Firewall - Technologie Informacyjne
Transkrypt
Firewall - Technologie Informacyjne
Luty 2011 Walka o fizyczne i informacyjne bezpieczeństwo będzie główną częścią ceny jaką zapłaci nasza „usieciowiona‖ cywilizacja (the concept of physical and information security will become a basic price of civilization as we become more closely wired together) Silver Bullet-ism: Technology Runs to the Rescue, The NYT on The Web, December 9, 2001 Cyberprzestępcy w USA zarabiają więcej niż handlarze narkotyków Codziennie do Sieci trafia 55 000 nowych malware Pcworld XII.09; Chip II/2010 Chip 2/10 7 głównych ataków • Brute force - zgadywanie hasła użytkownika. Atak bardzo łatwy do wykrycia i zablokowania przez bank, czasochłonny, praktycznie niestosowany. • Podsłuchanie hasła - przed podsłuchem zabezpieczają hasła jednorazowe i (w krótkim okresie) maskowane. Phfshing - przekierowanie użytkownika na fałszywą stronę i wyłudzenie jego listy haseł. Chronią przed tym wszystkie metody wyświetlające szczegóły, transakcji, której dotyczy kod. Man-in-the-middle - podsłuchanie lub sfałszowanie transmisji danych miedzy klientem a bankiem. Man-in-the-browser- szkodliwe oprogramowanie modyfikuje przeglądarkę. Zabezpieczają antywirusy i analiza po stronie banku. Socjotechnika - przekonanie użytkownika lub pracownika banku, żeby sam wyjawił hasło lub wykonał niebezpieczną operację. Chroni przed tym jedynie świadomość zagrożeń u klienta i pracowników banku. • Ataki zewnętrzne - przechwycenie kart z hasłami, podsłuchanie sieci GSM, wyłudzenie duplikatu karty SIM. Najlepiej zabezpieczają przed nimi tokeny sprzętowe. PCWorld, 7/2010 Finlandia • Pierwszy kraj na świecie, który uznał dostęp do szerokopasmowego Internetu za powszechne prawo, przysługujące każdemu obywatelowi • Minimum, od 2010, 1 Mb/s Pierwsza wojna w cyberprzestrzeni • Paraliż krajowej cyfrowej infrastruktury Estonii – – – – – – Prezydent, Premier, Parlament, Agencje rządowe, Największe banki, Gazety. • Głównie dzięki „bot’om” – anektującym komputery, czyniąc je narzędziami ataku - niewolnikami “zombies,” • Główna metoda ataków na Estonię - digital denial of service May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack By JOHN SCHWARTZ Cyfrowe wojny • CIA (18 lat temu) podczas operacji wywiadowczej umieszczono bombę logiczną w oprogramowaniu na które polował rosyjski wywiad. • Zmieniła się w jeden z największych fajerwerków w dziejach świata, gdy sterowany wadliwym oprogramowaniem system rurociągów eksplodował z mocą trzech kiloton trotylu. PcWorld II/2010 Hactywizm • Rozprzestrzenianie wirusów w sieci - forma demonstracji politycznej, zwana hacktywizmem. • Australijscy w 1989 roku zainfekowali komputery NASA robakiem WANK, aby uniemożliwić start promu kosmicznego Atlantis, który miał wynieść sondę kosmiczną Galileo. Misja wywoływała protesty grup radykalnych ekologów, ponieważ sonda miała być zasilana paliwem atomowym. Startu nie udało się powstrzymać, ale usuwanie wirusa z sieci NASA trwało wiele tygodni. • W 2007 roku rosyjscy hacktywiści zablokowali atakami DDoS estońskie witryny rządowe. Rok później powtórzyli to podczas konfliktu z Gruzją. • Podobny atak na rządowe witryny Iranu spontanicznie przeprowadzili internauci z całego świata podczas zeszłorocznych zamieszek w tym kraju, a przeciwnicy organizacji zwalczających piractwo medialne wciąż atakują ich witryny PcWorld II/2010 Cyberszpiedzy - Stuxnet • W przeciwieństwie do zwykłych wirusów, Stuxnet nie wykrada prywatnych danych internautów. Zamiast tego atakuje wyspecjalizowane systemy przemysłowe, zmieniając tryb pracy komputerów sterujących. • Wykryty w 2009 roku GhostNet składał się z blisko 1,3 tys. komputerów z ponad 100 krajów, zawierających dane o dużym znaczeniu politycznym, militarnym i handlowym. Niemal 30% tych maszyn znajdowało się w placówkach dyplomatycznych. PcWorld II/2010 Cybersabotaż i terroryzm • Stuxnet - to najbardziej zaawansowany szkodnik w historii złośliwego oprogramowania. • Ocenia się, że jego stworzenie zajęło kilka lat i prawdopodobnie pochłonęło kilkanaście milionów dolarów, a taki budżet jest poza zasięgiem hacktywistów i amatorów. Iran • Stuxnet ingerował w procesy przemysłowe sterowane komputerowo. • wirus nie mieszał we wszystkich zainfekowanych systemach. Jego kod dowodził, że celem były bardzo konkretnie maszyny, produkowane przez firmę Siemens i jej irańskiego konkurenta. Aktywował się przy specyficznych parametrach pracy, charakterystycznych tylko dla wirówek wzbogacających uran. Powodując stosunkowo drobne zmiany prędkości ich pracy, dramatycznie zmniejszał jakość ostatecznego produktu, uniemożliwiając wykorzystanie go do produkcji broni atomowej. PcWorld II/2010 Przykłady strat związanych z IT LUKRATYWNY HAKINC • Najbardziej intratnego cyberprzestepstwa w dziejach dokonano w kwietniu 2009 roku. Hakerzy ukradli kilka terabajtów danych o amerykańskim myśliwcu F-35 Lightning II. zarobili: 300 mln. USD Chip V, 2010 Google grudzień 2009 opublikowane - kwiecień 2010 • Ukradziono system haseł – Gaja – który zarządza dostępem do milionów użytkowników na świecie + firmowe serwisy Webowe + mailowe aplikacje biznesowe April 19, 2010 April 19, 2010 Cyberattack on Google Said to Hit Password System By JOHN MARKOFF Dochodzenie antytrustowe Bruksela - Google • Dominacja na rynku szperaczy w Europie – 80%, USA tylko 66% • Blokowanie w SERP konkurencji, np. porównywarek cen • Oczekiwana kara – 10% wpływów z 23 mld USD November 30, 2010, NYT, Europe Opens Antitrust Inquiry Into Google, By JAMES KANTER and ERIC PFANNER Największe katastrofy oprogramowania • 1962 – zniszczenie Mariner 1 (brak znaku „-”) • 1996 – Ariane 5 • 1979 – wykryty przez system obronny NORAD „atak” na USA 2020 rakiet z ZSRR • 1983 „atak” na ZSRR • Pomyłka okablowania Airbus’a A380 (rózne wersje CAD CADIA) – straty 5 mld euro. • Wstrzymany rozwój niemieckiego programu A2LL dla bezrobotnych Chip VIII 09 Brak zabezpieczeń • Nastolatek przejął kontrolę nad częścią systemu kierowania ruchem tramwajowym w Łodzi. • w jednym ze spowodowanych przez niego wypadków zranionych zostało 12 osób. • 14- latek zmodyfikował pilota TV, na podstawie dostępnej dokumentacji firmy tramwajowej. Zagrożenia dzieci • Po 4 minutach rozpoczyna się w niemoderowanych chatroomach nękanie o charakterze seksualnym • 40% ma kontakt z treściami erotycznymi online • 45% (12-17 lat) udostępnia swój telefon • 58% (5-9 lat zaczyna korzystać z Sieci, 16% wcześniej) • 64% zawiera znajomości przez Sieć. Chip, 05.V.2008. Potencjał Web 2.0 dla dochodzeń kryminalnych • • • • • • Dowody komunikowania się z osobami Wskazanie motywów i personalnych relacji Informacje o lokalizacji Dowody na alibi lub brak alibi Wskazanie na okoliczności przestępstwa Narzędzia przestępstw i wskazanie korzyści z przestępstw. http://www.criminallawlibraryblog.com/U.S._ DOJ__crim_socialnetworking.pdf Rzeczywiste zagrożenia przeciętny komputer zawiera 28 monitorujących, nieznanych użytkownikowi, programów W 2,36 mln przebadanych komputerach 81% było zainfekowane programami szpiegującymi, średnio 25 spyware na jeden komputer •www.esecurityplanet.com/trends/article.php/3341831 PCs Monitored, E-mail Bugged By Robyn Greenspan April 20, 2004 •Chip VI,2006, s. 34 Oszustwo komputerowe - manipulacja danymi (np.: straty banków USA, tradycyjny napad - 8 000 USD, komputerowe oszustwo - 0,5 mln USD) - manipulacja programem („na salami‖ grosze na własne konto) Wystąpienia poważnych zdarzeń wg Branż na 10 000 zdarzeń 9 7,8 Poważne zdarzenia 6,2 6,1 6 5,4 5,1 3,0 3 2,7 2,5 2,4 1,9 0 Financial Services Business Services Healthcare Power & Energy Media/Ent. Nonprofit ECommerce Mfg High Tech Teleco Branże Za: Jarosław Samonek, Symantec Poland Sp. z o.o.[2004] Straty wpływów z płatności online W wyniku przestępstw [mld. USD] Procent strat wpływów z płatności online wyniku przestępstw [mld. USD] Online Fraud Mounts, JANUARY 25, 2007, eMarketer, Merchant beware: E-thieves are out there http://www.emarketer.com:80/Article.aspx?1004504&src=article2_newsltr. Przyczyny przestępstw IT FIRMA – pięć grzechów bezpieczeństwa teleinformatycznego 1. 