Skocz do zawartości

Bezpieczeństwo danych


Selqet

Rekomendowane odpowiedzi

Postanowiłam założyć oddzielny wątek odnośnie bezpieczeństwa danych ze względu bardzo szeroki temat. Rozpoczęłam trochę myśl tutaj -

tym wpisem:

 

Chciałabym nadmienić o bardzo istotnym chronieniu swoich haseł, dostępów - do telefonu, komputera, e-maila itd. Wiem, że to nie odpowiedni wątek, podobnego nie ma i nowego założyć nie mogę. 

 

Z moich obserwacji wynika, że ludzie są bardzo nieuważni pod tym względem. Podam kilka reguł, które pozwolą nam na to, żeby nikt oprócz was nie miał dostępu do Waszej prywatności.

 

1. Dostęp na telefon powinno być cyfrowe a nie wzorem. Powodem przede wszystkim jest fakt, że stosując wzór zostawia się często na ekranie ślad tłusty, który pod kątem można zobaczyć. 

2. Wpisując hasło rób to w taki sposób aby inne osoby tego nie widziały. Najbardziej optymalnie jest jak wpisując hasło masz osoby w polu swojego widzenia. 

3. Warto zmieniać hasła raz na jakiś czas.

4. Hasła zapamiętujemy, do różnych kont mamy różne. 

5. Jeżeli już hasła ustawiamy, aby się automatycznie zapisywały w przeglądarce musimy pamiętać o tym, żeby blokować za każdym razem komputer, jeśli wiemy, że ktoś może wykorzystać sytuację. 

6. Używamy kreatywności przy tworzeniu haseł. Mam na to patent taki, że tworzę sobie nieistniejące, skomplikowane słowo jako bazę. Bazę modyfikuję dodając różne elementy (cyfry, znaki specjalne). 

7. Szczególnie Panowie i Panie proszę być ostrożnym w chwilach gdy jesteście mniej uważni - zaspani, podchmieleni itd. Wtedy najłatwiej zdobyć dostępy do Waszych kont.

 

Ale niektórzy Panowie dali mi do zrozumienia, że mój wpis poza rezerwatem im nie na rękę :)

 

Zainspirowałam się odpowiedzią @KevinMitnick ''Łamałem ludzi - nie hasła''. Nie znałam wcześniej tej postaci - hakera. Poszłam dalej tym tropem i jestem w połowie czytanie "Sztuki infiltracji". Szczerze polecam.

 

Posłużę się cytatami z książki. Niektóre rzeczy mimo, że są banalne - wymagają uwagi we względu na dużo lekkomyślności w ufności ludziom.

 

"Organizacje, które używają tylko haseł statycznych, muszą szkolić pracowników i motywować ich do stosowania bezpiecznego hasła. Skuteczna polityka polega na wymaganiu, aby użytkownik tworzył bezpieczne hasła zawierające co najmniej jedną cyfrę i symbol albo małe i wielkie litery, i zmieniać je co jakiś czas

Dalszy krok polega na wytępieniu złego nawyku, jakim jest zapisywanie hasła i przyklejaniu go na monitorze, pod klawiaturą albo szufladzie biurka - w miejscach, do których najpierw zagląda każdy doświadczony złodziej."

 

Punkt drugi - Wpisując hasło rób to w taki sposób aby inne osoby tego nie widziały. Najbardziej optymalnie jest jak wpisując hasło masz osoby w polu swojego widzenia.

 

Wymaga rozszerzenia, także z książki:

 

"Obrazowe "siedzenie na ramieniu" oznacza ukradkowe podglądnie, gdy pracownik zapisuje swoje hasło. Napastnik wprawiony w tej sztuce umie spoglądać na palce pomykające po klawiaturze na tyle uważnie, żeby widzieć, co napisała dana osoba, choć udaje, że nie zwraca na to uwagi"

 

Autorzy też piszą o tym, że do budynków lub pomieszczeń chronionych identyfikatorami często wpuszcza się osoby z obawy przed tym, że mogą to być osoby ważne np. kierownik danego działu, prezes itd. Miałam kiedyś sytuację, że w dużym biurze idąc do pracy rozmawiałam przez telefon i jakiś nieznajomy gość czekał na półpiętrze grzebiąc coś w telefonie. Zwróciłam na niego uwagę bo budynek był już prawie pusty ze względu na późną porę. Zauważył on, że idę w kierunku do którego chciał on sam wejść. Miałam dziwne przeczucie w brzuchu aby go nie wpuścić. Ze względu na to, o czym piszą autorzy, czyli głupim lękiem przed możliwą kompromitacją (byłam nowym pracownikiem dodatkowo) - wpuściłam go.

