Wstęp - Technologie Informacyjne

Komentarze

Transkrypt

Wstęp - Technologie Informacyjne
Ignorantia iuris nocet
nieznajomość prawa szkodzi
Lato 2015
Walka o fizyczne i
informacyjne bezpieczeństwo
będzie główną częścią ceny
jaką zapłaci nasza
„usieciowiona” cywilizacja
Zagrożenia
zasobów IT
narzędzi, informacji i usług
Cyberprzestępcy w USA
zarabiają więcej niż handlarze
narkotyków
Codziennie do Sieci trafia
55 000 nowych malware
Pcworld XII.09; Chip II/2010
Przykłady strat
związanych
z IT
Rzeczywiste zagrożenia
przeciętny komputer
zawiera kilkadziesiąt
monitorujących, nieznanych
użytkownikowi, programów
Największe straty prywatności
w cyfrowej erze
• 2007 - Zagubiono dysk z danymi o 25
milionach Brytyjczyków – dane o 40%
populacji UK.
• 2006 – zgubiono dane o 26,5 mln
weteranów USA
• 2003 – Z AOLu skradziono dane o 92
milionach osób
• Największe katastrofy oprogramowania
November 22, 2007, NYT
Data Leak in Britain Affects 25 Million
By ERIC PFANNER
Największe katastrofy
oprogramowania
• 1962 – zniszczenie Mariner 1 (brak znaku „-”)
• 1996 – Ariane 5
• 1979 – wykryty przez system obronny NORAD
„atak” na USA 2020 rakiet z ZSRR
• 1983 „atak” na ZSRR
• Pomyłka okablowania Airbus’a A380 (rózne
wersje CAD CADIA) – straty 5 mld euro.
• Wstrzymany rozwój niemieckiego programu
A2LL dla bezrobotnych
Chip VIII 09
Kradzieże danych
• Ukradziony laptop pracownika Boeing’a
zawierał nazwiska i nr. ubezp. 382 000
byłych i obecnych pracowników – w sumie
100 152 801 rekordów.
• Dane z Public Policy Institute for AARP
wskazują na ujawnienie 90 milionów
rekordów pomiędzy 1 stycznia 2005 a 26
maja 2006, w tym 43% z edukacyjnych
instytucji.
December 18, 2006. LINK BY LINK. An Ominous Milestone: 100 Million Data Leaks. By TOM ZELLER Jr.
Oszustwo komputerowe
- manipulacja danymi (np.: straty banków
USA, tradycyjny napad - 8 000 USD,
komputerowe oszustwo - 0,5 mln USD)
- manipulacja programem („na salami” grosze na własne konto)
Straty - świat
• Na całym świecie każdego roku
cyberprzestępcy odpowiadają za utratę
przez użytkowników 113 miliardów
dolarów
• Statystycznie każda z 378 milionów ofiar
musi liczyć się ze średnią stratą 298
dolarów, czyli ok. 930 zł.
CHIP.PL KWIECIEŃ 2014
Straty UK
• Duże firmy UK atakowane są raz tygodniowo,
mniejsze – raz na miesiąc.
• Koszt jednego ataku na dużą firmę £250,000.
KEVIN J. O’BRIEN, Europe Weighs Requiring Firms to Disclose Data Breaches, NYT, Jan. 16, 2013
Straty – Polska: 2 000 000 000$
CHIP.PL KWIECIEŃ 2014
Zhakowany JPMorgan
• Personalne informacje z 76 mln domostw –
1/3 obywateli USA, + 7 mln małych firm
• Nazwisko, adres, tel, mail – dane teraz i
przeszłość
• Groźba przekazania/sprzedania innym
przestępcom.
Ways to Protect Yourself After the
JPMorgan Hacking, NYT
By TARA SIEGEL BERNARDOCT. 3, 2014
Wykradanie danych
Website Security Threat Report 2014
Symantec, 2013 Trends, Volume 19, Published June 2014
Home Depot’s computer
broken
• Hakerzy ukradli 53 mln adresów mailowych
klientów.
http://bits.blogs.nytimes.com/2014/11/06/home-depot-says-hackers-also-stole-emailaddresses/?emc=edit_th_20141107&nl=todaysheadlines&nlid=4706125&_r=0
LUKRATYWNY HAKINC
• Najbardziej intratnego cyberprzestepstwa w
dziejach dokonano w kwietniu 2009 roku.
Hakerzy ukradli kilka terabajtów
danych o amerykańskim myśliwcu F-35
Lightning II. zarobili: 300 mln. USD
Chip V, 2010
Brak zabezpieczeń
• Nastolatek przejął kontrolę nad częścią
systemu kierowania ruchem tramwajowym
w Łodzi.
• w jednym ze spowodowanych przez niego
wypadków zranionych zostało 12 osób.
• 14- latek zmodyfikował pilota TV, na
podstawie dostępnej dokumentacji firmy
tramwajowej.
SIERPIEŃ 2013 CHIP.PL
Zagrożenia branż
Cisco 2015 Annual Security Report
Rozkład procentowy incydentów
obsłużonych ręcznie przez CERT Polska
Zagrożenia w sieci, http://www.egospodarka.pl/93716,Zagrozenia-w-sieci2012-wg-CERT-Polska,1,12,1.html, [17.05.2014].
Liczba zgłoszeń automatycznych w
poszczególnych kategoriach
Zagrożenia w sieci, http://www.egospodarka.pl/93716,Zagrozenia-w-sieci2012-wg-CERT-Polska,1,12,1.html, [17.05.2014].
Narzędzia phishingu
Website Security Threat Report 2014
Symantec, 2013 Trends, Volume 19, Published June 2014
raport Check Point
• średnio 66 ataków na firmy tygodniowo,
• udane próby kosztują każde z
przedsiębiorstw od 100 tys. do 300 tys. dol.
w zależności od kraju.
• Największe zagrożenie - Denial of Service
sierpień 2012 , pcworld.pl
Zagrożenie życia
• ekspert z firmy McAfee zdołał wpłynąć na pracę
pompy insulinowej w taki sposób, że wydała całą
dostępną insulinę naraz, co w rzeczywistych
warunkach mogłoby spowodować śmierć chorego.
• profesor Kevin Fu z Uniwersytetu w
Massachusetts zmodyfikował ustawienia
defibrylatora wszczepianego pacjentom z
zaburzeniami pracy serca, mającego normalizować
jego pracę - znalazł sygnał radiowy pozwalający
wyłączyć urządzenie.
CHIPPL WRZESIEŃ 2012
Motywy, skutki
• 65 proc. cyberataków wynika z motywacji, związanych z
korzyściami finansowymi, a prawie połowa ma na celu
zakłócenie działalności firm lub kradzież danych klientów.
• Przeciętny udany atak kosztuje firmę 214 tys. dol. - od 100
tys. dol. w Brazylii do 300 tys. Dol. w Niemczech.
• Największe źródło zagrożeń firmy - wykorzystywanie
przez pracowników urządzeń mobilnych. Na drugim
miejscu znalazło się korzystanie z serwisów
społecznościowych, na trzecim - z pamięci USB.
sierpień 2012 , pcworld.pl
Typy naruszeń - przyczyny
• Naruszenia przez outsourcing – mniej
powszechne, droższe
• Ważne gubienie laptopów, urządzeń
mobilnych i nośników
• Firmy są bardziej czujne w zapobieganiu
awarii systemów
• Zaniedbanie jest najdroższym i
najczęstszym zagrożeniem
2010 Annual Study: U.S. Cost of a Data Breach, March 2011
Pięć scenariuszy IT apokalipsy
• Scentralizowana sieć energetyczna ulega awarii
(2003, błąd operatora w USA, 55 milionów ludzi
bez prądu)
• Impuls elektromagnetyczny wysokiej
częstotliwości
• Awaria Google – brak dostępu do zasobów (Docs,
poczta i inne).
• Awaria DNSów – brak internetu
• Rozbłysk słoneczny – wszystkie zasoby cyfrowe
zostają zniszczone. Luka historyczna ostatnich 20
lat.
http://features.techworld.com/networking/3217591/five-doomsday-scenarios-for-it-apocalypse/?getDynamicPage&print
LUKI
Bezpłatne
antyhakerskie
WWW.PCWORLD.PL LISTOPAD 2015
Hakerskie wrota do systemu
Chip II.2012
Luki - błędy w kodzie
• Takie błędy to nie tylko możliwość
nieprawidłowego działania danego
rozwiązania, ale dodatkowo poważne
zagrożenie dla bezpieczeństwa danych.
• Program zawierający błędy może stać się
narzędziem ułatwiającym dystrybucję
złośliwego oprogramowania, infekowanie
kolejnych komputerów, infiltrację
użytkowników itd.
Producenci z największą liczbą luk
MARZEC 2015 CHIP.PL
Chip XI. 2015
Nagrody za błędy
• Tyle płacą producenci oprogramowania w
ramach programów bug bounty. Wynagradza się
hakerów, którzy powiadamiają firmy
programistyczne o nieznanych wcześniej błędach
w ich aplikacjach.
Chip 3/2014
Nagrody za nieznane luki
CHIP.PL GRUDZIEŃ 2015
Nagrody z wojska i rządu
Chip 3/2014
Nagrody Google'a za wykrycie
błędów
MARZEC 2015 CHIP.PL
ILE GOOGLE PŁACI
HAKEROM?
WRZESIEŃ 2015 CHIP.PL
Najbardziej narażone systemy
operacyjne w 2014 roku
MARZEC 2015 CHIP.PL
Chip 3/2014
Chip IV.2011
Luki w
przeglądarkach
CHIP.PL KWIECIEŃ 2013
Otwarte luki w przeglądarkach
Jak się chronić
• Aktualizacje przeglądarki
• Aktualizacje rozszerzeń
• Usuwanie Javy i Flasha, we współczesnym Internecie opartym na HTML5 nie są już potrzebne.
• Kasowanie spamu: kasujmy bez czytania.
Kod otwarty: bomba zegarowa
• Otwartość kodu to w pewnym sensie
również wada, bo jawność kodu ułatwia
potencjalnym agresorom wyszukanie w nim
błędów, które można następnie wykorzystać
podczas ataków.
MARZEC 2015 CHIP.PL
Exploity
• niewielkie programy wykorzystujące
błędy w oprogramowaniu wykorzystywane
do pokonywania zabezpieczeń komputerów
• ich stosowanie zazwyczaj łączy się
z łamaniem prawa.
• W najgroźniejszej postaci występują jako
tzw. zero-day (lub oday), czyli w wersji
opartej na nieznanej wcześniej luce w
aplikacjach komputerowych. Przed takim
exploitem nie ma obrony.
CHIP.PL PAŹDZIERNIK 2012
Exploit Acquisition Program
(skrót EAP)
• oferowanie programistom i hackerom z
całego świata sprzedaż exploitow zero-day
• średnio udaje się pozyskać 2-3 exploity
w miesiącu. Za każdy z nich firma płaci
twórcom od 10 tys. dolarów w górę
CHIP.PL PAŹDZIERNIK 2012
exploity „zero-day”
• cyberprzestępcy mają już opracowane nowe
exploity „zero-day atakujące Windows XP,
ale wstrzymują się z ich uruchomieniem do
czasu, gdy Microsoft przestanie wspierać
ten system operacyjny.
• Analitycy szacują że w kwietniu 2014 r.,
gdy Windows XP już nie będzie wspierany
technicznie, co trzeci komputer na całym
świecie będzie dalej pracować pod kontrolą
tego systemu.
Pcworld X.2013
Luki bezpieczeństwa
w programach takich
producentów jak Adobe,
Mozilla czy Apple
odkryto czterokrotnie
więcej luk niż w
aplikacjach Microsoftu,
ok. 60% z nich to luki
krytyczne, czyli te, które
mogą być wykorzystane
do ataku szkodliwych
programów.
Chip III.2011
Luki w zabezpieczeniach
ma 86 procent stron WWW
• da się je wykorzystać do zaatakowania
witryny lub jej użytkowników.
• Najczęściej są to błędy typu content
spoofing, umożliwiające nieautoryzowane
modyfikowanie treści publikowanych
na stronie.
PCWorld VII.2013.
Błędy/niebepieczeństwa
programów
• Analizie poddano 1316 bankowych
aplikacji mobilnych i przeanalizowano
łącznie 705 milionów linii kodu.
• Okazało się, że 70% aplikacji związanych z
bankowością indywidualną oraz 69%
programów do usług finansowych
podatnych jest na ataki pozwalające
pozyskać dane użytkowników.
WWW.PCWORLD.PL SIERPIEŃ 2015
Crapware programy w nowym
komputerze
• Demonstracyjne wersje programów lub
przestarzałe aplikacje - intratne źródłom
dochodu dla branży komputerowej, z
którego posiadania klient nie czerpie
żadnych korzyści.
• Ok. 20 na każdym komputerze
Typy naruszeń - przyczyny
• „Po raz pierwszy” – koszt naruszeń
największy
• Lepsze zarządzanie naruszeniami –
mniejsze koszty
• Maleje zainteresowanie outsousingiem
• Więcej firm ma ponadśrednie
zabezpieczenia – mniejsze koszty naruszeń
2010 Annual Study: U.S. Cost of a Data Breach, March 2011
Koszty szybkiego reagowania
• Więcej organizacji szybko reaguje na
naruszenia bezpieczeństwa danych,
• W 2010 roku, koszt szybkiej reakcji 268
dolarów – 219 w 2009.
2010 Annual Study: U.S. Cost of a Data Breach, March 2011
7 głównych ataków
• Brute force - zgadywanie hasła użytkownika. Atak bardzo łatwy
do wykrycia i zablokowania przez bank, czasochłonny, praktycznie niestosowany.
• Podsłuchanie hasła - przed podsłuchem zabezpieczają hasła jednorazowe i (w krótkim okresie) maskowane.
• Phfshing - przekierowanie użytkownika na fałszywą stronę
i wyłudzenie jego listy haseł. Chronią przed tym wszystkie metody
wyświetlające szczegóły, transakcji, której dotyczy kod.
• Man-in-the-middle - podsłuchanie lub sfałszowanie transmisji
danych miedzy klientem a bankiem.
• Man-in-the-browser- szkodliwe oprogramowanie modyfikuje
przeglądarkę. Zabezpieczają antywirusy i analiza po stronie banku.
• Socjotechnika - przekonanie użytkownika lub pracownika banku,
żeby sam wyjawił hasło lub wykonał niebezpieczną operację. Chroni przed
tym jedynie świadomość zagrożeń u klienta i pracowników banku.
• Ataki zewnętrzne - przechwycenie kart z hasłami, podsłuchanie
sieci GSM, wyłudzenie duplikatu karty SIM. Najlepiej zabezpieczają
przed nimi tokeny sprzętowe.
PCWorld, 7/2010
CHIP.PL LISTOPAD 2014
Internet rzeczy
Internet of thinks
Internet rzeczy
Internet of Things
• Narażone: kamery, elektroniczna niania,
samochody, urządzenia medyczne i inne
• Kontrola zwyczajów jazdy samochodem –
ubezpieczenia
• Liczniki energii elektrycznej
• AGD
Auto w Sieci - carhacking
• Pojazd staje się mobilnym komputerem. Tak samo
jak PC i smartfony - narażony jest na ataki.
• Kilka pojazdów, które były podłączone do
Internetu, mogłoby już teraz być zdalnie
kontrolowane przez włamywaczy.
• Możliwy jest także atak przez port OBD 2 (OnBoard Diagnostics, czyli autodiagnostyki
pokładowej)
Inteligentne telewizory/smart tv
CHIP.PL PAŹDZIERNIK 2013
Smart TV
Granica między smartfonem, pecetem
i telewizorem coraz bardziej się zaciera
• Zainfekowanie urządzenia zarządzanego
przez sieć może doprowadzić do kradzieży
informacji o kartach kredytowych lub
szpiegowania za pomocą kamery
zainstalowanej w telewizorze.
• Telewidzowie – nowa grupa docelowa
• Nowi kupujący przez internet
• Botnety na bazie TV
Inteligentne liczniki
CHIP.PL PAŹDZIERNIK 2013
Skutki blackoutu – inteligentne
liczniki
CHIP.PL PAŹDZIERNIK 2013
Raport Bezpieczeństwo Procesów
Biznesowych 2010 – Seendico
• Najbardziej narażone na ryzyko: sprzedaż
(65%), produkcja (55%) i IT (48%)
Bezpieczenstwo
Procesów
Biznesowych 2010:
zagrozenia i rozwiazania
Onlinowy kalkulator ryzyka
http://www.emc.com/microsites/fraudgame/flash.htm
http://www.emc.com/microsites/fraudgame/flash.htm
http://www.emc.com/microsites/fraudgame/flash.htm
http://www.emc.com/microsites/fraudgame/flash.htm
http://www.emc.com/microsites/fraudgame/flash.htm
http://www.emc.com/microsites/fraudgame/flash.htm
Polityka i wojna
w Sieci
• Więcej w Reklama od slajdu 379
“cyber-Pearl Harbor”
• The phrase “cyber-Pearl Harbor” first appeared in the
1990s. For the last 20 years, policy makers have predicted
catastrophic situations in which hackers blow up oil
pipelines, contaminate the water supply, open the nation’s
floodgates and send airplanes on collision courses by
hacking air traffic control systems.
• “They could, for example, derail passenger trains or, even
more dangerous, derail trains loaded with lethal
chemicals,” former Defense Secretary Leon E. Panetta
warned in 2012. “They could contaminate the water supply
in major cities, or shut down the power grid across large
parts of the country.”
http://bits.blogs.nytimes.com/2015/10/14/online-attacks-on-infrastructure-are-increasing-at-a-worrying-pace/?emc=edit_th_20151016&nl=todaysheadlines&nlid=4706125&_r=0
The Terrorism Act 2000
• ,,każdy kto próbuje dokonać poważnych
szkód w systemie elektronicznym z intencją
zastraszenia lub wpłynięcia na rząd lub
społeczeństwo, w celu uzyskania korzyści
dla jego politycznej, religijnej i
ideologicznej sprawy”.,, Terrorism Act
2000, www.homeoffice.gov.uk/terrorism/,
[20.05.2014].
,, Terrorism Act 2000,
www.homeoffice.gov.uk/
terrorism/, [20.05.2014].
Centrum Doskonalenia Obrony przed Atakami
Cybernetycznymi (CCD CoE – The Cooperative
Cyber Defence Center of Excellence).
• Estonia, Litwa, Łotwa, Niemcy, Włochy,
Hiszpania i Słowacja. W następnych latach
dołączyła Polska, USA, Niderlandy i
Węgry. Wolę przyłączenia wyraziła również Turcja,
Wielka Brytania i Francja. Oficjalnie Centrum rozpoczęło
swoją działalność w 2009 roku. Powyższe Centrum dostało
status międzynarodowej organizacji bezpieczeństwa, na
podstawie Protokołu Paryskiego 1952 roku. NATO
CCDCoE, www.ccdcoe.org, [05.01.2014].
Do nadzorowania sfery bezpieczeństwa
teleinformatycznego zostały powołane zespoły:
• - Centrum Koordynacyjne Systemu Reagowania na
Incydenty Komputerowe resortu obrony narodowej,
• - CERT.GOV.PL, działający w ramach Agencji
Bezpieczeństwa Wewnętrznego, ma pieczę nad
administracją publiczną,
• - Pionier CERT , działający w ramach Centrum
Superkomputerowe-Sieciowe w Poznaniu,
• - TP CERT działa, tak jak sama nazwa mówi, w ramach
Telekomunikacji Polskiej,
• - CERT Polska, działający w ramach Naukowej i
Akademickiej Sieci Komputerowej.
Cyberzagrożenia
•
cyberwojny (cyberprzestrzeń jako czwarta część wojny
obok wody, ziemi i powietrza),
•
cyberterroryzmu ( do działań terrorystycznych),
•
cyberinwigilacji
społeczeństwa
(zwiększony
przy
pomocy
monitoring
instrumentów
teleinformatycznych),
•
cyberprzestępczości
(przestępczość
zorganizowana
oraz przestępczości ekonomiczne).
Sienkiewicz P., Terroryzm w cybernetycznej przestrzeni
Cyberterroryzm państwowy
• - wojna,
• - walka z terroryzmem,
• - konflikt lokalny,
• - walka informacyjna,
• - walka z pedofilią,
• - walka z organizacjami terrorystycznymi,
