane udostępnione publicznie, gdyż ich
wyciek, to kwestia czasu, chęci lub możliwości. Warto mieć na uwadze, że
wszystko może zostać złamane.
10. ZAINSTALUJ OPROGRAMOWANIE NAMIERZAJĄCE
Tzw. przyjazny trojan, to świetna sprawa. W przypadku kradzieży sprzętu
będzie można go namierzyć używając do tego innego urządzenia. Podkreślić
należy tutaj, że i tak najważniejszy jest podpunkt pierwszy!
(niebezpiecznik.pl, 2014.)
Bibliografia:
1. Niebezpiecznik.pl, 2014, 10 porad bezpieczeństwa od Niebezpiecznika,
<https://docs.google.com/document/d/1iiKYZJWGihNculKbEyA5agI32EjaYuEvcTy-XTu23Y/edit>, dostępny 6.09.2016.
NUMER 1/2016
21
BEZPIECZEŃSTWO APLIKACJI – POKEMON GO
SZPIEGIEM?
Instalując jakąś aplikację czy to z dedykowanego marketu, czy z
innych zasobów tuż przed samą instalacją użytkownik zostaje zapytany czy
wyraża zgodę na następujące uprawnienia instalowanej aplikacji. W tym
momencie są one pokazywane. Jedne aplikacje wymagają dostępu do
mniejszej, a inne do większej ilości zasobów urządzenia, na którym pracują.
Niektóre, wydaje się, że wymagają nieco za dużo. Użytkownicy na całym
świecie niemal nie zwracają na to uwagi jakich uprawnień wymaga od nich
dany program. Po prostu stukają w ekraniki swoich smartfonów „dalej,
dalej, zainstaluj”.
Poniżej znajduje się zrzut ekranu z wymaganych uprawnień dla ostatnio
bardzo popularnej gry Pokemon GO. Warto zwrócić uwagę zarówno na
elementy, bez których ten rodzaj gry nie mógłby działać, ale i również na
elementy zupełnie niepotrzebne.
NUMER 1/2016
22
Zrzut ekranu – zasoby własne
Powyższa aplikacja musi mieć dostęp do aparatu i lokalizacji, lecz po co jej
pliki przechowywane na urządzeniu? Takich nadgorliwych aplikacji jest
tysiące, jeśli nie miliony. Wymagają zawsze więcej niż potrzebują. Są
również aplikacje, u których powyższa lista będzie zupełnie pusta.
Wówczas zdecydowanie bezpieczeństwo się podnosi. Użytkownik nie ma
pewności co robi dana aplikacja zarówno w czasie gdy jest używana, jak i
w tle podczas, gdy smartfon spoczywa w kieszeni właściciela.
Rosyjscy naukowcy podejrzewają, że aplikacja została stworzona
przez zachodnie służby wywiadowcze w celach szpiegostwa przemysłowego.
Ich zachodni koledzy również podzielają pogląd jakoby aplikacje były tajną
bronią wywiadów różnych państw świata. (B. Józefiak, 2016.) Wszak nic
nie stoi na przeszkodzie aby tak właśnie było. Aplikacje, które są
instalowane przez użytkowników z całego świata i mające dostęp do
NUMER 1/2016
23
zasobów urządzeń właścicieli z bezbłędnym określeniem ich lokalizacji
zarówno w czasie rzeczywistym jak i przeszłym a z dużą dozą
prawdopodobieństwa określenia położenia w przyszłości, to narzędzia
idealne do szpiegowania. Użytkują je ludzie na wszystkich szczeblach
hierarchii społecznej bez względu na wiek, wykształcenie czy wykonywany
zawód. W świecie, gdzie informacja odgrywa największą rolę niemal nie do
pomyślenia byłby fakt, że tak idealne narzędzie do szpiegowania nie jest do
tego wykorzystywane. Właśnie dlatego chociaż nie ma potwierdzonych w
100% informacji, że tak jest należy dla bezpieczeństwa uważać, że tak może
być, bowiem ciężko oprzeć się tak wielkiej pokusie, tak skutecznemu i tak
prostemu sposobowi wejścia w posiadanie nieautoryzowanych tajnych
danych.
Ministerstwo Obrony Izraela już wprowadziło specjalną czarną listę
aplikacji, których nie mogą używać oficjele. Ministerstwo Spraw
Wewnętrznych Rosji również się na tym zastanawia i znając życie na
pewno wdroży. Takie prewencyjne działanie jest najskuteczniejsze.
Niestety w Polsce jeszcze się o tym nie mówi, a dane na smartfonach
polityków są zabezpieczane jedynie „na własną rękę”.
Oprócz ryzyka szpiegostwa przemysłowego należy również
wspomnieć o możliwości jakie aplikacje dają cyberprzestępcom, którzy
celują w zarobek i najczęściej ich ofiarami padają zwykli użytkownicy.
Haker w zależności od posiadanych danych może wykorzystać je przeciwko
(zazwyczaj) finansom użytkownika. Jeśli wejdzie w posiadanie danych
kompromitujących – będzie szantażował ofiarę, jeśli nabędzie dane
dostępowe do kont bankowych – sam sięgnie po ich zasoby. Niekiedy
użytkownicy przechowują zdjęcia swoich ważnych dokumentów na
urządzeniach z mobilnym dostępem do sieci. One również padną ofiarą
wytrawnego cyberprzestępcy, który nie zawaha się wziąć kredyt w imieniu
swojej ofiary.
Podsumowując, nie tylko Pokemon GO jest przedmiotem dyskusji
ekspertów od bezpieczeństwa IT na całym świecie. Aplikacje mobilne mogą
być wykorzystywane do zbierania danych o ich użytkowniku. Warto przed
instalacją zweryfikować uprawnienia danego oprogramowania, gdyż może
się okazać, że pracuje on również, gdy jego użytkownik śpi smacznie w
domowym łóżku. Poprzez uzyskanie dostępu do urządzenia autor aplikacji
może wprowadzać na nie inne oprogramowanie, np. konie trojańskie, które
mogą uzyskać dostęp do kamerki czy mikrofonu w telefonie. W przypadku
wielkich aplikacji, jaką jest Pokemon GO celem inwigilacji na pewno nie są
przeciętni obywatele. Jeśli obawy rosyjskich ekspertów są zasadne bać się
powinni jedynie oficjele czy też osoby decyzyjne dużych korporacji.
NUMER 1/2016
24
Bibliografia:
1. B. Józefiak, 2016, Pokemon GO to narzędzie zachodnich szpiegów – mówią
analitycy z Rosji, <http://www.cyberdefence24.pl/417193,pokemon-go-tonarzedzie-zachodnich-szpiegow-mowia-analitycy-z-rosji>,
dostępny
6.09.2016.
NUMER 1/2016
25
BEZPIECZEŃSTWO W SIECI – PUBLIKOWANIE
WIZERUNKU DZIECKA W SIECI
Jeszcze parę lat temu aparaty były dobrem, na które nie było stać
każdego. Służyły do upamiętniania ważniejszych w życiu chwil. Film
kosztował, wywołanie kosztowało, gromadzenie wymagało albumów. Miało
to znamiona jakiejś magii w sobie, jednak te czasy już nie wrócą. Dzisiaj
urządzeń, które na swoim wyposażeniu mają aparaty fotograficzne jest cała
masa. Pomijając klasyczne aparaty, są jeszcze telefony, z którymi
użytkownicy niemal nigdy się nie rozstają, tablety, laptopy, telewizory, są
też lodówki wyposażone w kamerkę do selfie… Kiedyś robiło się kilka zdjęć
na ważnym spotkaniu rodzinnym, dzisiaj jest to liczone w setkach. To
ogromna zmiana.
