Biuletyn Bezpieczny Internet
Transkrypt
Biuletyn Bezpieczny Internet
Biuletyn Bezpieczny Internet listopad 2013 Redakcja: W aktualnym biuletynie znajdą Państwo następujące informacje: AKTUALNOŚCI Biuletyn przygotowuje redakcja di24.pl – Dziennik Internautów Poprawki bezpieczeństwa do programów Microsoft Najnowsze wirusy i zagrożenia w Internecie WARTO WIEDZIEĆ Copyright © 2007-2013 Dziennik Internautów Sp. z o.o. Co klient bankowości internetowej musi wiedzieć o ciasteczkach PORADNIK PIN, czyli dobrze się zastanów, zanim wpiszesz 1234 SŁOWNICZEK Zapoznaj się z trudnymi pojęciami WYDANIA ARCHIWALNE Poprzednie wydania Biuletynu (online) Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 AKTUALNOŚCI Najnowsze wirusy i zagrożenia w Internecie Pamiętajmy, iż bezpieczne korzystanie z bankowości internetowej oraz zasobów Internetu zapewniają nie tylko programy antywirusowe, antyspyware i zapory sieciowe, ale przede wszystkim wiedza na temat możliwych zagrożeń i wyobraźnia internauty. Zdobyciu tej wiedzy, a jednocześnie poszerzeniu zakresu wyobraźni służyć mają poniższe informacje. ŚWIEŻY PAKIET AKTUALIZACJI OD ADOBE Nic nie wskazuje na to, by twórcy szkodliwego oprogramowania mieli zaprzestać ataków na programy Adobe, warto więc zainteresować się wydanymi we wrześniu poprawkami. Firma Adobe opublikowała 10 września kilka biuletynów zabezpieczeń. APSB13-21 usuwa cztery luki w programie Flash Player i środowisku AIR (Adobe Integrated Runtime). Pozwalają one atakującemu przejąć kontrolę nad podatnym systemem i występują na różnych platformach, choć - jak zwykle - najbardziej zagrożeni są użytkownicy Windowsa i Maca. szczegółowe informacje http://www.adobe.com/support/security/bulletins/apsb13-21.html Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 APSB13-22 eliminuje osiem luk w programach Adobe Reader i Adobe Acrobat. Większość z nich umożliwia przejęcie kontroli nad systemem użytkownika, poprawki nie należy więc bagatelizować. szczegółowe informacje http://www.adobe.com/support/security/bulletins/apsb13-22.html APSB13-23 likwiduje dwie luki w programie Shockwave Player (jest to wtyczka podobna do Flash Playera, tyle że coraz rzadziej wykorzystywana w przeglądarkach). Usuwane luki pozwalają na zdalne wykonanie złośliwego kodu. szczegółowe informacje http://www.adobe.com/support/security/bulletins/apsb13-23.html Microsoft ostrzega przed exploitem. Zagrożone są wszystkie wersje IE Nowo odkryta luka 0-day umożliwia atakującemu zdalne wykonanie kodu. Jak wynika z wpisu na blogu Security Research & Defense, w sieci pojawił się exploit wykorzystujący lukę CVE2013-3893, na którą podatne są wszystkie wersje przeglądarki Internet Explorer - od przestarzałej (ale wciąż wspieranej przez producenta) „szóstki” po wydaną ostatnio „jedenastkę”. Przedstawiciel Microsoftu uspokaja, że na razie odnotowano tylko ataki ukierunkowane na wybrane cele. Mamy tu jednak do czynienia z techniką drive-by download, zagrożeni są więc wszyscy użytkownicy IE. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Exploit atakuje silnik renderujący przeglądarki, a celem tego ataku jest ominięcie mechanizmu ASLR (ang. Address Space Layout Randomization), który umiejscawia biblioteki i aplikacje w losowych obszarach pamięci. W efekcie powstaje możliwość zdalnego wykonania kodu z uprawnieniami zalogowanego w danej chwili użytkownika. W związku z tym osoby, których konta zostały skonfigurowane tak, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które pracują z uprawnieniami administracyjnymi. Więcej http://di.com.pl/news/48838,8.html ESET Smart Security 6 - nowa wersja popularnego antywirusa Najnowszy pakiet antywirusowy firmy ESET okazał się bardzo prosty w obsłudze - z jego konfiguracją powinni sobie poradzić nawet niedoświadczeni użytkownicy. ESET Smart Security 6, podobnie jak inne rozwiązania antywirusowe, już podczas instalacji zachęca do skorzystania z ochrony w chmurze, a konkretnie z usługi Live Grid opartej na systemie wczesnego ostrzegania ThreatSense.net, co wiąże się oczywiście z przesyłaniem pewnych danych do producenta. Chodzi głównie o próbki lub kopie podejrzanych plików, ścieżki dostępu do tych plików, dokładny czas wykrycia infekcji, nazwy procesów, za pośrednictwem których zagrożenia pojawiły się na komputerze oraz informacje o systemie operacyjnym. Co istotne, pliki z takimi rozszerzeniami, jak DOC czy XLS, są wyłączone z procesu przesyłania. Użytkownik może zresztą samodzielnie skonfigurować usługę po kliknięciu opcji Narzędzia > ESET Live Grid w ustawieniach zaawansowanych. Istnieje też możliwość zrezygnowania z ochrony w chmurze, co nie wpływa na funkcjonalność samego programu. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Zamiast znanego z innych programów szybkiego skanowania komputera ESET oferuje Skanowanie inteligentne. Skanowanie dokładne możemy przeprowadzić, dostosowując parametry Skanowania niestandardowego. W ustawieniach zaawansowanych możemy też uaktywnić i odpowiednio skonfigurować Skanowanie w trakcie bezczynności. Bazy sygnatur wirusów aktualizowane są 3-4 razy dziennie. Więcej http://di.com.pl/news/48759,8.html Przejściówka na USB zabezpieczy smartfona przed atakiem Nowoczesne smartfony zmuszają swoich użytkowników do częstego ładowania. Można w tym celu wykorzystać publicznie dostępny komputer albo stację do ładowania telefonów. Niestety jeśli podłączymy telefon w nieznanym miejscu przez USB, istnieje ryzyko ataku na urządzenie. Problem można rozwiązać, stosując specjalną przejściówkę pomiędzy wtyczką a gniazdem USB. Ta przejściówka odcina dostęp do tych pinów, które służą do przesyłania danych. Po jej zastosowaniu działają tylko styki zasilające. Przejściówka tego typu trafiła do oferty Int3.cc i dostępne