• - walka z handlarzami narkotyków,
• - działalność służb ochrony państwa.
Elementy infrastruktury
krytycznej (IKP)
•
-usługi informacyjne
•
-energetyka
•
-transport
•
-władza centralna
•
-sektor finansów
•
-służba zdrowia i ratownictwo
•
-wodociągi i dystrybucja żywności.
K. Liedel, Jak przetrwać w dobie zagrożeń
terrorystycznych, Warszawa 2008
Cyberterroryzm niepaństwowy
•
- działalność ruchów powstańczych, narodowo-wyzwoleńczych,
•
- działalność organizacji terrorystycznych,
•
- działalność przestępców,
•
- wandalów,
•
- crackerów,
•
- hackerów,
•
- frustratów,
•
- aktywistów,
•
- szpiegów,
•
- haktywistów.
E. Lichocki, Cyberterroryzm państwowy i niepaństwowy, http://www.csikgw.aon.edu.pl, [17.04.2014].
USTAWA z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie
wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach
jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz
niektórych innych ustaw
• Ib. Przez cyberprzestrzeń, o której mowa w ust. la,
rozumie się przestrzeń przetwarzania i
wymiany informacji tworzoną, przez systemy
teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17
lutego 2005 r. o informatyzacji działalności podmiotów realizujących
zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm. ) wraz z
powiązaniami pomiędzy nimi oraz relacjami z użytkownikami.".
• „2. Katastrofę naturalną lub awarię techniczną
mogą wywołać również zdarzenia w
cyberprzestrzeni oraz działania o charakterze
terrorystycznym.".
Centrum Operacji
Cybernetycznych
• jednostka specjalna, która ma być
odpowiedzialna za prowadzenie i
koordynowanie wirtualnych działań
• wojsko będzie do tej jednostki rekrutować
hakerów
WWW.PCWORLD.PL MARZEC 2014
Cyberterroryzm
• Korzystanie z siły i przemocy przeciwko
osobom i ich własności z pogwałceniem
prawa.
• Celem tego jest wymuszenie pewnego
postępowania i realizacja różnego rodzaju
własnych celów, w tym politycznych.
• Ceberterroryzm dotyczy takich zjawisk w
internecie.
Pierwsza wojna
w cyberprzestrzeni
• Paraliż krajowej cyfrowej infrastruktury Estonii
–
–
–
–
–
–
Prezydent,
Premier,
Parlament,
Agencje rządowe,
Największe banki,
Gazety.
• Głównie dzięki „botom” – anektującym komputery,
czyniąc je narzędziami ataku - niewolnikami “zombies,”
• Główna metoda ataków na Estonię - digital denial of
service
May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack
By JOHN SCHWARTZ
Cyfrowe wojny
• CIA (1992) podczas operacji
wywiadowczej umieszczono bombę
logiczną w oprogramowaniu na które
polował rosyjski wywiad.
• Zmieniła się w jeden z największych
fajerwerków w dziejach świata,
gdy sterowany wadliwym
oprogramowaniem system rurociągów
eksplodował z mocą trzech kiloton trotylu.
PcWorld II/2010
Hactywizm
• Rozprzestrzenianie wirusów w sieci - forma demonstracji
politycznej, zwana hacktywizmem.
• Australijscy w 1989 roku zainfekowali komputery NASA
robakiem WANK, aby uniemożliwić start promu kosmicznego Atlantis,
który miał wynieść sondę kosmiczną Galileo. Misja wywoływała protesty grup
radykalnych ekologów, ponieważ sonda miała być zasilana paliwem
atomowym. Startu nie udało się powstrzymać, ale usuwanie wirusa z sieci
NASA trwało wiele tygodni.
• W 2007 roku rosyjscy hacktywiści zablokowali atakami
DDoS estońskie witryny rządowe. Rok później powtórzyli
to podczas konfliktu z Gruzją.
PcWorld II/2010
CYBERATAKI WYKRYTE W OSTATNICH
LATACH
CHIP.PL MAJ 2013
Cyberszpiedzy - Stuxnet
• W przeciwieństwie do zwykłych wirusów, Stuxnet
nie wykrada prywatnych danych internautów.
Zamiast tego atakuje wyspecjalizowane systemy
przemysłowe, zmieniając tryb pracy komputerów
sterujących.
• Wykryty w 2009 roku GhostNet składał się z
blisko 1,3 tys. komputerów z ponad 100 krajów,
zawierających dane o dużym znaczeniu
politycznym, militarnym i handlowym. Niemal
30% tych maszyn znajdowało się w placówkach
dyplomatycznych.
PcWorld II/2010
Cybersabotaż i terroryzm
• Stuxnet - to najbardziej zaawansowany
szkodnik w historii złośliwego
oprogramowania.
• Ocenia się, że jego stworzenie zajęło kilka
lat i prawdopodobnie pochłonęło
kilkanaście milionów dolarów, a taki budżet jest poza zasięgiem hacktywistów
i amatorów.
Iran
• Stuxnet ingerował w procesy przemysłowe
sterowane komputerowo.
• wirus nie mieszał we wszystkich
zainfekowanych systemach. Jego kod
dowodził, że celem były bardzo konkretnie
maszyny, produkowane przez firmę
Siemens i jej irańskiego konkurenta. Aktywował
się przy specyficznych parametrach pracy, charakterystycznych tylko
dla wirówek wzbogacających uran. Powodując stosunkowo drobne
zmiany prędkości ich pracy, dramatycznie zmniejszał jakość
ostatecznego produktu, uniemożliwiając wykorzystanie go do
produkcji broni atomowej.
PcWorld II/2010
Cyberatak – akt wojny (USA)
• Przykłady ataku: paraliż zasilania
elektrycznego, atak na szpitale lub służby
ratunkowe = akt agresji
• Militarna odpowiedź
• Problem z definicją atakującego:
osoba/grupa/państwo
May 31, 2011, NYT, Pentagon to Consider Cyberattacks Acts of War, By DAVID E.
SANGER and ELISABETH BUMILLER
NATO wobec cyberataku
• Po raz pierwszy uznano, że cyberatak na
którekolwiek z 28 państw NATO może być
uznany za atak naziemny lub
bombardowanie z powietrza
http://www.nytimes.com/2014/09/01/world/europe/nato-set-to-ratify-pledge-on-joint-defense-in-case-ofmajor-cyberattack.html?emc=edit_th_20140901&nl=todaysheadlines&nlid=4706125
Główne zagrożenia 2013
• Szkodliwe aplikacja do smatfonów i innych
mobilnych urządzeń, głównie z Androidem.
• Ransomware
• Ataki zbliżone do wojennych – Stuxnet
• Manipulacja w sieci, np. moderowane
wyszukiwanie
• Nierozsądne poleganie na chmurze – brak
świadomości zagrożeń, środków obrony
REUTERS on Publish Date
October 23, 2015
• The chief executive of TalkTalk, a British
telecommunications provider, said on Friday that
she had received a ransom demand from hackers
who had claimed responsibility for stealing data
on some of the company’s four million customers.
• “Yes, we have been contacted, by I don’t know
whether it’s an individual or a group purporting to
be the hacker,” Dido Harding, TalkTalk’s chief
executive, told the BBC.
European Cybercrime Centr - EC3
• Działa w ramach Europolu, czyli Europejskiego
Urzędu Policji.
• Głównie walka z: włamywanie na konta bankowe,
skimming
• Drugim przedmiotem - działania wymierzone w
dzieci, ich seksualne wykorzystywanie, a potem
umieszczanie nagrań i zdjęć z tego procederu w
Internecie i handlowanie nimi.
• Trzeci: ochrona przed cyberprzestępcami
infrastruktury teleinformatycznej o decydującym
znaczeniu dla funkcjonowania instytucji Unii Europejskiej.
CHIP.PL KWIECIEŃ 2013
Kradzież tożsamości
CHIP.PL SIERPIEŃ 2014
Kradzież tożsamości
Identity theft
• Po raz pierwszy zdefiniowana w dokumencie: the Identity
Theft and Assumption Deterrence Act of 1998 (ID Theft
Act),
• Dokument ten zidentyfikował tę kradzież jako oddzielną
kategorię przestępstwa.
• “ …świadome przekazanie lub użycie, bez prawnej
zgody, opisu lub identyfikacji innej osoby z
zamiarem popełnienia lub pomocy lub
nakłaniania, każdej bezprawnej aktywności, która
jest określona jako przestępstwo w federalnym prawie albo uznawane
jest jako przestępstwo przez inne regulacje stanowe lub lokalnego
prawa”.
http://www.mcafee.com/us/threat_center/white_paper.html
Obnażanie informacyjne –
kradzież tożsamości
• Jednym z podstawowych zagrożeń w Sieci jest utrata
prywatności - nieświadome udostępnianie informacji o
sobie, które w krańcowych przypadkach doprowadza do
tak zwanej kradzieży tożsamości.
• Dane te tworzą głównie informacje, dostępne w
portalach społecznościowych (Facebook, Nasza Klasa,
Twitter, Blip ale także na Allegro czy Grouponie).
• Są to m.in. zdjęcia, które automatycznie rozpoznawane,
stwarzają nową ścieżkę do inwigilacji także osób, które nie są
zarejestrowane w portalach, a są na nich zamieszczone ich
zdjęcia w towarzystwie użytkowników określonego portalu.
Social hacking
• Wartość zbioru danych o konkretnej osobie
waha się od kilku centów do kilku dolarów,
w zależności od zakresu zebranych
informacji oraz pochodzenia użytkownika.
Blokowanie śledzenia aktywności
użytkowników w Sieci
• darmowe rozszerzenie przeglądarki
internetowej Facebook Blocker.
• Jego wersje do przeglądarek Safari,
Chrome, Firefox i Opera można znaleźć na
stronie
webgraph.com/resources/facebookblocker
CHIP.PL PAŹDZIERNIK 2012
Dzieci
Co piąte dziecko
nękane w Sieci
jeden na pięcioro młodych ludzi (21 proc.)
doświadczył zjawiska określanego jako
cybernękanie, w którym ofiary są
oczerniane za pośrednictwem portali
społecznościowych.
CHIP.PL KWIECIEŃ 2013
Zagrożenia dzieci
• Po 4 minutach rozpoczyna się w
niemoderowanych chatroomach nękanie o
charakterze seksualnym
• 40% ma kontakt z treściami erotycznymi online
• 45% (12-17 lat) udostępnia swój telefon
• 58% (5-9 lat zaczyna korzystać z Sieci, 16%
wcześniej)
• 64% zawiera znajomości przez Sieć.
Chip, 05.V.2008.
Najczęstsze zagrożenia dzieci
• Kontaktowanie się z nieznanymi osobami,
• ekspozycja na szkodliwe treści (nienawiść,
narkotyki, samobójstwo),
• otrzymywanie e-maili o treści związanej
seksem,
• bezpośrednie spotkania z osobami
poznanymi w internecie oraz bycie ofiarą
napastowania lub dokuczania przez innych.
Raport „Polskie dzieci w internecie. Zagrożenia i bezpieczeństwo na tle danych dla UE", przygotowany na podstawie badań EU Kids Online
wrzesień 2012, www.pcworld.pl
przez Lucynę Kirwil z Szkoły Wyższej Psychologii Społecznej w Warszawie.
Kontrola rodzicielska
• Visikid - monitorowanie aktywności dziecka w
internecie, jednocześnie aplikacja nie ma funkcji
blokowania dostępu do nieodpowiednich treści.
• Norton Online Family - oprócz śledzenia
aktywności dzieci w internecie umożliwia
blokowanie dostępu do nieodpowiednich treści.
• Inne programy: Motyl 2012 firmy Adalex Soft
(adalex.pl/motyl), Opiekun Dziecka
(www.opiekun.pl), Strażnik Ucznia
(www.straznikucznia.pl) oraz Beniamin
(www.beniamin.pl).
wrzesień 2012, www.pcworld.pl
Dyżur.pl - NASK
•
•
•
•
•
•
•
•
–przyjmuje anonimowo zgłoszenia od internautów dotyczące treści
nielegalnych i szkodliwych,
–miesięcznie analizuje średnio 922 zgłoszenia (w 2014, a w 2013: 558)
dotyczące treści potencjalnie nielegalnych i szkodliwych,
–od początku istnienia Zespół przeanalizował około 45 tysięcy zgłoszeń, w
samym 2014 roku przeszło 11 tysięcy,
–80% materiałów przedstawiających seksualne wykorzystywanie
małoletniego jest usunięta w ciągu 3 dni od analizy zgłoszenia,
–93% witryn przedstawiających powyższe treści znika w ciągu 7 dni,
–wzrostowa prognoza zgłoszeń w 2015 – przewidywane około 14 tysięcy,
–zespół prowadzi działania na rzecz tworzenia bezpiecznego Internetu oraz
popularyzuje bezpieczne korzystanie z Internetu (programy, szkolenia,
publikacje).
Dyżurnet.pl W trosce o użytkowników Internetu – Zespół Dyżurnet.pl (II)
25 maja 2015 r.
Przyczyny
przestępstw IT
FIRMA – pięć grzechów
bezpieczeństwa teleinformatycznego
1.
2.
3.
4.
5.
Fachowcy – powierzenie bezpieczeństwa IT wyłącznie
informatykom
Internet – beztroska w udostępnianiu Internetu
pracownikom i brak monitorowania aktywności
internetowej pracowników.
Regulacje – brak wewnętrznych reguł (polityka
bezpieczeństwa IT) wymuszających stosowanie
odpowiednich środków i zasad postępowania.
Maksymalizacja wiedzy – nagminny brak wiedzy wśród
pracowników w zakresie bezpieczeństwa IT (proporcja
szkoleń BHP i bezp. IT?),
Audyt – zbyt mała wiedza o kosztach ryzyka – szacunku
wartości możliwych strat i kosztów ich ograniczenia,
Zmiana typów
zagrożeń w Sieci
Spyware
Antyspyware
Robaki
Filtr treści
Antyspam
Zakazana
Treść
Spam
Antywirus
Związane
z treścią
Trojany
Wirusy
IDS
VPN
Firewall
Związane
z łączeniem
Klucz
Fizyczne
Włamania
Kradzież sprzętu
Chip 6/05
Nimda (zagrożenie hybrydowe) rozprzestrzenianie
Web
Server
Internet
Router
Stacja
robocze
Hub
Stacja
robocza
Web
Server
Laptop
 Zainfekowany załącznik
 Atak na „dziurawy” serwer WWW
 Wcześniej zakażony serwer WWW
 Ataki przez przeglądarkę
 Współdzielone zasoby
Jarosław Samonek, Country Manager,
Symantec Poland Sp. z o.o.
Źródła niebezpieczeństw
• ryzyko związane z atakami na środowiska
internetowe,
• technologie bezprzewodowe i szerokopasmowe
dostępu do Sieci
• Komputery i inne cyfrowe urządzenia
mobilne.
Obrazy
• Władze Płd. Korei zaleciły montowanie do
komórek sygnalizatorów dźwiękowych
robienia zdjęcia.
• ParentWatch.com, KinderCam.com –
kamery w miejscach pobytu dzieci –
przedszkola, szkoły.
WebCam
• Wirusy WebCam są to robaki Rbot, które
mają zdolność kontrolowania internetowej
kamery ofiary stanowiąc zagrożenie
wzrokowej inwigilacji określonych miejsc np.
w domach i biurach.
• Tysiące kamer podłączonych do prywatnych
systemów zabezpieczeń przez
niefrasobliwość ich administratorów jest
dostępna publicznie, stwarzając nowy typ
zagrożeń chronionych obiektów
Kontrola nad kamerami
komputerów
• Webcamy rejestrujące intymne życie
mieszkańców w domach
• „The webcam software, called PC Rental
Agent, had been installed on approximately
420,000 computers worldwide”.
September 26, 2012, 6:28 pm Rented Computers Captured
Customers Having Sex, F.T.C. Says
By NICK BILTON
Obrona przed przechwyceniem
sprzętu
•
•
•
•
Kamera, mikrofon, klawiatura
Antilogger (www. zemana.com).
HijackThis,
Regularne aktualizacje systemu Windows.
Kamery w mieście
• CCTV – Closed-Circut Television –
telewizja w obwodzie zamkniętym
• 400 000 w Londynie. Przeciętny
londyńczyk fotografowany 250 razy
dziennie
• Warszawa – 300 kamer
• Czas przechowywania nagrań – 30 dni
Chip IX.2007
Chip 10/2010
10 podstawowych zagrożeń utraty bezpieczeństwa
1/10 wrażliwe sieciowe aplikacje
1. Atak na aplikacje sieciowe przez „otwarte
drzwi”.
http://www.zdnet.co.uk/news/security-threats/2010/05/07/know-the-enemy-todays-top10-security-threats-40088650/
10 podstawowych zagrożeń utraty
bezpieczeństwa
2/10. Wyrafinowany phishing i pharming
2. Kradzież danych identyfikujących.
Antywirusy i spyware nie dają gwarancji
bezpieczeństwa – podstawa: edukacja
użytkowników.
10 podstawowych zagrożeń utraty
bezpieczeństwa 3/10. Spam 2014
Cisco 2015 Annual Security Report
10 podstawowych zagrożeń
utraty bezpieczeństwa
4/10 Social media attacks
• Łamanie słabych haseł i ufanie bezpłatnym
programom.
10 podstawowych zagrożeń utraty
bezpieczeństwa
5/10. Proste korzystanie z danych
identyfikujących (identity theft)
• Kradzież pieniędzy lub uzyskiwanie innych
bezpośrednich korzyści.
10 podstawowych zagrożeń utraty
bezpieczeństwa
6/10. Theft of credit-card details
• Tylko 5% komercyjnych stron jest
bezpieczna.
• Wzrost kradzieży numerów kart płatniczych
10 podstawowych zagrożeń utraty
bezpieczeństwa
7/10. Exploiting the latest technology
• Rola nowych technologii VoIP,
wirtualizacja, smartfony itp.
10 podstawowych zagrożeń
utraty bezpieczeństwa
8/10. Increased outsourcing
• Powierzanie dużych ilości danych firmom
zewnętrznym.
10 podstawowych zagrożeń utraty
bezpieczeństwa
9/10. Rise in super-portable data
• Kradzież danych przez nośniki – laptopy,
urządzenia USB.
10 podstawowych zagrożeń
utraty bezpieczeństwa
10/10. Samozadowolenie
• Dysponowanie nowoczesnymi
technologiami bezpieczeństwa ale brak
edukacji pracowników.
Techniki i metody
przestępstw IT
Jawność sieciowej transmisji
• Dane przesyłane przez otwartą sieć mogą być w
prosty sposób podsłuchane, a następnie
wykorzystane do ujawnienia haseł
logowania do poczty i stron internetowych,
a także pozyskania przesyłanych e-maili,
rozmów głosowych i tekstowych, plików czy
poufnych dokumentów.
• W protokole HTML komunikacja między
przeglądarką a serwerem WWW nie jest
zaszyfrowana. Każdy, kto przechwyci taki
strumień danych, może bez trudu odczytać
Pcworld X.2013
zawartość strony.
Typowy atak
•
•
•
•
•
•
zdobycie hasła
wykorzystanie dziur
nieuprawnione działania
instalacja „konia trojańskiego”
podsłuchiwanie - packet sniffers
przez „tylne drzwi” i przez e-mail
Metody wykorzystywane przez
włamywaczy
• Denial of Service (DoS) - odmowa wykonania
usługi, atakowany serwer zagubiony dużą liczbą
żądań
• port scan - uruchamianie usług na wielu portach i
wykorzystanie luk (związanych z usługą) w
bezpieczeństwie,
• sniffing - podsłuchiwanie