Rodzice mogą być zagrożeniem dla swoich małych dzieci. Zwłaszcza
rodzice, którym zależy na zdobyciu powszechnej aprobaty, czyli tzw.
internetowym fejmie. Publikują oni zdjęcia swoich nie mogących się w
żadne sposób przeciwstawić pociech w nadziei na parę lajków. Tym samym
mogą wyrządzać dziecku wielką krzywdę. „Śmieszne zdjęcia dzieci
rozchodzą się w sieci podobnie dobrze jak śmieszne zdjęcia kotów, różnica
jest taka, że kot ubrany w prześmiewcze ciuszki z cygarem w pyszczku i
napisem „to napad” nigdy nie poniesie konsekwencji niestosownego czynu
właściciela, zaś w analogicznym przykładzie – dziecko może takie
konsekwencje ponieść.
Dlaczego nie powinno się publikować wizerunku dzieci w Internecie
póki same na to nie wyrażą zgody? Czego nie warto upubliczniać?
1. Należy się przyjrzeć uprzedmiotowianiu w takich sytuacjach.
Podmiotowość dziecka zostaje zaburzona, a rodzić pomimo iż nie ma
złych zamiarów przedstawia swoją pociechę jako zabawkę.
NUMER 1/2016
26
nk.pl
2. Coraz dokładniejsze wyszukiwarki oferują wyszukiwanie po
zdjęciach. Wystarczy, że za kilka lat ktoś będzie chciał upokorzyć
daną osobę i wrzuci w taką wyszukiwarkę jej aktualne zdjęcie.
Okaże się, że niektóre rysy twarzy pozostają bez zmian. Wówczas
wyszukiwarka powiąże nowe zdjęcie z wszystkimi informacjami,
które znajdzie. Będą to nie tylko zdjęcia, ale również filmy oraz dane,
informacje, opisy, kontakty. Tworzy się naturalny profil
psychologiczny. Cyberprzestępcy specjalizujący się w e-szantażu
mogą to wykorzystać.
3. Dzisiaj dziecko może trafić na portal społecznościowy jeszcze zanim
się urodzi. Chodzi o zdjęcia USG i wszelkie przedporodowe
symulacje. To są prywatne ujęcia, które nie powinny stanowić
pożywki dla potencjalnych zagrożeń. Niektóre kliniki oferują także
transmisje online z porodów…
4. Kiedy granica podmiotowości zostaje przekroczona? Zazwyczaj
szybciej niż ktokolwiek mógł by przypuszczać. Często mamy
publikują zdjęcia swoich dzieci nago, w kąpieli czy podczas czynności
pielęgnacyjnych. Są to zdjęcia niekiedy 4 i 5 latków. Statystyki
pokazują, że 50% dzieci w wieku od 7 do 13 roku życia posiada już
konto na Facebooku. Kiedy rówieśnicy odszukają takie upokarzające
fotografie zaczynają wyśmiewać swoich kolegów i koleżanki. Dzieci
w tym wieku nie zdają sobie sprawy z konsekwencji swoich czynów.
Same się przed tym nie obronią, a każda fotografia czy filmik
prezentujące kolegę w
prześmiewczym
świetle
zostaną
wykorzystane. Wtedy pozostaje tylko liczyć na mocny charakter
dziecka i brak skłonności samobójczych.
5. Zdjęcia, o których mowa w punkcie 4. mogą zasilać prywatne
kolekcje pedofilów. Pedofile, którzy mają swoje fora w darknecie
publikują je tam i wymieniają się nimi niczym kilka lat temu dzieci
naklejkami Pokemonów z gum do żucia.
NUMER 1/2016
27
6. Pedofile tworzą nawet fikcyjne konta na Facebooku, na których
gromadzą zdjęcia pociech nieroztropnych rodziców. Poniżej
przykład.
facebook.pl
„Najseksowniejsze 4, 5 i 6 latki”, to istniejący profil. Został co prawda
zamknięty, lecz nie za treści, a naruszenie praw autorskich. Pedofile
gromadzili w nim głównie zdjęcia dziewczynek w w/w wieku, których
rodzice przebierali je za starsze niż są. Dodając atrybuty
seksualności w postaci szminek, ostrych makijaży, pończoszek,
szpilek i innych. Często z dopiskiem „moja lolitka”. W tym wypadku
uprzedmiotowienie widać bezsprzecznie. Szkoda tylko, że rodzice
tego nie dostrzegają…
7. Troll parenting – Termin z j. ang., który oznacza wyśmiewanie się z
dziecka dla zabawy i fejmu. Są to zazwyczaj zdjęcia w przebraniach,
w dziwnych pozycjach, sytuacjach.
Zdjęcia takie często trafiają na portale „ze śmiesznymi obrazkami”
jak powyżej. Są one rozpowszechniane i „podbijają Internet”. Chwila
śmiechu nie jest warta dobra i bezpieczeństwa dziecka. Bardzo
często zdarza się, że takie zdjęcia odsłaniają patologiczne aspekty w
rodzinie. Są to fotografie typu „stary maleńki” przedstawiające
dziecko z np. używkami.
NUMER 1/2016
28
8. Public shaming – czyli publiczne upokarzanie dziecka dla
zwiększenia kary. Najczęściej jest to zdjęcie dziecka z jakąś tabliczką
i napisem. Na jednej z popularniejszych na świecie była
przedstawiona mała dziewczynka, która trzymała tabliczkę z
napisem „Zrobiłam kupę pod prysznicem, a tata musiał to
posprzątać.” W innych okolicznościach może to prowadzić do
tragedii. W USA pewien ojciec nagrał film jak za karę odcina swojej
13 letniej córce włosy. Dziewczynka kilka dni później poprzez falę
prześmiewczych komentarzy w sieci popełniła samobójstwo. (rt.com,
2015.)
Między dzieleniem się radością a trollowaniem
Zagrożenia związane z publikowaniem przez rodziców treści dotyczących ich dzieci w
Internecie
SEMINARIUM EKSPERCKIE
9.06.2015
Bibliografia:
1. rt.com/usa, 2015, Teen commits suicide following father’s public shaming
video,
<https://www.rt.com/usa/265342-public-shaming-suicide-father/>,
NUMER 1/2016
29
BEZPIECZEŃSTWO POŁĄCZEŃ VOIP. KOMISJA
EUROPEJSKA CHCE ABY VOIP DOTYCZYŁY TE
SAME REGULACJE CO OPERATORÓW
TELEKOMUNIKACYJNYCH
giganet.info.pl
Ostatnia regulacja prawna dotycząca komunikacji głosowej w czasie
rzeczywistym za pośrednictwem Internetu pochodzi sprzed ponad 15 lat.
W zestawieniu z faktem, iż dotyczy ona sieci można by rzec, że jest
przestarzała, jednak co tak naprawdę chce uzyskać teraz Komisja
Europejska? Usługi VoIP (Voice over Internet protocol) pozwalają na to
samo, na co klasyczne usługi operatorów sieci komórkowych. Można bez
problemu zadzwonić na numer wszystkich sieci na świecie, bez roamingu,
często nawet bez opłat. Komisja Europejska ma zastrzeżenie jakoby usługi
VoIP nie oferowały użytkownikom takiego poziomu bezpieczeństwa jaki
oferują klasyczni operatorzy telekomunikacyjni.
Usługi VoIP są w większości przypadków szyfrowane. Te płatne są
szyfrowane bardzo skutecznie i nie ma możliwości odsłuchania rozmowy
zarówno w czasie rzeczywistym, jak i później, co umożliwiają dzisiaj
operatorzy popularnych sieci telekomunikacyjnych. Zdaniem autora
właśnie to najbardziej nie podoba się komisji – BRAK MOŻLIWOŚCI
SKUTECZNEJ INWIGILACJI OBYWATELA. Pryzmat bezpieczeństwa
połączeń, to jedynie powód, dla którego chcą zmienić prawo. Jeszcze kilka
lat temu nikomu to nie przeszkadzało, gdyż rynek usług VoIP nie był tak
rozwinięty i mały odsetek populacji z nich korzystał. Dzisiaj każdy
NUMER 1/2016
30
posiadający rodzinę w innym kraju nie wydaje horrendalnych sum na
komunikację głosową za pomocą operatorów sieci, tylko wybiera połączenia
za pośrednictwem Internetu. Słyszalność jest doskonała, interfejsy są
intuicyjne, oprócz fonii do dyspozycji użytkownik ma jeszcze wizję.