 

Istotne jest także zastrzeganie (okresowe lub stałe) dowodu osobistego jeżeli zostanie zgubiony, ponieważ osoba posiadająca go może m.in. wziąć pożyczkę. Można to robić np. przez stronę BIK lub dzwoniąc na infolinię dowolnego banku.

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Najsłabszym ogniwem zawsze pozostaje człowiek. Ostatnio siedzę trochę w audytach IT. B)Praktycznie http://www.mclennan.edu/information-systems-and-services/checklist albo prościej http://www.wikiwand.com/en/ITGC

 

Czasem robię nie tylko te ogólne kontrole ale też coś ciekawszego. Sprawdzam jakieś powiązania i automaty pomiędzy SAP i innymi systemami - ogólnie fajne, bo coś nowego.

 

W sumie robię to trochę z inżynierskiej ciekawości i pod kątem przygotowania do egzaminu na certyfikowanego audytora CISA. Otóż okazuje się, że Polsce poziom techniczny jest bardzo wysoki i ludzie znają się na tej robocie. Wszelkie słabości jakie można wykryć są na poziomie braku dokumentacji. 

 

Otóż wszystko o czym tu na forum, gdzie ludzie piszą o zmianach haseł, blokadach urządzeń, o zasadach bezpieczeństwa itp, to na to wszystko są rozporządzenia, normy, zbiory dobrych praktyk itp. Na to są dokumenty pisane. Sektor publiczny obligatoryjnie musi niektórych z nich przestrzegać, bo jak nie to osoby odpowiedzialne mogą iść nawet za pręty pierdzieć w pasiak. Korporacje zagraniczne (szczególnie z USA) są nieprawdopodobnie poukładane. Obawiam się, że lepiej niż nie jeden polski bank albo ubezpieczyciel.  I oczywiście im większe bezpieczeństwo tym bardziej upierdliwe to w obsłudze jest. Wie o tym ktoś, komu się kiedyś kontener truecrypt'a uszkodził (ja). 

 

Pisze o tym, bo pojawia się to 2. raz we ciągu paru tygodni. Jeśli ktoś chce abym wrzucił coś z rozporządzeń dla sektora Public i coś dla schizofreników od IT security to proszę o info. Chociaż to raczej informatyka zawodowa. :ph34r:

 

Odnośnik do komentarza
Udostępnij na innych stronach

Też zauważyłam to, że ludzie bez większego zastanowienia podłączają swoje pendrivy do komputerach w pracy, ale i nie tylko - logują się na prywatne skrzynki e-mailowe, facebooka, umieszczają na kompie prywatne zdjęcia.

 

Kiedyś usłyszałam historioplotkę, że jakaś osoba mogła być zwolniona z wysokiego dosyć stanowiska w danej firmie gdyby osoba z IT (nie wiem dokładnie jaka specjalizacja) byłaby formalistą i przełożonym przekazała informacje o tym, co ma na komputerze. Domniemana osoba miała jakieś pliki podchodzące pod pedofilię. 

Odnośnik do komentarza
Udostępnij na innych stronach

Miałam kiedyś sytuacje, kiedy koleżanka podłączyła telefon do mojego laptopa i się to tak zsynchronizowało, że wszystkie jej zdjęcia, iMessage, maile, wszystko dosłownie przychodziło na mój laptop i mój telefon, zaś moje rzeczy na jej laptop i telefon, również hasła - ja miałam jej w komputerze, a ona moje. Do dziś nie wiem w jaki sposób to było możliwe, ale po zrestartowaniu telefonu i przeinstalowaniu systemu wszystko wróciło do normy. Wszystkie sprzęty są made by Apple, może ktoś wie co mogło to spowodować? 