• spoofing - podszywanie się pod kogoś,
• dictionary attack - atak słownikowy
Rozłączenie
Modyfikacja
podsłuch
fałszowanie
Ograniczone sieciowe
zagrożenia
•
•
•
•
•
•
•
•
•
•
Bombardowanie pocztą
Dziurawa aplikacja
Dziurawy system operacyjny
Odmowa wykonania usługi
Zmiana makta aplikacji
Przechwycenie sesji SMTP
Rutowanie przez źródło
Spam
Wirusy
Zdalne logowanie
Haker
HACKING
Hacker - osoba, która włamując się do sieci
komputerowej, pokonuje zabezpieczenia
w postaci kodów i haseł broniących dostępu
do zgromadzonej i przetwarzanej informacji
Dep. Obrony USA przyznaje, że
penetrowano 88% komputerów w
96% bezkarnie 70% penetracji
przez pracowników firmy
Kapelusze
•
•
•
•
„white hats", ..grey hats" i „black hats".
obrońcy praworządności - białe,
Przestępcy – czarne
bohaterowie należący częściowo do
każdego z tych światów - szare.
Defcon – spotkania
superhakerów
• Wielu pracuje na stanowiskach doradców
służb bezpieczeństwa
• Blokada światowej infrastruktury IT, bilety
samolotowe, włamania do elektrowni
atomowych, wybory
Chip II/09
Logo hakerów*
Slang hakerów
• Freak (phr34) – maniak,
• Dude <|OO<|3 – doświadczony haker,
profesjonalista
• |oo53r – looser, frajer, amator
• Warez (//4r3z) – pirackie oprogramowanie
• Więcej:
www.catb.org/jargon/html/index.html
*Szybowiec, figura z matematycznej gry Game of Life
Malware
HAKERZY NA USŁUGACH
AMERYKAŃSKICH TAJNYCH SŁUŻB
• FBI opłaca 25 proc. wszystkich
hakerów i cyberprzestępców, zatrudniając
ich jako informatorów.
• Zdaniem ekspertów infiltrowane przez
FBI są zarówno hakerskie fora dyskusyjne,
jak i czaty organizacji Anonymous.
CHIP.PL LIPIEC 2012
Malware
• Neologizm powstały z wyrazów
malicious (złośliwy) i software.
• Szkodliwe oprogramowanie wszelkiego
rodzaju. Zaliczają się do niego m.in. robaki,
wirusy, trojany, rootkity, phishing, mishing
(mobilne) vishing (phishing telefonicznie) i
fałszywe aplikacje antywirusowe.
•
•
•
•
•
•
•
•
Java 25%
Flash 20%
Shockwave 14%
QuickTime 12%
MediaPlayer 11%
Adobe PDF 10%
Dodatki do IE 5
Dodatki do Firefoxa 3
• Także:
• Rzeczywiste dane do
przeglądarki
• Automatyczne
wizytówki do maili
Niebezpieczne końcówki plików
Rozpowszechnianie malware
Flash
• Stwarzający powszechne zagrożenie Flash
nie jest dla systemu operacyjnego
niezbędny.
• Flash stał się standardem multimedialnym –
tyle tylko, że zainteresowali się nim
przestępcy, dla których multiplatformowość
również była istotnym atutem.
WWW.PCWORLD.PL WRZESIEŃ 2015
Najniebezpieczniejsze produkty
Narzędzie do tworzenia aplikacji Webowych
Cisco 2015 Annual Security Report
• Szpiegowskie, także użyteczne, pliki do
monitorowania Twoich wędrówek
• Także zapisywane jednocześnie w wielu
miejscach
Technologia canvas
• Even the slightest change in one pixel — one dot in the
image — can create a totally new ID. Different computers
and web browsers may draw the image differently,
resulting in an ID that is semi-unique to a user.
Tracking code can use techniques like this to follow users
from website to website — even when cookies are disabled
in a user's web browser. Fingerprints used for tracking are
normally hidden from the user and — unlike this
demonstration — don't require a user's permission to draw.
http://www.propublica.org/article/meet-theonline-tracking-device-that-is-virtuallyimpossible-to-block
http://www.propublica.org/article/meet-theonline-tracking-device-that-is-virtuallyimpossible-to-block
Collusion
Po 5 i 10 minutach
Collusion na drugi dzień
Właściwości ciasteczka
Chip VI/2011
Zasoby w komputerach
• 93% firmowych dokumentów w postaci
elektronicznej
• 70% dokumentów nigdy nie jest drukowane
• 53% nie testuje planów zabezpieczeń częściej niż
raz na dwa lata
• 63% firm nie uświadamia pracowników o tych
planach
• 75% nie obejmuje sytuacji: a jeśli backup nie
działa?
Czy podajemy nieprawdziwe
dane sami o sobie?
zbyt lekkomyślnie ujawniamy wiele
danych osobowych, stając się
łatwym celem dla rosnącej liczby
przestępców wykradających
tożsamości w Internecie.
Autorzy zwracają uwagę, iż może to doprowadzić do
masowego odwracania się klientów od firm
internetowych.
Ujawnianie danych
• 79% ankietowanych jest skłonnych
podać
przypadkowej
osobie
dane
osobowe wystarczające do kradzieży
tożsamości.
• 33% ankietowanych przynajmniej raz
złamała
podstawowe
zasady
bezpieczeństwa
w
Internecie,
np.
współdzieląc czy zapisując hasła. Wielu
ankietowanych przyznało, że informacje
o hasłach do kont internetowych
przechowuje w portfelu.
Pracownicy
• 70% nieautoryzowanego dostępu do
informacji dokonują pracownicy,
• 95% ataków z poważnymi konsekwencjami
było inicjowane przez pracowników,
DLP (Data Leak Protection)
wypływ informacji
• Wiedza pracowników (78% incydentów)
• Technologiczne podejścia:
–
–
–
–
Klasyfikacja i ochrona danych
Szyfrowanie
Wykrywanie szkodliwych działań (logi)
Zarządzanie urządzeniami (mobiloność!)
Computerworld, raport spec. X.09
Powszechne pliki ze złośliwym
kodem
• Hakerzy dokonują ataków za pomocą
powszechnie stosowanych rodzajów
plików, używanych przez firmy do
zapisywania danych, dokumentów oraz
własności intelektualnej. Osadzając w
takich plikach – np. pdf - złośliwy kod,
można z łatwością uzyskać dostęp do
wybranego systemu.
http://wp.download.idg.pl/sbwps/0e6e4b972e269e6dbde941ea0950ae97/4f45fc92/adobe/Jak_uchronic_firme_przed_kradzieza_poufnych_danych.pdf
Zapobieganie wykradania
danych
• Mechanizm DEP (Data Execution
Prevention) uniemożliwia zapisywanie
danych oraz niebezpiecznych kodów w
lokalizacjach pamięci oznaczonych
przez system Windows® jako
chronione. Mechanizm DEP
przeprowadza też kontrole pamięci
sprzętu i oprogramowania.
http://wp.download.idg.pl/sbwps/0e6e4b972e269e6dbde941ea0950ae97/4f45fc92/adobe/Jak_uchronic_firme_przed_kradzieza_poufnych_danych.pdf
USB - zagrożenia
• Zalepianie USB
• Programowe blokady, np. dzięki Service Pack’owi
2 można ustawić wszystkie wymienne pamięci
tylko do czytania
• Sanctuary Device Control umożliwia pełną
kontrolę nad portami sieciowych komputerów, np.
o 16.10 w piątek dostęp do zapisu przez 7 minut.
• USB Lock Standard – ochrona transferu: USB,
IrDa, Bluetooth, CD/DVD/Blueray.
• Wymuszanie obligatoryjnego szyfrowania
zapisywanych danych.
Oferty zabezpieczeń USB
• Port Blocker, oferta Ardence Inc.'s dla pecetów i
serwerów.
• RedCannon Security's KeyPoint Crypto Mobile
Storage. Umożliwia monitorowanie, audytowanie
i rejestrowanie wszystkich dokumentów
przesyłanych za pośrednictwem USB.
• Ważne jest opracowanie polityki, edukacja,
kontrola
• Blokady można ominąć instalując z CD Linux’a –
uzyskuje się dostęp do wszystkich zasobów.
Pomyłki
• Niemal połowa pracowników otrzymuje
przez pomyłkę poufne informacje,
• Powód – błędy ludzkie i zła polityka
bezpieczeństwa.
Techniki przestępstw informatycznych
Podsłuch (eavesdropping) – dane przesyłane są bez zakłóceń, ale naruszana jest ich
poufność.
Phishing – scamming, zdobywanie przez użytkowników sieci danych innych
internautów, pozwalających np. na oczyszczanie ich kont z pieniędzy.
Spoofing – osoba może podszywać się pod inną tożsamość.
Penetracja (tampering) – dane są przechwytywane, modyfikowane i przesyłane do
adresata.
Denial of Service (DoS) - odmowa wykonania usługi, atakowany serwer zagubiony
dużą ilością żądań.
Port Scan - uruchamianie usług na wielu portach i wykorzystanie luk (związanych z
usługą) w bezpieczeństwie;
Naśladowanie (impersonation) – dane docierają do osoby podszywającej się pod
adresata. Może to przyjmować dwie formy:
Misrepresentation – osoba lub organizacja może podawać fałszywą informację o
prowadzonej
działalności
czy
swojej
ofercie.
[
Podsłuch elektromagnetyczny
• Emisja ujawniająca, ulot magnetyczny – zjawisko
występujące w każdym obwodzie, w którym płynie prąd.
• TEMPEST – Transient ElectroMagnetic Pulse Emanation
Standard – trzy poziomy.
• Techniki inwazyjne: wprowadzenie programu do PC
ofiary, który wykorzystuje układy jako nadajnik (np.
Tempest for Eliza – „nadaje muzykę przez kartę graficzną)
• Techniki nieinwazyjne – wykorzystywanie nieinwazyjnych
metod: bezprzewodowość, kable łączące urządzenia,
zasilanie. Najsilniej generują” CRT i LCD
Hakin9, 3/08, s. 23-25
NSA ma celowo inwigilować
ponad 100 000 komputerów
• Szpiedzy montują w podsłuchiwanych
komputerach (bez internetu) małe transceivery.
• Chipy radiowe na nieoficjalnej częstotliwości
komunikują się na dystansie 13 km ze stacjami
przekaźnikowymi NSA, które następnie przekazują dane dalej.
• Chipy pozwalają USA na kompletną inwigilację
komputerów, a także na zdalne sterowanie i
niezauważoną instalację oprogramowania.
• Jest jedno ograniczenie: pracownicy NSA muszą uzyskać
jednorazowy, bezpośredni dostęp do sprzętu.
CHIP.PL KWIECIEŃ 2014
Inwigilacja?
• Pentium III „seryjny numer
identyfikacyjny”
• GUID - Global Unique Identifier – tajny
(Intel -85% światowego rynku procesorów)
mechanizm programowy (Office 97 i 2000),
• Bug Report (XP) - programu
raportującego błędy programów
• Echelon (National Security Agency, USA),
kontrola informacji (od 1947 r.) cyfrowych (90%)
w skali całego globu (Internet, faks, mail,
telefon). Inna nazwa: SIGINT Signals Intelligence
PRISM
• to kodowa nazwa czynności związanych ze
zbieraniem danych, które oficjalnie
opisywane jest jako US-984XN.
• System działa na mocy Foreign Intelligence Surveillance
Act z 1978 roku, który opisuje procedury fizycznej i
elektronicznej inwigilacji oraz zbierania danych
wymienianych pomiędzy obcymi mocarstwami i ich
agentami a obywatelami USA, o ile ci ostatni są podejrzani
o terroryzm lub szpiegostwo. PRISM mają uzupełniać
kompletnie już tajemnicze programy o nazwach
BLARNEY i FAIRVIEW.
SIERPIEŃ 2013 CHIP.PL
Kompromitacja usług USA
• Odkąd informacje o PRISM zostały
upublicznione - większość osób i
podmiotów narażonych na inwigilację
systemu wywiadowczego amerykańskich
służb migruje na inne rozwiązania spoza
USA (objętych parasolem PRISM), także
do Polski.
N.S.A. Said to Gather Users’
Online Data
• Federalna administracja USA sekretnie gromadzi
informacje uzyskiwane od największych
internetowych firm przez 6 lat. Są to: Google,
Facebook and i Apple.
• Stwierdzono, że informacje były gromadzone
tylko innych krajach.
• Informacje te zawierały: e-mail, czaty, wideo,
fotografie, gromadzone informacje, transferowane
zbiory, wideo konferencje i loginy.
CHARLIE SAVAGE and EDWARD WYATT June 6, 2013
Szare eminencje globalnej Sieci
• Służby specjalne, bogaci inwestorzy, rządyci. którzy pociągają za sznurki Facebooka,
PayPala i innych internetowych potęg, wolą
pozostać w cieniu.
CHIP.PL MARZEC 2013
SPRZĘTOWA PRZYNĘTA
• Nowoczesnym wariantem konia
trojańskiego może być zawirusowany
nośnik danych, nieprzypadkowo „zgubiony"
przez hakera.
• Ciekawski pracownik podpina go do
komputera, infekując całą sieć.
• Trefny sprzęt bywa też przemycany pod
postacią nagrody - może to być pendrive,
ale również odtwarzacz MP3.
CHIPPL WRZESIEŃ 2012
ID gadżetów
• Unikalne ID gadżetów, np. Kindle
Amazona, Sirius XM Radio, iPhony,
• Brak polityki korzystania z tych informacji
– tylko policja, jeśli tak to czy warto szukać
sprzętu za 300 USD?
• Jak obsługiwać sprzedane lub skradzione
urządzenia?
September 7, 2009, Gadget Makers Can Find Thief, but Don’t Ask By DAVID SEGAL
Oznaczenia kolorowych wydruków
Tracking Dots
• Kropki (8x15< 1/1000
strony) z danymi o:
– Data zakodowania, godzina,
minuta
– Identyfikator drukarki
– www.eff.org/privacy/printers
/list.php
Keylogery i phishing
• liczba keylogerów – szkodliwych programów
zapisujących wpisywane na klawiaturze hasła i
inne prywatne informacje – pomiędzy styczniem
2004 r. a majem 2006 r. wzrosła o blisko 250%.
• W tym samym czasie liczba alarmów
sygnalizujących możliwość ataku phishingowego
wzrosła aż stukrotnie.
• Sophos wykrył 5400 podmienionych witryn
(2007)
• Keyloger służb USA: Magic Lantern
• http://www.mcafee.com/us/threat_center/white_paper.html.
WARSZAWA – 22 stycznia 2007: Firma McAfee (NYSE:MFE) opublikowała raport McAfee® Avert® Labs. Chip II.2008
Computerworld 29 III 2011
Szpiegowanie/podsłuchiwanie
• Desktop Surveillance 5.0 – obserwacja
poczynań innych użytkowników komputera
• Mini Monitoring 1.5.0 pl jw.
• Magic Guardian Home – nadzoruje kilka
komputerów
• Family Keylogger 2.71
Podsłuch
• Paraben Windows Breaker (www.paraben.com,
ok. 600 zł), pozwala włamać się do dowolnego
komputera z systemem Windows 7 lub
starszym, wymaga tylko włożenia
pendrive'a do portu USB.
StealthGenie
• zmienia dowolny telefon z Androidem w
wielofunkcyjną pluskwę, instaluje się jak każdy
inny app. Program działa w tle, bez wiedzy
użytkownika telefonu, zaś podsłuchujący może
wydawać mu polecenia za pomocą przystępnego
interfejsu internetowego lub wysyłając SMS-y.
• Korzystając z łącza internetowego telefonu,
StealthGenie przekazuje zarejestrowane rozmowy,
wszystkie SMS-y i zdjęcia, a także śledzi
lokalizację urządzenia na podstawie sygnału GPS.
CHIP.PL WRZESIEŃ 2014
Szantaż przez Internet –
ransomware (więcej - wirusy 50)
• Ransomware/wirusy GPcode – odszyfrowanie za
okup
• Zagrożenie zrujnowaniem Sieci firmowej o ile nie
zapłaci szantażystom
• Część procedur deszyfrujących oferuje Kaspersky
• Np. trojan Kenzero wyłudza dane – okup (50 zł)
za wstrzymanie ich publikowania
• Kreator szantażystów: Silence of Winlocker,250$
+ wsparcie techniczne
• Zasadzki „przy wodopoju” Watering Hole Attack,
w miejscach często odwiedzanych.
• Pierwszy krok obrony – odinstalować Javę.
Pc World VIII, 2013
Szantaż przez Internet –
ransomware 2
• Grupa hakerów usiłowała wyłudzić €150,000 od
Belgijskiego banku Belfius, szantażując bank
zhakowanymi danymi.
• Hakerzy w swoim szantażującym mailu
zagrozili,, że jeśli w kilka dni nie opłacą okupu
udostępnią dane firmy kredytowej i nieruchmości
zarządzanej Elantis przez Belfius, zostaną
ujawnione.
• Szantażyści określili proceder jako 'idiot tax' dla
przechowujących poufne informacje w
niezabezpieczonych serwerach.
Hackers hold bank to ransom over stolen data, By Tom Espiner, ZDNet UK, 4 May, 2012 16:16
Wirusy szyfrujące • Szyfrują one pliki na komputerze tak, aby ich
otwarcie było możliwe tylko po wpisaniu hasła.
• Wirusy szyfrujące zwykle atakują te pliki, które
wytworzył bądź edytował użytkownik komputera,
co zwiększa szansę na skuteczny szantaż (okup).
• Tego typu wirusy mają kilka odmian.
• Jednym z częściej atakujących komputery jest tak
zwany Cryptolocker.
CHIP.PL GRUDZIEŃ 2012
Kontrola komputerów
osobistych
• Projekt ustawy UE na swobodny dostęp do
komputerów mieszkańców zjednoczonej
Europy.
Apple nieprzygotowany na
zagrożenia
• jest 10 lat za Microsoftem.
• Powód – rosnący udział w rynku Mac staje
się dla gangsterów opłacalnym celem.
Sierpień 2012, chip.pl
Inne zagrożenia
•
•
•
•
•
•
Web 2.0
IM
Wi-Fi
FotoKomórki
Pamięci Flash’owe
Szpiegowanie i terroryzm
Przejmowanie mentalnej inicjatywy
przez maszyny – Singularity
Bliskość pokonania bariery oddania maszynom
decyzji o zabijaniu ludzi (np. rozważane są plany
oddania takiej samodzielności samolotom
szpiegowskim klasy Predator).
Dotychczasowe osiągnięcia zapowiadające
„eksplozję inteligencji maszyn”, należy przewidzieć
także ekstremalne zagrożenie – „utratę ludzkiej
kontroli nad bazującą na komputerach inteligencją”.
http://singularityu.org/overview/ [maj 2009], AAAI Presidential Panel on Long-Term AI Futures, 2008-2009 Study. J. Markof,
Scientists Worry Machines May Outsmart Man, „The New YorkTimes” 2009, July 26. Predator Drones and Unmanned Aerial
Vehicles (UAVs), „The New York Times” 2009, July 24.
DRON
• Platforma — a nowa klasa komputerów ogólnego
zastosowania, tak ważna jak PC czy smartfony.
• Propozycja regulacji – lot poniżej 150 m. zawsze
w zasięgu wzroku operatora.
• Bezzałogowe roboty grożą inwazją na prywatność,
zagrożeniem przerażających ataków z powietrza i
niebezpiecznym zaśmiecaniem naszego nieba.
http://www.nytimes.com/2015/02/05/technology/personaltech/giving-the-drone-industry-theleeway-to-innovate.html?emc=edit_th_20150205&nl=todaysheadlines&nlid=4706125&_r=0
Dron – sztuczna inteligencja
• Myśliwiec Northrop Grumman X-47B
• Operator przekazuje jedynie dane misji,