Połączenie jest szyfrowane. Darmowe lub bardzo tanie. Czego chcieć
więcej?
Komisja Europejska przedstawiła już wersję wstępną dyrektywy,
która zmusi popularne firmy odpowiadające za masowo wykorzystywane
aplikacje do „zapewnienia odpowiedniego poziomu bezpieczeństwa
aplikacji oraz integralności serwisów”. Firmom narzuci się też konieczność
informowania organów władzy o włamaniach do systemów. Komisję
Europejską mierzi bardzo szyfrowanie połączeń np. takie jakie oferuje
popularny komunikator WhatsApp (Facebook). Według dyrektywy
wstępnej mechanizmy zabezpieczające powinny pozwolić na odczytanie
wiadomości przesyłanych przez użytkownika. (T. Fastyn, 2016.) Wszystko
oczywiście dla bezpieczeństwa, które na całym świecie jest niemoralnie
wykorzystywane przez niemal każdą władzę do wprowadzania coraz
większej kontroli obywatela.
Usługi VoIP i próba zmiany prawa przez Komisję Europejską, to
jedynie przykład. W rzeczywistości takich przykładów jest coraz więcej.
Wykorzystywanie parytetu bezpieczeństwa do wprowadzania coraz
bardziej postępującej inwigilacji jest powszechne i nieetyczne. To
żerowanie na tragediach. Warto zwrócić uwagę na zmiany w światowych
procedurach bezpieczeństwa po zamachach terrorystycznych. O ile
niektóre elementy wymagały poprawy, o tyle inne zmiany są wprowadzane
jedynie w celu wyciągnięcia danych od obywatela.
Jak korzystać z VoIP zachowując podstawowe prawa do prywatności
rozmów po wprowadzeniu w życie w/w dyrektywy Komisji Europejskiej?
Przede wszystkim należy unikać najpopularniejszych komunikatorów,
gdyż to na nie zostaną nałożone ograniczenia i obowiązki. Warto też zwrócić
uwagę na lokalizację serwerów usługodawcy. Wybierając te spoza Unii
Europejskiej np. z Rosji, Chin, Panamy czy innych krajów, które nie
współpracują ze UE w związku z udostępnianiem danych użytkowników
Internetu. Wówczas należy zweryfikować opinie o usługodawcy. Sprawdzić
czy nikt nie wypowiada się o nim negatywnie. Jest to bardzo proste, gdyż
wystarczy jedna wpadka i ktoś coś gdzieś napisze, a po to są wyszukiwarki,
żeby to odnaleźć. Gdy opinie są pozytywne, serwer leży gdzieś poza UE, a
szyfrowanie rozmów jest adekwatne, to można zacząć mówić o prywatności
rozmów.
NUMER 1/2016
31
Bibliografia:
1. T. Fastyn, 2016, Komisja Europejska chce aby VoIP dotyczyły te same
regulacje
co
sektora
telekomunikacyjnego,
<http://www.cyberdefence24.pl/446946,komisja-europejska-chce-aby-voipdotyczyly-te-same-regulacje-co-sektora-telekomunikacyjnego>,
dostępny
6.09.2016.
NUMER 1/2016
32
BEZPIECZEŃSTWO HASŁA
plblog.kaspersky.com
Hasło wraz z nazwą użytkownika są najczęściej wykorzystywaną
formą uwierzytelnienia we wszystkich serwisach internetowych na
świecie. Ogromna liczba ludzi na świecie używa jednego hasła do
wszystkich kont w każdym serwisie. Jest to poważny błąd, który może
wiele kosztować. W grę wchodzą zarówno straty materialne jak i moralne.
Dochodzą również nieprzyjemności związane z odzyskiwaniem
skradzionych kont użytkownika. Warto zadbać o bezpieczeństwo hasła. Nie
jest to wcale takie trudne, chociaż zasadność podjętych środków
bezpieczeństwa może być nie do końca zrozumiała.
Bezpieczne hasło nie istnieje. Można je stracić zawsze i wszędzie.
Hasło samo w sobie ma znaczenie tylko wówczas, kiedy jest właściwie
chronione. Nie tylko użytkownik czuwa nad bezpieczeństwem swojego
hasła, ale i każdy serwis, w którym jest używane. Jeśli takowy portal
posiada słabe zabezpieczenia, to naraża hasło na wyciek. Serwisy
przetrzymują zaszyfrowane hasła po to aby system mógł je identyfikować
podczas logowania. Niestety najczęstszym przypadkiem jest użycie
popularnego na całym świecie szyfrowania MD5, które bez trudu
rozszyfrowują nawet komputery z przeciętnej jakości kartą graficzną.
Tutaj nie ma znaczenia czy hasło jest trzyznakowe czy
czterdziestoznakowe. Zostanie rozszyfrowane z takim samym stopniem
trudności. Dowodzą tego wycieki ponad 40 milionów haseł z popularnego
serwisu z muzyką – last.fm. Przykłady rozszyfrowanych z MD5 haseł
zawierały ponad 40 znaków różnego rodzaju. Zostały jednak w
konsekwencji i tak rozszyfrowane. (Zaufana Trzecia Strona, 2016.)
Zatem długość i skomplikowanie nie mają w ogóle znaczenia?
NUMER 1/2016
33
Mają znaczenie, gdyż eliminują inne formy ataków, np. bruteforce czy ataki
słownikowe. Im trudniejsze jest hasło, tym większe bezpieczeństwo przy
takich atakach. Warto pamiętać, żeby nie ustawiać na hasło czegoś co
istnieje. Konkretnie chodzi o to aby fraza nigdzie nie występowała np. jako
fragment lub tytuł piosenki, rozdział znanej książki czy inny powszechny
cytat. Należy dodawać do hasła znaki specjalne, w tym również o ile to
możliwe spacje, cyfry, wielkie i małe litery. Jak można stworzyć całkiem
niezłe hasło ze słowa, które występuje?
klawisz
kL4W!52
_ $$ kL4W!52—
Jak widać z prostego słowa „klawisz” zostało stworzone 14 znakowe hasło,
które z całą pewnością może zostać nazwane jako mocne.






Hasło to nie występuje w słownikach – nie istnieje w użyciu
Zawiera znaki specjalne w tym 2 spacje
Zawiera cyfry
Zawiera małe i wielkie litery
Można je zapamiętać, lecz nie za pierwszym razem
Zawiera dużą ilość znaków (14)
Takie hasło jest dobre, lecz nawet i ono może zostać złamane. Czym różni
się to hasło od swojego pierwowzoru? Przede wszystkim faktem, iż nie
zostanie złamane metodami, do jakich mają dostęp programy masowo
wyszukujące w sieci słabych haseł na różnych portalach internetowych.
Czyli jest lepsze.
Dlaczego może zostać złamane?
Takie hasło samo w sobie nie zostanie złamane, jest to niemal niemożliwe,
lecz może zostać wykradzione w postaci zaszyfrowanych w MD5 pliku, a
specjalny program je odszyfruje, gdyż program ten nie będzie go łamał,
zgadywał, tylko obliczy równanie potrzebne do złamania MD5.
Jakie są na to rady?
Rada zasadniczo jest jedna. Należy używać haseł jednorazowych i zawsze
innych do każdego konta na każdym serwisie. Wówczas w przypadku
wycieku haseł w serwisie o szydełkowaniu haker nie dostanie się do
serwisu o wędkarstwie. Jednak kiedy hasło (nawet najmocniejsze)
wszędzie jest takie samo cyberprzestępca bez trudu uzyska dostęp do
kolejnych kont użytkownika. Niektórzy używają prostych systemów haseł.