2. 3. 4. 5. Fachowcy – powierzenie bezpieczeństwa IT wyłącznie informatykom Internet – beztroska w udostępnianiu Internetu pracownikom i brak monitorowania aktywności internetowej pracowników. Regulacje – brak wewnętrznych reguł (polityka bezpieczeństwa IT) wymuszających stosowanie odpowiednich środków i zasad postępowania. Maksymalizacja wiedzy – nagminny brak wiedzy wśród pracowników w zakresie bezpieczeństwa IT (proporcja szkoleń BHP i bezp. IT?), Audyt – zbyt mała wiedza o kosztach ryzyka – szacunku wartości możliwych strat i kosztów ich ograniczenia, Zmiana typów zagrożeń w Sieci Spyware Antyspyware Robaki Filtr treści Antyspam Zakazana Treść Spam Antywirus Związane z treścią Trojany Wirusy IDS VPN Firewall Związane z łączeniem Klucz Fizyczne Włamania Kradzież sprzętu Chip 6/05 Jarosław Samonek Symantec Poland Sp. z o.o. Nimda (zagrożenie hybrydowe) rozprzestrzenianie Web Server Internet Stacja robocze Router Hub Stacja robocza Web Server Laptop Zainfekowany załącznik Atak na „dziurawy” serwer WWW Wcześniej zakażony serwer WWW Ataki przez przeglądarkę Jarosław Samonek Współdzielone zasoby Country Manager Symantec Poland Sp. z o.o. Źródła niebezpieczeństw • ryzyko związane z atakami na środowiska internetowe, • technologie bezprzewodowe i szerokopasmowe dostępu do Sieci • Komputery i inne cyfrowe urządzenia mobilne. Podstawowe zagrożenia badania III 2009 – VIII 2009 • Aplikacje Webowe i phishing • Adobe's PDF Reader i Flash, Apple QuickTime i Microsoft Office - "the primary initial infection vector used to compromise computers that have Internet access" http://news.zdnet.co.uk/security/0,1000000189, 39751845,00.htm Obrazy • Władze Płd. Korei zaleciły montowanie do komórek sygnalizatorów dźwiękowych robienia zdjęcia. • ParentWatch.com, KinderCam.com – kamery w miejscach pobytu dzieci – przedszkola, szkoły. WebCam • Wirusy WebCam są to robaki Rbot, które mają zdolność kontrolowania internetowej kamery ofiary stanowiąc zagrożenie wzrokowej inwigilacji określonych miejsc np. w domach i biurach. • Tysiące kamer podłączonych do prywatnych systemów zabezpieczeń przez niefrasobliwość ich administratorów jest dostępna publicznie, stwarzając nowy typ zagrożeń chronionych obiektów[1]. [1] Podgląd obrazów z tego typu kamer wskazują wyniki wyszukiwania google, na pytanie: inurl:"MultiCameraFrame?Mode=". Thousands of security webcams wide open, All you need is the right Google string, Robert Jaques, vnunet.com, 05 Jan 2005; http://www.vnunet.com/news/1160289 Kamery w mieście • CCTV – Closed-Circut Television – telewizja w obwodzie zamkniętym • 400 000 w Londynie. Przeciętny londyńczyk fotografowany 250 razy dziennie • Warszawa – 300 kamer • Czas przechowywania nagrań – 30 dni Chip IX.2007 Chip 10/2010 10 podstawowych zagrożeń utraty bezpieczeństwa 1/10 wrażliwe sieciowe aplikacje 1. Atak na aplikacje sieciowe przez „otwarte drzwi”. http://www.zdnet.co.uk/news/security-threats/2010/05/07/know-the-enemy-todays-top10-security-threats-40088650/ 10 podstawowych zagrożeń utraty bezpieczeństwa 2/10. Wyrafinowany phishing i pharming 2. Kradzież danych identyfikujących. Antywirusy i spyware nie dają gwarancji bezpieczeństwa – podstawa: edukacja użytkowników. 10 podstawowych zagrożeń utraty bezpieczeństwa 3/10. Spam • 90% poczty to spam lub phishing. 10 podstawowych zagrożeń utraty bezpieczeństwa 4/10 Social media attacks • Łamanie słabych haseł i ufanie bezpłatnym programom. 10 podstawowych zagrożeń utraty bezpieczeństwa 5/10. Proste korzystanie z danych identyfikujących (identity theft) • Kradzież pieniędzy lub uzyskiwanie innych bezpośrednich korzyści. 10 podstawowych zagrożeń utraty bezpieczeństwa 6/10. Theft of credit-card details • Tylko 5% komercyjnych stron jest bezpieczna. • Wzrost kradzieży numerów kart płatniczych 10 podstawowych zagrożeń utraty bezpieczeństwa 7/10. Exploiting the latest technology • Rola nowych technologii VoIP, wirtualizacja, smartfony itp. 10 podstawowych zagrożeń utraty bezpieczeństwa 8/10. Increased outsourcing • Powierzanie dużych ilości danych firmom zewnętrznym. 10 podstawowych zagrożeń utraty bezpieczeństwa 9/10. Rise in super-portable data • Kradzież danych przez nośniki – laptopy, urządzenia USB. 10 podstawowych zagrożeń utraty bezpieczeństwa 10/10. Samozadowolenie • Dysponowanie nowoczesnymi technologiami bezpieczeństwa ale brak edukacji pracowników. Techniki i metody przestępstw IT Typowy atak • • • • • • zdobycie hasła wykorzystanie dziur nieuprawnione działania instalacja „konia trojańskiego‖ podsłuchiwanie - packet sniffers przez „tylne drzwi‖ i przez e-mail Rozłączenie Modyfikacja podsłuch fałszowanie Ograniczone sieciowe zagrożenia • • • • • • • • • • Bombardowanie pocztą Dziurawa aplikacja Dziurawy system operacyjny Odmowa wykonania usługi Zmiana makta aplikacji Przechwycenie sesji SMTP Rutowanie przez źródło Spam Wirusy Zdalne logowanie HACKING Hacker - osoba, która włamując się do sieci komputerowej, pokonuje zabezpieczenia w postaci kodów i haseł broniących dostępu do zgromadzonej i przetwarzanej informacji Dep. Obrony USA przyznaje, że penetrowano 88% komputerów w 96% bezkarnie 70% penetracji przez pracowników firmy Logo hakerów* Slang hakerów • Freak (phr34) – maniak, • Dude <|OO<|3 – doświadczony haker, profesjonalista • |oo53r – looser, frajer, amator • Warez (//4r3z) – pirackie oprogramowanie • Więcej: www.catb.org/jargon/html/index.html *Szybowiec, figura z matematycznej gry Game of Life Defcon – spotkania superhakerów • Wielu pracuje na stanowiskach doradców służb bezpieczeństwa • Blokada światowej infrastruktury IT, bilety samolotowe, włamania do elektrowni atomowych, wybory Chip II/09 Metody wykorzystywane przez włamywaczy • Denial of Service (DoS) - odmowa wykonania usługi, atakowany serwer zagubiony dużą liczbą żądań • port scan - uruchamianie usług na wielu portach i wykorzystanie luk (związanych z usługą) w bezpieczeństwie, • sniffing - podsłuchiwanie • spoofing - podszywanie się pod kogoś, • dictionary attack - atak słownikowy Malware • Wirusy, Konie Trojańskie itp. • Phishing, mishing (mobilne) vishing (phishing telefonicznie) Programy – największe zagrożenia w 2009 roku/ Chip 2/10 • • • • • • • • Java 25% Flash 20% Shockwave 14% QuickTime 12% MediaPlayer 11% Adobe PDF 10% Dodatki do IE 5 Dodatki do Firefoxa 3 • Także: • Rzeczywiste dane do przeglądarki • Automatyczne wizytówki do maili Szpiegowskie, także użyteczne, pliki do monitorowania Twoich wędrówek - broń: - funkcje przeglądarek, - Cookie Pal - Anonymous Cookie - AtGuard, PC Secure Personal Firewall Zasoby w komputerach • 93% firmowych dokumentów w postaci elektronicznej • 70% dokumentów nigdy nie jest drukowane • 53% nie testuje planów zabezpieczeń częściej niż raz na dwa lata • 63% firm nie uświadamia pracowników o tych planach • 75% nie obejmuje sytuacji: a jeśli backup nie działa? Magazyn CSO 3/07, s. 41. Czy podajemy nieprawdziwe dane sami o sobie? zbyt lekkomyślnie ujawniamy wiele danych osobowych, stając się łatwym celem dla rosnącej liczby przestępców wykradających tożsamości w Internecie. Autorzy zwracają uwagę, iż może to doprowadzić do masowego odwracania się klientów od firm internetowych. Ujawnianie danych • 79% ankietowanych jest skłonnych podać przypadkowej osobie dane osobowe wystarczające do kradzieży tożsamości. • 33% ankietowanych przynajmniej raz złamała podstawowe zasady bezpieczeństwa w Internecie, np. współdzieląc czy zapisując hasła. Wielu ankietowanych przyznało, że informacje o hasłach do kont internetowych przechowuje w portfelu. Pracownicy • 70% nieautoryzowanego dostępu do informacji dokonują pracownicy, • 95% ataków z poważnymi konsekwencjami było inicjowane przez pracowników, DLP (Data Leak Protection) wypływ informacji • Wiedza pracowników (78% incydentów) • Technologiczne