takie jak trasa lotu i jej cel, o resztę - start,
przelot, interpretację danych, celowanie,
strzelanie i lądowanie - dron musi
zadbać sam.
CHIP.PL PAŹDZIERNIK 2014
Autonomiczna broń = proch,
broń nuklearna
• Elon Musk and Stephen Hawking Among
Hundreds to Urge Ban on Military Robots
• Autonomia zabijania
• W rękach terrorystów
http://www.nytimes.com/2015/07/28/technology/elon-musk-and-stephen-hawking-among-hundreds-to-urge-ban-onmilitary-robots.html?emc=edit_th_20150728&nl=todaysheadlines&nlid=4706125&_r=0
Zagrożenia Web 2.0
„Inwigilacja społecznościowa”
• DRON – część europejskiego systemu
bezpieczeństwa
• system AMFIS - „rozpoznawanie za
pomocą połączonych czujników mobilnych
i stacjonarnych„
• AGH – projekt INDECT (2009-2013).
„Intelligent information system supporting observation,
searching and detection for security of citizens in urban
environment", „Inteligentny
system
informacyjny wspomagający obserwację,
INDECT (www.indect-project.eu)
• M.in. Obserwacja, wyszukiwanie i detekcja dla celów
bezpieczeństwa obywateli w środowisku miejskim.
• Wynalazki: kamery, procedury rozpoznawania twarzy i
zachowania, oraz narzędzia szpiegujące sprzęt i Internet.
• dostępny przez Sieć dla służb bezpieczeństwa z obszaru
całej Unii Europejskiej.
• Indect ma protokołować połączenia telefoniczne, a
powstający w jego ramach trojan unijny kontroluje pocztę i
czaty podejrzanych. System ma także analizować
zachowania konsumenckie, sprawdzając np. płatności
kartą.
MAJ 2012 CHIPPL
MAJ 2012 CHIPPL
Wi-Fi Zabezpieczenia
standardy:
• szyfrowanie WEP (Wired Equivalent
Privacy), bardzo łatwe do złamania.
• Lepsze: WPA i WPA2
– Łatwe do złamania podczas wymiany kluczy
(firma Elomosoft)
– Np. kartą graficzną Nivida GeForce GTX 295 –
250 mln haseł na sekundę
– Hasła >= 20 znaków nadal bezpieczne
Web 2.0
• Podszywanie się pod znajomych w celu
wyłudzenia pieniędzy – np. ukradziono mi
portfel podczas podróży (Facebook).
• Instalowanie szpiegujących programów
oferowanych przez znajomych
• Korzystanie z hybrydy: Sieć - telefon
Anonimowość
• „Nasz profil” w niepowołanych rękach:
przedmiot manipulacji, spam, szantaż
• Lub, anonimowość sprzyja przestępcom,
hakerom, spamerom, pedofilom, piratom
• Zapobieganie: anonimowe maile, grupy
dyskusyjne, bez śladów po wizytach na
Stronie (IP), anonimowe programy P2P
c.d. anonimowości
• Kaskada serwerów pośredniczących usługa:
JAP/JonDo lub przeglądarka Torpark
(modyfikacja Firefoksa)
• Wpisy o aktywności internautów:
www.webferret.com
• Dane o 50 mln osób z UE w shober.pl
• Rozmowy Skype szyfrowane pomiędzy
klientami Skype!
Anonimowość c.d.
• Jedną z najbardziej popularnych usług
tego typu jest bezpłatny Mailinator (www.
mailinatoKcom). Pozwala jedynie na odbieranie
wiadomości, bez możliwości ich
wysyłania, a wszystkie są usuwane co kilka minut
• Alternatywny sposób polega na używaniu
połączenia tunelowego. Korzystając z sieci VPN,
łączysz się z serwerem usługodawcy i za jego
pośrednictwem przeglądasz zasoby Internetu –
ukrywasz IP, szyfrujesz transmisję
PCWorld, 7/2010
WIRTUALNE SIECI
PRYWATNE (więcej Internet/wstęp 199)
• Pierwotnie stworzone jako bezpieczna
metoda dostępu do sieci korporacyjnych,
dziś usługi VPN często służą jako
narzędzia anonimizujące.
• Inaczej niż w przypadku sieci Tor
korzystanie z nich najczęściej jest płatne.
CHIP.PL KWIECIEŃ 2015
Proxy
• Jest to serwer (lub oprogramowanie) który
łączy pośredniczy w połączeniu z zasobami
sieci
• Można łączyć się przez serwer
pośredniczący za pomocą protokołu HTTP,
HTTPS.
• Serwer pośredniczący ma za zadanie przyśpieszyć proces
ładowania się stron www, poprzez trzymanie ich w
pamięci. Dzięki temu proces ładowania strony jest
przyśpieszony.
Zagrożenia z Web.2.0
• Najgroźniejsze poza phishingiem i spamem
– infekcje przenoszone przez pliki
multimedialne z Web 2.0
• Np. koń trojański za pośrednictwem
utworu muzycznego z MySpace, za
pośrednictwem QuickTime
Ataki na usługi sieciowe dla graczy
• Dochodowa jest produkcja wirusów
komputerowych wykradających hasła
do kont w grach multiplayer, takich jak
„World of Warcraft".
• Przejęte konta ogałaca się z wartościowych
przedmiotów, które potem są sprzedawane
na aukcjach internetowych.
• można także przechwycić numer karty
kredytowej gracza, gdy będzie chciał kupić
dodatkowe usługi na fałszywej stronie
styczeń 2012 www.pcworld.pl
Sieciowe oszustwa
• Nigeryjski przekręt (od lat 90.): odstępne za
pośrednictwo w przelewach wielkich kwot.
Wcześniej opłaty „manipulacyjne”
• Łańcuszek św. Antoniego – pozyskiwanie
adresów ofiar przekazywanego listu
• Piękne dziewczyny – „przyjadę, przyślij
pieniądze na bilet”.
• Fałszywy sklep
• Prośby o datki
• Loteria i inne
styczeń 2012 www.pcworld.pl
Utrata hasła Twittera
• Jeśli łupem cyberprzestępców padnie profil
agencji informacyjnej, celebryty lub dużej firmy z
milionową publicznością. Skutki mogą być bardzo
poważne i przynieść wymierne straty finansowe.
• Associated Press. Pod koniec maja straciła ona
dostęp do swojego profilu na Twitterze, a osoby,
które przejęły konto, opublikowały fałszywą
informację o zamachach w Białym Domu.
Odbiło się to na tyle szerokim echem, że
wystąpił nagły spadek głównych indeksów na
nowojorskiej giełdzie.
Pc World VIII, 2013
Zagrożenia - Komórki,
smartfony i inne
mobilne urządzenia
Kradzież laptopów
• Według ankiety instytutu DDC
przeprowadzonej wśród 200 ofiar
rabunku najwięcej, bo aż 32 procent
kradzieży sprzętu tego rodzaju zdarza
się na lotniskach i na przystankach
autobusowych.
PCWorld, II. 2013
Zdjęcia z włączonej komórki →
Chip, III. 2013
Komórki zagrożenia
• Łatwe do zgubienia i kradzieży, zazwyczaj nie
mają zabezpieczeń informacji
• Podatne na malware
• Otrzymują spam
• Zdalne włączanie mikrofonu, kamery
(szpiegowanie)
• Lokalizowanie
• Poczta trzymana na serwerach (dostęp przez
komórki) narażona na podgląd
CHIP.PL SIERPIEŃ 2014
Jak się chronić
• Instalacja antywirusa
• Programy tylko ze sklepu:
Applea, Google'a i Microsoftu.
• Sprawdzanie kodów QR
• Aktualizacje systemu
CHIP.PL PAŹDZIERNIK 2015
Malware w komórkach
• 9 na 100 komórek w maju 2010 miało
malware.
• Poza kradzieżą danych, niszczeniem –
szantaż zniszczenia zawartości pamięci – 5
Euro
• Ataki na zwiększenie rachunków – usługi
na konto ofiary
• Zdalne włączanie komórki – podsłuch
• Phishing
http://www.nytimes.com/2011/02/24/technology/personaltech/24basics.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print
BYOD (Bring Your Own Device)
• Negatywną stroną zbyt łatwego dostępu do
aplikacji i usług mobilnych jest naturalna
chęć pracowników do korzystania z
prywatnych urządzeń przenośnych w
miejscu pracy.
• BYOD jest nieodłącznym elementem
szeroko pojętej mobilności korporacyjnej i
powinien być rozpatrywany jako całość.
BYOD
• Jedną z podstawowych obaw związanych z
BYOD jest możliwość wycieku wrażliwych
informacji, jeśli prywatne urządzenie
zostanie zgubione lub skradzione.
• Z tego powodu ważne jest dostosowanie
wewnętrznych zasad bezpieczeństwa
(uprawnienia, aplikacje, kasowanie)
44 proc. firm nie reguluje
BYOD
• Niedawne badania ankietowe
przeprowadzone przez Samsunga
wśród menedżerów europejskich firm
zatrudniających ponad 1000
pracowników wskazują, że wciąż niemal
potowa polskich przedsiębiorstw tej
wielkości nie ma żadnej, formalnej ani
nieformalnej polityki wobec BYOD.
MARZEC 2015 CHIP.PL
Enterprise Mobility Management (EMM)
• wprowadzenie systemu klasy
umożliwiającego zarządzanie
uprawnieniami poszczególnych urządzeń.
Lista kontrolna: Pytania dla pracownika
• Do jakich danych - np. geolokalizacyjnych - będzie miał
dostęp pracodawca i w jaki sposób zostanie to
uregulowane?
• Co stanie się w razie zagubienia czy kradzieży urządzenia?
Czy będę odpowiedzialny za straty? A może firmowe dane
da się skasować zdalnie?
• Jakich zasad muszę przestrzegać, korzystając z
urządzenia? Czy są one zawarte w regulaminie pracy?
• Czy mogę w dalszym ciągu wykorzystywać urządzenie do
dowolnych celów prywatnych?
• Jakiego oprogramowania czy appów będę używał w ramach programu
BYOD? Czy korzystanie z prywatnego oprogramowania w pracy bądź
ze służbowego programowania do celów prywatnych będzie zgodne z
licencją?
MARZEC 2015 CHIP.PL
Zalecenia dla pracodawcy
• Wprowadź odpowiednie regulacje dotyczące BYOD!
• Weź pod uwagę bezpieczeństwo danych oraz ochronę
danych pracowników, ich prawo do prywatności itd.
• Uzgodnij z pracownikami i przedstaw całej załodze
politykę firmy względem BYOD. Wpisz do regulaminu
pracy.
• Polityka BYOD/CYOD powinna regulować: metody nadzoru, kwestie
odpowiedzialności, obowiązek zgłoszenia przez pracownika wykrycia
naruszenia prywatności danych lub utraty urządzenia, obowiązek
informacyjny pracodawcy w zakresie sposobu przetwarzania danych
pracowników, ograniczenia korzystania ze sprzętu przez osoby trzecie
oraz warunki licencjonowania oprogramowania, wysokość ew.
wynagrodzenia i dodatków, reguły bezpieczeństwa, w tym zasady
tworzenia haseł i aktualizacji oprogramowania.
MARZEC 2015 CHIP.PL
SŁOWNICZEK
BYOD: Bring Your Own Device
•
•
•
•
•
•
•
•
pracownicy wykorzystują własne urządzenia (smartfony, tablety, notebooki) do celów
służbowych
CYOD: Choose Your Own Device; pracownicy mogą wybrać (spośród kilku) model
urządzenia służbowego, pozostaje ono własnością firmy
COPE: Corporate Owned, Personally Enabled; pracownicy używają firmowych
urządzeń do celów służbowych i prywatnych
BYOS: Bring Your Own Software; na urządzeniach służbowych mogą być instalowane
prywatne narzędzia, appy czy systemy operacyjne
Konsumeryzacja: pracownicy chcą wykorzystywać prywatne urządzenia również w
pracy - przyczyna trendu BYOD
Enterprise Mobility Management (EMM): system centralnego zarządzania urządzeniami
pracowników oraz firmowymi sieciami informatycznymi przez przedsiębiorstwo
Mobile Device Management (MDM): szczególny przypadek EMM. obejmujący przede
wszystkim instalację appów, serwisowanie i nadzorowanie aktywności urządzeń
mobilnych
Konteneryzacja: szczelne rozdzielenie służbowych i prywatnych danych
przechowywanych w pamięci urządzenia, stosowane zwłaszcza w ramach programów
BYOD
MARZEC 2015 CHIP.PL
GWAŁTOWNY WZROST LICZBY
MOBILNEGO MALWARE'U
STYCZEŃ 2013 CHIP.PL
Przykłady zagrożeń
• Malware AndroidOS/Fakeplayer.A obciąża
rachunek użytkownika, automatycznie wysyłając
SMS-y premium, kosztujące nawet po kilkanaście
złotych.
• Trojan Android/Adrd-A i iPhone'owy robak
iKee.B integrują mobilny system z siecią botów.
W efekcie urządzenie zaczyna wysyłać spam,
pomaga w atakach typu DDoS
• ZeuS przechwytuje kody TAN (bankowość)
• Liczba złośliwych aplikacji na Androida 2012 >25
tys.
Chip II.2012; PCWorld.X.12; I.2013
Przykłady c.d.
• Ukrycie pod znanymi grami, np. Angry
Pigs&Birds
• Bezpłatne aplikacje śledzą zachowania
właściciela
• Zwrot aplikacji na Androida – do 15 minut.
Atak na smartfony
przez funkcję GPS
• Nowoczesne telefony do lokalizacji
używają sygnału A-GPS (Assisted GPS).
Skraca czas lokalizacji z 12 minut do
sekund.
• A-GPS korzysta z informacji pochodzących
z sieci telefonii komórkowej i otaczających
je sieci WLAN. To umożliwia włamania.
aplikacje szpiegujące
• Aplikacje badają czas i sposób ich
używania
• Usługi analizowania tworzą profile
użytkowników
• Wiele aplikacji odczytuje numery
identyfikacyjne stałych podzespołów urządzenia
(np. adres MAC układu WLAN, numer IMEI modułu telefonii komorkowej czy
identyfikator Android ID ygenerowany przez system operacyjny).
• Niektóre aplikacje przesyłają
niezaszyfrowane hasła
PC WORLD październik 2014
Obrona
• Shark for Root – aplikacja do nasłuchiwania
• WireShark - do przeglądania
przechwyconych danych
• Analizowanie
QR teksty zawierają malware
• zaszyty w nich złośliwy kod może być
wykorzystany do skutecznego
przeprowadzania ataku typu phishing (i
wyłudzenia danych) bądź infiltracji
użytkownika.
• Np. link do strony szpiegowskiej.
Czy kupujący sprawdzają bezpieczeństwo
adresu otwieranej strony
How trust really affects online shoppers’ decision to buy. Symantec. 2015 Internet Security Threat Report, Volume 20 http://www.symantec.com/security_response/publications/threatreport.jsp
Wskazówki bezpiecznej strony
• https
• Szara kłódka – właściciel strony kupił
swoją domenę na własność
• Zielona kłódka = Extended Validation SSL,
How trust really affects online shoppers’ decision to buy. Symantec. 2015 Internet Security Threat Report, Volume 20 http://www.symantec.com/security_response/publications/threatreport.jsp
Kto sprawdza „identity theft”
podczas zakupów
How trust really affects online shoppers’ decision to buy. Symantec. 2015 Internet Security Threat Report, Volume 20 http://www.symantec.com/security_response/publications/threatreport.jsp
RECONBOTDLA I0S: Zmienia każdy
iPhone w tajną kamerę internetowa, która
filmuje, gdy wyświetlacz jest czarny.
Chip, III. 2013
Obrona dla
mobilnych
Np. bezpieczny Android 1/2
•
•
•
•
•
Aplikacje tylko z oficjalnego sklepu
Program antywirusowy
Wgrywać aktualizacje
Automatyczne tworzenie kopii zapasowych
Blokowanie nieautoryzowanego dostępu
– Aplikacji kodem liczbowym (App Lock)
– Szyfrowanie
– Blokada ekranu (np. rozpoznawanie twarzy)
WWW.PCWORLD.PL SIERPIEŃ 2013
Np. bezpieczny Android 2/2
• Lokalizowanie komórki na mapach
Google’a (Avira Free Android Security) +
sygnał akustyczny np. w mieszkaniu
• W publicznych WANach – WPA2
• Blokada wysyłania info przez wścibskie
reklamy (Lookout Ad Network Detector)
Bezpieczeństwo rozmów przez
komórki
•
•
•
•
Oferta polskiej firmy TechLab 2000
Szyfrujący telefon Xaos Gamma
Całkowite bezpieczeństwo
Po małych przeróbkach komórki Sagem
100x – urządzenie do podsłuchu rozmów
telefonicznych w otoczeniu
Anty malware produkty dla
komórek
•
•
•
•
DroidSecurity
F-Secure
Kaspersky
Lookout
• Darmowe
• Apple’s Find
MyiPhone
• F-Secure Anti-Theft
for Mobile
• Microsoft’s Find My
Phone
• R.I.M.’s BlackBerry
Protect
Bez słabych punktów:
sklasyfikowany na
drugim miejscu McAfee
Mobile Security
Dużo potrafi i nic nie kosztuje: avast! Mobile Security
STYCZEŃ 2013 CHIP.PL
Formy obrony
• Antywirusy
• Kontrola certyfikatów instalowanych na
komórkach aplikacji
CHIP.PL KWIECIEŃ 2012
Mobilne pakiety bezpieczeństwa dla
Androida
Chip II.2012
Bezpieczne smartfony
• F-Secure Mobile Security (dla Android,
Windows Mobile, Blackberry oraz rodziny
Symbian i iOS).
• pozwala administratorowi zdalnie
lokalizować i zdalnie kontrolować zapisane
na telefonie dane.
• w razie kradzieży możliwe jest zablokowanie smartfonu w przypadku
próby wymiany karty SIM. Oprócz tego - również zdalnie - można
całkowicie wyczyścić pamięć mobilnego urządzenia – dane nie trafią
w niepowołane ręce.
GRUDZIEŃ 2012 CHIRPL
The OFF Pocket™
• Wł. i Wy. Telefonu trwa ok. 40 s.
• Wyjęcie baterii, nie w pełni
wyłącza funkcje tel.
• Lodówka mniej bezpieczna
Pluskwy
• Montowane w celowo zgubionych
pendraive’ach
• W kablach USB
• Zasięg pluskwy do 13 km.
WWW.PCWORLD.PL MARZEC 2014
Cloud computing zagrożenia
Cloud computing - zagrożenia
• Bezpieczeństwo transmisji
• Bezpieczeństwo magazynowania
• Gwarancja prywatności (inna w róznych
krajach) zgodna z polityką użytkownika
• Dostępność danych i ich odtwarzanie
(recovery)
http://features.techworld.com/security/3219109
/the-seven-deadly-sins-of-cloud-security/
Siedem grzechów bezpieczeństwa
cloud computingu 1-4/7
• Strata/wypływ danych
• Prosty błąd konfiguracyjny systemu w
chmurze, może być powielane wielokrotnie
• Kłopoty wewnętrzne – nieuczciwi
pracownicy chmury
• Koncentracja dużych ilości danych –
konieczny mocny monitoring, podwójna
autentyfikacja
Siedem grzechów bezpieczeństwa
cloud computingu 5-7/7
• Niebezpieczne interfejsy
programistycznych aplikacji. Ważna
autentyfikacja, kontrola dostępu i
kryptografia
• Zagrożenia przestępstw hakerskich
• Nieznany profil ryzyka – IT poza firmą
Największe zagrożenie dla
informatyzowanych firm?
• urządzenia mobilne (45% badanej próby).
• 32% uznało, że źródłem kłopotów z
bezpieczeństwem jest korzystanie z mediów
publicznych,
• 25% cloud computing.
CHIP.PL KWIECIEŃ 2014
Przykład zarządzania
bezpieczeństwem
• parkiem maszynowym, danymi,
bezpieczeństwem punków końcowych (i nie
tylko) oraz pracownikami,