NUMER 1/2016
34
Mają inne do każdego serwisu, lecz inność polega na dodaniu czegoś
systemowo. Np. „mojetajnehaslodofacebooka, mojetajnehaslodopoczty,
mojetajnehaslodobadoo” itd. Cyberprzestępca domyśli się jak działa prosty
system użytkownika, a nawet jeśli nie zrobi tego samodzielnie, to pomoże
mu w tym specjalistyczne oprogramowanie, które zna takie „sztuczki”.
Zatem pojawia się problem w postaci zapamiętywania trudnych,
jednorazowych (do każdego serwisu innych) haseł dostępowych, lecz tutaj
z pomocą przychodzi technologia, a konkretnie odpowiednie
oprogramowanie. Warto użyć mocnego programu do przechowywania
haseł. Wówczas użytkownik musi znać tylko jedno hasło – „hasło master”,
które daje uprawnienia do programu przechowującego pozostałe hasło.
Należy sprawić aby to hasło było jak najmocniejsze. Programów tego typu
jest wiele. Jedne są warte uwagi, a inne nie. Darmowym i polecanym
programem przechowującym hasła jest KeePass. Szyfruje on za
pośrednictwem algorytmu AES-256, który nie został jeszcze złamany, a
obliczenia pokazują, że jeszcze przez wiele set, a może tysięcy lat nie
pozostanie złamany.
Podsumowując warto dodać również, że bezpieczeństwo hasła można
poprawić poprzez wieloskładnikowe uwierzytelnianie. Stosując się do tych
reguł użytkownik jest w stanie zapewnić sobie najlepsze z możliwych
bezpieczeństwo hasła.
Bibliografia:
1. Zaufana Trzecia Strona, 2016, Twoje 46 znakowe hasło też ktoś może bez
problemu złamać, <https://zaufanatrzeciastrona.pl/post/twoje-46-znakowehaslo-tez-ktos-moze-bez-problemu-zlamac/>, dostępny 8.09.2016.
NUMER 1/2016
35
BEZPIECZEŃSTWO PERSONALNE –
BLACKMAILING CZYLI E-SZANTAŻ
doctors.am
Na początek należy rozróżnić podejmowane w niniejszym artykule
kwestie, gdyż istnieją co najmniej dwie formy e-szantażu. Jedną z nich
nazywa się cyberterroryzmem i dotyczy ona głównie działań w strukturach
rządowych. Są to blokady stron internetowych, przechwytywanie
informacji niejawnych mogących godzić w bezpieczeństwo państwa w
zestawieniu z groźbami ich ujawnienia lub w przypadku blokad – powtórek
czy nieodszyfrowania już zaszyfrowanych istotnych danych. (K. Rogala,
2016.) Druga forma e-szantażu nie ma jeszcze polskiej nazwy, lecz godzi w
bezpieczeństwo personalne mniej roztropnych obywateli. Blackmailing, bo
tak zwykło się mawiać na e-szantaż personalny jest jednym z najmniej
zbadanych zjawisk cyberprzestępczych. Żadne statystyki nie są w stanie
oddać w pełni, ani nawet w znaczącej części prawdy o tej pladze. Dzieje się
tak, ponieważ blackmailing dotyka najintymniejszej sfery ofiary, co
przekłada się przede wszystkim na znikomą ilość zgłoszeń do organów
ścigania takich form e-szantażu. Z reguły cyberprzestępca – blackmailer
drogą kradzieży z włamaniem, kupna bądź przypadku wchodzi w
posiadanie materiałów kompromitujących na daną osobę. Osoba ta od razu
staje się ofiarą. O ile nie jest to osoba publiczna, a ujawnienie informacji
NUMER 1/2016
36
czy materiałów nie zagraża bezpieczeństwu państwa nie ma mowy o
cyberterroryzmie.
Czym są materiały kompromitujące?
Dla każdego będzie to co innego, jednak niemal dla wszystkich ludzi
materiałem kompromitującym będą fotografie i filmy zawierające sceny
intymne – nagość. Są to rzeczy, które wbrew pozorom posiada bardzo wielu
internautów. Cyberprzestępcy w takie dane celują.
Na potrzeby niniejszego artykułu załóżmy następującą historię:
Ambitna licealistka czatuje za pośrednictwem sieci. Poznaje w drugim
końcu państwa jej zdaniem miłość swojego życia. (Tak, można się zakochać
przez Internet). Wirtualna miłość rozkwita, popęd seksualny jest na
wysokim poziomie, lecz zaczyna brakować czegoś, czego wymaga od
człowieka fizjologia. Mowa o zbliżeniu, kontakcie fizycznym. Wówczas to
nastolatkowie wynagradzają sobie brak kontaktu fizycznego wzmożonym
kontaktem wirtualnym. Uprawiają cyberseks, wysyłają do siebie
nawzajem intymne zdjęcia, filmy, lecz po roku i tylko dwóch spotkaniach w
świecie realnym miłość nie wytrzymuje próby odległości. Kochankowie się
rozstają. Nie ma w tym nic dziwnego, ani niepokojącego. Ambitna
licealistka dostaje się na wymarzone studia i zaczyna poważą przygodę z
prawem. Przypomina sobie, że kilka lat wcześniej wysyłała swoje nagie
zdjęcia do w zasadzie nieznajomego mężczyzny, ale przecież minęło tyle lat,
a on obiecał, że nic z tym nie zrobi, to chyba jest w porządku. Dla pewności
usuwa starą skrzynkę mailową, na której ów materiały się znajdują. Ex
licealistki rzeczywiście nigdzie nie opublikował kompromitujących fotek i
filmów, lecz jego pasją są od jakiegoś czasu motocykle. W celu zdobywania
wiedzy rejestruje się on na różnych forach o danej tematyce. Na jednym z
nich administrator nie zadbał w 100% o bezpieczeństwo. Forum pada
atakiem cyberprzestępcy handlującego bazami danych. Wykradzione
zostają nazwy użytkownika oraz hasła zaszyfrowane w MD5 (słaby szyfr).
Bazę danych kupuje znany i ceniony w cyberprzestępczym świecie
blackmailer, który rozszyfrowuje za pomocą specjalistycznego
oprogramowania setki haseł na sekundę. Inne specjalne oprogramowanie
sprawdza czy hasła z forum dla motocyklistów pasują do skrzynek e-mail.
Ok 30% pasuje. Akurat ex licealistki pada ofiarą takiego włamania. Jeszcze
inne specjalne oprogramowanie wyszukuje interesujące blackmailera pliki.
Jako, że ex ma ustawiona automatyczne usuwanie wiadomości wysłanych
oprogramowanie cyberprzestępcy nie znajduje treści kompromitujących na
niego. Za to znajduje zdjęcia i filmy jakiejś dziewczyny. W specjalnym
raporcie blackmailer otrzymuje „podane na tacy” materiały
NUMER 1/2016
37
kompromitujące pochodzące z folderu „odebrane” na skrzynce ex licealistki.
Na razie nie wie kim jest „[email protected]” lecz po wpisaniu w
popularną wyszukiwarkę jej maila znajduje jeszcze kilka miejsc, w których
występuje ten e-mail. Po nitce dochodzi do kłębka. Ustala tożsamość ofiary
i tworzy jej profil psychologiczny oraz szacuje ile jest w stanie zarobić na eszantażu konkretnie tej osoby. Znajduje informację, że ofiara uczęszcza do
prywatnej uczelni, na której studiuje prawo. Z uśmiechem na twarzy
wpisuje do maila szantażującego wyższą niż zazwyczaj kwotę w zamian za
nieujawnienie materiałów kompromitujących. Ofiara doznaje szoku, lecz
studiując prawo wybiera zgłoszenie sprawy na Policję. (Takich przypadków
jest mało. Cyberprzestępcy na forach w darknecie chwalą się, że z reguły
ofiary płacą aby było już po sprawie) Policja nie wie czy ma do czynienia z
profesjonalistą czy osobą szantażującą po raz pierwszy w życiu. Podchodzi
do sprawy systemowo, lecz nie udaje się ustalić kim jest sprawca.