sztuki zostały szybko wyprzedane. Więcej http://di.com.pl/news/48824,8.html Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 iPhone 5s: Czytnik odcisków palców można oszukać bez specjalnego sprzętu Zabezpieczenie Touch ID stosowane w nowym modelu iPhone'a złamali hakerzy z Niemiec, posługując się fotografią odcisku palca właściciela urządzenia. Można dyskutować o trudności tej metody, ale z pewnością nie wymaga ona specjalnego sprzętu. Kiedy firma Apple pokazała Touch ID - czytnik linii papilarnych w iPhone 5s - wszyscy zachwycali się tym, jak wygodna i bezpieczna jest nowa metoda uwierzytelniania. Niełatwo jest przecież podrobić odcisk palca, który oszukałby tę technologię, prawda? Niestety hakerzy z grupy Chaos Computer Club (CCC) postanowili udowodnić, że to zabezpieczenie da się złamać i to przy użyciu środków dostępnych dla każdego. Można dyskutować o tym, czy zaprezentowana przez hakerów metoda jest łatwa do realizacji, ale wystarczy do niej ogólnodostępny sprzęt i niedrogie materiały. Mówiąc najprościej, hakerzy: sfotografowali odcisk palca pozostawiony na szkle (wcześniej poprawiając jego widoczność przy użyciu pyłu grafitowego); cyfrowo "oczyścili" jego obraz; wydrukowali odcisk na przezroczystej folii w wysokiej rozdzielczości, dzięki czemu toner stworzył coś w rodzaju formy drukarskiej; pokryli folię klejem (może to być mleczko lateksowe), który uformował się w sztuczny odcisk palca i dał się zdjąć z folii. Więcej http://di.com.pl/news/48855,8.html Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Ransomware coraz groźniejsze Zetknęliście się już z trojanem-szantażystą, który blokuje komputer i żąda opłaty karnej za rzekome naruszenia? W sieci pojawiają się wciąż nowe mutacje tego zagrożenia, w tym takie, które przekierowują użytkownika na strony z pornografią dziecięcą. Twórcy szkodliwego oprogramowania skupiają się na osiąganiu zysków. Sztandarowym przykładem takich działań może być ransomware, które próbuje wyłudzić kilkaset złotych, podszywając się pod policję. Ciekawą analizę nowo pozyskanych próbek tego zagrożenia opublikował CERT Polska. Polski zespół CERT opisuje dwa sposoby rozpowszechniania zagrożenia. W pierwszym przypadku twórcy ransomware wstrzyknęli kod JavaScript do źródeł nieszkodliwych stron w domenach .gov.pl oraz .eu. Drugim wektorem ataku było przejęcie kontroli nad systemem reklam. W obu przypadkach ściągnięte oprogramowanie blokowało komputer użytkownika, żądając okupu za zdjęcie blokady. Więcej http://di.com.pl/news/48861,8.html Adobe ofiarą ataku. Wyciekły dane 2,9 mln klientów i kod źródłowy Firma Adobe ogłosiła, że padła ofiarą zaawansowanego cyberataku. Trwa ustalanie, jakie mogły być wszystkie jego efekty. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Firma sama przyznała, że atakujący mogli uzyskać identyfikatory jej klientów oraz zaszyfrowane hasła. Ponadto usunęli z jej systemów informacje dotyczące 2,9 mln klientów. Te informacje to nazwiska klientów, zaszyfrowane numery kart kredytowych lub debetowych, darty wygaśnięcia usług lub inne dane związane z zamówionymi usługami. Firma nie sądzi, aby atakującym udało się uzyskać dane niezaszyfrowane. Niemniej postanowiła podjąć pewne środki ostrożności. Część użytkowników zostanie poproszona emailem o zresetowanie haseł. Firma Adobe namawia też do zmiany haseł na innych stronach, jeśli były one takie same, jak hasła w usługach Adobe. Klienci, których mógł dotyczyć wyciek informacji na temat kart kredytowych, otrzymają specjalne powiadomienia z instrukcjami, jak powinni postąpić. Firma powiadomiła też banki o wycieku, co może pomóc w chronieniu użytkowników. Adobe zwróciła się również z informacjami do organów ścigania i czeka na wyniki ich dochodzenia. Więcej http://di.com.pl/news/48913,8.html Śpimy ze swoimi smartfonami w zasięgu ręki, ale nie dbamy o ich ochronę Mało tego, średni koszt ataku przypadający na ofiarę cyberprzestępczości wzrósł w ciągu ostatniego roku o 50% - czytamy w Raporcie Norton 2013. Według raportu firmy Symantec opublikowanego we wrześniu 2012 r. średni koszt przypadający na ofiarę oscylował wokół 197 USD. Z prezentacji podsumowującej tegoroczne badania wynika, że obecnie średni koszt ataku sięga 289 USD. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Oto kilka kluczowych ustaleń dotyczących polskich internautów: W ciągu ostatnich 12 miesięcy 6 milionów Polaków padło ofiarą cyberprzestępców. W tym czasie koszty związane z działalnością przestępców internetowych wyniosły w naszym kraju 6 miliardów złotych. Tylko 28% używa podstawowych programów zabezpieczających na smartfonach. 50% użytkowników smartfonów nie kasuje e-maili od nieznanych nadawców. 21% polskich rodziców pozwala dzieciom korzystać ze swoich służbowych urządzeń, a w szczególności grać na nich, pobierać aplikacje oraz robić zakupy. 31% Polaków dzieli się z innymi swoimi hasłami do mediów społecznościowych. Więcej http://di.com.pl/news/48963,8.html "Szybka kasa" to wciąż podstawowa motywacja dla atakujących Androida Dzięki zestawom do tworzenia mobilnego malware'u, dostępnym na podziemnych forach, ataków mogą dokonywać nawet niedoświadczeni przestępcy - czytamy w najnowszym raporcie firmy G Data. Przykładem takiego zestawu jest Perkele (po fińsku "diabeł", oficjalna nazwa to Android.Trojan.FakeSite.A). Można go nabyć jako "android malware kit" stargetowany wyłącznie na jeden bank w cenie 1000 USD lub w pełnej wersji, obejmującej swoim zakresem 66 banków, za 15 000 USD. Modułowa budowa i współdziałanie z dowolnie wybranym trojanem dokonującym ataków webinject* czynią z Perkele popularne narzędzie nie tylko wśród przestępczych nowicjuszy. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W sumie w pierwszym półroczu 2013 r. specjaliści z G Data wykryli 519 095 nowych zainfekowanych plików, co oznacza wzrost o 180% w porównaniu do drugiej połowy 2012 r. (185 210 plików) i ponad 16-krotny wzrost w stosunku do jego pierwszej połowy (29 595 plików) Więcej http://di.com.pl/news/48965,8.html Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Biuletyny bezpieczeństwa Microsoftu W październiku mija dziesięć lat, odkąd gigant z Redmond zabrał się za comiesięczne publikowanie swoich biuletynów. Najnowszy zestaw zawiera cztery aktualizacje krytyczne i cztery oznaczone jako ważne. BIULETYNY KRYTYCZNE Biuletyn MS13-080 To bez wątpienia najważniejszy z wydanych w tym miesiącu biuletynów, likwidujący w sumie dziewięć Microsoftu, zdarza się bowiem, że inne, potrzebne nam oprogramowanie wykorzystuje komponenty Internet Explorera.podatności w przeglądarce Internet Explorer, w tym również ujawnioną miesiąc temu lukę 0-day umożliwiającą przeprowadzanie ataków drive-by download. Błędy znaleziono we wszystkich wersjach IE - od przestarzałej (ale wciąż wspieranej przez producenta) „szóstki” po wydaną ostatnio „jedenastkę”. Aktualizację należy zainstalować, nawet jeżeli na co dzień nie używamy przeglądarki. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-080 Biuletyn MS13-081 Kolejny biuletyn krytyczny usuwa siedem luk w zabezpieczeniach sterowników trybu jądra systemu Windows. Większość z nich pozwala na zdalne wykonanie kodu, gdy użytkownik Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 wyświetli specjalnie spreparowaną zawartość, w której osadzono czcionki OpenType lub TrueType. Na atak podatne są wszystkie wersje Windowsa, również te najnowsze. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-081 Biuletyn MS13-082 Z tym natomiast biuletynem dostarczana jest poprawka dla środowiska uruchomieniowego .NET Framework. Usuwa ona trzy luki, chroniąc przed zdalnym wykonaniem kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę WWW w programie obsługującym aplikacje XBAP. Luki występują w następujących wersjach .NET Frameworka: 2.0, 3.0, 3.5, 3.5.1, 4 oraz 4.5. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-082 Biuletyn MS13-083 Następny biuletyn likwiduje lukę, która umożliwia zdalne wykonanie kodu po stronie serwera, na którym uruchomiono aplikację internetową ASP.NET. Aktualizację powinni zainstalować użytkownicy wszystkich wersji Windowsa z wyjątkiem tych najnowszych (Windows 8.1 oraz Windows Server 2012 R2). szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-083 Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 BIULETYNY WAŻNE Biuletyn MS13-084 Ten biuletyn usuwa dwie luki w pakiecie Microsoft Office, a konkretnie w oprogramowaniu Microsoft SharePoint Server, Microsoft Office Services oraz Web Apps. Poprawka chroni użytkownika przed zdalnym wykonaniem kodu w przypadku otwarcia specjalnie spreparowanego dokumentu w którejś z podatnych aplikacji. Aktualizacją powinni zainteresować się użytkownicy wersji 2007, 2010 oraz 2013. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-084 Biuletyn MS13-085 Z następnym biuletynem dostarczana jest aktualizacja, która likwiduje dwie podatności w arkuszu kalkulacyjnym Microsoft Excel. Poprawka uniemożliwia zdalne wykonanie kodu w przypadku otwarcia specjalnie spreparowanego pliku. Osoba, której uda się wykorzystać luki, może uzyskać takie same uprawnienia, jak aktualnie zalogowany użytkownik. Oprogramowanie podatne na atak to: Microsoft Office 2007, 2010, 2013 i 2013 RT, Microsoft Office for Mac 2011, Microsoft Excel Viewer oraz Microsoft Office Compatibility Pack. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-085 Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Biuletyn MS13-086 Również ta aktualizacja dotyczy pakietu Microsoft Office i uniemożliwia zdalne wykonanie kodu w przypadku otwarcia specjalnie spreparowanego pliku tekstowego w edytorze Microsoft Word podatne wersje to 2003 i 2007. Brak aktualizacji może doprowadzić do uzyskania przez atakującego uprawnień aktualnie zalogowanego użytkownika. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-086 Biuletyn MS13-087 Ostatni z wydanych w październiku biuletynów usuwa lukę w oprogramowaniu Microsoft Silverlight 5. Likwidowana podatność pozwala na ujawnienie informacji, gdy użytkownik otworzy specjalnie spreparowaną stronę WWW. szczegółowe informacje http://technet.microsoft.com/en-us/security/bulletin/ms13-087 Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 WARTO WIEDZIEĆ Co klient bankowości internetowej musi wiedzieć o ciasteczkach Od kilku miesięcy, odwiedzając różne serwisy, w tym także strony internetowe banków, możemy się natknąć na komunikaty dotyczące ciasteczek (ang. cookies). Wymóg ich wyświetlania wprowadziła nowelizacja prawa telekomunikacyjnego dostosowująca polskie przepisy do unijnych. Z tego względu większość internautów już wie, że ciasteczka to informacje o użytkowniku danej witryny zapisywane w mechanizmach jego przeglądarki (spośród popularnych przeglądarek tylko Internet Explorer przechowuje ciasteczka w postaci zwykłych plików tekstowych). Podstawowym zastosowaniem ciasteczek jest rozpoznawanie konkretnego użytkownika w aplikacji webowej. Przykładowo, po poprawnym zalogowaniu się do serwisu bankowości internetowej serwer ustawia nam w przeglądarce ciasteczko sesyjne, dzięki czemu nie musimy się ponownie logować na każdej kolejnej stronie w tym serwisie. Warto wiedzieć, że przechwycenie takiego ciasteczka (atak typu session hijacking) umożliwi przestępcy operowanie na naszym koncie bez znajomości danych identyfikacyjnych. Dlatego nie zapominajmy o wylogowaniu się przed zamknięciem przeglądarki. Z ciasteczek korzystają też strony serwujące reklamy. Dzięki informacjom zapisanym w przeglądarce mogą one monitorować naszą aktywność w internecie, co rzekomo skutkuje lepszym dopasowaniem reklam do naszych potrzeb. W 2010 roku Federalna Komisja Handlu zaproponowała dodanie do przeglądarek opcji Do Not Track (czyli „nie śledź”). Dzisiaj można ją znaleźć w każdej popularnej przeglądarce – jak z niej korzystać, pokazujemy poniżej. Wyjaśniamy też krok po kroku, jak usuwać niepotrzebne już ciasteczka. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Jak zarządzać ciasteczkami w nowych wersjach popularnych przeglądarek? Firefox 24 Zaczynamy od usunięcia ciasteczek. W tym celu z menu wybieramy Historia, a potem Wyczyść historię przeglądania. Można też skorzystać z klawiaturowego skrótu Ctrl + Shift + Del. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W nowo otwartym oknie wskazujemy, jakie dane chcemy usunąć oraz z jakiego okresu. Wybór potwierdzamy przyciskiem Wyczyść teraz. Zaznaczona na poniższym zrzucie ekranu pamięć podręczna oznacza elementy odwiedzanych przez nas stron, które przeglądarka przechowuje, by móc je szybciej wczytać podczas kolejnego otwierania. Opróżnienie pamięci podręcznej może być konieczne, gdy zauważymy, że potrzebna nam strona nie działa poprawnie. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Aby użyć funkcji Do Not Track i zarządzać ciasteczkami, musimy z menu wybrać Opcje, następnie – jeszcze raz – Opcje. W nowo otwartym oknie przechodzimy do zakładki Prywatność. Tam w pierwszej kolejności zaznaczamy Informuj witryny, że użytkownik nie chce być śledzony. Możemy też ustalić, jak przeglądarka ma postępować z ciasteczkami. Osoby dbające o swoją prywatność mogą zaznaczyć, by Firefox przechowywał ciasteczka tylko do zamknięcia programu. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Jeżeli wybierzemy opcję Czyść historię podczas zamykania programu Firefox, warto kliknąć przycisk Ustawienia i ustalić, co ma być usuwane: Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Google Chrome 30 Aby usunąć ciasteczka, trzeba wybrać z menu Narzędzia, a potem Wyczyść dane przeglądania. Ten sam efekt uzyskamy, naciskając klawisze Ctrl + Shift + Del. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W nowo otwartym oknie wybieramy, jakie dane chcemy usunąć oraz z jakiego okresu. Wybór potwierdzamy kliknięciem w przycisk Wyczyść dane przeglądarki. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Jeżeli z widocznego wcześniej menu (zamiast opcji Narzędzia) wybierzemy Ustawienia, a w nowo otwartym oknie klikniemy u dołu Pokaż ustawienia zaawansowane, to uzyskamy dostęp do następujących opcji: Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Warto przede wszystkim zaznaczyć pole Wysyłaj żądanie „Do not track” (bez śledzenia) podczas przeglądania. Wybierając przycisk Ustawienia treści, będziemy mogli zadecydować, jak długo i czy w ogóle ciasteczka będą przechowywane na naszym komputerze. Osobom dbającym o swoją prywatność polecamy zaznaczyć Zachowuj dane lokalne tylko do zamknięcia przeglądarki. Opera 12 Aby usunąć ciasteczka w Operze, trzeba wybrać z menu Ustawienia, a potem Wyczyść historię przeglądania. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W nowo otwartym oknie wybieramy Szczegóły i wskazujemy, jakie dane chcemy wyczyścić. Wybór potwierdzamy przyciskiem Usuń. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W kolejnym kroku wybieramy z menu Ustawienia, a potem Preferencje. W nowo otwartym oknie przechodzimy do zakładki Zaawansowane i klikamy Bezpieczeństwo. Właśnie tu możemy zaznaczyć opcję Informuj witryny, że użytkownik nie chce być śledzony. Wybór zatwierdzamy przyciskiem OK. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Zarządzać ciasteczkami możemy po wybraniu zakładki Ciasteczka. Osoby dbające o swoją prywatność mogą tu zaznaczyć opcję Usuwaj nowe ciasteczka podczas zamykania Opery. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Internet Explorer 10 Aby usunąć ciasteczka w IE10, z menu wybieramy Bezpieczeństwo, następnie Usuń historię przeglądania. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W nowo otwartym oknie wskazujemy, jakie dane chcemy wyczyścić. Potwierdzamy swój wybór, klikając przycisk Usuń. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 W najnowszej przeglądarce Microsoftu śledzenie użytkowników jest blokowane domyślnie, co w przeszłości było krytykowane przez reklamodawców (zob. w Dzienniku Internautów – http://di.com.pl/news/46648,0.html). Funkcję Do Not Track znajdziemy, wybierając z menu Opcje internetowe i przechodząc do zakładki Zaawansowane. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Na uwagę zasługuje też inny pomysł twórców IE. Z menu pokazanego na pierwszym zrzucie ekranu wybieramy opcję Bezpieczeństwo, następnie Ochrona przed śledzeniem. W nowo otwartym oknie należy kliknąć Uzyskaj listę ochrony przed śledzeniem online. Spowoduje to otwarcie strony, na której znajdziemy kilka list mających zapobiegać wysyłaniu przez odwiedzane strony szczegółów naszych wizyt do innych dostawców treści. Na szczególną uwagę zasługuje EasyList, która opiera się na znanej z Adblocka Plus subskrypcji – polecamy skorzystać właśnie z niej. Aby to zrobić, należy kliknąć widoczny przy nazwie przycisk Dodaj. W nowo otwartym oknie trzeba potwierdzić swój wybór, klikając Dodaj listę. W taki oto sposób – niezależnie od przeglądarki – nawet komputerowy laik może szybko poprawić swoje bezpieczeństwo. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 PORADNIK PIN, czyli dobrze się zastanów, zanim wpiszesz 1234 PIN (ang. Personal Identification Number) to rodzaj unikalnego hasła, wykorzystywany najczęściej w procesach wymagających potwierdzenia tożsamości (np. logowanie do bankowości elektronicznej wykorzystującej automatyczne serwisy telefoniczne – IVR) oraz jako metoda uwierzytelnienia (np. podczas transakcji wykonywanych kartami płatniczymi w bankomatach oraz punktach handlowo-usługowych wyposażonych w specjalne terminale). Najczęściej składa się niestety tylko z czterech cyfr. Jego odgadnięcie pozwoli więc niepowołanej osobie na wypłatę pieniędzy z naszego konta lub zrobienie zakupów na nasz koszt. Przyjęte jest, że trzykrotne wprowadzenie błędnego PIN-u powoduje zablokowanie dostępu lub nośnika umożliwiającego wykonanie danej operacji. Warto więc zastanowić się nad trudnym do odgadnięcia kodem. Z pomocą przychodzą nam ustalenia ekspertów z firmy Data Genetics, którzy w ubiegłym roku przeanalizowali częstotliwość występowania określonych kodów w bazie złożonej z 3,4 miliona rekordów (utworzono ją z danych, które wyciekły wcześniej z różnych instytucji). Najbardziej popularnym ciągiem – co nikogo nie powinno jednak dziwić – okazał się 1234. Do pierwszej dwudziestki załapały się też wszystkie PIN-y złożone z jednej i tej samej cyfry (0000, 1111, 2222 itd.). Oto lista najczęściej powtarzających się kodów: Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Z wyliczeń analityków wynika, że w zaledwie 20 próbach mamy szansę odgadnąć aż 27% wszystkich używanych PIN-ów. Innym ciekawym wnioskiem z badań jest dosyć częste występowanie kodów o masce 19?? (czyli odpowiadających datom urodzenia). Nikomu nie trzeba chyba tłumaczyć, że korzystanie z podanych wyżej PIN-ów nie jest zbyt dobrym pomysłem. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Dla równowagi zerknijmy też na listę najrzadziej wybieranych kodów, które tym samym można uznać za najbezpieczniejsze: Zastanówmy się jeszcze nad sposobami pozyskiwania kodów PIN. Jeżeli nigdzie ich nie zapisaliśmy, przestępcom pozostaje tylko atak brute force, który opiera się na sukcesywnym sprawdzaniu wszystkich możliwych kombinacji w poszukiwaniu tej właściwej. Jak już wiemy, trzecia błędna próba wprowadzenia PIN-u skutkuje blokadą karty płatniczej lub dostępu do automatycznego serwisu telefonicznego (IVR). Dobrze dobrany kod powinien więc zapewnić naszym środkom bezpieczeństwo. Na uwagę zasługują jednak badania naukowców z Uniwersytetu Oksfordzkiego, Uniwersytetu Genewskiego oraz Uniwersytetu Kalifornijskiego w Berkeley, które pokazały, jak można Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 wykradać poufne dane, w tym kody PIN, za pomocą interfejsów mózg-komputer (ang. braincomputer interface, BCI). Nakładane na głowę sensory EEG odczytują aktywność mózgu i przekazują informacje do oprogramowania analizującego odebrane bodźce. W tym konkretnym przypadku naukowcy skupili się na wykrywaniu fali mózgowej P300. Pojawia się ona, gdy rozpoznajemy coś, co ma dla nas znaczenie (np. logotyp naszego banku). W badaniach wzięło udział 28 osób, które nie zdawały sobie sprawy z celu eksperymentu. Skuteczność wyników wahała się między 10% a 40%. W najbliższej przyszłości nie powinniśmy się więc spodziewać tego typu ataków, choć niewykluczone, że z biegiem czasu metoda zostanie udoskonalona… Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 SŁOWNICZEK Active Directory - to usługa katalogowa w systemie Windows, której zadaniem jest autoryzacja dostępu jednych usług lub obiektów w systemie Windows do innych. Active Directory Application Mode (ADAM) - to implementacja Active Directory, o podobnej do Acitve Directory funkcjonalności, która zwykle działa w systemie Windows jako usługa. ActiveX - technologia Microsoftu umożliwiająca przekazywanie danych pomiędzy programami pracującymi pod kontrolą systemu Windows ad-hoc - sposób połączenia dwóch urządzeń - zwykle komputerów znajdujących się w bezpośrednim zasięgu i wyposażonych w odpowiednie karty do połączeń bezprzewodowych (Wi-Fi) - w którym obydwa urządzenia mają równe prawa i mogą pełnić funkcję zarówno klienta jak i punktu dostępowego adres IP - (Internet Protocol address), to unikalny numer (adres) przyporządkowany komputerom podłączonym do Internetu oraz w sieciach lokalnych. Adres IP zapisywany jest w postaci czterech oktetów w postaci dziesiętnej, oddzielonych od siebie kropkami, np. adres IP Banku Pekao S.A.: 193.111.166.208. Do adresów IP zwykle przypisane są nazwy domen, np. pekao24.pl (bez istnienia nazw domen, trudno byłoby zapamiętać adresy numeryczne znanych nam, publicznych stron internetowych) adres MAC - (Media Access Control) - jest to 48-bitowa liczba stanowiąca identyfikator na stałe przypisany do danej karty sieciowej adware - patrz: program adware antyphishing - rozwiązanie zabezpieczające użytkownika Internetu przed oszukańczymi stronami, poprzez które cyberprzestępcy wyłudzają poufne dane antyspam - patrz: program antyspamowy antywirus - patrz: program antywirusowy archiwa - jeden lub więcej plików lub folderów skompresowanych odpowiednim programem, tak by zmniejszyć jego wielkość na dysku komputera ASCII - jest to kod przyporządkowujący liczby z zakresu 0-127 różnym znakom, jak litery, cyfry, znaki przestankowe oraz inne symbole ASP - Active Server Pages - jest to technologia do tworzenia dynamicznych stron internetowych, opracowana przez firmę Microsoft. atak phishingowy - patrz: phishing Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 automatyczna aktualizacja - automatyczne pobranie z Internetu i zainstalowanie na komputerze danego programu, bez potrzeby jakichkolwiek działań lub przy niewielkim udziale ze strony użytkownika komputera autorun.inf to plik tekstowy umieszczany na nośniku danych (np. pendrive, czy płytach CD), zawierający instrukcje dla komputera dotyczące automatycznego uruchomienia wybranego programu, który znajduje się na tym nośniku Biuletyn Microsoft - opis poprawionych błędów w oprogramowaniu tej firmy wraz