• produkty LANDesk Software.
Np. LANDESK MANAGEMENT
SUITE
• umożliwia inwentaryzację zasobów IT,
• zdalne zarządzanie systemami
operacyjnymi i aplikacjami (włącznie z ich
zautomatyzowaną instalacją)
• monitorowanie wykorzystania licencji.
• funkcje MDM (Mobile Device
Management), tym samym rozwiązując
problem kontroli danych na urządzeniach
mobilnych.
CHIP.PL KWIECIEŃ 2014
Prywatność,
cenzura,
cyberbullying
Manipulacja
Samozniszczenie
• Confide i Telegram umożliwiają wysyłanie
samoniszczących się komunikatów, po ich przeczytaniu.
• Confide – tekst jest widoczny tylko podczas dotykania
palcem ekranu.
• Telegram oferuje prywatne chatroomy gdzie można zadać
czas po którym wszystkie teksty zostaną usunięte (1-5
minut).
• SnapChat umożliwia odbierać i wysyłać ginące obrazy.
Entering the Era of Private
and Semi-Anonymous
Apps
By NICK BILTON , NYT
Samoniszczące się
maile – jednorazowe
adresy
• W sieci działa
kilkaset serwisów
oferujących
usługę
tymczasowych,
anonimowych
kont e-mail.
.PCWORLD.PL GRUDZIEŃ 2015
Jednorazowe adresy
•
•
•
•
•
•
Air Mail (pl.getairmail.com)
Migmail.pl
Guerrilla Mail
TempMail (temp-mail.org/pl)
meltmail.com
www.yopmail.com/pl
• Snapchat umożliwia przesyłanie zdjęć i
filmów.
• Można je odtworzyć maksymalnie przez 10
sekund, a następnie ulegają one
autodestrukcji.
• Każde zdjęcie można otworzyć dwukrotnie,
po czym znika chyba że, zostało zapisane
na „mystory” użytkownika, wówczas jest
ono widoczne dla innych użytkowników „znajomych” przez 24h.
Cyberbullying to przestępstwo
•
•
•
•
•
•
W dniu 6 czerwca 2011 r. Kodeks karny, opublikowana w Dz. U. z 2011 r. Nr
72, poz. 381, ustawę uznającą cyberprzemoc i stalking w Polsce za czyn
zabroniony podlegający karze na podstawie art. 190a K.k.[5][6]:
paragraf 1: Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej
wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lub istotnie
narusza jej prywatność, podlega karze pozbawienia wolności do lat 3.
paragraf 2: Tej samej karze podlega, kto, podszywając się pod inną osobę,
wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej
szkody majątkowej lub osobistej.
paragraf 3: Jeżeli następstwem czynu określonego w § 1 lub 2 jest targnięcie
się pokrzywdzonego na własne życie, sprawca podlega karze pozbawienia
wolności od roku do lat 10.
paragraf 4: Ściganie przestępstwa określonego w § 1 lub 2 następuje na
wniosek pokrzywdzonego.
Prywatność
• Prywatność oznacza prawo do kontroli
informacji pod warunkiem, że inni uznają
prawo do takiej kontroli
•
•
privacy means a right to control information while others believe it is a
right to prevent access to information.
The legal definition of American privacy rights begins with the 1890
Harvard Law Review article when Samuel Warren and Louis Brandeis
called for legal protection in what they called “the right to be left alone.”
They said “numerous mechanical devices threaten to make good the
prediction that ‘what is whispered in the closet shall be proclaimed from
the house tops’ ”
Journal of Mass Media Ethics: Exploring Questions of Media Morality, Publication details, including instructions for authors and subscription information:
http://tandfonline.com/loi/hmme20, Newsgathering and Privacy: Expanding Ethics Codes to Reflect Change in the Digital Media Age, Ginny Whitehouse a
a Whitworth University, Available online: 05 Nov 2010
Polityka ochrony danych propozycja (Komisja Europejska)
• Straty firm z powodu utraty prywatności –
2,3 mld €/rok
• Propozycja zmiany Data Protection
Directive z 1995 roku
• Np. prawo do usuwania osobistych danych
z serwisów społecznościowych – opór
USA
NYT, November 29, 2011, A Proposal for E.U.-Wide Data Protection Regulation, By ERIC PFANNER
Biały wywiad wyszukiwarek i
sieci społecznościowych
Biały wywiad - Google
• Google przyznał się do zebrania 600
gigabajtów ze stron, niezabezpieczonych
wi-fi (maile).
• Oficjalne procedury uruchomione przez
Hiszpanię, Czechy, Francję i Niemcy.
May 20, 2010, In Europe, Google Faces New Inquiries on Privacy, By KEVIN J. O'BRIEN
s
http ://www.google.com
• Troska o prywatność zapytań, szczególni w
hotspotach
• Uruchomienie https po złożenia konta w
Google
Dochodzenie antytrustowe
Bruksela - Google
• Dominacja na rynku szperaczy w Europie –
80%, USA tylko 66%
• Blokowanie w SERP konkurencji, np.
porównywarek cen
• Oczekiwana kara – 10% wpływów z 23 mld
USD
November 30, 2010, NYT, Europe Opens Antitrust Inquiry Into
Google, By JAMES KANTER and ERIC PFANNER
Prywatność – media
społecznościowe
• Administracja wykorzystuje dane ze stron
społecznościowych
• Dochodzenia podatkowe
• Motywy i wzajemne relacje osób
• Lokalizacja
• Rozpoznawanie twarzy – od 2011 Facebook
(zmiana w „ustawienia prywatności”)
• Facebook (Pcworld/XI.2011, s. 78)
Zgoda na ograniczenia swobody
informacyjnej usług w sieci
• Niemcy:
– Facebook zgodził się na ograniczenie
udostępniania adresów w wyszukiwarce
adresów przyjaciół
– 2010 – Google skasował miliony zdjęć domów
i mieszkań
Facebook Makes Deal With German Privacy Group
By KEVIN J. O'BRIEN
Published: January 24, 2011
Sieci społcznościowe, przykład
– Facebook 1/3
• 5,5 mln. Polaków utrzymuje w FB
regularne kontakty
• Każdy zgadza się by inni uzyskali wgląd w
jego relacje społeczne
• Udostępnianie FB dostępu do prywatnej
poczty w WP, Onet, Interia
• Kolekcjonowanie adresów i ich powiązań –
obraz sieciowej społeczności.
Chip maj 2011
Sieci społcznościowe, przykład
– Facebook 2/3
• Aplikacje na komórki - iOS, Android,
Windows Phone czy Symbian, a korzysta z
nich około 200 mln osób z całego świata
• Po zainstalowaniu i pierwszym
uruchomieniu aplikacje tego typu
synchronizują zapisane bazy kontaktów
i przekazują nazwiska, numery telefonów
oraz adresy email wprost do baz Facebooka.
Chip maj 2011
Sieci społcznościowe, przykład
– Facebook 3/3
• Facebook nie jest notowany na giełdzie –
nie musi składać wymaganych przez kodeks
handlowy raportów finansowych
• Zasilanie finansowe: sponsorzy i reklamy
• Udziały min. w rękach Microsoft (240 mln
$) i rosyjska spółka DST (400 mln $)
Chip maj 2011
Co można wyciągnąć z portalu
• O zatrudnieniu, sytuacji finansowej,
preferencjach i zainteresowaniach
• Sposób spędzania wolnego czasu, plany
weekendowe/wakacyjne
• Miejsce zamieszkania, miejsca bywania –
kluby
• Znajomych i rodzaju kontaktów
COMPUTERWORLD 10.V.2011
Prywatność na Facebooku
• 8 na 10 US/UK dorosłych ma obawy o
prywatność kupując na Facebooku
• There are 230 million monthly active users across all of Zynga's
games, and Zynga claims 60 million users play its games each day.
Zynga also reports it sells 38,000 virtual items every second. Zynga
made $575 million in revenue off the sale of virtual goods in 2010,
compared to $22.8 million in advertising revenue.
Will Privacy Concerns Limit F-Commerce? ClickZ
Janice Diner | Social Commerce | August 2, 2011
Dane o nas dla nas
• Firmy sieciowe (sklepy, wyszukiwarki,
portale społecznościowe) dysponują
ogromną ilością informacji o nas
• Dostęp do danych o tobie, inicjatywy:
– „mydata” - http://www.cabinetoffice.gov.uk/resourcelibrary/better-choices-better-deals,
– „Bluebutton http://www.va.gov/BLUEBUTTON/index.asp)
Kadry
• 43 proc. europejskich firm sprawdza
reputację potencjalnych pracowników w
Sieci przed wysłaniem im zaproszenia na
rozmowę wstępną,
• 23 proc. osób z działów kadr odrzuciło
kandydaturę danej osoby ze względu na
negatywne komentarze pod jej zdjęciami
oraz wypowiedzi w serwisach
społecznościowych i blogach.
Chip XII.2010
Fotografie, facial recognition
linkig faces
• Chwila po zrobieniu zdjęcia komórką –
komplet dostępnych w sieci danych o
fotografowanym
• PittPatt face-recognition oprogramowanie
rozpoznające w Facebooku
• Heathrow - facial recognition, ochrona
przed nielegalnymi imigrantami
This story appeared on Network World at, http://www.networkworld.com/news/2011/080111-blackhat-facial-recognition.html
Black Hat: System links your face to your Social Security number and other private things , Black Hat presentation to show how photos, facial
recognition and overlapping databases will lead to less privacy, By Tim Greene, Network World , August 01, 2011 05:26 PM ET
Face Recognition
• SceneTap – rozpoznawanie postaci (nie
twarzy). Ocena średniej wieku w grupie,
rozkład płci
• Kamery w bilbordach oceniają średni wiek,
płeć i poziom uwagi, także dostosowując
treść reklamy do oglądającego bilboard
• Facebook – Tag Suggestions – rozpoznaje twarze
przyjaciół i przyporządkowuje ich imiona
• Przyszłość: analiza skóry i sugestia kremu
NYT, November 12, 2011, Face Recognition Makes the Leap From Sci-Fi, By NATASHA SINGER
Obnażanie informacyjne
• Jednym z podstawowych zagrożeń jest
utrata prywatności - nieświadome
udostępnianie informacji o sobie, które
w krańcowych przypadkach
doprowadza do tak zwanej utraty
tożsamości. Dane te tworzą głównie
informacje, dostępne w portalach
społecznościowych (NK, FB).
Negatywne informacje
• Trudne do usunięcia. Koszt 500 – 1000
USD
• Blokada w wyszukiwarkach negatywnych
informacji – tysiące USD + kolejne tysiące
w danych o osobach: Intellius lub
PeopleFinder
• Usunięcie oszczerczych (ktoś o firmie)
informacji – dziesiątki tysięcy USD
http://www.nytimes.com/2011/06/11/your-mney/11wealth.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print
Propozycja – 12.IV.2011
Commercial Privacy Bill of Rights
• Kodeks podstawowych zasad postępowania
z danymi osobowymi i informacjami, które
mogą jednoznacznie identyfikować osoby
lub urządzenia sieciowe służące do
gromadzenia i dystrybucji informacji.
http://kerry.senate.gov/work/issues/issue/?id=74638d00-002c-4f5e-9709-1cb51c6759e6&CFID=88008994&CFTOKEN=11424634
Prawa prywatności
• prawo do bezpieczeństwa i
odpowiedzialności. Gromadzący i
przechowujący informacje musi wdrożyć
środki bezpieczeństwa w celu ich ochrony,
• prawo do wiedzy, zgody, dostępu i
korygowania informacji,
• prawo do minimalnej ilości danych,
ograniczenia w ich dystrybucji i
integralności.
Children's Online Privacy
Protection Act of 1998
• (1) IN GENERAL.—It is unlawful for an
operator of a website or online service
directed to children, or any operator that has
actual knowledge that it is collecting
personal information from a child, to collect
personal information from a child in a
manner that violates the regulations
prescribed under subsection (b).
http://www.ftc.gov/ogc/coppa1.htm
http://www.ftc.gov/ogc/coppa1.htm
Obrona w mediach społecznościowych
• Bitdefender Safego (safego.bitdefender.com)
– analiza wpisów umieszczanych na tablicy użytkownika, statusów i wiadomości w
poszukiwaniu złośliwych treści
– analizowane są wpisy znajomych pod kątem występowania linków
przekierowujących na złośliwe strony lub aplikacje nastawione na zdobycie
dostępu do wrażliwych danych
– Badanie ustawień prywatności konta, aby ostrzec użytkownika, które informacje
może udostępniać nieświadomie.
• MyPageKeeper
• www.socialshield.com (dla najmłodszych internautów)
w różnych serwisach społecznościowych m.in. Facebook, Twitter, Google+ i MySpace.
– Analizowane są wszystkie wpisy zarówno publiczne, jak i prywatne.
– Aplikacja poszukuje nagości, odniesień do seksualności, dyskusji
na temat alkoholu i narkotyków itp.
Pcworld, I.2013
SERP bez śledzenia
• Wyszukiwarka Startpage oferuje wyniki
wyszukiwania stron internetowych
generowane przez Google z zachowaniem
pełnej prywatności!
• Podobnie: https://duckduckgo.com/about;
http://www.etools.ch/ dla innych narzędzi
wyszukiwania
Canvas fingerprinting
• Witryny mogą (lub mogły) pozyskiwać
swoisty odcisk palca przeglądarek
internetowych odwiedzających je
internautów.
• Taki ślad pozwala zidentyfikować nie tylko
przeglądarkę, ale i konkretnego jej
użytkownika.
• Większość operatorów witryn, nie wie o
technologii dostępnej na ich stronach.
Canvas
• Komputer wyposażony w określoną
przeglądarkę internetową generuje
unikatową grafikę, ktorą można
przekształcić w specyficzny adres URL lub
sygnaturę.
• można zidentyfikować tą metodą ponad
90% komputerów
WWW.PCWORLD.PL MARZEC 2015
WWW.PCWORLD.PL MARZEC 2015
http://yacy.net/en/index.html
• YaCy is a free search engine that anyone can use to build a
search portal for their intranet or to help search the public
internet. When contributing to the world-wide peer
network, the scale of YaCy is limited only by the number
of users in the world and can index billions of web pages.
It is fully decentralized, all users of the search engine
network are equal, the network does not store user search
requests and it is not possible for anyone to censor the
content of the shared index. We want to achieve freedom
of information through a free, distributed web search
which is powered by the world's users.
http://yacy.net/en/index.html
CENZURA W
GLOBALNEJ SIECI
CHIP.PL MARZEC 2013
Cenzura
• Włochy i UK (Internet Watch Foundation)
stosują mechanizmy blokujące i filtrujące.
Treści związane z dziećmi.
• Włochy – blokada zakładów
bukmacherskich.
• BKA – niemiecki odpowiednik CBŚ
zamierza blokować wskazane witryny
• Listę blokowanych witryn prowajderom
dostarcza BKA
Chip XI/09; Computerworld IX/09
Cenzura - Europa
• Od marca 2009 roku CERT Polska w projekcie
FISHA (A Framework for Information Sharing
and Alerting).
• Głównym celem projektu jest opracowanie
prototypu systemu EISAS (European Information
Sharing and Alerting System), czyli
ogólnoeuropejskiego systemu wymiany i dostępu
do informacji dotyczących bezpieczeństwa
komputerowego oraz ostrzegania przed
zagrożeniami w sieci Internet.
Zagrożenia – gry, projekt ustawy USA
• 1.000 dolarów grzywny na sklepach, które
sprzedają brutalne gry wideo dla osób
poniżej 18 lat.
• Brutalna gra: opcje dostępne dla gracza obejmujące
zabijanie, okaleczanie, obnażanie lub napaść seksualną;
obraz człowieka, który jest ewidentnie obraźliwy,
odwołania do dewiacyjnych lub chorobliwych zachowań z
nieletnimi oraz brak poważnej literackiej, artystycznej,
politycznej lub naukowej wartości.
November 2, 2010, Justices Debate Video Game Ban,By ADAM LIPTAK
Autorytarne rządy w sieci
• Szefowe koncernów - Mark Zuckerberg (Facebook), Lany
Page (Google), Tim Coom (Apple) i JefF Bezos (Amazon)
- decydują, jakie treści mogą pojawić się w ich serwisach,
a jakie muszą zniknąć. Np.:
– Apple umożliwia pobieranie appów tylko z jednego źródła własnego sklepu - i decyduje, ile pieniędzy mogą zarabiać ich
twórcy
– Google decyduje, jakie strony znajdujemy w Sieci, i przywiązuje
użytkowników do siebie, oferując im dodatkowe usługi.
– Facebook automatycznie określa, które wpisy znajomych, appy
czy strony fanowskie mogą być dla nas interesujące.
CHIP.PL KWIECIEŃ 2013
Kontrola treści Sieci, cenzura
• 50 pracowników Telecommunication On
Demand sprawdza ok. 20 milionów
obrazów każdego tygodnia
• Outsourcingowa firma - Caleris – 4,5 mln.
Obrazów codziennie
• YouTube kontroluje materiały wskazane
przez internautów.
• Facebook – kontrola w Palo Alto i w
Dublinie.
NYT, Policing theWeb’s Lurid Precincts, July 18,2010.
Cenzura w Googlach
PCWorld XII.2010
Dane z Google’a do rządów
http://www.google.com/transparencyreport/
• W drugiej połowie 2010 roku rząd amerykański 4601
razy prosił Google 'a o informacje dotyczące
użytkowników.
W 96 proc. przypadków internetowy gigant
częściowo lub całkowicie zgadzał się ich udzielić
• Podobnie Brazylia, Indie, Wielka Brytania i Francja,
jednak na ich prośby Google przystawał średnio tylko
w 70 proc. przypadków.
• Zero pytań z Chin
Granice obiektywizmu
• Na stronie Wikileaks opublikowano poufne,
ukradzione dane o kontach klientów banku
szwedzkiego.
• Strona ta głosi, iż umożliwia ludziom publikować
dokumenty anonimowo, z każdego państwa, które
piętnują nieetyczne zachowania władz i korporacji
NYT, March 5, 2008, 7:14 pm
Bank Moves to Withdraw Its Suit Against Wikileaks Site
By JONATHAN D.
Kontrola/regulacja szybkości
surfowania
• Operatorzy telekomunikacyjni na całym świecie
selektywnie zmniejszają szybkość transmisji –
throttling. Więcej w mobilnym dostępie.
–
–
–
–
–
–
USA – 23%
UK (BT) – 74%
Francja 21%
RFN – 16%
Japonia 49%
Polska (operator w Łodzi) – 88%