Blackmailer nie dostaje wpłaty na czas, więc ujawnia materiały
kompromitujące znajomym z Facebooka ofiary oraz publikuje je w
podziemnych forach dla takich jak on sam. Zaczyna się publiczny lecz cichy
lincz. Ofiara zdruzgotana bezradnością organów ścigania, które naprawdę
nie mogły jej pomóc, (gdyż dla profesjonalnych cyberprzestępców
anonimowość w Internecie w rzeczywistości istnieje) załamuje się i popada
w głęboką depresję, gdyż jej kariera zawodowa prawnika jest już na starcie
skazana na porażkę. W chwili zwątpienia w sprawiedliwość na świecie
popełnia samobójstwo. Tragedia gotowa.
Na szczęście powyższa historia jest jedynie założeniem i ma na celu
zobrazować ciąg przyczynowo skutkowy. Jednak podobne historie
występują na całym świecie. Nie mówi się o tym, gdyż organy ścigania
dostrzegają problemy tylko po statystykach. Zwiększa się coś, znaczy, że
jest problem. Nie zmienia się – problemu nie ma.
Jak zapobiegać staniu się ofiarą blackmailera?
Przede wszystkim prewencja. Nie można pozwolić sobie nawet na chwilę
miłosnego uniesienia przed obiektywem aparatu czy kamery. To może
słono kosztować. Jeśli użytkownik posiada na dysku twardym jakiekolwiek
materiały kompromitujące, a sentymentalność nie pozwala mu ich trwale
usunąć
należy je zaszyfrować
za pośrednictwem programu
kryptograficznego opartego na algorytmach będących we współczesnym
świecie nie do złamania. Ogromnym dylematem i niesłychanie frustrującą
sprawą jest pytanie czy warto zgłaszać e-szantaż organom ścigania? Jeśli
cyberprzestępca bardzo dobrze opanował anonimowość w Internecie, to
szansa na jego schwytanie i postawienie do odpowiedzialności karnej jest
NUMER 1/2016
38
niebywale niska, zatem na ten dylemat należy odpowiedzieć sobie we
własnym zakresie.
Rady dla potencjalnych ofiar.
Potencjalną ofiarą jest osoba, która gdzieś kiedyś wysłała materiały
kompromitujące. Warto usunąć wszystko ze skrzynki e-mail czy
komunikatora, w którym dane pliki zostały przesłane. Należy także
skontaktować się z drugą stroną w celu usunięcia danych. Jeśli druga
strona nie chce tego zrobić, to jak najbardziej można skorzystać z
uprzejmości Policji, która bez wątpienia w takiej delikatnej sprawie
pomoże.
Bibliografia:
1. K.
Rogala,
2016,
Jak
wygląda
internetowy
szantaż?,
<http://mojafirma.infor.pl/e-firma/blog-firmowy/269532,Jak-wygladainternetowy-szantaz.html>, dostępny 8.09.2016.
NUMER 1/2016
39
BEZPIECZEŃSTWO W E-ADMINISTRACJI NA
PRZYKŁADZIE ZUS
E-administracja w Polsce dopiero raczkuje, lecz koszty jakie ponosi
państwo aby utrzymywać i tak niesprawne systemy, które nie częściej nie
działają, niż działają są ogromne. W 2014r, na sam EPUAP zostało
przeznaczone 32 000 000 zł przez rok (S. Czubkowska i R. Zieliński, 2014.),
a kwota ta z roku na rok rośnie. Społeczeństwo niechętnie podchodzi do
nowych technologii w tym kontekście. Trudno się dziwić, skoro wciąż są
jakieś problemy. Należy się zastanowić jak to jest, że niektóre ogromne
platformy obsługujące miliony użytkowników działają za kwotę 1000
krotnie niższą niż rządowe serwisy? Do tego działają sprawnie, szybko,
błędy są wyłapywane w ekspresowym tempie, a użytkowników przybywa.
Odpowiedź nasuwa się w zasadzie jedna, a jest nią korupcja. Podczas
organizowanych przetargów na napisanie rządowych serwisów dochodzi do
łamania prawa, a jako, że portale są tworzone za ogromne pieniądze
chętnych po wyciągnięcie po nie ręki nie brakuje. Gdyby ci chętni byli
profesjonalistami, ekspertami od bezpieczeństwa IT, to szło by to jeszcze
jakoś wybaczyć, niestety tak nie jest.
Idealnym przykładem jest ostatnia luka, która powstała w
internetowej platformie ZUS. Każdy użytkownik posiadający profil
zaufany w EPUAP oraz znający imię, nazwisko i PESEL dowolnej osoby
mógł zobaczyć szerokie dane osobowe dowolnego obywatela.
Co można było zobaczyć:
- nieznane dotąd dane adresowe,
- numer dowodu osobistego,
- datę urodzenia,
- miejsca pracy ofiary,
- informacje o wszystkich składkach ofiary, (pozwala to w dużej mierze
precyzyjnie oszacować wysokość zarobków ofiary)
- wybrany OFE,
- informacje o pobranych zasiłkach,
- przyznane renty,
NUMER 1/2016
40
- wystawione zaświadczenia lekarskie,
- można było zmienić np. sposób i adres przesyłania renty, emerytury…
To mnóstwo danych osobowych i możliwości. Raj dla cyberprzestępców.
Raj, który stworzyła ZUS-owa platforma internetowa.
Administratorzy znanego i szanowanego portalu o bezpieczeństwie
w sieci (Niebezpiecznik.pl) już w lipcu poinformowali o groźnej luce
Ministerstwo Cyfryzacji, panią Minister Annę Strzeżyńską oraz sam ZUS.
Dwa miesiące później luka wciąż była. (M. Maj, 2016.) Jaką politykę
bezpieczeństwa uprawiają administratorzy ZUS-owej platformy
internetowej?
Luka została załatana dopiero w połowie Września 2016r. Ponad 2,5
miesiąca po interwencji Niebezpiecznika. Jednak nałożona łatka
naprawcza systemu nie usuwa kont założonych w sposób nieautoryzowany.
Oznacza to, że wszystkie konta, które zostały założone w czasie gdy luka
miała swój czas świetności są wciąż aktywne i można z nich bez problemu
korzystać. Mało tego, jeśli ktoś założył innemu użytkownikowi profil na
PUE ZUS, to nie ma możliwości założyć go ponownie, nawet w sposób
autoryzowany.
Komentarza o luce ze strony ZUS brak, chociaż można było ją załatać
już w październiku 2015, kiedy to pierwszy raz została zgłoszona do ZUS.
Sprawa najwyraźniej nikogo nie przejęła.
Podsumowując, e-administracja w Polsce leży na bardzo niskim
poziomie. Zarządzanie oraz tworzenie platform rządowych takich jak
EPUAP, to farsa w najczystszej postaci i chociaż platformy te są
doskonalone, to jest to robione na zasadzie prób i błędów, a błędy, to utrata
danych osobowych obywateli. Tak wcale być nie musi. Wystarczyłoby aby
firmy w pełni kompetentne wygrywały przetargi na tworzenie takich
platform i sprawa byłaby o wiele bardziej korzystna zarówno dla rządu jak
i obywateli.
Bibliografia:
1. S. Czubkowska i R. Zieliński, 2014, EPUAP kosztuje miliony, a mało kto z
niego korzysta, < http://forsal.pl/artykuly/773790,epuap-kosztuje-miliony-amalo-kto-z-niego-korzysta.html, dostępny 19.09.2016.
2. M. Maj, 2016, Jak można było poznać wysokość zarobków milionów Polaków
przez
lukę
NUMER 1/2016
w
internetowej
platformie
ZUS?,
41
<https://niebezpiecznik.pl/post/jak-mozna-bylo-poznac-wysokosc-zarobkowmilionow-polakow-przez-luke-w-internetowej-platformie-zus-u/?more>,
NUMER 1/2016
42
BEZPIECZEŃSTWO TRANSAKCJI KARTAMI
PŁATNICZYMI W ŚWIECIE FIZYCZNYM
finanse.egospodarka.pl
Mówi się, że karty są bezpieczniejszym rozwiązaniem niż gotówka.