podejścia: – – – – Klasyfikacja i ochrona danych Szyfrowanie Wykrywanie szkodliwych działań (logi) Zarządzanie urządzeniami (mobiloność!) Computerworld, raport spec. X.09 USB - zagrożenia • Zalepianie USB • Programowe blokady, np. dzięki Service Pack’owi 2 można ustawić wszystkie wymienne pamięci tylko do czytania • Sanctuary Device Control umożliwia pełną kontrolę nad portami sieciowych komputerów, np. o 16.10 w piątek dostęp do zapisu przez 7 minut. • USB Lock Standard – ochrona transferu: USB, IrDa, Bluetooth, CD/DVD/Blueray. • Wymuszanie obligatoryjnego szyfrowania zapisywanych danych. Oferty zabezpieczeń USB • Port Blocker, oferta Ardence Inc.'s dla pecetów i serwerów. • RedCannon Security's KeyPoint Crypto Mobile Storage. Umożliwia monitorowanie, audytowanie i rejestrowanie wszystkich dokumentów przesyłanych za pośrednictwem USB. • Ważne jest opracowanie polityki, edukacja, kontrola • Blokady można ominąć instalując z CD Linux’a – uzyskuje się dostęp do wszystkich zasobów. Don't Let Data Walk Out the Door By Steve UlfelderJuly 7, 2005 itmanagement.earthweb.com/er p/article.php/3518461 Back to Article Pomyłki • 39% otrzymało przez pomyłkę poufne informacje, Pracownicy IT - 45%; HR 23% • Liczba pomyłkowo wysłanych poufnych informacji wzrosła z 3 (2002) do 15% (2004). • Powód – błędy ludzkie i zła polityka bezpieczeństwa. Formerly CyberAtlas Trends & Statistics: The Web's Richest Source, Spam: Problems Coming and Going By Robyn Greenspan, 22.06.2004 Techniki przestępstw informatycznych Podsłuch (eavesdropping) – dane przesyłane są bez zakłóceń, ale naruszana jest ich poufność. Phishing – scamming, zdobywanie przez użytkowników sieci danych innych internautów, pozwalających np. na oczyszczanie ich kont z pieniędzy. Spoofing – osoba może podszywać się pod inną tożsamość. Penetracja (tampering) – dane są przechwytywane, modyfikowane i przesyłane do adresata. Denial of Service (DoS) - odmowa wykonania usługi, atakowany serwer zagubiony dużą ilością żądań. Port Scan - uruchamianie usług na wielu portach i wykorzystanie luk (związanych z usługą) w bezpieczeństwie; Naśladowanie (impersonation) – dane docierają do osoby podszywającej się pod adresata. Może to przyjmować dwie formy: Misrepresentation – osoba lub organizacja może podawać fałszywą informację o prowadzonej działalności czy swojej ofercie. [ Podsłuch elektromagnetyczny • Emisja ujawniająca, ulot magnetyczny – zjawisko występujące w każdym obwodzie, w którym płynie prąd. • TEMPEST – Transient ElectroMagnetic Pulse Emanation Standard – trzy poziomy. • Techniki inwazyjne: wprowadzenie programu do PC ofiary, który wykorzystuje układy jako nadajnik (np. Tempest for Eliza – „nadaje muzykę przez kartę graficzną) • Techniki nieinwazyjne – wykorzystywanie nieinwazyjnych metod: bezprzewodowość, kable łączące urządzenia, zasilanie. Najsilniej generują” CRT i LCD Hakin9, 3/08, s. 23-25 Inwigilacja? • Pentium III „seryjny numer identyfikacyjny‖ • GUID - Global Unique Identifier – (Intel -85% światowego rynku procesorów) tajny mechanizm programowy (Office 97 i 2000), • Bug Report (XP) - programu raportującego błędy programów • Echelon (National Security Agency, USA), kontrola informacji cyfrowych (90%) w skali całego globu (Internet, faks, mail, telefon) – PCFormat 5/2008 s. 116. ID gadżetów • Unikalne ID gadżetów, np. Kindle Amazona, Sirius XM Radio, iPhony, • Brak polityki korzystania z tych informacji – tylko policja, jeśli tak to czy warto szukać sprzętu za 300 USD? • Jak obsługiwać sprzedane lub skradzione urządzenia? September 7, 2009 Gadget Makers Can Find Thief, but Don’t Ask By DAVID SEGAL Oznaczenia kolorowych wydruków Tracking Dots • Kropki (8x15< 1/1000 strony) z danymi o: – Data zakodowania, godzina, minuta – Identyfikator drukarki – www.eff.org/privacy/printers /list.php Keylogery i phishing • liczba keylogerów – szkodliwych programów zapisujących wpisywane na klawiaturze hasła i inne prywatne informacje – pomiędzy styczniem 2004 r. a majem 2006 r. wzrosła o blisko 250%. • W tym samym czasie liczba alarmów sygnalizujących możliwość ataku phishingowego wzrosła aż stukrotnie. • Sophos wykrył 5400 podmienionych witryn (2007) • http://www.mcafee.com/us/threat_center/white_paper.html. WARSZAWA – 22 stycznia 2007: Firma McAfee (NYSE:MFE) opublikowała raport McAfee® Avert® Labs. Chip II.2008 Szpiegowanie/podsłuchiwanie • Desktop Surveillance 5.0 – obserwacja poczynań innych użytkowników komputera • Mini Monitoring 1.5.0 pl jw. • Magic Guardian Home – nadzoruje kilka komputerów • Family Keylogger 2.71 PcWorld XII.2008 Szantaż przez Internet ransomware • Ransomware/wirusy GPcode – odszyfrowanie za okup • Zagrożenie zrujnowaniem Sieci firmowej o ile nie zapłaci szantażystom • W UK straty z powodu dziennego przestoju jednej z firm wynoszą jeden milion funtów • „Zapłać – zostawimy ciebie w spokoju” • Część procedur deszyfrujących oferuje Kaspersky • Np. trojan Kenzero wyłudza dane – okup (50 zł) za wstrzymanie ich publikowania Kontrola komputerów osobistych • Projekt ustawy UE na swobodny dostęp do komputerów mieszkańców zjednoczonej Europy. Inne zagrożenia • • • • • • Web 2.0 IM Wi-Fi FotoKomórki Pamięci Flash’owe Szpiegowanie i terroryzm Wi-Fi Zabezpieczenia standardy: • szyfrowanie WEP (Wired Equivalent Privacy), bardzo łatwe do złamania. • Lepsze: WPA i WPA2 – Łatwe do złamania podczas wymiany kluczy (firma Elomosoft) – Np. kartą graficzną Nivida GeForce GTX 295 – 250 mln haseł na sekundę – Hasła >= 20 znaków nadal bezpieczne Web 2.0 • Podszywanie się pod znajomych w celu wyłudzenia pieniędzy – np. ukradziono mi portfel podczas podróży (Facebook). • Instalowanie szpiegujących programów oferowanych przez znajomych • Korzystanie z hybrydy: Sieć - telefon http://www.csoonline.com/article/print/460135, Social Engineering: Eight Common Tactics. Joan Goodchild, Senior Editor, CSO, November 06, 2008 This story appeared on Network World at http://www.networkworld.com/news/2009/021609-9-dirty-tricks-socialengineers.html 9 Dirty Tricks: Social Engineers' Favorite Pick-Up Lines By Joan Goodchild , CSO , 02/16/2009 Anonimowość • „Nasz profil” w niepowołanych rękach: przedmiot manipulacji, spam, szantaż • Lub, anonimowość sprzyja przestępcom, hakerom, spamerom, pedofilom, piratom • Zapobieganie: anonimowe maile, grupy dyskusyjne, bez śladów po wizytach na Stronie (IP), anonimowe programy P2P c.d. anonimowości • Kaskada serwerów pośredniczących usługa: JAP/JonDo lub przeglądarka Torpark (modyfikacja Firefoksa) • Wpisy o aktywności internautów: www.webferret.com • Dane o 50 mln osób z UE w shober.pl • Rozmowy Skype szyfrowane pomiędzy klientami Skype! Ch, lip. 08 Anonimowość c.d. • Jedną z najbardziej popularnych usług tego typu jest bezpłatny Mailinator (www. mailinatoKcom). Pozwala jedynie na odbieranie wiadomości, bez możliwości ich wysyłania, a wszystkie są usuwane co kilka minut • Alternatywny sposób polega na używaniu połączenia tunelowego. Korzystając z sieci VPN, łączysz się z serwerem usługodawcy i za jego pośrednictwem przeglądasz zasoby Internetu – ukrywasz IP, szyfrujesz transmisję PCWorld, 7/2010 Zagrożenia z Web.2.0 • Najgroźniejsze poza phishingiem i spamem – infekcje przenoszone przez pliki multimedialne z Web 2.0 • Np. koń trojański za pośrednictwem utworu muzycznego z MySpace, za pośrednictwem QuickTime Komórki zagrożenia • Łatwe do zgubienia i kradzieży, zazwyczaj nie mają zabezpieczeń informacji • Podatne na malware • Otrzymują spam • Zdalne włączanie mikrofonu, kamery (szpiegowanie) • Lokalizowanie • Poczta trzymana na serwerach (dostęp przez komórki) narażona na podgląd Bezpieczeństwo rozmów przez komórki • • • • Oferta polskiej firmy TechLab 2000 Szyfrujący telefon Xaos Gamma Całkowite bezpieczeństwo Po małych przeróbkach komórki Sagem 100x – urządzenie do podsłuchu rozmów telefonicznych w otoczeniu Cloud computing - zagrożenia • Bezpieczeństwo transmisji • Bezpieczeństwo magazynowania • Gwarancja prywatności (inna w róznych krajach) zgodna z polityką użytkownika • Dostępność danych i ich odtwarzanie (recovery) http://features.techworld.com/security/3219109 /the-seven-deadly-sins-of-cloud-security/ Siedem grzechów bezpieczeństwa cloud computingu 1-4/7 • Strata/wypływ danych • Prosty błąd konfiguracyjny systemu w chmurze, może być powielane wielokrotnie • Kłopoty wewnętrzne – nieuczciwi pracownicy chmury • Koncentracja dużych ilości danych – konieczny mocny monitoring, podwójna autentyfikacja Siedem grzechów bezpieczeństwa cloud computingu 5-7/7 • Niebezpieczne interfejsy programistycznych aplikacji. Ważna autentyfikacja, kontrola dostępu i kryptografia • Zagrożenia przestępstw hakerskich • Nieznany profil ryzyka – IT poza firmą Pięć scenariuszy IT apokalipsy • Scentralizowana sieć energetyczna ulega awarii (2003, błąd operatora w USA, 55 milionów ludzi bez prądu) • Impuls elektromagnetyczny wysokiej częstotliwości • Awaria Google – brak dostępu do zasobów (Docs, poczta i inne). • Awaria DNSów – brak internetu • Rozbłysk słoneczny – wszystkie zasoby cyfrowe zostają zniszczone. Luka historyczna ostatnich 20 lat. http://features.techworld.com/networking/3217591/five-doomsday-scenarios-for-it-apocalypse/?getDynamicPage&print Zapobieganie obrona Pamiętaj! - wszystko jest złe, do czasu udowodnienia, że jest dobre - zlikwidować cały ruch i dostęp bez odpowiednich uprawnień - nie chowaj głowy w piasek przed problemami bezpieczeństwa - pamiętaj, że zawsze są nieznane (zwykle duże) liczby nieznanych problemów bezpieczeństwa Złoczyńca Zabezpieczenia Zabezpieczane wartości Cena bezpieczeństwa • Nie powinna być większa od wartości oszacowanego ryzyka • Wartość ryzyka = wartość straty x prawdopodobieństwo straty Podstawowa ochrona pecetów nie ma perfekcyjnego zabezpieczenia • • • • • Antywirus Antyspam Firewall Antyphishing Backup • Norton 360 • OneCare • TotalCare Bezpieczeństwo Sieci Cebula informacyjna Każdy Zarząd Podstawowi klienci Finanse Dyrektorzy Szczególne komórki Dystrybutorzy, pośrednicy Pracownicy firmy Podwykonawcy Granice zatarły się Brak granicy sieci ONI MY Sieć częściowo bezpieczna Sieci nie zapewniające bezpieczeństwa Jarosław Samonek Symantec Poland Sp. z o.o. Problemy przedsiębiorstwa a problemy techniczne Konsekwencje Skutki • narażenie poufnych danych • przerwanie transakcji • utrata lub nadużycie danych Miejsce ataku Jarosław Samonek Symantec Poland Sp. z o.o. Firmy Trzecie jące Aplikacje Zarządzanie ZabezpieczaBezpieczeństwem Zarządzanie Bezpieczeństwem Wymagania Gateway Serwer Klient Ochrona Bramy Ochrona Serwera Ochrona Klienta • • • • • • • • • • • • Ochrona przed wirusami Filtrowanie treści Firewall Wykrywanie włamań Ochrona przed wirusami Filtrowanie treści Zarządzanie Zagrożeniami Wykrywanie włamań Ochrona przed wirusami Filtrowanie treści Firewall Wykrywanie włamań Zarządzanie Incydentami Zarządzanie Konfiguracją Zarządzanie Zdarzeniami Zbieranie Przekazywanie Firmy Trzecie Jarosław Samonek, Symantec Poland Sp. z o.o. 1/5 podstawy korzystania z Internetu w firmie 1. Pracownik jest odpowiedzialny gdy korzysta z Sieci podczas pracy z niedopuszczalnych zasobów. "Edukacja w zakresie malware via Internet”. 2. Programy filtrujące umożliwiają kontrolę wirtualnych wędrówek pracowników (pornografia, zakupy). 3. Konieczna odpowiednia parametryzacja filtrów – kontrolowane otwieranie przejść. 2/5 Centralnie zarządzane oprogramowanie antywirusowe 1. Gwarantuje, że każdy PC w firmie jest automatycznie skanowany aktualnymi definicjami. 2. Zdalne usługi antywirusowe dla firm nie dających sobie z tym problemem rady, np. ISP. 3/5 Firewall z wykrywaniem intruzów 1. Sieciowe worm’y np. Sasser i Code Red nie różnią się od legitymizowanego ruchu i przechodzą przez firewall. 2. Intrusion detection umożliwia wyłapanie worm’ów (otwierają dostęp do LANu). 4/5 Instaluj Intrusion Detection 1. Firewall broni przed zewnętrzem intrusion detection na indywidualnych PC chroni przed próbami ataku od wewnątrz. Np. Trend Micro, Symantec. 5/5 Szyfrowanie i Cyfrowy podpis, certyfikaty 1. Podpis - Gwarancja poufności, integralności i autentyczności korespondencji 2. Certyfikat - Gwarancja wiarygodności instalowanego oprogramowania. 3. Zawsze korzystać z kontroli ważności certyfikatu Antywirusy i inne do obrony, darmowe i inne • • • • AntiVir Personal Windows Defender Malicious Software Removal Tool Online: www.mks.com.pl/skaner; infectedornot.com (tylko w IE) Ewolucja systemów bezpieczeństwa • I generacja: jasne zagrożenia i oczywiste środki zaradcze (szyfrowanie, firewall), • II generacja: własny haker i systemy ochrony aktywnej, • III generacja: wzorowanie się na modelu bezpieczeństwa i zarządzaniu ryzykiem Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Pierwsza generacja systemów bezpieczeństwa • Prosty schemat działania: eliminujemy zagrożenia poprzez zastosowanie odpowiedniego produktu, • Zagrożenia są oceniane z własnej perspektywy, • Duża liczba zagrożeń = bardzo duży problem, • Trudno ocenić opłacalność przeciwdziałania zagrożeniom Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 II generacja • Własny haker i monitorowanie aktywności użytkowników, • Zagrożenia są oceniane z perspektywy włamywacza komputerowego (zew. i wew.) • Duża liczba zagrożeń = mały problem, • Nadal trudno ocenić opłacalność przeciwdziałania zagrożeniom Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 III generacja • Stosujemy techniki I i II generacji plus: • Wzorujemy się na obiektywnym modelu (standardzie) systemu bezpieczeństwa • Bezpieczeństwo i ryzyko traktujemy jako wielkości mierzalne, • Zarządzamy ryzykiem zgodnie z rachunkiem ekonomicznym Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Standaryzacja zarządzania zagrożeniami UTM - Unified Threat Management • Zapora ogniowa • IPS – Intrusion Prevention System • Moduł wirtualnych sieci prywatnych (IPSec, VPN, SSL VPN, PPTP) • Moduł autoryzacji użytkowników • • • • • • Ochrona antywirusowa Ochrona przed spamem Filtr URL Zarządzanie logami Kalendarze reguł Zarządzanie łączami zapasowymi • Kształtowanie pasma • I inne DRM • DRM firmy Apple – FaiPlay, mnimum skuteczności (zhakowany w 2003 roku). • Przewidywania – 2008, DRM pozostanie wspomnieniem • Programy do omijania zabezpieczeń: – DVD Shrink – AnyDVD HD – Deamon Tools, Yasoo – uruchamianie programu bez oryginalnego krążka Chip 11/2007, s. 108 Zabezpieczania DRMu • technologia DRM (Digital Rights Management) – system do zabezpieczania komputerowych dokumentów, w tym muzyki, przesyłanych w Internecie. • Umożliwia on przekazywanie osobom trzecim publikacji z ograniczonymi prawami (np. bez możliwości wydruku, edycji czy zrobienia kopii). • DRM nie tylko zabezpiecza dane podczas transmisji kanałami publicznymi, lecz także kontroluje późniejsze ich wykorzystanie przez odbiorców (potwierdzając przez Internet ważność praw autorskich). • DRM zabezpiecza prawa autorskie właścicieli dokumentów poprzez ich szyfrowanie i oznaczanie „cyfrowym znakiem wodnym” (wzór bitów wkomponowanych w oznaczany znakiem plik). Odczytanie takiego pliku wymaga posiadania odpowiedniego oprogramowania. Trzy wersje DRM 1. Wersja pierwsza, pozwala na określenie: a) b) c) d) czy plik można odtwarzać czy plik można przegrać na urządzenia przenośne oraz CD po jakim czasie ma się skończyć możliwość odtwarzania pliku działa także na MAC OS-ie. 2. Wersja dziewiąta pozwala na określenie możliwości: a) b) c) d) e) 3. liczby odtworzeń liczby nagrań na urządzenia przenośne liczby nagrań na CD-Audio ustawienia wielu opcji czasowych ważności licencji (od kiedy i do kiedy, jak długo po pierwszym odtworzeniu itp.) usunięcia licencji na plik, gdy zostanie przestawiony zegar w komputerze. Wersja dziesiąta. Pliki zabezpieczone tą wersją odtwarza tylko Windows Media Player 10, działający wyłącznie pod Windows XP. Źródło: Krzysztof Piekarczyk, Nie za darmo, „Chip” 2005, nr 8. Protected Media Path (PMP) uniemożliwia