• Ocena programem „Glasnost”
NYT, November 13, 2011, Putting the Brakes on Web-Surfing Speeds, By KEVIN J. O'BRIEN
Cyberbulling
Hejter
Doktor Jekyll i pan Hyde
Krzywe
zwierciadło
Internet, dzięki
względnej
anonimowości, bywa
krzywym
zwierciadłem – odbija
naszą rzeczywistość
ukazując, ukryte na co
dzień, wypaczenia,
kompleksy i
paskudztwa
codziennego życia
Wzmacniająca funkcja IT: „rewers”:
Cyberbullying – negatywna siła
wirtualnego tłumu
Cyberbullying obejmuje użycie informacji i
technologii informacyjnych takich jak
mail, komórki, IM, strony w celu
wspomagania dyskusji, powtarzania,
inicjowania, nieprzyjaznych zachowań
osób lub grup z zamiarem uczynienia
komuś krzywdy
Cyberbulling?
Hejter
• złośliwe i powtarzające się nagabywanie,
naprzykrzanie się, które może wywołać u ofiary
poczucie zagrożenia. Obejmuje ono zachowania
polegające na obsesyjnym śledzeniu, obserwowaniu
albo kontaktowaniu się z inną osobą wbrew jej woli,
• podszywanie się po kogoś w celu skompromitowania,
• tworzenie opinii w publicznych miejscach wymiany informacji online,
• tworzenie i rozsyłanie tendencyjnych maili ale także SMS-ów, wiadomości
w portalach społecznościowych, na komuniaktorach,
• kojarzenie w wyszukiwarkach niepochlebnych słów z nazwiskiem ofiary.
• Ekstremalne konsekwencje – samobójstwa młodych ludzi
• Hejter – zamieszczający nienawistne wpisy w internecie
Cyberbullying – sieciowa nagonka
• Poszywanie się po kogoś w celu
skompromitowania
• Tworzenie opinii w publicznych miejscach
wymiany informacji online
• Tworzenie i rozsyłanie tendencyjnych maili
• Kojarzenie w szperaczach niepochlebnych słów z
nazwiskiem ofiary
• złośliwe i powtarzające się nagabywanie, naprzykrzanie się, które
może wywołać u ofiary poczucie zagrożenia. Obejmuje ono
zachowania polegające na obsesyjnym śledzeniu, obserwowaniu albo
kontaktowaniu się z inną osobą wbrew jej woli,
Stalker, cyberstalking, hejter
Uporczywe nękanie
• Złośliwe i powtarzające się nagabywanie,
naprzykrzanie się, które może wywołać u
ofiary poczucie zagrożenia. Obejmuje ono
zachowania polegające na obsesyjnym
śledzeniu, obserwowaniu albo
kontaktowaniu się z inną osobą wbrew jej
woli.
• Do 3 lat więzienia za uporczywe nękanie ofiary, m.in. Telefonem,
Internetem i inne pogróżki. Art.190a §1, 2, 3 i 4 (6. VI.2011)
Prawo
• Każda firma i osoba fizyczna, a nie
tylko policja i prokuratura mają prawo
żądać udostępnienia danych internauty
godzącego w ich dobre imię - orzekł
Naczelny Sąd Administracyjny.
Pcworld X.2013
Ocena obraźliwego języka jest
podzielona na sześć podkategorii:
• przekleństwa, epitety, wulgaryzmy, rasowe
nieprzyzwoitości, seksualne wulgaryzmy i
słowa odnoszące się do części ludzkiej
anatomii (brak podkategorii dotyczącej
religii).
https://www.readability.com/articles/xzj1jzqz?legacy_bookmarklet=1
Prawo a cyberstalking Art. 190a
• § 1. Kto przez uporczywe nękanie innej osoby lub
osoby jej najbliższej wzbudza u niej uzasadnione
okolicznościami poczucie zagrożenia lub istotnie
narusza jej prywatność, podlega karze
pozbawienia wolności do lat 3.
• § 2. Tej samej karze podlega, kto, podszywając się
pod inną osobę, wykorzystuje jej wizerunek lub
inne jej dane osobowe w celu wyrządzenia jej
szkody majątkowej lub osobistej.
§ 3. Jeżeli następstwem czynu określonego w § 1 lub 2 jest targnięcie się
pokrzywdzonego na własne życie, sprawca podlega karze pozbawienia
wolności od roku do lat 10.
§ 4. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek
pokrzywdzonego.
Niebezpieczne treści
• Strony, głównie adresowane do młodych
ludzi często zawierają treści szkodliwe,
głównie związane z przemocą i seksem.
Ekstremalne skutki
• 21-latek ze Strzegomia, po ukazaniu się filmu (YouTube "zwierzenia szesnastolatki") na swój temat, popełnił
samobójstwo (luty 2010).
• Podobnie: Gdańsk, Krasnystaw, 21-latek (wieś Zagórz,
styczeń 2009) – samobójstwo na żywo, przed internetową
kamerą (serwis Interia). 16-latek, Damian (X. 2009,
Krasnopole) – komunikat w Sieci spowodował
samobójstwo (http://www.papilot.pl; http://dziennik.pl).
• „Memory walls” – strony zadedykowane młodym ofiarom
samobójstwa. Skutek – siedmioro, zachęconych wymową
„Memory walls” młodych nastolatków popełniło
samobójstwo (http://news.bbc.co.uk, 2010).
Obrona - Entertainment
Software Rating Board (ESRB)
• Organizacja założona w 1994 przez Entertainment
Software Association (ESA).
• Pomaga zapewnić ochronę prywatności
online branży interaktywnej rozrywki.
• Misja:
– Wzmocnienie pozycji konsumentów, zwłaszcza
rodziców, w zdolności podejmowania
świadomych decyzji na temat gier
komputerowych i wideo
– Nadawanie, stosownie do wieku i treści,
http://www.esrb.org/index-js.jsp
stosownych ocen.
Oceny
• Dotychczasowe, nadawane:
– E (everyone),
– T – Teens
– M – Mature (>16 lat)
• Nowe, nadawane przez ekspertów wg
kwestionariusza ułatwiającego ocenić każdy
subtelny niuans przemocy, seksualności,
przekleństwa, narkotyki, hazard i funkcje
ciała, które mógłby kogokolwiek obrażać
https://www.readability.com/articles/xzj1jzqz?legacy_bookmarklet=1
Potencjał Web 2.0 dla dochodzeń
kryminalnych
•
•
•
•
•
•
•
Dowody komunikowania się z osobami
Wskazanie motywów i personalnych relacji
Intencje i dowody premedytacji
Informacje o lokalizacji
Dowody na alibi lub brak alibi
Wskazanie na okoliczności przestępstwa
Narzędzia przestępstw i wskazanie korzyści z
przestępstw.
http://www.nytimes.com/2011/03/03/nyregion/03facebook.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print
http://www.criminallawlibraryblog.com/U.S._DOJ__crim_socialnetworking.pdf
Kto ma nasze dane? 1/2
CHIP.PL LISTOPAD 2013
Kto ma nasze
dane? 2/2
CHIP.PL LISTOPAD 2013
Wartość
informacji
ŁĄCZNA WARTOŚĆ
JEDNEJ OSOBY
(MAKSIMUM
INFORMACJI): OK. 1,65 $
CHIP.PL LISTOPAD 2013
Zapobieganie obrona
2011 r. rynek bezpieczeństwa w
Internecie
• osiągnął wartość 60 mld dol.
• Firma Frost&Sullivan przewiduje, że do
2020 r. będzie to 140 mld dol.
• Rząd USA planuje do 2015 r. wydawać
CHIP.PL PAŹDZIERNIK 2012
Branże – gotowość do obrony
Cisco 2015 Annual Security Report
Sposoby obrony wg branż
Cisco 2015 Annual Security Report
Strategia bezpieczeństwa
• określenie zasobów (co chronić?),
• identyfikację zagrożeń (przed kim/czym
chronić?),
• analizę ryzyka (ile zasobów (czas, praca,
pieniądze) należy przeznaczyć na ochronę?)
Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy
wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku.
Wybrane składowe bezpieczeństwa
teleinformatycznego
•
•
•
•
koszt wykrywania przestępstw,
eskalacja – dynamika rozwoju,
reakcje po zdarzeniach
Zmniejszanie obrotów, zaufanie klientów
2010 Annual Study: U.S. Cost of a Data Breach, March 2011
Konstrukcje zabezpieczeń
• nie istnieje bezpieczeństwo absolutne,
• zapewnianie właściwego poziomu bezpieczeństwa to
proces a nie stan,
• napastnik często zamiast przełamywać zabezpieczenia
umie je obejść,
• konieczność stosowania wielu linii obrony,
• złożoność najgorszym wrogiem bezpieczeństwa,
• trudno wykazać osiągnięcie pewnego poziomu
bezpieczeństwa,
• wystarczy jeden incydent przełamania zabezpieczeń, by
wykazać nieodpowiedni poziom bezpieczeństwa.
Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy
wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku.
Zasady wdrażania
mechanizmów bezpieczeństwa
• –zasada naturalności kontaktu z
użytkownikiem,
• –zasada kompletności zabezpieczeń,
• –zasada minimalnego przywileju,
• –zasada domyślnej odmowy dostępu.
Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy
wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku.
Zarządzani informacjami Data Governance
• Zapewnienie dostępu do
szczegółowych danych i uzyskanie
pełnej kontroli danych, do tego w jaki
sposób trafiają do systemów i kto z tych
systemów potem korzysta.
• Na przykład, nie można dopuścić do sytuacji,
w której w firmie ubezpieczeniowej dane
dotyczące rozliczeń z klientami wydostały się
poza kontrolę pracowników działu rozliczeń.
http://wp.download.idg.pl/sbwps/6af2816466052f1f6dbfda19ac8cacb6/4e2535ff/ibm2010/IIBM_Data_Governance_4.pdf
Zadania zarządzania danymi 1/2
•
•
•
•
•
•
•
definicja danych
opis danych
ograniczenia (polityka)
synonimy
terminy powiązane
języki określające dane
klasyfikacja wrażliwości danych, np.
niskiej, średniej, wysokiej
http://wp.download.idg.pl/sbwps/6af2816466052f1f6dbfda19ac8cacb6/4e2535ff/ibm2010/IIBM_Data_Governance_4.pdf
Zadania zarządzania danymi 2/2
• przypisana osoba odpowiedzialna za
ochronę danych (tzw. steward)
• polityka jakości danych
• polityka prywatności
• polityka bezpieczeństwa
• polityka cyklu życia danych
• historia obejmująca zmianę nazw,
definicji, ograniczeń, wersjonowanie
• występowanie danych (tabele, raporty)
Prewencja
• Szyfrowanie, w tym pełne szyfrowanie
dysku i urządzeń mobilnych / smartfonów
• Rozwiązania Data Loss Prevention (DLP)
rozwiązań
• Identyfikacja i rozwiązania do zarządzania
dostępem
• rozwiązania Endpoint Security i inne
narzędzia anty-malware
• Przejmowanie botnetów
Obrona
•
•
•
•
Firewalle,
Intrusion Prevention Systems (IPS),
Anti-Virus (AV),
Bramy dostępu (gateways).
Bezpieczna informatyzacja
• Strategia bezpieczeństwa informatyzacji
obejmuje:
– audyt legalności oprogramowania,
– audyt wydruku,
– oprogramowanie do zarządzania zasobami
IT
– polityki bezpieczeństwa informacji
Cele bezpieczeństwa
• Mechanizmy bezpieczeństwa powinny:
– zapobiec atakowi,
– wykryć atak,
– zatrzymać atak i odzyskać stan sprzed ataku
Kierunek rozwoju pakietów
antywirusowych
• przenoszenie niektórych elementów
zabezpieczeń do chmury
• ochrona tożsamości i prywatności podczas korzystania z portali
społecznościowych i bankowości
elektronicznej.
Pamiętaj!
- wszystko jest złe, do czasu udowodnienia, że jest
dobre
- zlikwidować cały ruch i dostęp bez odpowiednich
uprawnień
- nie chowaj głowy w piasek przed problemami
bezpieczeństwa
- pamiętaj, że zawsze są nieznane (zwykle duże)
liczby nieznanych problemów bezpieczeństwa
Złoczyńca
Zabezpieczenia
Zabezpieczane wartości
Racjonalność podejmowania
decyzji
• racjonalnie jest zabezpieczać rzeczy ważne,
• ważenie ryzyka i osiąganie kompromisu między
poziomem zabezpieczeń a użytecznością
rozwiązania,
• ważenie ryzyka i osiąganie kompromisu między
poziomem wydatków na zabezpieczenia a kosztem
przełamania zabezpieczeń.
Tomasz Jordan Kruk W trosce o Internet i jego użytkowników, II Ogólnopolska Konferencja Naukowa „Cyberprzestrzeń i światy
wirtualne. Mistrz i uczeń w cyfrowym świecie” – APS, Warszawa, 25 maja 2015 roku.
Cena bezpieczeństwa
• Nie powinna być większa od wartości
oszacowanego ryzyka
• Wartość ryzyka = wartość straty
x prawdopodobieństwo straty
Podstawowa ochrona pecetów
nie ma perfekcyjnego zabezpieczenia
•
•
•
•
•
Antywirus
Antyspam
Firewall
Antyphishing
Backup
• Norton 360
• OneCare
• TotalCare
Bezpieczeństwo komputera 1/2
• Używać NTFS, nie FAT 16 i 32
• Kontrola kont użytkowników
• Logowanie przez hasło, wg kontrolowanych
zasad (długość, trudność, czas życia)
• Wyłączenie zbytecznych usług
• Blokada automatycznego odtwarzania zew.
Nośników
• Poprawna konfiguracja przeglądarki
Bezpieczeństwo komputera 2/2
•
•
•
•
•
•
•
•
•
Automatyczne aktualizacje
Firewall wł.
Antywirus
Antyszpieg
Ocena bezpieczeństwa – Microsoft Baseline
Security Analyzer (MBSA)
Kopie zapasowe
Szyfrowanie plików, poczty
Usuwanie śladów
Dokładne usuwanie plików
Bezpieczeństwo Sieci
Każdy
Cebula informacyjna
Zarząd
Podstawowi
klienci
Finanse
Dyrektorzy
Szczególne
komórki
Dystrybutorzy,
pośrednicy
Pracownicy firmy
Podwykonawcy
Granice zatarły się
Brak granicy sieci
ONI
MY
Sieć częściowo
bezpieczna
Sieci nie zapewniające
bezpieczeństwa
Jarosław Samonek
Symantec Poland Sp. z o.o.
Problemy przedsiębiorstwa
a problemy techniczne
Konsekwencje
Skutki
• narażenie
poufnych
danych
• przerwanie
transakcji
• utrata lub
nadużycie
danych
Miejsce ataku
Jarosław Samonek
Symantec Poland Sp. z o.o.
Firmy
Trzecie
jące
Aplikacje
Zarządzanie
ZabezpieczaBezpieczeństwem
Zarządzanie Bezpieczeństwem
- Wymagania
Gateway
Serwer
Klient
Ochrona Bramy
Ochrona Serwera
Ochrona Klienta
•
•
•
•
•
•
•
•
•
•
•
•
Ochrona przed wirusami
Filtrowanie treści
Firewall
Wykrywanie włamań
Ochrona przed wirusami
Filtrowanie treści
Zarządzanie Zagrożeniami
Wykrywanie włamań
Ochrona przed wirusami
Filtrowanie treści
Firewall
Wykrywanie włamań
Zarządzanie Incydentami
Zarządzanie Konfiguracją
Zarządzanie Zdarzeniami
Zbieranie
Przekazywanie
Firmy Trzecie
Jarosław Samonek, Symantec Poland Sp. z o.o.
1/5 podstawy korzystania
z Internetu w firmie
1. Pracownik jest odpowiedzialny gdy
korzysta z Sieci podczas pracy z
niedopuszczalnych zasobów.
"Edukacja w zakresie malware via
Internet”.
2. Programy filtrujące umożliwiają
kontrolę wirtualnych wędrówek
pracowników (pornografia, zakupy).
3. Konieczna odpowiednia
parametryzacja filtrów – kontrolowane
otwieranie przejść.
2/5 Centralnie zarządzane
oprogramowanie antywirusowe
1. Gwarantuje, że każdy PC w firmie
jest automatycznie skanowany
aktualnymi definicjami.
2. Zdalne usługi antywirusowe dla
firm nie dających sobie z tym
problemem rady, np. ISP.
3/5 Firewall z
wykrywaniem intruzów
1. Sieciowe worm’y np. Sasser i
Code Red nie różnią się od
legitymizowanego ruchu i
przechodzą przez firewall.
2. Intrusion detection umożliwia
wyłapanie worm’ów (otwierają
dostęp do LANu).
4/5 Instaluj Intrusion
Detection
1. Firewall broni przed zewnętrzem intrusion detection na
indywidualnych PC chroni przed
próbami ataku od wewnątrz. Np.
Trend Micro, Symantec.
5/5 Szyfrowanie i Cyfrowy
podpis, certyfikaty
1. Podpis - Gwarancja poufności,
integralności i autentyczności
korespondencji
2. Certyfikat - Gwarancja wiarygodności
instalowanego oprogramowania.
3. Zawsze korzystać z kontroli ważności
certyfikatu
Antywirusy i inne do obrony,
darmowe i inne
•
•
•
•
AntiVir Personal
Windows Defender
Malicious Software Removal Tool
Online: www.mks.com.pl/skaner;
infectedornot.com (tylko w IE)
Ewolucja systemów
bezpieczeństwa
• I generacja: jasne zagrożenia i oczywiste
środki zaradcze (szyfrowanie, firewall),
• II generacja: własny haker i systemy
ochrony aktywnej,
• III generacja: wzorowanie się na modelu
bezpieczeństwa i zarządzaniu ryzykiem
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Pierwsza generacja systemów
bezpieczeństwa
• Prosty schemat działania: eliminujemy
zagrożenia poprzez zastosowanie
odpowiedniego produktu,
• Zagrożenia są oceniane z własnej
perspektywy,
• Duża liczba zagrożeń = bardzo duży problem,
• Trudno ocenić opłacalność przeciwdziałania
zagrożeniom
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
II generacja
• Własny haker i monitorowanie aktywności
użytkowników,
• Zagrożenia są oceniane z perspektywy
włamywacza komputerowego (zew. i wew.)
• Duża liczba zagrożeń = mały problem,
• Nadal trudno ocenić opłacalność
przeciwdziałania zagrożeniom
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Etyczni hakerzy do wynajęcia
http://neighborhoodhacker.com/
• Nasz zespół wysokokwalifikowanych
hakerów pomaga hakować maile,
Facebooka, websites, social media,
urządzenia mobilne i inne.
• Wynajmij hakera by dbać o swoją
prywatność
•
Hire a Hacker to help you take control of your online privacy. As a professional hacker
for hire company, we provide the best certified hackers available combined with talent
and the highest level of privacy and confidentiality to our clients. How hiring a hacker
works.
Professional Hackers for Hire online
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Hacker for Hire Services - Professional and Ethical Hackers
Social Media hacker for hire
Has your Facebook, Twitter or Google+ account been attacked by a hacker? Do you
need to get back into a social media account?
A Professional Hacker Can Help!
Hackers for cracking passwords
Everyone loses a password at some point. We help crack/recover passwords from
computers, mobile & wireless devices, E-mail accounts, FaceBook and more! Hire
hacker!
Cyber Stalking Investigations
Hire a hacker to help protect your children from cyber predators. Our professional
hackers can find the source and help close the case on any investigation. Hire a Hacker!