To prawda, lecz za bezpieczeństwem karty płatniczej stoi pewien odsetek
wiedzy. Przy nieostrożnym obchodzeniu się z kartami użytkownik może
stracić w szybkim tempie część lub całość środków. W przypadku kiedy
wina będzie leżała ewidentnie po stronie właściciela karty, nie otrzyma on
odszkodowania od banku. Bank zrobi wszystko, żeby właśnie to udowodnić.
W tym artykule autor postara się przytoczyć kilka prostych zasad, które
znacząco zwiększają poziom bezpieczeństwa transakcji kartami
płatniczymi w rzeczywistości.
NUMER 1/2016
43
Dane znajdujące się na karcie płatniczej, to nie tylko imię i nazwisko
posiadacza oraz numer karty. Na rewersie karty płatniczej znajduje się
zawsze niezwykle ważna informacja, a jest nią kod CVC2, który wchodzi w
zakres danych osobowych i jest potencjalnie bardzo kuszącą dla
przestępców informacją, gdyż dzięki temu kodowi połączonemu z numerem
karty oraz datą jej ważności można bez trudu dokonywać
nieautoryzowanych transakcji w Internecie. Przestępca może kupić sobie
np. laptopa używając tylko zdjęcia bądź skanu awersu i rewersu karty
płatniczej ofiary. Niektóre internetowe kantory kryptowalutowe oferują
również zakup kryptowalut właśnie w ten sposób. To ogromne ułatwienie
dla przestępców „zawodowo” zajmujących się kradzieżami z kart
płatniczych. Na świecie o takich profesjonalistach zwykło się mawiać
carderzy.
Carderzy mają mnóstwo sposobów na pozyskanie danych z karty
ofiary. Najważniejsze z nich, to:


Skimming,
czyli
skanowanie karty włożonej do terminala
płatniczego. Skimmery, to urządzenia, które przestępcy nakładają
na otwory wlotowe dla kart w bankomatach, sklepach i wszędzie
tam, gdzie dochodzi do płatności kartami. Niektóre z nich potrafią
być na tyle zakamuflowane, że wyglądają identycznie jak oryginał.
Rozróżnia się dwa typy skimmerów – pełne (takie, które oprócz
skanów karty z obu stron nagrywają również za pomocą kamery
zainstalowanej nad klawiaturą kod PIN właściciela karty) oraz
skimmery bez możliwości pozyskiwania PINu. Obie metody są
skuteczne i obie potrafią pozbawić ofiarę jej środków z konta.
Dobre praktyki:
- zasłanianie dłonią wpisywanego kodu PIN,
- weryfikacja wzrokowa i dotykowa terminala pod kątem możliwości
zainstalowanych nakładek (skimmerów). Warto szarpnąć
elementem, do którego wsuwa się kartę płatniczą. Należy sprawdzić
czy np. bankomat nie ma dodatkowej kamerki lub czegokolwiek, co
wzbudza podejrzenia.
Kradzieże danych za pośrednictwem kamer.
Ludzkie oko nie jest w stanie zanotować numeru karty, kodu CVC2,
danych personalnych oraz daty ważności jeśli widzi je przez ułamek
sekundy. Oko kamery pozbawione jest tej wady. Płacąc kartą w
markecie za marchewkę można stać się ofiarą przestępcy, który stoi
za użytkownikiem, kupuje batonika, a na nosie zamiast okularów
korekcyjnych ma okulary z ukrytą kamerą o dużej rozdzielczości.
Ofiara szybciutko wpisuje kod PIN, szybko używa karty aby nikt nie
zobaczył, jednak wystarczy ułamek sekundy, by przestępca później
NUMER 1/2016
44


odtworzył film w zwolnionym tempie i wszystko zanotował, po czym
ograbił niczego nie świadomą ofiarę.
Dobre praktyki:
- wyjmując kartę z portfela od początku do końca operacji należy
trzymać ją w dłoni w taki sposób aby dane na niej zawarte były przez
cały czas zasłonięte. Płacąc zbliżeniowo jest to jak najbardziej
możliwe,
- zasłaniać wpisywany kod PIN dłonią
- pod żadnym pozorem nie można pozwolić aby pracownik miejsca,
gdzie się płaci oddalił się z kartą płatniczą, niewskazane jest nawet
aby wziął ją w rękę
Kradzieże zbliżeniowe
Pomimo faktu, iż limit transakcji zbliżeniowej bez potwierdzania
kodem PIN, to tylko 50zł, to przestępcy uczynili sobie z tego
dochodowy biznes. Dobra dniówka wpada takiemu już po kilku
ofiarach dziennie. Podchodzą blisko (np. w kolejkach, zatłoczonych
miejscach, tramwajach itp.) zbliżają specjalny terminal płatniczy do
kieszeni, w której znajduje się portfel z kartą płatnicą i w ułamek
sekundy kradną 50zł.
Dobre praktyki:
- Warto nabyć specjalne etui na kartę płatniczą, które chroni przed
transakcjami zbliżeniowymi. Występują również takie bezpieczne
portfele, aczkolwiek zarówno etui jak i portfel bezpieczny, to nic
innego jak mikro klatka Faradaya. Można sobie taką zrobić za
darmo używając folii aluminiowej. Wystarczy wyłożyć nią zakładkę
na kartę w portfelu. Jest to proste, szybkie i skuteczne.
Kradzieże fizyczne kart płatniczych
Takie również występują. Wystarczy chwila nieuwagi i sprytne ręce
złodzieja wsuwają się do torebki niczego nie podejrzewającej ofiary.
Plus tego jest taki, że złodzieje kradnący w ten sposób w dużej mierze
nie są profesjonalistami i po kradzieży od razu pójdą do bankomatu
aby wyciągnąć ile się da.
Dobre praktyki:
- Warto na karcie specjalnym flamastrem do płyt napisać: PIN:
XXXX, zaś w miejsce XXXX wstawić nieprawidłowy, zmyślony kod
PIN. Złodziej kradnący taką kartę będzie w pierwszych chwilach
przeszczęśliwy, natomiast jeśli ofiara nie zdąży zablokować karty
dzwoniąc do banku, to złodziej ją wyręczy poprzez trzykrotne
niepoprawne wprowadzenie numeru PIN.
Użytkownik stosujący się do powyższych kilku prostych rad
poprawiających bezpieczeństwo transakcji kartami płatniczymi w świecie
NUMER 1/2016
45
fizycznym z całą pewnością może powiedzieć, że karta jest bezpieczniejsza
niż gotówka. Istnieje wiele sposobów kradzieży, lecz jest tak samo dużo
sposobów przeciwdziałania. Zatrważającym jest fakt, że tak elementarnej
i przydatnej wiedzy w życiu nie uczą w szkołach od najmłodszych lat.
NUMER 1/2016
46
BEZPIECZEŃSTWO DANYCH OSOBOWYCH A
SPRYTNY POMYSŁ NA KRADZIEŻ TOŻSAMOŚCI
Dane osobowe, to wszelkie informacje, które w zarówno sposób
bezpośredni jak i pośredni mogą posłużyć do zidentyfikowania osoby
fizycznej. W dobie społeczeństwa informacyjnego, w jakim przyszło
egzystować dzisiaj człowiekowi są to dane wyjątkowo wrażliwe,
zawierające wiele newralgicznych elementów, które mogą zostać
wykorzystane w sposób nieautoryzowany do czynności godzących w
bezpieczeństwo ich właściciela. W artykule o luce w internetowej
platformie ZUS zostało opisane, że wystarczyło znać najbardziej
podstawowe dane człowieka aby zobaczyć np. ile zarabia albo powiększyć o
dane szczegółowe bazę danych o kimś. Gdy szczegółowe dane osobowe
znajdą się w nieodpowiedniej dyspozycji mogą wyrządzić wiele szkód
zarówno materialnych jak i moralnych.