nielegalne kopiowanie filmów i muzyki - (Protected Video Path) i audio (Protected User Media Path). Rezolucja Parlamentu Europejskiego - Raport Gallo • Dotyczy ochrony praw własności intelektualnej. Przyjęty tekst zrównuje ściąganie plików z internetu z innymi naruszeniami własności intelektualnej. • Permanentna, totalna inwigilacja Internetu, na podobieństwo tej, której już teraz doświadczają Francuzi. Wybrana przez władze firma bez przerwy monitoruje wszelkie źródła udostępniające nielegalne filmy. Anti-Coun-terfeitingTrade Agreement (ACTA) • Nowe przepisy przeciwko piractwu wykorzystujące internetowe filtry, blokady stron WWW i mechanizmy odcinające piratom dostęp do Sieci. • każdy ma być osobiście odpowiedzialny za wykorzystywano przez siebie elementy Internetu. • Providerzy mieliby tez wprowadzić zasadę trzech kroków (ostrzeżenie, przypomnienie, odłączenie) i w razie potrzeby blokować dostęp do Sieci użytkownikom pobierającym nielegalne pliki. • Rządy poszczególnych krajów UE będą zobligowane do wprowadzenia zgodnych z nią przepisów. Chip XII, 2010 HD+ wyklucza modyfikację, filtrowanie treści Chip 12/09 Ograniczanie zagrożeń funkcji niepewnych/nowych aplikacji • środowiska dla innych aplikacji: • Piaskownice (w literaturze zwane też często sandboksami) • oprogramowanie do wirtualizacji naturalnego środowiska Piaskownice - sandboxy • tworzą wydzielony fragment systemu operacyjnego, który znajdującą się we wnętrzu aplikację uważa za cały system. Przykładem tego typu działa jest mechanizm jail • Piaskownice nadają się praktycznie do wszystkiego: pozwalają na uruchomienie przeglądarki internetowej w izolowanym środowisku, ale też na sprawdzenie, jakie szkody poczyniłby wirus, gdyby został uruchomiony bez zabezpieczenia. PCWorld 10/2009 Piaskownice - Sandboxie 3.38 • jedna z najłatwiejszych i najprzyjemniejszych w obsłudze piaskownic. • Instaluje się bez większych problemów i integruje z Eksploratorem Windows. • Inne piaskownice: GeSWall 2.9 Free/Pro, DefenseWall HIPS 2.56 PCWorld 10/2009; Chip II/2010 Wybór i poprawna konfiguracja przeglądarek • Testy bezpieczeństwa (luk) • Instalacja wtyczki do podglądu adresów URL (dla stron o skróconych nazwach – aliasach) Wtyczki do podglądu adresów URL • ExpandMyURL (expandmyurl.com) i LongURLPlease (www.longurlplease). com) zapewniają aplety lub wtyczki do przeglądarki internetowej, które sprawdzają, czy z adresem docelowym skrótu wiąże się jakieś ryzyko. • Goo.gl, usługa skracania udostępniana przez Google'a, automatycznie skanuje adresy docelowe, aby wykrywać złośliwe witryny i ostrzegać internautów przed ryzykiem. Goo.gl jest ograniczony do serwisów i usług Google'a. Pcworld V 2010 Wirtualizacja • Wirtualizacja udaje nie system operacyjny a cały komputer • Aby skorzystać z aplikacji do wirtualizacji, konieczne jest posiadanie oddzielnej kopii Windowsa czy Linuxa PCWorld 10/2009 Oprogramowanie do wirtualizacji • udaje osobny komputer i wymaga posiadania dodatkowej licencji na system operacyjny. Jedynym wyjątkiem są tutaj Windows 7 Business, Ultimate i Enterprise, których właściciele w zestawie otrzymują program VirtualPC wraz z kopią systemu Windows XP. • Aplikacje do wirtualizacji są odpowiedzią na dwie najważniejsze potrzeby deweloperów i administratorów: – uruchamiania wielu środowisk bez przerywania cyklu pracy komputerów – obniżenia kosztów infrastruktury przy jej lepszym wykorzystaniu (zamiast nowego serwera kupuje się pa mięć RAM i kolejny procesor). VirtualPC 2007 • wymaga do pracy komputera z systemem Windows XP, Vista lub Windows 7. Aplikacja udaje przed oprogramowaniem zwykłą maszynę, ale pozwala też na bezpośrednie korzystanie z niektórych urządzeń - o ile sprzęt ma wystarczająco nowoczesne CPU i aktualny BIOS na płycie głównej. VMware Workstation • ok. 850 zl. Podobnie jak virtualPC, umożliwia tworzenie wirtualnych maszyn z systemami operacyjnymi. VMware jest najstarszym na rynku i dlatego najbardziej dopracowanym produktem. Główne obszary związane z bezpieczeństwem IT wg British Standard 7799 • • • • • • • • • • Polityka bezpieczeństwa Formalna organizacja bezpieczeństwa Klasyfikacja zasobów i danych Bezpieczeństwo związane z personelem Bezpieczeństwo fizyczne i anomalie przyrodnicze Procesy operacyjne i zarządzanie infrastrukturą IT Kontrola dostępu do systemów Rozwój i serwisowanie aplikacji Planowanie na wypadek zdarzeń losowych Zgodność z wymogami prawa Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Punkt startowy dla Systemu Bezpieczeństwa • Polityka bezpieczeństwa informacji w formie dokumentu (w PL wzrost z 47 do 67%, EU – 75%), za, RZP, 17.XI, 2007 • Przydzielenie właściciela do wszystkich zasobów informacyjnych • Formalny proces edukacji i uświadamiania • Formalny proces zgłaszania zdarzeń naruszających bezpieczeństwo informacji • Planowanie ciągłości działań IT na wypadek zdarzeń losowych Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001 Bezpieczeństwo teleinformatyczne zapewnia się przez: • • • • • ochronę fizyczną ochronę elektromagnetyczną ochronę kryptograficzną ochronę transmisji ochronę dostępu do urządzeń lub sieci teleinformatycznych Rozporządzenie Prezesa Rady Ministrów z 11.03.1999 r. (Nie)bezpieczeństwo Sieci Sieć nie: • ma właściciela • posiada centralnej kontroli, • ma standardów polityki funkcjonowania brak standardów międzynarodowego prawodawstwa Biznes musi być pewny przez: - Integralności danych: musisz być pewny, że Twoje dane nie zostaną zmienione, - Poufności danych: musisz mieć możliwość zachowania poufności wyróżnionych informacji, - Autentyczności: musisz być pewny, że informacje, które otrzymujesz z Sieci są od osób, które się za nie podają (np. gdy dostajesz polecenie) A także: • Dostępność - informacja musi być dostępna dla uprawnionych użytkowników zawsze, kiedy mają taką potrzebę, • Rozliczalność - dostęp do informacji może być przypisany w sposób jednoznaczny tylko temu użytkownikowi, • Niezawodność - zachowanie i skutki działania (np. aplikacji, urządzeń) są takie jak zamierzone Prywatność, cenzura, cyberbullying Biały wywiad wyszukiwarek i sieci społecznościowych Biały wywiad - Google • Google przyznał się do zebrania 600 gigabajtów ze stron, niezabezpieczonych wi-fi (maile). • Oficjalne procedury uruchomione przez Hiszpanię, Czechy, Francję i Niemcy. May 20, 2010, In Europe, Google Faces New Inquiries on Privacy, By KEVIN J. O'BRIEN Największe straty prywatności w cyfrowej erze • 2007 - Zagubiono dysk z danymi o 25 milionach Brytyjczyków – dane o 40% populacji UK. • 2006 – zgubiono dane o 26,5 mln weteranów USA • 2003 – Z AOLu skradziono dane o 92 milionach osób • Największe katastrofy oprogramowania November 22, 2007, NYT Data Leak in Britain Affects 25 Million By ERIC PFANNER Kradzieże danych • Ukradziony laptop pracownika Boeing’a zawierał nazwiska i nr. ubezp. 