Email hackers for hire
Any email is hackable and we can get in and recover your passwords. Hire a
professional hacker to recover your personal data.
Hire an Email hacker now!
Professional Data Encryption
Our professional hackers can encrypt any data and help protect sensitive information
from any hacker who might try to hack your systems. Hire a hacker now!
Our hackers have all the tools
Our professional hackers have all the knowledge and tools to get the job done. No
matter what your hacking need, we can get it done in a professional and timely manner.
III generacja
• Stosujemy techniki I i II generacji plus:
• Wzorujemy się na obiektywnym modelu
(standardzie) systemu bezpieczeństwa
• Bezpieczeństwo i ryzyko traktujemy jako
wielkości mierzalne,
• Zarządzamy ryzykiem zgodnie z rachunkiem
ekonomicznym
Standaryzacja zarządzania zagrożeniami
UTM - Unified Threat Management
• Zapora ogniowa
• IPS – Intrusion
Prevention System
• Moduł wirtualnych sieci
prywatnych (IPSec,
VPN, SSL VPN, PPTP)
• Moduł autoryzacji
użytkowników
•
•
•
•
•
•
Ochrona antywirusowa
Ochrona przed spamem
Filtr URL
Zarządzanie logami
Kalendarze reguł
Zarządzanie łączami
zapasowymi
• Kształtowanie pasma
• I inne
Sejfy
• Ogień, woda, upadek.
• Np. HDD – punkt krytyczny 55 stopni C
• Sejfy z komunikacją: USB 2, kable do
laptopa.
PC World, VI.09
DRM
DRM
• DRM firmy Apple – FaiPlay, mnimum
skuteczności (zhakowany w 2003 roku).
• Przewidywania – 2008, DRM pozostanie
wspomnieniem
• Programy do omijania zabezpieczeń:
– DVD Shrink
– AnyDVD HD
– Deamon Tools, Yasoo – uruchamianie programu bez
oryginalnego krążka Chip 11/2007, s. 108
Zabezpieczania DRMu
• technologia DRM (Digital Rights Management) – system do
zabezpieczania komputerowych dokumentów, w tym muzyki,
przesyłanych w Internecie.
• Umożliwia on przekazywanie osobom trzecim publikacji z
ograniczonymi prawami (np. bez możliwości wydruku, edycji czy
zrobienia kopii).
• DRM nie tylko zabezpiecza dane podczas transmisji kanałami
publicznymi, lecz także kontroluje późniejsze ich wykorzystanie przez
odbiorców (potwierdzając przez Internet ważność praw autorskich).
• DRM zabezpiecza prawa autorskie właścicieli dokumentów poprzez
ich szyfrowanie i oznaczanie „cyfrowym znakiem wodnym” (wzór
bitów wkomponowanych w oznaczany znakiem plik). Odczytanie
takiego pliku wymaga posiadania odpowiedniego oprogramowania.
Trzy wersje DRM
1.
Wersja pierwsza, pozwala na określenie:
a)
b)
c)
d)
czy plik można odtwarzać
czy plik można przegrać na urządzenia przenośne oraz CD
po jakim czasie ma się skończyć możliwość odtwarzania pliku
działa także na MAC OS-ie.
2. Wersja dziewiąta pozwala na określenie możliwości:
a)
b)
c)
d)
e)
3.
liczby odtworzeń
liczby nagrań na urządzenia przenośne
liczby nagrań na CD-Audio
ustawienia wielu opcji czasowych ważności licencji (od kiedy i do
kiedy, jak długo po pierwszym odtworzeniu itp.)
usunięcia licencji na plik, gdy zostanie przestawiony zegar w
komputerze.
Wersja dziesiąta. Pliki zabezpieczone tą wersją odtwarza tylko
Windows Media Player 10, działający wyłącznie pod Windows XP.
Źródło: Krzysztof Piekarczyk, Nie za darmo, „Chip” 2005, nr 8.
Protected
Media Path (PMP)
uniemożliwia nielegalne kopiowanie filmów i
muzyki - (Protected Video Path) i audio (Protected User Media Path).
Znak wodny
• Cinavia jest dźwiękowym znakiem wodnym. Na
płytach Blu-ray znajduje się on najczęściej w
angielskiej ścieżce dźwiękowej i jest odporny na
konwersję do innych formatów, a także na
miksowanie z dźwięku wielokanałowego do
stereo.
• Od roku 2010 płyty Blu-ray obok szyfrowania
AACS są chronione jeszcze znakiem wodnym
Cinavia.
• wyeliminowanie znaku wodnego bez
utraty jakości nie jest możliwe nawet w teorii.
GRUDZIEŃ 2013 CHIP.PL
SiDiM
• Nowa technologia znaku wodnego SiDiM
(Bezpieczne Dokumenty Dzięki
Indywidualnemu Znakowaniu) ma zapobiec
kopiowaniu przez odstraszanie.
• Inaczej niż w Cinavii, w czytnikach
e-booków nie będzie zaimplementowane
rozpoznawanie SiDiM.
• SiDiM bazuje ma małych, ale widocznych
zmianach w tekście: od prostych przekręceń
słów aż po użycie pojęć synonimicznych
GRUDZIEŃ 2013 CHIP.PL
Przykład użycia zblendowanych krzywych wektorowych
do zabezpieczenia obrazu;
Adobe Illustrator, materiały własne, Tomasz Bala
•
nadawanie znaku wodnego nie musi wymagać znajomości edytorów
graficznych. Można skorzystać z programów takich jaki PictureShark czy
Image Signature, które automatycznie oznaczą zdjęcia,
Znak wodny dla dźwięku
• Np. Spread Spectrum Audio Watermarking
- kodowanie wąskiego pasma szumu
poprzez całe spektrum częstotliwości pliku,
20- 20000 Herzów.
• Jest to forma niewidocznego, a w tym
przypadku niesłyszalnego znaku wodnego.
• Inne narzędzia: programy do obróbki cyfrowych
materiałów dźwiękowych typu DAW jak Pro Tools czy
Logic, analizatory sygnału audio czy wtyczki typu VST,
RTAS itp.
Bezpieczeństwo poczty
elektronicznej
• Automatyczna archiwizacja skrzynek
mailowych
• Narzędzia do archiwizacji i zarządzania
pocztą elektroniczną (kontrola, indeksacja
itp.). Enterprise Vault, EmailExtender,
Sunbelt [2011].
Rezolucja Parlamentu Europejskiego
- Raport Gallo
• Dotyczy ochrony praw własności intelektualnej.
Przyjęty tekst zrównuje ściąganie plików z
internetu z innymi naruszeniami własności
intelektualnej.
• Permanentna, totalna inwigilacja internetu,
na podobieństwo tej, której już teraz doświadczają
Francuzi. Wybrana przez władze firma bez
przerwy monitoruje wszelkie źródła
udostępniające nielegalne filmy.
SOPA i PIPA —Stop Online Piracy
Act i Protect Intellectual Property Act
• Ruch przeciw nadużywaniu
kontroli/przestrzegania praw autorskich
Anti-CounterfeitingTrade
Agreement (ACTA)
• Nowe przepisy przeciwko piractwu wykorzystujące
internetowe filtry, blokady stron WWW i mechanizmy
odcinające piratom dostęp do Sieci.
• każdy ma być osobiście odpowiedzialny za
wykorzystywano przez siebie elementy Internetu.
• Providerzy mieliby tez wprowadzić zasadę trzech kroków
(ostrzeżenie, przypomnienie, odłączenie) i w razie
potrzeby blokować dostęp do Sieci użytkownikom
pobierającym nielegalne pliki.
• Rządy poszczególnych krajów UE będą zobligowane do
wprowadzenia zgodnych z nią przepisów.
Chip XII, 2010
ACTA - cel
• Międzynarodowe ramy do działań przeciw
naruszaniu własności intelektualnej
• Porozumienie przeciw handlowi
podrobionymi towarami, także w
środowisku cyfrowym w zakresie szeroko
pojętej własności intelektualnej.
ACTA AD 2012
swobodna interpretacja
• Prowajderzy mają prawo i obowiązek
kontroli dystrybucji chronionych
materiałów – zbyt duża swoboda kontroli inwigilacji
• Zbyt łatwe udostępnianie, właścicielom
chronionych materiałów, danych
identyfikujących osoby/firmy
rozpowszechniające chronione materiały
Prawa autorskie
• Ustawa z dnia 4 lutego 1994 r. o prawie autorskim
i prawach pokrewnych, przewidująca
wzmocnienie „antypirackiej ochrony".
• Piractwem komputerowym będzie udostępnianie i
używanie aplikacji czy też systemu, na który nie
ma się licencji i nie jest to oprogramowanie typu
open source lub na licencji freeware czy
shareware. Te same zasady dotyczą grafik,
utworów muzycznych czy nagrań wideo.
Piractwo komputerowe
• Zgodnie z przepisami Ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach
pokrewnych, kopiowanie i używanie programów komputerowych bez zezwolenia
właściciela praw autorskich jest zabronione
i podlega surowym sankcjom karnym i cywilnym.
• Mianem piractwa komputerowego
określa się kopiowanie, reprodukowanie,
używanie, wytwarzanie oraz rozpowszechnianie
bez zezwolenia programu komputerowego
chronionego prawem autorskim.
kwiecień 2012 www.PCWorld.com
HD+
wyklucza
modyfikację,
filtrowanie
treści
Chip 12/09
Ograniczanie zagrożeń funkcji
niepewnych/nowych aplikacji
• środowiska dla innych aplikacji:
• Piaskownice (w literaturze zwane też
często sandboksami)
• oprogramowanie do wirtualizacji
naturalnego środowiska
Piaskownice - sandboxy
•
tworzą wydzielony fragment systemu
operacyjnego, który znajdującą się
we wnętrzu aplikację uważa za cały
system. Przykładem tego typu działa jest
mechanizm jail
• Piaskownice nadają się praktycznie
do wszystkiego: pozwalają na uruchomienie
przeglądarki internetowej w izolowanym
środowisku, ale też na sprawdzenie, jakie szkody
poczyniłby wirus, gdyby został uruchomiony bez
zabezpieczenia.
PCWorld 10/2009
Tryb piaskownicy
• Tryb piaskownicy umożliwia utworzenie w systemie
operacyjnym środowiska wykonawczego do uruchamiania
programów z niskim poziomem uprawnień. W ten sposób
chroni on system użytkownika przed niezaufanymi
dokumentami, które mogą zawierać kod wykonywalny –
taka metoda kontroli dostępu pozwala przypisywać różne
poziomy uprawnień. Proces, któremu przypisano niski
poziom uprawnień, ma ograniczony dostęp do większości
obiektów. Inne mechanizmy często używane w trybie
piaskownicy to ograniczone tokeny oraz limity zadań.
http://wp.download.idg.pl/sbwps/0e6e4b972e269e6dbde941ea0950ae97/4f45fc92/adobe/Jak_uchronic_firme_przed_kradzieza_poufnych_danych.pdf
Piaskownice - Sandboxie 3.38
• jedna z najłatwiejszych i
najprzyjemniejszych w obsłudze
piaskownic.
• Instaluje się bez większych
problemów i integruje z Eksploratorem
Windows.
• Inne piaskownice: GeSWall 2.9 Free/Pro,
DefenseWall HIPS 2.56
PCWorld 10/2009; Chip II/2010
BITBOKS
• To zautomatyzowane, kompleksowe środowisko
łączące wirtualną maszynę, specjalną dystrybucję
systemu Linux oraz bezpieczną przeglądarkę
WWW.
• Całość jest certyfikowana przez niemiecką federalną
agencję bezpieczeństwa informacji (BSI - Bundesamt für
Sicherheit in der Informationstechnik).
• Np. do super bezpiecznej bankowości online
CHIPPL WRZESIEŃ 201 2
Wybór i poprawna
konfiguracja przeglądarek
• Testy bezpieczeństwa (luk)
• Instalacja wtyczki do podglądu adresów
URL (dla stron o skróconych nazwach –
aliasach)
Wtyczki do podglądu adresów URL
• ExpandMyURL (expandmyurl.com)
i LongURLPlease (www.longurlplease).
com) zapewniają aplety lub wtyczki do
przeglądarki internetowej, które sprawdzają,
czy z adresem docelowym skrótu
wiąże się jakieś ryzyko.
• Goo.gl, usługa skracania udostępniana przez Google'a,
automatycznie skanuje adresy docelowe, aby wykrywać
złośliwe witryny i ostrzegać internautów przed ryzykiem.
Goo.gl jest ograniczony do serwisów i usług Google'a.
Pcworld V 2010
Wirtualizacja
• Wirtualizacja udaje nie system operacyjny a cały
komputer
• Aby skorzystać z aplikacji do wirtualizacji,
konieczne jest posiadanie oddzielnej kopii
Windowsa czy Linuxa
PCWorld 10/2009
Oprogramowanie do wirtualizacji
• udaje osobny komputer i wymaga posiadania
dodatkowej licencji na system operacyjny. Jedynym
wyjątkiem są tutaj Windows 7 Business, Ultimate i Enterprise, których właściciele w zestawie
otrzymują program VirtualPC wraz z kopią systemu Windows XP.
• Aplikacje do wirtualizacji są odpowiedzią na dwie
najważniejsze potrzeby deweloperów i
administratorów:
– uruchamiania wielu środowisk bez przerywania cyklu
pracy komputerów
– obniżenia kosztów infrastruktury
przy jej lepszym wykorzystaniu (zamiast nowego
serwera kupuje się pa mięć RAM i kolejny procesor).
Niebezpieczne roboty
• Coraz większa autonomia i wolność maszyn
• Robots have caused at least 33 workplace
deaths and injuries in the United States in
the last 30 years,
What the Future Holds
As Robotics Advances, Worries of Killer
Robots Rise
JUNE 16, 2014
(Nie)bezpieczeństwo Sieci
Sieć nie:
• ma właściciela
• posiada centralnej kontroli,
• ma standardów polityki funkcjonowania
brak standardów międzynarodowego
prawodawstwa
Główne obszary związane z
bezpieczeństwem IT wg British Standard 7799
•
•
•
•
•
•
•
•
•
•
Polityka bezpieczeństwa
Formalna organizacja bezpieczeństwa
Klasyfikacja zasobów i danych
Bezpieczeństwo związane z personelem
Bezpieczeństwo fizyczne i anomalie przyrodnicze
Procesy operacyjne i zarządzanie infrastrukturą IT
Kontrola dostępu do systemów
Rozwój i serwisowanie aplikacji
Planowanie na wypadek zdarzeń losowych
Zgodność z wymogami prawa
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Punkt startowy dla Systemu
Bezpieczeństwa
• Polityka bezpieczeństwa informacji w formie
dokumentu (w PL wzrost z 47 do 67%, EU – 75%),
za, RZP, 17.XI, 2007
• Przydzielenie właściciela do wszystkich zasobów
informacyjnych
• Formalny proces edukacji i uświadamiania
• Formalny proces zgłaszania zdarzeń naruszających
bezpieczeństwo informacji
• Planowanie ciągłości działań IT na wypadek zdarzeń
losowych
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Bezpieczeństwo teleinformatyczne
zapewnia się przez:
•
•
•
•
•
ochronę fizyczną
ochronę elektromagnetyczną
ochronę kryptograficzną
ochronę transmisji
ochronę dostępu do urządzeń lub sieci
teleinformatycznych
Rozporządzenie Prezesa Rady Ministrów z 11.03.1999 r.
Biznes musi być
pewny przez:
- Integralności danych: musisz być
pewny, że Twoje dane nie zostaną
zmienione,
- Poufności danych: musisz mieć możliwość
zachowania poufności wyróżnionych informacji,
- Autentyczności: musisz być pewny, że informacje,
które otrzymujesz z Sieci są od osób, które się za
nie podają (np. gdy dostajesz polecenie)
A także:
• Dostępność - informacja musi być dostępna dla
uprawnionych użytkowników zawsze, kiedy mają
taką potrzebę,
• Rozliczalność - dostęp do informacji może być
przypisany w sposób jednoznaczny tylko temu
użytkownikowi,
• Niezawodność - zachowanie i skutki działania
(np. aplikacji, urządzeń) są takie jak zamierzone
• Po pierwsze ... złe wieści:
• Jedno z praw Murphy’ego każdy program ma
• WIRUSA lub
• ROBAKA
Nie ma znaczenia czy Twoje
oprogramowanie ma wirusy ...
dopóki nie działają
Rozwinięcie prawa Murph’ego
• Liczba WIRUSÓW jest wykładniczo
proporcjonalna do wielkości programu
• Jeśli program spełnia funkcje bezpieczeństwa, to
w owych funkcjach są wirusy
• nawet najbardziej niewinne programy mają
nieszczelności
• Prędzej czy później twoja konkurencja znajdzie i
wykorzysta te nieszczelności
Zabezpieczenia technologie
•
•
•
•
Firewalle
Osobista identyfikacja
Kryptografia
Zabezpieczenie antywirusowe
Zasady bezpieczeństwa
Korzystaj z najmniejszej możliwej liczby
programów
Korzystaj z małych, dobrze znanych programów
Skorzystaj z firewalli
Firewall - dedykowana maszyna, której nie można
wykorzystywać do innych celów
Firewall - siedzi pomiędzy Twoimi komputerami i
całym światem
Podstawowe funkcje ochrony
• antywirus,
• zapora sieciowa,
• ochrona przed
phishingiem,
• spamem i kradzieżą
tożsamości.
Firewall
Użytkowe
programy
Firewall
Zasoby
informacyjne
Firewall – początek 1985
• Technologia filtrowania pakietów
• Firewall zabezpiecza sieci przed innymi
sieciami, którym nie ufamy. Filtrując:
pochodzenie, adresata, typ aplikacji
protect networks from other untrusted
(FTP/telnet) i typ pakietu (TCP/UDP).
• Niektóre zawierają technologie serwera
proxy
Firewall dzisiaj
• Zastąpiono intrusion detection systems IDSa —
intrusion prevention systemem (IPSes)
• Główną funkcją IDSu było wywoływanie alarmu w
chwili wykrycia intruza „alarm przeciwpożarowy bez
straży pożarnej”
• anti-spam, anti-virus i anti-worm inspekcja/kontrola
Podstawowe zadania Firewall’a
- Cały ruch, w obu kierunkach musi
przechodzić przez Firewall
- Tylko autoryzowany ruch może przejść
- Integralność maszyny Firewall’a musi być
100%
Firewall, inne funkcje
• Filtr portów i funkcje do ograniczania przepływu
danych (uniemożliwienie działania trojanów)
• Ochrona przed DoS’em (Denial of Service) –
nieautoryzowany dostęp do LANu
• Mechanizm translacji adresów (NAT- Network
Adress Translation)
• Logi, monitorowanie korzystania z Internetu
(filtry)
• Szyfrowanie dla potrzeb LAN, VPN
Projektowanie Firewall’a
- musisz mieć swoją politykę
- na co można pozwolić w dostępie do informacji?
- musisz spełnić oczekiwania biznesowe
- co będzie zabronione?
- kontrola nie autoryzowanej pracy
- kto będzie autoryzował?
- jaka będzie procedura autoryzacji?
- kto będzie nadzorował przestrzeganie procedur?
Najpowszechniejsze Firewalle
• Zapora Windowsów
• ZoneAlarm
• Comodo Personal Firewall
Miniserwer Yoggie Pico
• Jak pamięć flash – pracuje pod Linux’em
• 12 aplikacji odpowiadających za