Liczna grupa cyberprzestępców bezustannie żeruje na danych
osobowych swoich ofiar. Czerpią oni korzyści kosztem właścicieli danych,
którzy „sami” im te dane powierzają. Wykorzystując do tego odpowiednią
socjotechnikę „łowcy danych osobowych” zdobywają za pośrednictwem sieci
nawet skany dowodów osobistych i prawa jazdy. Są przypadki wyłudzania
szczegółowych planów dnia, informacji o rodzinie, miejscu zamieszkania.
Wszystko to nie jest kradzione w sposób bezpośredni. Te dane przekazują
dobrowolnie same ofiary. Ludzie, którzy nie są świadomi możliwości
zagrożeń, jakie stwarzają powierzając komuś dane. Nie oddają oni danych
instytucjom państwowym, które w jakiejś mierze zapewniają ich ochronę.
Przekazują dane osobowe osobie pod drugiej stronie monitora, o której
wiedza jest ograniczona.
Najważniejsze zagrożenia przy kradzieży tożsamości:





Aktywowanie na telefonach wysokopłatnych subskrypcji
Zakładanie na dane różnych kont w serwisach i portalach
społecznościowych
Zakładanie kont w sklepach internetowych oraz portalach
aukcyjnych
Wyłudzanie na dane ofiary kredytów gotówkowych
Zakładanie kont bankowych, które zostaną użyte do fraudów (A.
Przybysz, 2015.)
W jaki sposób odbywa się zuchwała kradzież tożsamości przez sieć?
NUMER 1/2016
47
Sposobów jest wiele, jednak w tym artykule autor skupi się na jednej
z prostszych i ciekawszych technik, która jest szeroko stosowana z uwagi
na skuteczność. Trzeba zaznaczyć, że technika ta jest skuteczna z dwóch
powodów – psychologicznym – daje poczucie możliwości zyskania czegoś
oraz pragmatycznym – brak wiedzy ofiary o zagrożeniach.
Na potrzeby artykułu autor pozwoli sobie posłużyć się przykładem:
Kowalski Jan szuka pracy. Jak to szukanie pracy w sieci, oferty jakieś są,
ale najniższa krajowa nie jest celem Kowalskiego. Szuka czegoś ekstra.
Codziennie wysyła wiele CV i listów motywacyjnych. Trafia w końcu na
ogłoszenie, które oferuje duże zarobki, niewielką ilość pracy i naprawdę
dogodne warunki. Wysyła CV i LM na adres mailowy podany w ogłoszeniu,
lecz patrząc na liczbę odwiedzin ogłoszenia nie liczy na zbyt wiele. Jednak
następnego dnia Kowalski otrzymuje odpowiedź od wymarzonego
pracodawcy, że jest zainteresowany jego kandydaturą. Jednocześnie
ogłoszeniodawca w wiadomości zwrotnej podkreśla, że proces rekrutacji
składa się z kilku etapów, które każdy wytypowany musi przejść.
Kowalskiemu w głowie rodzi się pomysł aby przejść wszystkie etapy
rekrutacji bez względu na cokolwiek. Pierwszym etapem jest wypełnianie
szczegółowego formularza, w którym pomiędzy nieistotnymi pytaniami
ukryte są pytania wyłudzające dodatkowe dane osobowe. Kowalski wysyła
starannie wypełniony formularz i oczywiście otrzymuje maila zwrotnego,
że został zakwalifikowany do drugiego etapu rekrutacji, a jest nim
rejestracja w wewnętrznym serwisie ogłoszeniodawcy, a w tym celu
niezbędny jest skan dowodu osobistego. Jako, że Kowalski wiele razy dzielił
się swoim skanem dowodu osobistego, to nie sprawia mu to kłopotu. Po
kilku etapach rekrutacji, w którym każdy wyłudza jakieś dane osobowe
Kowalski jest zaślepiony przedostaniem się tak wysoko, że wyśle do
ogłoszeniodawcy już niemal wszystko. Kiedy cyberprzestępca po drugiej
stronie monitora zdobędzie to, czego chciał urywa kontakt, a Kowalski
może już zgłosić przestępstwo kradzieży tożsamości. Na pewno ktoś jego
dane wykorzysta. Dane, które sam przekazał.
Problem leży zarówno w naturze człowieka i jego ufności jak i
szczególnie w braku wiedzy. Kowalski wie jak rozmnaża się pantofelek, wie
„co autor wiersza miał na myśli”, zna przyczyny śmierci Lenina, lecz nie
ma pojęcia o bezpieczeństwie danych osobowych, którymi posługuje się na
co dzień. Coś tam gdzieś słyszał o braniu kredytów na czyjeś dane, lecz
nigdy nie podejrzewał, że sprawa może dotknąć właśnie jego. Dlaczego tak
się stało? Kowalskiemu nikt nigdy nie powiedział, nie nauczył go, gdyż
program szkolny nie przewiduje nauki o bezpieczeństwie podstawowych
danych osobowych. Zatrważające jest to, że bezpieczeństwo danych
NUMER 1/2016
48
osobowych mogłoby poprawić się w prosty sposób, lecz poprawiane nie jest,
a dostęp do elementarnej wiedzy zdobywają pracownicy korporacji na
kosztownych szkoleniach.
Bibliografia:
1. Przybysz, 2015, Uwaga na ogłoszenia o pracę jako „tajemniczy klient”,
<http://gazetapraca.pl/gazetapraca/1,90443,17268397,Uwaga_na_ogloszenia_o_p
race_jako__tajemniczy_klient_.html>, dostępny 19.09.2016.
NUMER 1/2016
49
BEZPIECZEŃSTWO DANYCH OSOBOWYCH.
KONSEKWENCJE KRADZIEŻY TOŻSAMOŚCI
Kradzieże tożsamości stają się coraz popularniejszym sposobem
zarabiania cyberprzestępców łączących wirtualne umiejętności przestępcze
ze światem realnym. Zarówno zgubienie dokumentów jak i udostępnienie
danych osobowych nieodpowiednim czy też nieprawidłowe przechowywanie
mogą tak samo być przyczyną wielu finansowych i moralnych przykrości,
które cyberprzestępca może wyrządzić swojej ofierze. Ból może zostać
przysporzony na kilka różnych sposobów. W tym artykule autor porusza
najważniejsze z nich celach naukowych. Inteligentny człowiek uczy się na
błędach innych ludzi, dlatego warto je przytoczyć i opisać. Wiedza ta może
pomóc zapobiec wielu stresowym sytuacjom związanym bezpośrednio z
bezpieczeństwem danych osobowych.
Jedną z bardziej przykrych konsekwencji jest założenie działalności
gospodarczej na dane ofiary. Celem nie jest oczywiście zarabianie pieniędzy
w sposób uczciwy. Przestępcy celują w wyłudzanie zwrotu podatku VAT.
Najczęściej odbywa się to przez tzw. karuzele podatkowe. Termin ten
utworzył się sam i obrazuje sposób fraudu. Wystarczy, że przestępca założy
dwie fikcyjne działalności gospodarcze na cudze dane i przez jakiś czas w
sposób zasadniczo normalny je poprowadzi. Sztuczne zakupy, sprzedaże,
może biuro rachunkowe? Wynajem lokalu, a można to zrobić poprzez
Internet. Odprowadzenie podatku. Wszystko pozornie wygląda bardzo
zwyczajnie. Nagle jedna z fikcyjnych firm sprzedaje drugiej usługę o dużej
wartości. Zazwyczaj jest to usługa nie do udowodnienia, np. szkolenie,
usługa informatyczna, itp. Zatem firma numer 1 wzbogaciła się na poczet
firmy numer 2 o kwotę X, którą to firma numer 2 musiała zapłacić za
usługę firmie numer 1. Teraz firma numer 2 może wystąpić do Urzędu
Skarbowego o zwrot podatku VAT za poniesione koszty usługi od firmy
numer 1. Pieniądze z US trafiają na konto firmy numer 2, zaś firma numer
1 przepada bez wieści. Organy ścigania w pierwszej kolejności udadzą się
do ofiar kradzieży tożsamości. Urzędu Skarbowego do wyjaśnienia sprawy
nie będzie obchodziło kto jest winny. Tak wygląda w skrócie założenie
działalności gospodarczej na skradzione dane ofiary.