382 000 byłych i obecnych pracowników – w sumie 100 152 801 rekordów. • Dane z Public Policy Institute for AARP wskazują na ujawnienie 90 milionów rekordów pomiędzy 1 stycznia 2005 a 26 maja 2006, w tym 43% z edukacyjnych instytucji. December 18, 2006. LINK BY LINK. An Ominous Milestone: 100 Million Data Leaks. By TOM ZELLER Jr. Niebezpieczeństwo szperaczy • AOL stracił kontrolę nad 19 milionami zapytań skierowanych do AOLu przez ponad 600 000 Internautów. • Dane tego typu mogą być wykorzystane przez złodziei, nieuczciwych pracowników, a nawet przez administrację państwową August 12, 2006 Your Life as an Open Book By TOM ZELLER Jr. NYT Kradzież osobowości Identity theft • Po raz pierwszy zdefiniowana w dokumencie: the Identity Theft and Assumption Deterrence Act of 1998 (ID Theft Act), • Dokument ten zidentyfikował tę kradzież jako oddzielną kategorię przestępstwa. • ― …świadome przekazanie lub użycie, bez prawnej zgody, opisu lub identyfikacji innej osoby z zamiarem popełnienia lub pomocy lub nakłaniania, każdej bezprawnej aktywności, która jest określona jako przestępstwo w federalnym prawie albo uznawane jest jako przestępstwo przez inne regulacje stanowe lub lokalnego prawa‖. http://www.mcafee.com/us/threat_center/white_paper.html Prywatność – społeczne media • Administracja wykorzystuje dane ze stron społecznościowych • Dochodzenia podatkowe • Motywy i wzajemne relacje osób • Lokalizacja Zgoda na ograniczenia swobody informacyjnej usług w sieci • Niemcy: – Facebook zgodził się na ograniczenie udostępniania adresów w wyszukiwarce adresów przyjaciół – 2010 – Google skasował miliony zdjęć domów i mieszkań Facebook Makes Deal With German Privacy Group By KEVIN J. O'BRIEN Published: January 24, 2011 Kadry • 43 proc. europejskich firm sprawdza reputację potencjalnych pracowników w Sieci przed wysianiem im zaproszenia na rozmowę wstępną, • 23 proc. osób z działów kadr odrzuciło kandydaturę danej osoby ze względu na negatywne komentarze pod jej zdjęciami oraz wypowiedzi w serwisach społecznościowych i blogach. Chip XII.2010 Filtry Oprogramowanie monitorujące zachowania firmowych Internautów, także w domach dla dzieci IM – filtry dla dzieci • Oferta AOLu i MSN. • Subskrybenci AOL mogą stworzyć konta z ograniczeniami przeglądania Sieci, maili, czatów i IM (Parental Controls) • Domyślna kategoria „Tylko dzieci” (do 12 lat) – całkowita blokada IM, „Młodzi nastolatkowie” (13 to 15) – blokada wymiany obrazów, zbiorów, głosu i video, „starsi nastolatkowie” – pewne ograniczenia w chatach i surfowaniu • Można określić ile i jak długo może dziecko korzystać z AOLu • Kontrola pełna przez programy: http://www.cyberpatrol.com, $40), http://www.cybersitter.com/, $40 spectorsoft.com; $100) Prywatność w pracy • Np. Boss Everyware – szpiegowanie pracowników. Rejestracja klawiatury, zrzuty ekranu, lista uruchamianych programów itp. • Monitorowanie telefonów, np. FlexiSpy, rejestruje na serwerze aktywność i treści (smsy, adresy itp.). Chip 11/2008, s. 40. Cenzura • Włochy i UK (Internet Watch Foundation) stosują mechanizmy blokujące i filtrujące. Treści związane z dziećmi. • Włochy – blokada zakładów bukmacherskich. • BKA – niemiecki odpowiednik CBŚ zamierza blokować wskazane witryny • Listę blokowanych witryn prowajderom dostarcza BKA Chip XI/09; Computerworld IX/09 Cenzura - Europa • Od marca 2009 roku CERT Polska w projekcie FISHA (A Framework for Information Sharing and Alerting). • Głównym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w sieci Internet. Zagrożenia – gry, projekt ustawy USA • 1.000 dolarów grzywny na sklepach, które sprzedają brutalne gry wideo dla osób poniżej 18 lat. • Brutalna gra: opcje dostępne dla gracza obejmujące zabijanie, okaleczanie, obnażanie lub napaść seksualną; obraz człowieka, który jest ewidentnie obraźliwy, odwołania do dewiacyjnych lub chorobliwych zachowań z nieletnimi oraz brak poważnej literackiej, artystycznej, politycznej lub naukowej wartości. November 2, 2010, Justices Debate Video Game Ban,By ADAM LIPTAK Kontrola treści Sieci, cenzura • 5o pracowników Telecommunication On Demand sprawdza ok. 20 milionów obrazów każdego tygodnia • Outsourcingowa firma - Caleris – 4,5 mln. Obrazów codziennie • YouTube kontroluje materiały wskazane przez internautów. • Facebook – kontrola w Palo Alto i w Dublinie. NYT, Policing theWeb’s Lurid Precincts, July 18,2010. Cenzura w Googleach PCWorld XII.2010 Granice obiektywizmu • Na stronie Wikileaks opublikowano poufne, ukradzione dane o kontach klientów banku szwedzkiego. • Strona ta głosi, iż umożliwia ludziom publikować dokumenty anonimowo, z każdego państwa, które piętnują nieetyczne zachowania władz i korporacji NYT, March 5, 2008, 7:14 pm Bank Moves to Withdraw Its Suit Against Wikileaks Site By JONATHAN D. Cyberbullying – sieciowa nagonka • Poszywanie się po kogoś w celu skompromitowania • Tworzenie opinii w publicznych miejscach wymiany informacji online • Tworzenie i rozsyłanie tendencyjnych maili • Kojarzenie w szperaczach niepochlebnych słów z nazwiskiem ofiary Wzmacniająca funkcja IT: „rewers‖: Cyberbullying – negatywna siła wirtualnego tłumu Cyberbullying obejmuje użycie informacji i technologii informacyjnych takich jak mail, komórki, IM, strony w celu wspomagania dyskusji, powtarzania, inicjowania, nieprzyjaznych zachowań osób lub grup z zamiarem uczynienia komuś krzywdy Stalker, cyberstalking • Złośliwe i powtarzające się nagabywanie, naprzykrzanie się, które może wywołać u ofiary poczucie zagrożenia. Obejmuje ono zachowania polegające na obsesyjnym śledzeniu, obserwowaniu albo kontaktowaniu się z inną osobą wbrew jej woli. • Do 3 lat więzienia za uporczywe nękanie ofiary, m.in. Telefonem, Internet i inne pogróżki. Art.190a §1, 2, 3 i 4 • Po pierwsze ... złe wieści: • Jedno z praw Murphy’ego każdy program ma • WIRUSA lub • ROBAKA Nie ma znaczenia czy Twoje oprogramowanie ma wirusy ... dopóki nie działają Rozwinięcie prawa Murph’ego • Liczba WIRUSÓW jest wykładniczo proporcjonalna do wielkości programu • Jeśli program spełnia funkcje bezpieczeństwa, to w owych funkcjach są wirusy • nawet najbardziej niewinne programy mają nieszczelności • Prędzej czy później twoja konkurencja znajdzie i wykorzysta te nieszczelności Zabezpieczenia Zasady bezpieczeństwa Korzystaj z najmniejszej możliwej liczby programów Korzystaj z małych, dobrze znanych programów Skorzystaj z firewall’i Firewall - dedykowana maszyna, której nie można wykorzystywać do innych celów Firewall - siedzi pomiędzy Twoimi komputerami i całym światem • • • • Kryptografia Zabezpieczenie antywirusowe Osobista identyfikacja Firewall’e Podstawowe funkcje ochrony • antywirus, • zapora sieciowa, • ochrona przed phishingiem, • spamem i kradzieżą tożsamości. Firewall Użytkowe programy Firewall Zasoby informacyjne Firewall – początek 1985 • Technologia filtrowania pakietów • Firewall zabezpiecza sieci przed innymi sieciami, którym nie ufamy. Filtrując: pochodzenie, adresata, typ aplikacji protect networks from other untrusted (FTP/telnet) i typ pakietu (TCP/UDP). • Niektóre zawierają technologie serwera proxy Firewall dzisiaj • Zastąpiono intrusion detection systems IDSa — intrusion prevention systemem (IPSes) • Główną funkcją IDSu było wywoływanie alarmu w chwili wykrycia intruza „alarm przeciwpożarowy bez straży pożarnej‖ • anti-spam, anti-virus i anti-worm inspekcja/kontrola Podstawowe zadania Firewall’a - Cały ruch, w obu kierunkach musi przechodzić przez Firewall - Tylko autoryzowany ruch może przejść - Integralność maszyny Firewall’a musi być 100% Projektowanie Firewall’a - musisz mieć swoją politykę - na co można pozwolić w dostępie do informacji? - musisz spełnić oczekiwania biznesowe - co będzie zabronione? - kontrola nie autoryzowanej pracy - kto będzie autoryzował? - jaka będzie procedura autoryzacji? - kto będzie nadzorował przestrzeganie procedur? Firewall • Filtr portów i funkcje do ograniczania przepływu danych (uniemożliwienie działania trojanów) • Ochrona przed DoS’em (Denial of Service) – nieautoryzowany dostęp do LANu • Mechanizm translacji adresów (NAT- Network Adress Translation) • Logi, monitorowanie korzystania z Internetu (filtry) • Szyfrowanie dla potrzeb LAN, VPN Honeypots – szpiegowanie wroga • Wabienie atakujących. Administrator może sprawdzić używane narzędzia i jakich informacji szuka i co z nimi robi dalej. Kamuflaż może zmylić hakera (myśli, że sukces) • Honeynets, sieci honypotów stworzone z realnego sprzętu i oprogramowania, np. Linux boxes, Cisco switches, Windows NT and Solaris. Honeypots Let You Spy on Your Enemy By Sharon Gaudin June 16, 2004 www.esecurityplanet.com/trends/article.php/3369421 Pakiety bezpieczeństwa malware, phishing, spam • • • • • • • Kaspersky Internet Security 7.0 Norton Internet Security 2008 G Data Internet-Security 2008 F Secure Internet Security 2008 BitDefender 2008 Panda 2008 Avira Premium Chip II.2008 NetScreen - Zarządzanie ruchem/pasmem • Klasyfikacja ruchu: – – – – – – – Adres IP (źródła lub przeznaczenia) Protokół Użytkownik Port (źródła lub przeznaczenia) Usługi