z plikiem, który eliminuje te błędy bluetooth - technologia bezprzewodowej krótkodystansowej (ok 10 metrów) komunikacji pomiędzy urządzeniami elektronicznymi, takimi jak telefony komórkowe, laptopy, itd bot - program, który automatycznie wykonuje różne rzeczy za człowieka, często określa się tak również zainfekowany komputer, który jest częścią większej sieci komputerów (botnet) wykonujących zadania zlecone im przez przestępców, jak rozsyłanie spamu, przeprowadzanie ataków na inne komputery lub strony. botnet - sieć komputerów podłączonych do internetu, które są pod kontrolą przestępcy - może on zdalnie zarządzać wykonywanymi przez te komputery zadaniami, np. rozsyłaniem spamu, przeprowadzaniem ataków na inne komputery. Zarządzanie i uczestnictwo w tych procederach odbywa się bez wiedzy właścicieli tych maszyn. Browser Helper Object - to aplikacja zaprojektowana dla przeglądarki Internet Explorer, której zadaniem jest zwiększenie funkcjonalności tej przeglądarki, np. wyświetlanie w przeglądarce plików zapisanych w formatach, których sama IE nie potrafi interpretować cracker – osoba, która łamie zabezpieczenia oprogramowania oraz zabezpieczenia serwerów CSRF – atak w którym atakujący wykorzystuje uprawnienia ofiary do wykonania różnych operacji, pozwalający np. na przechwycenie korespondencji z konta e-mail, podczas którego konieczne jest by ofiara była zalogowana na swoje konto pocztowe DHCP - (Dynamic Host Configuration Protocol) – to protokół, który służy do dynamicznego przydzielania adresów IP komputerom pracującym w sieci DirectX - opracowany przez Microsoft zestaw funkcji wspomagających generowanie grafiki i dźwięku w grach i aplikacjach multimedialnych DNS - DNS (ang. Domain Name System, system nazw domenowych), to system serwerów zapewniający zamianę adresów znanych użytkownikom (nazw domen - patrz: adres IP) Internetu na adresy IP urządzeń w sieci komputerowej. Dzięki wykorzystaniu DNS nazwa domeny, np. adres IP, czyli 193.111.166.208 DoS - atak odmowy usługi polega na przeciążeniu działającej aplikacji lub "zalaniu" połączenia z siecią bardzo dużą ilością danych, przez co dany program, a często także cały komputer przestaje działać (pot. zawiesza się) exploit - program, który wykorzystuje błąd (lukę) w oprogramowaniu, który może posłużyć do ataku na system operacyjny firewall - patrz: zapora sieciowa Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 GDI - komponent Microsoft Windows pozwalający na odwzorowanie grafiki na urządzeniach zewnętrznych, np. drukarkach i monitorach generowanie kluczy - tworzenie kluczy kryptograficznych umożliwiających szyfrowanie i podpisywanie różnych danych hasło maskowane - bezpieczna metoda logowania, w której system prosi o wpisanie tylko losowo wybranych znaków z naszego hasła, np. pierwszego, trzeciego, siódmego i ósmego znaku. Metoda ta uniemożliwia złodziejowi ani programowi szpiegującemu odtworzenie całego hasła, nawet jeśli przechwycone zostanie kilka z jego znaków heurystyka - umiejętność wykrywania przez oprogramowanie antywirusowe nowych, jeszcze niezidentyfikowanych szkodników komputerowych hotspot - publiczny punkt umożliwiający bezprzewodowy dostępu do Internetu poprzez sieć radiową - Wi-Fi ISS - to zestaw usług internetowych dla serwerów korzystających z systemu Windows IP - patrz: adres IP JScript - opracowany przez Microsoft język programowania, przeznaczony do pisania skryptów wbudowanych w strony internetowe karta Wi-Fi karta sieciowa umożliwiająca bezprzewodowe połączenie z punktem dostępowym do Internetu - Wi-Fi keylogger - program szpiegujący rejestrujący wszystkie znaki, które użytkownik wprowadza podczas korzystania z programów zainstalowanych w systemie. klucz publiczny - jest to udostępniony publicznie ciąg znaków umożliwiający np. zaszyfrowanie danego przekazu informacji lub weryfikację specjalnie zaszyfrowanego podpisu kodek - zwykle program, który zmienia dane lub sygnał w formę zakodowaną lub dekoduje zakodowaną formę danych, by np. uruchomić film zapisany w danym formacie w odtwarzaczu multimedialnym komunikator internetowy - to program umożliwiający przeprowadzanie przez Internet w czasie rzeczywistym rozmów tekstowych, głosowych lub wideo konfiguracja programu - polega na pożądanym przez danego użytkownika ustawieniu parametrów programu komputerowego, tak by działanie tego programu spełniało oczekiwania jego użytkownika konto gościa (ang. guest) - konto standardowe użytkownika w systemie Windows przeznaczone dla osób, które nie mają założonego własnego konta na danym komputerze konto administratora - konto użytkownika w systemie operacyjnym komputera, które umożliwia pełną, nieograniczoną modyfikację ustawień tego systemu, m.in. modyfikację kont innych użytkowników, instalację programów, sprzętu, konfigurację sytemu, zmianę ustawienia zabezpieczeń oraz ma dostęp do wszystkich plików zgromadzonych w systemie Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 konto standardowe (użytkownika) - konto w systemie operacyjnym komputera, które ma ograniczone uprawnienia do dokonywania zmian w systemie, umożliwia jednak korzystanie z większości funkcji komputera, które nie mają wpływu na bezpieczeństwo systemu operacyjnego ani konta innych użytkowników koń trojański - program działający w ukryciu na komputerze ofiary, bez jej wiedzy, zwykle monitorujący czynności wykonywane przez użytkownika komputera, zbierający różne dane i przesyłający je przez Internet do przestępcy link - patrz: odnośnik LSASS - Local Security Authority Subsystem Service - to usługa w systemie operacyjnym Windows, która jest odpowiedzialna za lokalne uwierzytelnianie zabezpieczeń, czyli sprawdza użytkowników logujących się w systemie, zarządza zmianami w hasłach oraz tworzy