wszechstronne zabezpieczenie komputera
(w tym firewall i antywirus)
www.yoggle.com
Inne środki obrony
• IDS – system wykrywania intruzów
• Honeypot – przynęta, symulowane zasoby,
usługi. Przyspieszenie wykrycia ataku przez
jego ułatwienie
• Skaner otwartych portów:
www.auditmypc.com/port-scanner.asp
Honeypots – szpiegowanie wroga
• Wabienie atakujących. Administrator może
sprawdzić używane narzędzia i jakich
informacji szuka i co z nimi robi dalej.
Kamuflaż może zmylić hakera (myśli, że
sukces)
• Honeynets, sieci honypotów stworzone z
realnego sprzętu i oprogramowania, np. Linux
boxes, Cisco switches, Windows NT and
Solaris.
Honeypots Let You Spy on Your Enemy
By Sharon Gaudin
June 16, 2004
www.esecurityplanet.com/trends/article.php/3369421
Praktyczne zalecenia 2013
•
•
•
•
•
•
•
•
•
Use PIN protection on your mobile devices
Install an anti-theft app on your mobile devices
The same goes for your laptop
Perform PC security checks
Encrypt your laptop
Encrypt your USB drives
Secure your social network accounts
Sign up for online backups
Install a two-way firewall (Windows comes with a firewall, but by default it only monitors
incoming trafficNorton Internet Security or McAfee Internet Security, you likely already have a two-way firewall.
But if you don't, consider using standalone two-way firewall like those fromA ZoneAlarm or Comodo.
• Use OpenDNS for content filtering
• Check your Wi-Fi security
NetScreen - Zarządzanie
ruchem/pasmem
• Klasyfikacja ruchu:
–
–
–
–
–
–
–
Adres IP (źródła lub przeznaczenia)
Protokół
Użytkownik
Port (źródła lub przeznaczenia)
Usługi
Pora dnia
Dzień tygodnia
Ascomp IT Systems
Zarządzanie ruchem/pasmem
• Parametry ruchu:
–
–
–
–
Gwarantowane pasmo
Maksymalne pasmo
Priorytet (od 0 do 7)
Zgodne ze standardem DiffServ
• Optymalizacja
– Monitorowanie ruchu w czasie rzeczywistym
– Pomiar ruchu dla każdej klasy
Ascomp IT Systems
Kontrola rodzicielska
• BENIAMIN – ochrona dzieci przed
nieprzyzwoitymi treściami z Internetu
• Białe i czarne listy WWW
• Grafik używania komputera
• Blok pobierania plików, uruchamiania
programów
• Kontrola historii
• I inne
Outsourcing bezpieczeństwa IT
• Zmniejszenie kosztów, koncentracja na
statutowej działalności
• Najczęściej:
– Administratorzy
– zarządzanie serwerami,
– monitoring bezpieczeństwa
Kasowanie
zapisów cyfrowych
Pozorne kasowanie
• Jeśli usuwasz jakieś dane, Windows ich nie
kasuje, a jedynie oznacza jako usunięte.
Fizycznie pozostają one na dysku.
Kasowanie skasowanych
•
•
•
•
•
•
Eraser
File Shredder
Active KillDisk
Ccleaner
Disk Wipe
DBAN
•
•
•
•
Acronis DriveCleanser
Mediaeraser
Blancco
Ontrack Eraser
WWW.PCWORLD.PL MAJ 2013
ODZYSKIWANIE DANYCH
• Odzyskiwanie przypadkowo skasowanych plików
• Odzyskiwanie plików ze sformatowanych woluminów
• Odzyskiwanie plików z usuniętych lub uszkodzonych
woluminów
• Odzyskiwanie plików na podstawie sygnatur (raw data)
• Odzyskiwanie plików określonego typu
• Podgląd pliku przed odzyskaniem
• Podgląd tekstowy / heksadecymalny
Osiem najlepszych aplikacji do
samodzielnego odzyskiwania danych
• R-Studio firmy R-Tools Technology O&O
DiscRecovery EaseUS Data Recovery Wizard w
wersji 5.5 Professional, QueTek File Scavenger,
Stellar Phoenix Windows Data Recovery
GetDataBack for NTFS/FAT firmy Run-time
Software, Advanced Disk Recovery oraz Kroll
Ontrack EasyRecovery
sierpień 2012 , pcworld.pl
Kasowanie treści na dysku
FAT
- usunięte
- nienaruszone
Niszczarki danych/plików - standardy
•
•
•
•
•
DOD 5220.22-M (trzy przebiegi)
NATO – 7 przebiegów
VSITR – 7 przebiegów
Algorytm Bruce Schneiera – 7 przebiegów
Gutman Secure Deletion – do 35
przebiegów
• Wartości losowe, zera i FF.
Chip VII 09
Niemiecka norma DIN 66399
W Polsce brak normy
• określa wymogi stawiane na rynku niemieckim
urządzeniom i procesom mającym zagwarantować
bezpieczne niszczenie danych na różnego rodzaju
nośnikach.
• Nowa norma odnosi się do dokumentów
papierowych, do mechanicznego niszczenia
nośników optycznych, kart magnetycznych,
pamięci flash, dysków twardych itp.
• Obecnie nawet 90 proc. informacji
przechowywanych iest wyłącznie w formie
elektronicznej.
Chip II. 2013
Niszczarki danych/plików (ok. 30 euro)
•
•
•
•
SystemUp Eraser 2009
Abylon Shredder
Heidi Eraser (freeware)
0&0 SafeErase
Wymazywanie danych 2011
PCWorld 4/2011
Niszczarka HSM
Powerline HDS 230
10x25-30 mm
Niszczarki dokumentów papierowych
• Najwyższy poziom bezpieczeństwa
zapewniają niszczarki typu pierce and tear,
tnące i szarpiące papier nożami
obrotowymi.
PCWorld 10/IX
Bezpieczeństwo bezprzewodowo
• WEP (Wired Equivalent Privacy) –
prywatność jak w przewodach. Słaba siła
• WPA – zmienne klucze, lepsze algorytmy.
Słaba wersja 64 bitowa, lepsza – 128 bitowa
Zaufanie 1/2
• Ochrona danych osobowych
•
przetwarzane jedynie przez firmę
•
wykorzystywane wyłącznie w celu realizacji umowy
•
nie są udostępniane innym podmiotom
• Prawa dostępu do danych:
•
dostęp do swoich danych oraz możliwość ich poprawiania
•
dane osobowe są przechowywane i zabezpieczone zgodnie z zasadami
określonymi w obowiązujących przepisach prawa
Zaufanie 2/2- Netcraft Toolbar, Trust
• Netcraft:
– Ochrona przed phishingiem
– Kontrola lokalizacji hosta i wielkości ryzyka Risk
Rating każdej oglądanej strony
– Pomoc przed „naciągaczami” - fraudsters.
• www.urlvoid.com
Data Leakage Prevention - DLP
• Usługi przy pomocy oprogramowania
wykradającego informacje – Crimeware-asa-Service
• Technologie chroniące przed wyciekiem
danych:
– Aplikacje internetowe,
– Smartfony, zdalna blokada
– Kontrola danych
• Rynek DLP 2010 – 16 mld. USD
Najgorsze błędy użytkowników peceta. Jak
zdemolować komputer
• Stosowanie dwóch antywirusów
jednocześnie
• Utrata dostępu do zaszyfrowanych zasobów
• Wyłączanie automatycznej aktualizacji Windows
• Pozbywanie się aplikacji przez usuwanie folderów
• Bezmyślne testowanie oprogramowania
• RAM z różnych źródeł
• Przepełnienie HD
• Eksperymenty w BIOSie
• Przetaktowywanie
PCWorld, maj 2010
• Brak kontroli temperatury
Monitoring w pracy
• 2007 – 93% internautów przyznawało do
prywatnego korzystania z internetu w pracy.
Aplikacje do śledzenia
• Statlook (A+C), Oko Szefa, Mini
Monitoring
• Funkcje: audyt oprogramowania,
inwentaryzacja sprzętu, blokowani i
zarządzanie nośnikami wymiennymi,
kontrola wydruków, analiza
wykorzystywania komputerów, badania
aktywności użytkowników, także internetu,
kontrola rodzicielska, zrzuty ekranów,
przechwytywanie klawiatury, blokady
WWW
Spector 360
Spector 360
Spector 360
Spector 360
Employee Monitoring
Software - Activity Monitor
•
•
Activity Monitor Key Features:
View remote desktops.
–
•
Easy Internet usage monitoring.
–
•
•
•
•
•
•
•
Web surfing history logging. Real time tracking and recording of all URLs visited and time spent on each.
Monitor software usage.
–
•
You may easily have a look at any user’s desktop.
Monitor software usage activity in real time. With this feature you know what programs and for how long your network
users use during the day.
Record activity log for all workplaces on the local or shared network location. Log file includes typed keystrokes,
records of switching between the programs with time stamps, application path and window names, visited web sites
and more.
Track any user’s keystrokes on your screen in real time mode. Passwords, email, chat conversation - you have the full
picture!
Take snapshots of the remote PC screen on a scheduled basis. Easy spying without your presence. Time-sorted history
of the activity in compressed JPEGs on your computer.
Total control over the networked computers. Start or terminate remote processes, run commands, copy files from
remote systems. You may even turn the computer off or restart it, not to mention logging off the current user.
Deploy Activity Monitor Agent (the client part of the software) remotely from the administrator's PC to all computers
in your network.
Autodetection of all networked computers with Agent installed.
Automatically download and logs from all computers on a scheduled basis.
http://www.softactivity.com/em_l.asp
Ochrona dziecka
• Aplikacje onlinowe: Visikid, Norton online
family, CyberPatrolFamily, CyberPatrol
online protection
• Aplikacje offlinowe: Opiekun dziecka,
Strażnik ucznia, Beniamin, Motyl; zagr.: K9
Web protection, Safe Eyes, Salfeld Child
Control, Cyber Patrol Parental Controls.
Norton™ Online Family
https://onlinefamily.norton.com/familysafety/whyUseNOF.fs
Narzędzia do śledzenia
• GdzieSaBliscy.pl
• Gdzie jest dziecko
• Buddyway.pl
ID z sensorami
• mikrofon, miejsce, ton głosu, postawy i język
ciała, jak również, który mówił do kogo, na jak
długo.
• Banki, technologie, farmacja, zdrowie.
• Wymagana zgoda. Dostęp do danych
zagregowanych.
• przychody wzrosły średnio 2 982 dolarów
tygodniowo w każdej restauracji,
Unblinking Eyes Track Employees
Workplace Surveillance Sees Good and Bad
By STEVE LOHRJUNE 21, 2014
Automat - Stróż/strażnik
K5 Autonomous Data Machine
The robot, which can be seen in a promotional video, is still
very much a work in progress. The system will have a video
camera, thermal imaging sensors, a laser range finder, radar,
air quality sensors and a microphone. It will also have a
limited amount of autonomy, such as the ability to follow a
preplanned route. It will not, at least for now, include
advanced features like facial recognition, which is still being
perfected
http://knightscope.com/
http://www.nytimes.com/2013/12/03/science/coming-soon-a-night-watchman-with-wheels.html?nl=todaysheadlines&emc=edit_th_20131130
Automatyzowane zasady
utrzymania bezpieczeństwa
1. Inwentaryzacja urządzeń autoryzowanych i nieautoryzowanych
2. Inwentaryzacja oprogramowania autoryzowanego i nieautoryzowanego
3. Bezpieczne konfiguracje sprzętu i oprogramowania laptopów, stacji roboczych i
serwerów
4. Bezpieczne Konfiguracje urządzeń sieciowych, takich jak firewalle,
Routery i switche
5. Parametryzowanie obrony
6. Konserwacja, monitorowanie i analiza dzienników/logów audytów bezpieczeństwa
7. Bezpieczeństwo oprogramowania
8. Kontrola korzystania z uprawnień administracyjnych
9. Kontrolowany dostęp oparciu o zasadę „Need to Know”
10. Ciągła ocena wrażliwości i możliwości napraw
11. Monitorowanie i kontrola kont
12. Obrona przed malware
13. Ograniczanie i kontrola portów sieciowych, protokołów i
usług
14. Kontrola urządzeń bezprzewodowych
15. Zapobieganie utracie danych
Solving Common IT Security Problems, internet.com security book, 2012
Manualne zasady utrzymania
bezpieczeństwa
16. Sieciowa inżynieria bezpieczeństwa
17. Testy penetracyjne
18. Potencjał reagowania na incydenty
19. Możliwość odzyskiwania danych
20. Ocena umiejętności w zakresie
bezpieczeństwa i odpowiednie szkolenie
Solving Common IT Security Problems, internet.com security book, 2012
Test penetracyjny
• przeprowadzenie nadzorowanego ataku na
system teleinformatyczny,
• ocenia aktualny stanu bezpieczeństwa
systemu.
• Sprawdza wytrzymałość na usiłowanie
złamania zabezpieczeń.
trzy rodzaje testów
penetracyjnych
• atakujący posiada całkowitą wiedzę
dotyczącą analizowanego systemu, jego
architektury i wdrożonych procedur „white Box”.
• „grey Box” - atakujący ma niewiele
informacji na temat analizowanego
systemu.
• atakujący nie wie niczego o badanym
systemie - „black Box”..
Sony has estimated that data breaches earlier
this year cost it $200 million, and its losses are
not insured.
Ubezpieczenia od cyberataku
• Średnie straty włamania do zasobów informacyjnych firmy
– 7,2 mln USD (2010); 214 USD na jeden rekord
• "podwójne ryzyko prywatności i bezpieczeństwa", które
obejmują koszty utraconej działalności, koszty
powiadomień, usługi kredytowe, monitorowanie, public
relations i koszty usług prawnych oraz dochodzeniowych.
Może to również obejmować działania sądowe,
postępowania regulacyjne, grzywny, a nawet żądania
zadośćuczynienia.
NYT, December 23, 2011, 10:58 am Insurance Against Cyber Attacks Expected to Boom
By NICOLE PERLROTH
Odpowiedzialność korporacji
USA
• BERLIN - Do walki ze wzrostem
cyberprzestępczości, Komisja Europejska
rozważa plan, aby wymagać od spółek,
które przechowują dane w internecie takich jak Microsoft, Apple, Google i IBM
– aby zobowiązać je do zgłaszania utraty
lub kradzieży danych osobowych obywateli
Unii oraz ustalenia sankcji za ryzyko i
grzywny.
KEVIN J. O’BRIEN, Europe Weighs Requiring Firms to Disclose Data Breaches, NYT, Jan. 16, 2013
Nadzorowanie sfery bezpieczeństwa
teleinformatycznego
• - Centrum Koordynacyjne Systemu Reagowania na
Incydenty Komputerowe resortu obrony narodowej,
• - CERT.GOV.PL, działający w ramach Agencji
Bezpieczeństwa Wewnętrznego, ma pieczę nad
administracją publiczną,
• - Pionier CERT , działający w ramach Centrum
Superkomputerowe-Sieciowe w Poznaniu,
• - TP CERT działa, tak jak sama nazwa mówi, w ramach
Telekomunikacji Polskiej,
• - CERT Polska, działający w ramach Naukowej i
Akademickiej Sieci Komputerowej.
Polska wobec zjawiska cyberterroryzmu, http://www.psz.pl/Piotr-Borkowski-Polska-wobec-zjawiska-cyberterroryzmu, s.1,
The Business Software Alliance is the foremost
organization dedicated to promoting a safe and legal
digital world. BSA is the voice of the world's commercial
software industry before governments and in the
international marketplace. Its members represent the
fastest growing industry in the world. BSA educates
consumers on software management and copyright
protection, cyber security, trade, e-commerce and other
Internet-related issues. BSA members include Adobe,
Apple, Autodesk, Avid, Bentley Systems, Borland, CNC
Software/Mastercam, Internet Security Systems,
Macromedia, Microsoft, Network Associates and
1. Korzystaj z Sieci ostrożnie „milczenie jest złotem”
2. Uważaj na cookies
3. Jeśli nie wiesz po co Stronie dane nie podawaj ich
4. Jeśli koniecznie chcą danych - spytaj webmastera po
co?
5. Każda Strona gromadząca osobiste dane powinna
mieć jawną „politykę prywatności”
6. Używaj programowych zabezpieczeń swoich zasobów
Pięć kroków do bezpiecznej
firmy
1. Identyfikacja krytycznych zasobów
(usługi, oprogramowanie, sprzęt)
2. Ryzyko dysponowania zasobami
3. Opracowanie polityki bezpieczeństwa
4. Szkolenia
5. Wdrożenie odpowiednich do zasobów i
ryzyka technicznych środków ochrony
Technologia rozwiąże 60%
problemów, edukacja 20 –
pozostałym może zaradzić tylko
dobre prawo
Krzywe zwierciadło
Internet, dzięki względnej anonimowości,
jest jak krzywe zwierciadło – odbija
naszą rzeczywistość ukazując, ukryte na
co dzień, wypaczenia, kompleksy i
paskudztwa codziennego życia
Trendy
• Koszty naruszeń odzwierciedlają troskę i
trendy
• Piąty rok koszty troski rosną
• Zainteresowanie klientów bezpośrednią
reakcją na naruszenia
• Edukacja i programy szkoleniowe
najczęstszą reakcją na naruszenia, plus
kryptografia i inne technologie
Ile zarabiają specjaliści
od bezpieczeństwa*
• 7500 -12 000 - administrator
bezpieczeństwa teleinformatycznego
8000 -14 000 - etyczny haker (pentester)
10 000 -16 000 - inspektor bezpieczeństwa
10 000 -14 000 - audytor bezpieczeństwa
20 000 - Chief Security Officer, osoba
nadzorująca całość spraw związanych z
bezpieczeństwem IT w firmie
* umowa o pracę, pensja podstawowa brutto
październik 2012 www.pcworld.pl

Podobne dokumenty

Firewall - Technologie Informacyjne

Firewall - Technologie Informacyjne May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack By JOHN SCHWARTZ

Bardziej szczegółowo

Wirusy

Wirusy • Zainfekował dziesiątki tysięcy komputerów w 155 krajach • Stuxnet sprawił, że instalacje przemysłowe, sieci energetyczne i wodociągowe czy systemy kontroli ruchu kolejowego i lotniczego stały się...

Bardziej szczegółowo

Komputer

Komputer W 2013 roku osiągną 3,7 bln dol., jest to wzrost o 4,2% w porównaniu z 2012 rokiem (3,6 bln dol.)

Bardziej szczegółowo

Komunikacja w Sieci - Technologie Informacyjne

Komunikacja w Sieci - Technologie Informacyjne • Jest to darmowe oprogramowanie umożliwiające zainteresowanym „pisaną rozmowę” za pośrednictwem Internetu. Po zainstalowaniu oprogramowania można stworzyć listę osób, które dysponują podobnym opro...

Bardziej szczegółowo