Do bardziej zuchwałych przestępstw z wykorzystaniem tożsamości
ofiary zalicza się kradzieże z wypożyczalni. Złodzieje z reguły nie celują w
wypożyczalnie łyżworolek czy kajaków. Z reguły są to przedmioty, które w
łatwy sposób mogą zostać spieniężone na czarnym rynku. Do takich rzeczy
NUMER 1/2016
50
należą przede wszystkim wszelkiego rodzaju wysokiej jakości sprzęty
budowlane. Wypożyczyć je można w każdym większym i mniejszym mieście
na dowód osobisty. Złodzieje sięgają również po samochody z wypożyczalni
aut. Przestępca po podpisaniu umowy na dane ofiary, której tożsamość
została skradziona już nigdy nie wraca samochodem do miejsca, skąd je
wziął. Auto najczęściej jest rozbierane na części i sprzedawane daleko od
miejscowości wypożyczalni, a często w innym kraju. Ofierze po takim
zajściu zostają przykre konsekwencje. Udowodnienie, że „nie jest się
wielbłądem” nie jest takie proste jak się pozornie wydaje. Zarzut
zainicjowania fikcyjnej kradzieży tożsamości nie należy do najrzadziej
stawianych przez organy ścigania.
Skoro już mowa o samochodach warto skupić uwagę również na
mandatach oraz punktach karnych. Przestępca, który drogą znalezienia
bądź kradzieży wejdzie w posiadanie prawa jazdy ofiary często
wykorzystuje je podczas kontroli drogowych. Wówczas niemal nie do
udowodnienia jest, że mandat nie został wypisany słusznie. Jak często
ludzie oglądają swoje prawo jazdy, dowód osobisty i inne dokumenty
tożsamości? Zapewne większość nie pamięta jak wygląda ich zdjęcie sprzed
kilku laty. Ten czas jest pożywką dla przestępcy.
Kolejnym przestępstwem z użyciem cudzej tożsamości jest wynajem
nieruchomości. W przypadku wynajęcia przez przestępcę pokoju
hotelowego o wysokim standardzie zapewne dokonana zostanie kradzież
fizyczna wartościowych przedmiotów. Policja może być pod drzwiami ofiary
kradzieży tożsamości już następnego dnia o 6.00, zaś o 6.01 ofiara może
leżeć w bieliźnie twarzą przy podłodze z wykręconymi rękami za plecami.
Cyberprzestępcy są bardziej wyrafinowani. Wynajmując pokój hotelowy
często dokonują z hotelowych łączy przestępstw internetowych. Wówczas
organy ścigania zapukają do drzwi ofiary nieco później, jednak na pewno
zapukają. Zdarza się również, że przestępca wynajmuje mieszkanie od
osoby prywatnej na dane ofiary kradzieży tożsamości. W tym przypadku
prywatny wynajmujący nie jest w stanie zweryfikować czy dowód osobisty
został zarejestrowany jako skradziony. Hipotetycznie może to zrobić,
jednak w praktyce mało kto jest taki podejrzliwy.
Ciekawym z przestępczego punktu widzenia sposobem na
wykorzystanie
czyjejś
tożsamości
jest
założenie
abonamentu
telekomunikacyjnego. Podpisanie umowy na drogi abonament „ze
wszystkim w pakiecie”. Oczywiście również z flagowym smartfonem znanej
marki. To przestępstwo wykrywane jest bardzo późno, ponieważ jeśli
przestępca zmieni adres korespondencji do faktur za abonament, to długo
nic nie przyjdzie do ofiary kradzieży tożsamości. Dopiero po kilku
NUMER 1/2016
51
miesiącach niepłacenia operator wyśle wezwanie do zapłacenia również na
faktyczny adres z dowodu osobistego. Przestępcy oprócz oczywistych
korzyści materialnych na tym czynie zyskują jeszcze względnie wysokiego
szczebla anonimowość telekomunikacyjną.
Chyba do najbardziej popularnych i znanych przestępstw z
wykorzystaniem cudzej tożsamości zalicza się oczywiście wyłudzenie
kredytu. Najczęściej są to tzw. „kredyty – chwilówki” czyli kolokwialnie
mówiąc – lichwa. Pożyczki „od ręki” na dowód osobisty i nawet
kilkutysięczny procent. Pożyczki te są udzielane niemal każdemu, gdyż
firmy nie tracą na tym, że ktoś coś wyłudzi. Wszystko jest ubezpieczone, a
ubezpieczenie, choć wysokie, jest tylko jednym z kosztów prowadzenia
takiej działalności. Firmy windykacyjne pracujące na zlecenie działalności
zajmującymi się udzielania kredytów - chwilówek szczycą się wysokim
odsetkiem skuteczności. Nie dadzą łatwo za wygraną. Nie jeden cwaniak
próbował tłumaczenia „to nie ja brałem ten kredyt, ktoś ukradł mi dowód”.
W takim przypadku działanie jest schematyczne i nikogo nie faworyzuje.
Oddać pieniądze musi ofiara. Oczywiście prawo do sądzenia jak najbardziej
występuje, jednak udowodnienie faktu kradzieży tożsamości jest
wyjątkowo trudnym wyzwaniem.
Kradzieże tożsamości, to popularne przestępstwa. Występują niemal
na całym świecie. Warto wiedzieć co może się stać w przypadku padnięcia
ofiarą przestępcy, w którego ręce wpadną dane osobowe czy dokumenty
tożsamości. Obrazowanie przestępstw ma na celu pokazanie czytelnikowi
co może stracić. To o wiele mocniejsza motywacja niż potencjalny zysk.
Warto jednak uprzedzić złodzieja i zastrzec dokument jednym kliknięciem.
Łatwo, wygodnie, online. Wystarczy zarejestrować dokument tożsamości w
internetowym serwisie BIK (Biuro Informacji Kredytowej), by w
przypadku dostrzeżenia kradzieży zadziałać jak najszybciej, gdyż każda
minuta ma znaczenie. W przypadku przekazywania danych osobowych
należy zwracać szczególną ostrożność na to komu, co, gdzie i w jaki sposób
przekazujemy. Nawet Policja, która często nadużywa swoich uprawnień w
tej kwestii może być potencjalnym zagrożeniem, bowiem często zdarza się
tak, że zostajemy zatrzymani do kontroli drogowej. Wyjmujemy
dokumenty, przekazujemy je w ręce funkcjonariusza, a ten idzie z nimi do
radiowozu. Nie ma pewności czy nie zostanie zrobione zdjęcie tych
dokumentów. Prawo nakłada na kontrolowanego obowiązek okazania
dokumentów, a nie przekazania. Warto uprzejmie poprosić o nie oddalanie
się z dokumentami tożsamości. Może zdarzyć się tak, że funkcjonariusz
zechce być złośliwy w takim przypadku, jednak jeśli dodać do tego zdanie,
że padliśmy ofiarą kradzieży tożsamości, gdyż podczas kontroli nieuczciwy
NUMER 1/2016
52
strażnik miejski zrobił zdjęcie i sprzedał dane, to możemy spotkać się z
wyrozumiałością kontrolującego policjanta.
Bibliografia:
Artykuł inspirowany ogólnopolską akcją edukacyjną zainicjowaną przez Biuro
Informacji Kredytowej oraz Komendę Główną Policji, <nieskradzione.pl>, dostęp
16.09.2016.
NUMER 1/2016
53

numer 1/2016

Transkrypt

Podobne dokumenty

Odpowiedzi na pytania

Czasopisma udostępniane w bibliotece szkolnej w roku szk. 2012

Żywienie w cukrzycy i potrzeby młodego, rozwijającego się organizmu.

TUTAJ

Marzec - Kwiecień

Czasopisma elektroniczne

BAZA E-CZASOPISM PEDAGOGICZNYCH