tokeny dostępowe, czyli informacje wykorzystywane w trakcie sesji logowania, umożliwiające identyfikacje użytkownika man-in-the-middle - to atak, który polega na podsłuchaniu dwóch stron komunikacji, np. komputera łączącego się z hotspotem, poprzez włączenie się w łańcuch komunikacyjny. Dzięki temu atakujący może odbierać komunikaty wysyłane przez komputer do hotspotu i na odwrót, zmieniać te komunikaty w zależności od swoich potrzeb i przesyłać dalej. W ten sposób przestępcy często kradną poufne dane, np. w sieciach bezprzewodowych mailto - to element kodu stron internetowych służący do tworzenia odwołań do adresów e-mail. Kliknięcie w zestaw znaków opisanych w kodzie strony elementem "mailto" powoduje uruchomienie programu pocztowego master boot record (MBR) - to pewna struktura danych (zawierająca m.in. program rozruchowy) umieszczona w pierwszym sektorze dysku twardego komputera menu kontekstowe - lista opcji dostępnych dla wybranego pliku lub folderu, zazwyczaj poprzez kliknięcie prawego przycisku myszy położonego nad danym obiektem MMORPG (Massively-Multiplayer Online Role Playing Game) - to rodzaj fabularnej gry komputerowej umożliwiającej jednoczesną interakcję wielu graczom w wirtualnym świecie, często poprzez internet money mule - proceder prania brudnych pieniędzy lub towarów zdefraudowanych lub ukradzionych przez internet .NET framework - jest to darmowa platforma udostępniana przez firmę Microsoft, która umożliwia zarządzanie różnymi elementami systemu operacyjnego Windows Office Web Components - to niewielkie programy, które mogą być umieszczone na stronach internetowych oraz w różnych formularzach OLE Automation - lub Automation - wewnętrzny mechanizm komunikacji pomiędzy programami Microsoftu odnośnik - adres do strony internetowej, w postaci http://www.strona.pl lub www.strona.pl OpenSSL - protokół szyfrujący, którego celem jest zapewnienie poufności i bezpieczeństwa przesyłanych danych p2p (peer-to-peer) - model wymiany danych między komputerami, w którym każdy z komputerów ma takie same prawa i pełni rolę zarówno serwera udostępniającego pliki/dane jak i klienta pobierającego pliki/dane pakiet - jest to jednostka nośnika informacji Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 pendrive - urządzenie przenośne zawierające pamięć typu Flash, przeznaczone do przechowywania i przenoszenia danych pomiędzy komputerami, podłączane do komputera poprzez wejście USB pasek stanu - jest to część okna programu lub systemu komputerowego w postaci poziomego wąskiego paska, najczęściej umiejscowiona w dolnej części okna danego programu lub systemu. Pasek stanu prezentuje w postaci tekstowej lub graficznej różne informacje na temat działania programu lub systemu. PGM - format zapisu grafiki phisher - złodziej, kradnący poufne dane przy wykorzystaniu Internetu phishing - kradzież danych w Internecie poprzez podstawienie użytkownikowi podrobionej strony WWW pharming - bardziej niebezpieczna dla użytkownika oraz trudniejsza do wykrycia forma phishingu. Oszust wykonuje dodatkowo atak na serwer DNS w celu skojarzenia prawdziwego adresu URL z serwerem WWW podrobionej strony internetowej plik osadzony - plik, który zostały skompresowany do postaci archiwum, np. zip albo rar i "siedzi" w środku tego archiwum, które z kolei jako plik z innym rozszerzeniem, np. zip, albo rar jest widoczne na dysku pliki wykonywalne - pliki na komputerze, najczęściej z rozszerzeniem .exe lub .bat, które mogą być bezpośrednio uruchomione w systemie operacyjnym okienko pop-up - wyskakujące okienko lub karta przeglądarki automatycznie uruchamiane przez stronę internetową, zawierające reklamę lub inną treść program adware - podstępnie zainstalowany na komputerze program wyświetlający niechciane reklamy program antyspamowy - program, który filtruje skrzynkę poczty elektronicznej pod kątem niechcianych wiadomości e-mail, a następnie - zależnie od wprowadzonych przez nas ustawień - usuwa te wiadomości do kosza lub odpowiednio je oznacza, byśmy mogli łatwo je rozpoznać program antyszpiegowski - program, który chroni komputer przed aplikacjami szpiegowskimi, które zbierają z komputera różne dane, bez wiedzy i przyzwolenia jego właściciela program antywirusowy - program, który chroni komputer przed wirusami komputerowymi program szpiegowski - program zbierający różne dane z komputera, bez wiedzy jego właściciela i wysyłający je przez Internet do przestępców protokół uwierzytelniania - to zestaw reguł umożliwiający zweryfikowanie tożsamości urządzenia lub usługi, która bierze udział w wymianie danych serwer proxy - jest to specjalny komputer pośredniczący, który obsługuje komunikację między naszym komputerem a Internetem. Wykorzystywany jest często przez dostawców Internetu jako akcelerator połączenia, przyśpieszania pobierania plików punkt dostępowy - to urządzenie połączone z siecią przewodową i emitujące sygnał sieci bezprzewodowej, do której mogą podłączyć się inne urządzenia, np. komputery wyposażone w kartę Wi-Fi Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 ransomware – złośliwe oprogramowanie, które po instalacji w systemie operacyjnym blokuje kluczowe pliki systemowe lub szyfruje dokumenty użytkownika, a następnie żąda od użytkownika zainfekowanego komputera przekazania okupu twórcy ransomware w zamian za odblokowanie systemu lub odszyfrowanie dokumentów. rootkit - narzędzie wykorzystywane przez cyberprzestępców do włamań do systemów komputerowych. Zazwyczaj rezyduje w komputerze ofiary jako plik i ukryty proces, które umożliwiają kontrolę nad systemem. Rootkity są stosunkowo trudne do wykrycia RPC – (Remote Procedure Call, pol. zdalne wywołanie procedury) - protokół zdalnego wywoływania procedur, którego rola polega na ułatwieniu