Pora dnia Dzień tygodnia Ascomp IT Systems Zarządzanie ruchem/pasmem • Parametry ruchu: – – – – Gwarantowane pasmo Maksymalne pasmo Priorytet (od 0 do 7) Zgodne ze standardem DiffServ • Optymalizacja – Monitorowanie ruchu w czasie rzeczywistym – Pomiar ruchu dla każdej klasy Ascomp IT Systems Inne środki obrony • IDS – system wykrywania intruzów • Honeypot – przynęta, symulowane zasoby, usługi. Przyspieszenie wykrycia ataku przez jego ułatwienie • Skaner otwartych portów: www.auditmypc.com/port-scanner.asp Miniserwer Yoggie Pico • Jak pamięć flash – pracuje pod Linux’em • 12 aplikacji odpowiadających za wszechstronne zabezpieczenie komputera (w tym firewall i antywirus) www.yoggle.com Identyfikacja • Hasła, • Identyfikatory (karty: z paskiem magnetycznym, procesorowe, zbliżeniowe), • biometryka (linie papilarne, ręce, twarz, głos, tęczówka) Identyfikacja – IAM (Identity and access management) • Pierwszy poziom: lepsza organizacja autentykacji – kto ma dostęp do ważnych informacji lub krytycznych elementów IT. Uszczelnienie – podnosi bezpieczeństwo • Drugi poziom: mocne narzędzia autentykacji: tokeny, karty czipowe, biometryka • Trzeci poziom: powiązać autentykację z rejestrem aktywności – budować mocny audyt W Internecie nikt nie wie, że jesteś psem Metody uwierzytelniania • coś co masz (klucz do drzwi, karta magnetyczna) • coś co wiesz (hasła) • coś, czym się charakteryzujesz (odciski linii papilarnych). Z hasłami jak z bielizną… Zmieniaj jak najczęściej Nie dziel się nią z przyjaciółmi Są poufne, intymne Czym dłuższe (zimą) tym lepsze Nie należy ich zostawiać gdziekolwiek Słabość haseł • Imperva found that nearly 1 percent of the 32 million people it studied had used “123456” as a password. The secondmost-popular password was “12345.” Others in the top 20 included “qwerty,” “abc123” and “princess.” January 21, 2010 If Your Password Is 123456, Just Make It HackMe By ASHLEE VANCE Hasła – słabe ogniwo systemu • 49% użytkowników IT zapisuje swoje hasła obok komputera lub na dysku maszyny, • 84% przy wyborze hasła kieruje się łatwością jego zapamiętania, • 64% nigdy nie zmienia haseł, • 22% nigdy nie zmienia haseł z własnej inicjatywy Internet Standard, z: Chip,03/2003 Lekceważenie haseł • Połowa UK uzywa tego samego hasła w bankowości i serwisach społecznościowych • 40% udostępniła hasła innej (bliskiej) osobie • 10% było narażone w 57% przynajmniej na jedno przestępstwo w 2008, z tego: 18% zakupy na konto, 12% kradzież pieniędzy, 5% kradzież osobowości • 1/10 - hasło = imię dziecka • 9% - imię matki http://www.networkworld.com/news/2009/090 309-half-of-brits-use-same.html Hasła • Programy łamiące hasła korzystają ze słowników: imiona, nazwiska, sport, liczby, znaki interpunkcyjne, słowa obce, nazwiska fantazy/SF, • Przy próbie łamania haseł – milion/sekundę, skuteczność w firmie 10 tys. osób wynosi 20 – 50% w pierwszych 20 minutach, 90% w czasie doby • Brute Force Calculator – program do oceny siły hasła (www.hackosis.com) (Chip, maj 2009) And the Password Is .... Waterloo, The NYT on The Web, 27.12.2001 Słabości haseł • Mniej niż 10% osób stosuje losowe znaki w budowie haseł • Stosując symbole, częściej wybierane są np.. $ lub @ • Najczęstsze hasła: Bóg, sex, pieniądze, tajemnica, hasło wśród kobiet: miłość • 50% haseł ma związek z rodziną, nazwiskami, „nikami‖, datami urodzin partnerów, dzieci lub zwierząt domowych • Hasła o wymuszanej zmianie – najczęściej (80%) są pochodną daty zmiany Silne hasło powinno mieć następujące właściwości • zawierać małe i duże znaki, np.: ajskADVl • zawierać cyfry i/lub znaki specjalne: ksgJ@#k* • mieć długość przynajmniej 8 znaków Hasła – podstawowe zasady • Po trzech próbach, blokada wymagająca pomocy administratora lub np. na 0,5 godz. • Wymuszana zmiana hasła, przynajmniej raz na miesiąc, • Zrywanie połączenia np. po 10 minutach, braku aktywności użytkownika Ochrona haseł przed keyloggerami • Darmowy Mouse Only Keyboard = klawiatura na ekranie • Wpisywanie hasła myszką i dalej do schowka • Potem wklejenie – zero korzystania z klawiatury • Narzędzie może działać z pedrive’a – zatem do wykorzystania na każdym komputerze Menedżery haseł - Suma haseł • Korzystając z wielu haseł – zapamiętanie wszystkich na USB, np.: Pass2Go • Zagrożenie ujawnienia, głównie przez trojany. Internetowe menedżery haseł • LastPass dostępny jest w wariancie bezpłatnym i w płatnym abonamencie -1 dolar na miesiąc • Opcja bezpłatna zawiera dostęp do kompletu funkcji i wtyczki Internet Explorera, Firefoksa oraz Chrome'a. • Dopłata głównie za możliwość używania aplikacji w telefonie komórkowym. PcWorld II/2010 Inne menedżery • Mitto jest bezpłatny i nie wymaga instalacji żadnego oprogramowania. • Passpack - opcja bezpłatna, ograniczona do 100 haseł i pozwalająca na wygenerowanie nie więcej niż 3 haseł jednorazowych. Oferuje do pobrania wtyczki do przeglądarek Internet Explorer, Firefox, Chrome, a także Opery i Safari. • Clipperz - Bezpłatny menedżer haseł wyróżnia się opensource'owym rodowodem. PcWorld II/2010 Przykłady menedżerów haseł • AI RoboForm – zapamiętuje i wpisuje automatycznie • KeePas • Password Safe • Hasła • Mateyko • Norton Password Manager (ma miernik jakości haseł) Narzędzia do odzyskiwania haseł, monitorowania sieci 1/2 • SpyNet – podsłuchiwanie osób w LAN na podstawie IP • Sieci bezprzewodowe – sniffery: Wireshark • Odzyskanie hasła Wi-F0: Aircrack-ng • Zwiększenie mocy kartą graficzną do łamania haseł: Distributed Password Recovery • Hasło GG: Pass-Tool Password Recovery • Inne IM (też Skype): Advanced IM Password Recovery (39 Euro) PCWorld XI/09 Narzędzia do odzyskiwania haseł, monitorowania sieci 2/2 • BIOS: CmosPwd • Windows:Advanced Windows Password Recovery • Advanced Office Password Recovery • Advanced RAR Password Recovery • Advanced PDF Password Recovery Pro • Accent Office Password Recovery PCWorld XI/09 Regulacje prawne • § Za nieuprawnione uzyskanie informacji, hacking grozi kara pozbawienia wolności do 2 lat (art. 267 § 1 kk). § Za podsłuch komputerowy, sniffing grozi kara pozbawienia wolności do 2 lat (art. 267 § 2 kk). • § Za tak zwane narzędzia hackerskie grozi kara pozbawienia wolności do 3 lat (art. 269b kk). PCWorld XI/09 Monitorowanie pracowników • Sprawdzanie operacji wykonywanych na komputerze • Monitorowanie Czasu Pracy, zapis obrazu pulpitu użytkowniak, ewidencja instalowanych programów • Jeżeli pracownik wie o możliwości kontroli, nie jest ona niedozwolona. PCWorld XI/09 Najczęściej stosowane zabezpieczenia transakcji w bankach Internetowych • Tradycyjne zabezpieczenia (hasła, PINy) • Zapewniane przez przeglądarki (SSL), • Podpis jednorazowy (hasła jednorazowe - TAN, token), • Ograniczenie liczby, predefiniowanie adresatów przelewów, • Jednorazowe/na ograniczoną kwotę numery kont. Rady Kasperskiego • Antywirus + firewall, aktualizacja, rezydentny, skanowanie co 7 dni • Skanować nośniki, nie otwierać załączników maili, ostrożnie odwiedzać Strony • Śledzić wiadomości o wirusach • Aktualizować Windowsy • Minimalizować liczbę użytkowników • Regularnie robić kopie zapasowe • Wirus! Nie wpadać w panikę. Szybko skopiować co ważne Kopie bezpieczeństwa online • Cena, pojemność, SO, dostęp przeglądarką, przywracanie usuniętych, synchronizacja z wieloma komputerami • Dropbox, humyo, Idrive, Live Mesh, Memopal, Mrozy Hasła jednorazowe Token DigiPass 300 stosowany przez klientów banku Pekao S.A Tokeny sprzętowe Silver 2000 Tryb event-synchronous – Generują hasła jednorazowe na żądanie – Automatyczna resynchronizacja – Niskie koszty helpdesku Gold 3000 • Rodzaje tokenów – Silver 2000: łatwy w obsłudze (jeden przycisk, który generuje hasło); PIN software’owy – Gold 3000: jedyny token w kształcie breloka z PINem sprzętowym – Platinum: token umozliwia wymianę baterii Platinum • Tokeny sprzetowe nie mają daty wyłączenia Za: ASCOMP IT Systems Tokeny software’owe SofToken II • Dostepny dla wszystkich systemów Windows dla PC • Administratorzy mogą automatycznie instalować token wykorzystując PremierAccess User Enrollment SofToken II dla PC Za: ASCOMP IT Systems Generator kodów na bazie danych o transakcjach • Generator w komórce. • Kod jednorazowy w tym przypadku nie jest przesyłany przez sieć. • Do telefonu wędrują tylko dane o transakcji. Użytkownik musi się z nimi zapoznać i je zatwierdzić, jeśli to nastąpi, algorytm w telefonie wygeneruje unikalny kod, wykorzystując dane o transakcji. To rozwiązanie eliminuje możliwość przechwycenia kodu z banku za pomocą fałszywej karty SIM. Captchas Identyfikacyjne karty Smartcard Zakłócacz keylogerów • Keystroke Interference 21 zaburza działanie keyloggerów, czyli złośliwych programów monitorujących naciskane klawisze. Jego działanie opiera się na zakłócaniu strumienia wpisywanych znaków przypadkowo wygenerowanymi symbolami. Każde przyciśnięcie klawisza powoduje deszcz liter i cyfr. Wirtualna klawiatura CERB • Podczas logowania użytkownik jest identyfikowany hasłem i otrzymanym via komórka hasłem jednorazowym Biometryka Nie można zgubić Nie można zapomnieć Nie można „podsłuchać” Biometryka - charakterystyczne cechy ludzkiego ciała • • • • • • • • Wzór linii papilarnych, geometria twarzy, dłoni itp., wzór tęczówki oka, charakterystyka głosu, obraz termiczny niektórych części ciała, cechy ręcznego podpisu, szybkość pisania na klawiaturze, zapach, DNA i inne cechy człowieka. Biometryka - dłonie • Nowa metoda Fujitsu's PalmSecure. • Badanie przepływu krwi w dłoniach, a nie kształtów i wzorów łatwych do podrobienia. • Proces spowalnia niska temperatura. • Wykorzystanie światła podczerwieni. • Dokładność > 99%, - fałszywe pozytywne 0.00007%, negatywne 0.00004%. T E C H T R A C K E R Flesh-and-Blood Biometrics PalmSecure Foretells Biometric Future http://www.networkcomputing.com/article/printFullArticle.jhtml;jsessionid=WPJTEMLPNP1KOQSNDLPCKHSCJUNN2JVN?articleID=193500195 Biometryka Nie można zgubić Nie można zapomnieć Nie można „podsłuchać” Biometryka Komfort Dokładność Coverage Koszt Linie pap. ooooooo ooooooo oooo ooo Podpis ooo oooo oooo oooo Twarz oooooooo oooo ooooooo ooooo Tęczówka oooooooo oooooooo ooooooo oooooooo Siatkówka oooooo oooooooo ooooo ooooooo Ręka oooooo ooooo ooooo ooooo Głos oooo oo ooo oo DNA o ooooooo ooooooooo ooooooooo Source: Dr. Bromba, [email protected] Linie papilarne przez USB • Produkt Sony Electronics - FIU-810 "Puppy" Fingerprint Identity Token • Linie papilarne - dostęp do zbiorów • Uzupełnienie: Flash Communicator wszystkie dane lokalnie, łącznie z logami konwersacji. Efekt – dostęp do IM firmy z każdego komputera, który ma USB. Validian, Sony Team on Fingerprint-Secured IM, Internet.com February 24, 2004 Opis linii papilarnych – cechy charakterystyczne http://www.east-shore.com/tech.html Zarządzanie tożsamością • Zbiór procesów w firmie do zarządzania cyklem życia tożsamości oraz jej relacji z aplikacjami biznesowymi i usługami • Ogół danych identyfikujących użytkownika systemów informacyjnych, określających jego uprawnienia w tych systemach oraz informacje dodatkowe, np. preferencje użytkownika w aplikacjach Przetwarzanie IT oparte na tożsamości Podstawa bezpieczeństwa i zgodności z regulacjami © 9 Novell, Inc. Wybrane regulacje © 4 Novell, Inc. Outsourcing bezpieczeństwa IT • Zmniejszenie kosztów, koncentracja na statutowej działalności • Najczęściej: – Administratorzy – zarządzanie serwerami, – monitoring bezpieczeństwa hosting aplikacji; 3 hosting infrastrukt ury; 11 wsparcie/h elpdesk; 39 zarządzanie aplikacjam i; 13 systemy IT; 34 Rzp. 17.XI.2007. Ludzkie implanty – ID dla opieki zdrowotnej July 17, 2005 A Pass on Privacy? By CHRISTOPHER CALDWELL The NYT Identity Badge Worn Under Skin Approved for Use in Health Care By BARNABY J. FEDER ; nd TOM ZELLER Jr.; Published: October 14, 2004 Reuters, FDA: Chip Implant Can Be Used to Get Health Records; Wed Oct 13, 2004 04:40 PM ET September 9, 2006 Remote Control for Health Care By BARNABY J. FEDER • The many companies betting on remote-monitoring medical technology include makers of implantable devices like Medtronic, instrument companies like Honeywell and Philips, and countless hardware and software companies ranging from start-ups to giants like Intel. Kasowanie skasowanych dyski niekasowane 15% dyski skasowane, z których można było odzyskać dane 67% dyski prawidłowo zamazane 10% dyski uszkodzone fizycznie 8% Ch1/05s112 Kasowanie skasowanych • • • • • Media-Eraser Acronis Drive Cleanser, R-Wipe and Clean, BCWipe, Eraser Chip VII 2006 Kasowanie treści na dysku FAT - usunięte - nienaruszone Niszczarki danych/plików - standardy • • • • • DOD 5220.22-M (trzy przebiegi) NATO – 7 przebiegów VSITR – 7 przebiegów Algorytm Bruce Schneiera – 7 przebiegów Gutman Secure Deletion – do 35 przebiegów • Wartości losowe, zera i FF. Chip VII 09 Niszczarki danych/plików (ok. 30 euro) • • • • SystemUp Eraser 2009 Abylon Shredder Heidi Eraser (freeware) 0&0 SafeErase Niszczarki dokumentów papierowych • Najwyższy poziom bezpieczeństwa zapewniają niszczarki typu pierce and tear, tnące i szarpiące papier nożami obrotowymi. PCWorld 10/IX Bezpieczeństwo bezprzewodowo • WEP (Wired Equivalent Privacy) – prywatność jak w przewodach. Słaba siła • WPA – zmienne klucze, lepsze algorytmy. Słaba wersja 64 bitowa, lepsza – 128 bitowa Zaufanie 1/2 • Ochrona danych osobowych • przetwarzane jedynie przez firmę • wykorzystywane wyłącznie w celu realizacji umowy • nie są udostępniane innym podmiotom • Prawa dostępu do danych: • dostęp do swoich danych oraz możliwość ich poprawiania • dane osobowe są przechowywane i zabezpieczone zgodnie z zasadami określonymi w obowiązujących przepisach prawa Zaufanie 2/2- Netcraft Toolbar, Trust • Netcraft: – Ochrona przed phishingiem – Kontrola lokalizacji hosta i wielkości ryzyka Risk Rating każdej oglądanej strony – Pomoc przed „naciagaczami‖ - fraudsters. Sejfy • Ogień, woda, upadek. • Np. HDD – punkt krytyczny 55 stopni C • Sejfy z komunikacją: USB 2, kable do laptopa. PC World, VI.09 Najgorsze błędy użytkowników peceta. Jak zdemolować komputer • Stosowanie dwóch antywirusów jednocześnie • Utrata dostępu do zaszyfrowanych zasobów • Wyłączanie automatycznej aktualizacji Windows • Pozbywanie się aplikacji przez usuwanie folderów • Bezmyślne testowanie oprogramowania • RAM z różnych źródeł • Przepełnienie HD • Eksperymenty w BIOSie • Przetaktowywanie PCWorld, maj 2010 • Brak kontroli temperatury The Business Software Alliance is the foremost organization dedicated to promoting a safe and legal digital world. BSA is the voice of the world's commercial software industry before governments and in the international marketplace. Its members represent the fastest growing industry in the world. BSA educates consumers on software management and copyright protection, cyber security, trade, e-commerce and other Internet-related issues. BSA members include Adobe, Apple, Autodesk, Avid, Bentley Systems, Borland, CNC Software/Mastercam, Internet Security Systems, Macromedia, Microsoft, Network Associates and 1. Korzystaj z Sieci ostrożnie „milczenie jest złotem‖ 2. Uważaj na cookies 3. Jeśli nie wiesz po co Stronie dane nie podawaj ich 4. Jeśli koniecznie chcą danych - spytaj webmastera po co? 5. Każda Strona gromadząca osobiste dane powinna mieć jawną „politykę prywatności‖ 6. Używaj programowych zabezpieczeń swoich zasobów Technologia rozwiąże 60% problemów, edukacja 20 – pozostałym może zaradzić tylko dobre prawo Krzywe zwierciadło Internet, dzięki względnej anonimowości, jest jak krzywe zwierciadło – odbija naszą rzeczywistość ukazując, ukryte na co dzień, wypaczenia, kompleksy i paskudztwa codziennego życia
Podobne dokumenty
Identyfikacja
automatycznie instalować token wykorzystując PremierAccess User Enrollment SofToken II dla PC
Bardziej szczegółowoWstęp - Technologie Informacyjne
May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack By JOHN SCHWARTZ
Bardziej szczegółowo