komunikacji pomiędzy komputerami RPG – rodzaj komputerowej gry, w której gracz wciela się w postać lub grupę postaci i kieruje ich działaniami w środowisku gry serwer - program lub komputer, który świadczy różne usługi dla innych programów lub komputerów, np. pośredniczy w komunikacji, udostępnia różne zasoby, itd. serwisy społecznościowe - strony, których treść współtworzy wiele rozproszonych po świecie osób o podobnych zainteresowaniach lub mających podobne cele, np. serwisy z fotografiami, filmami, odnośnikami do innych stron, agregatory informacji dodawanych przez internautów, serwisy towarzyskie, np. Nasza-Klasa skaner - program przeszukujący skanowanie - przeszukiwanie zasobów komputera (zwykle przez jakiś program) pod kątem określonego rodzaju plików lub informacji SMB - protokół służący udostępnianiu m.in. plików i drukarek socjotechnika - metoda, w której przestępca wykorzystuje niewiedzę lub łatwowierność innych osób, w celu uzyskania korzyści, np. przejęcia poufnych danych lub skłonienia ofiary do wykonania jakiejś czynności, np. kliknięcia w odnośnik spam - niechciana i niezamawiana przez odbiorcę wiadomość elektroniczna, zwykle reklamująca jakieś produkty, usługi lub strony spamer - osoba rozsyłająca niechciane i niezamawiane przez odbiorców wiadomości elektroniczne, zwykle reklamujące jakieś produkty, usługi lub strony spoofing - podszywanie się pod innego użytkownika internetu lub stronę WWW poprzez fałszowanie adresu IP spyware - programy komputerowe, których celem jest szpiegowanie działań użytkownika SSID - (Service Set Identifier) - nazwa identyfikująca daną sieć bezprzewodową SSL - (Secure Socket Layer) - tzw. bezpieczne połączenie - ma na celu zapewnienie poufności i integralności transmisji danych oraz zapewnienie uwierzytelnienia TCP - Transmission Control Protocol - protokół umożliwiający komunikację między dwoma komputerami. Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 TCP/IP - Transmission Control Protocol / Internet Protocol - pakiet protokołów TCP oraz IP umożliwiających komunikację w sieci (także Internecie) między różnymi od siebie urządzeniami trojan - patrz: koń trojański trojany bankowe - szkodniki komputerowe, typu koń trojański, których celem jest wykradanie danych dostępowych do kont bankowych i przesyłanie ich przestępcom uprawnienia - czyli zestaw reguł dotyczących danego elementu systemu komputerowego, określające co dany użytkownik systemu może z tym elementem zrobić, np. możliwość kasowania plików, instalacji programów URI – jest to łańcuch znaków służący jako identyfikator źródła (np. strony z tekstem, wideo, obrazka, czy programu) w Internecie i wskazujący sposób dostępu do danego źródła. Częścią URI jest adres URL URL - patrz: odnośnik USB - Pamięć USB (znana także pod nazwami: PenDrive, USB Flash Drive, Flash Disk, FlashDrive) - urządzenie przenośne zawierające pamięć nieulotną, zaprojektowane do współpracy z każdym komputerem poprzez port USB i używane do przenoszenia danych (zapisywanych w plikach) między komputerami Uwierzytelnianie (autentykacja) - to potwierdzenie tożsamości danej osoby, najczęściej poprzez zalogowanie do serwisu, czyli podanie loginu i hasła VBScript - opracowany przez Microsoft język programowania, przeznaczony do pisania skryptów wbudowanych w strony internetowe WebDAV - Web-based Distributed Authoring and Versioning to rozszerzenie protokołu HTTP, umożliwiające zdalne zarządzanie plikami w Internecie poprzez wielu użytkowników WEP (Wired Equivalent Privacy) - nietrudny do złamania standard szyfrowania, stosowany w sieciach bezprzewodowych, którego zadaniem jest zapewnić danej sieci bezpieczeństwo przesyłu danych i prywatność jej użytkownikom, wykorzystując do szyfrowania jeden ze zdefiniowanych kluczy. whaling - phishing skierowany do kadry zarządzającej WINS - usługa Microsoftu, która umożliwia tłumaczenie nazw komputerów na adresy internetowe WPA (Wi-Fi Protected Access) - to silniejszy niż WEP standard szyfrowania i zabezpieczenia sieci bezprzewodowych. Uwierzytelnianie użytkowników danej sieci odbywa się poprzez wcześniej zdefiniowany klucz lub serwer do autoryzacji. Jest to standard przejściowy pomiędzy WEP a WPA2 WPA2 (Wi-Fi Protected Access 2) - to uważany obecnie za najbezpieczniejszy standard szyfrowania WPA, wykorzystywany do szyfrowania sieci bezprzewodowych, pozbawiony słabości znanych z protokołu WEP Web Proxy Auto-Discovery (WPAD) - to usługa automatycznego wykrywania serwera proxy w sieci Internet Webinject - wstrzykiwanie złośliwego kodu w treść strony wyświetlanej w przeglądarce użytkownika Wi-Fi - Wireless Fidelity - to zestaw standardów do tworzenia bezprzewodowych sieci radiowych Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected] Biuletyn Bezpieczny Internet listopad 2013 Win32 API - interfejs bazy programistycznej systemów operacyjnych firmy Microsoft, umożliwiający komunikację pomiędzy systemem operacyjnym a zainstalowanymi na nim programami zapora sieciowa - program, zwany także firewall, którego zadaniem jest zabezpieczanie komputera przed intruzami, którzy mogą włamać się do niego podczas połączenia z Internetem. Firewall nie tylko monitoruje połączenia przychodzące do komputera, ale również wychodzące z niego. zombie - komputer opanowany przez przestępcę i bez wiedzy właściciela maszyny wykorzystywany do rozsyłania spamu, przeprowadzania ataktów w internecie, składowania nielegalnych materiałów w postaci plików elektronicznych Strona Banku Pekao S.A. http://www.pekao.com.pl TelePekao 800 380 380 +48 42 683 83 80 Strona logowania do serwisu transakcyjnego http://www.pekao24.pl Bankowość mobilna aplikacja mobilna m.pekao24.pl Infolinia 801 365 365 +48 42 683 82 32 Pekao SMS 3800 Email: [email protected]