  • Like 1
Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 miesiące temu...

W maju pojawił się nowy gatunek wirusa - Wanna Cry. Screen z zawirusowanego komputera wygląda tak:

 

Wana_Decrypt0r_screenshot.png

 

Zarazić się nim można pobierając szkodliwe pliki lub klikając na link.

 

Cytuję:

 

WannaCry (lub WannaCrypt) to złośliwy program typu ransomware skierowany do użytkowników systemu Microsoft Windows.

1. CZYM JEST RANSOMWARE?

Ransomware to rodzaj wirusa, który jest używany do cybernetycznych ataków. Hakerzy mogą dzięki niemu przejąć kontrolę nad naszym komputerem, a także uniemożliwić nam korzystanie z niego lub ograniczyć dostęp do zgromadzonych na nim danych, dopóki nie zapłacimy żądanej kwoty w sposób określony przez hakerów. Jeśli nie spełnimy żądań, grozi nam utrata tych danych.

2. KIEDY ZACZĄŁ SIĘ ATAK?

W piątek, 12 maja. Dotknął on komputery w 150 krajach. W ciągu zaledwie jednego dnia, badacze zdiagnozowali około 57000 przypadków zainfekowania tym wirusem. Hakerzy żądali płatności od 300 do 600 dolarów za odblokowanie pojedynczego komputera. Walutą miały być BitCoiny.

 

3. KTO UCIERPIAŁ WSKUTEK ATAKU?

Wśród celów znalazła się brytyjska służba zdrowia, międzynarodowy przewoźnik FedEx i operator telekomunikacyjny Telefonica. W Indiach zainfekowane zostały komputery w 18 oddziałach policji. Na niektórych posterunkach w tym kraju, zgodnie ze słowami Dyrektora Policji, R Jaya Lakshmi, dane zostały dodatkowo zaszyfrowane, stąd funkcjonariusze nie mieli do nich dostępu. Indyjska Agencja Bezpieczeństwa Cyfrowego (CERT-In) ogłosiła czerwony alarm i zaleciła użytkownikom oraz organizacjom instalowanie poprawek bezpieczeństwa przy pomocy Windows Update. Atakiem zostały dotknięte też dwa duże indyjskie banki oraz fabryka Renault w Chennai. W Korei Południowej z powodu WannaCry zamknięto tymczasowo dwa szpitale uniwersyteckie.

 

Ransomware opanował też tysiące komputerów w Stanach Zjednoczonych, Chinach oraz Europie. Renault wstrzymał produkcję samochodów we Francji i Rumunii, aby zapobiec rozprzestrzenianiu się wirusa. Innymi ofiarami złośliwego oprogramowania są: fabryka Nissana w Sunderland, w północno-wschodniej Anglii, niemiecki operator kolejowy Deutche Bahn oraz międzynarodowy przewoźnik FedEx Corp. Chyba najwięcej szkód WannaCry wyrządził setkom szpitali i klinikom wchodzącym w skład brytyjskiej służby zdrowia (British National Health Service). W Polsce również odnotowano przypadki działania tego ransomware.

 

4. SKĄD WZIĄŁ SIĘ WANNACRY?

Hakerzy najprawdopodobniej wykradli kod wirusa z amerykańskiej agencji wywiadowczej NSA. Zeszłego miesiąca inna grupa hakerska, określająca się jako Shadow Brokers, opublikowała kod wirusa, nazywając go jednym z narzędzi hakerskich, którymi posługuje się amerykańska agencja wywiadowcza. Można więc powiedzieć, że w pewnym sensie USA wyhodowały sobie WannaCry na własnej piersi.

5. ILE KOMPUTERÓW OSTATECZNIE ZOSTAŁO ZAINFEKOWANYCH?

Atak odcisnął swoje piętno na ponad 200000 komputerów na całym świecie. Uderzył w banki, szpitale i agencje rządowe. Wszystko miało miejsce w weekend, więc liczba użytkowników, którzy nieopatrznie otworzą niepożądany załącznik na firmowej skrzynce mailowej, co pozostawia pole do popisu wirusowi, jeszcze się zwiększy.

6. KTO WINIEN?

Oczywiście nie można przerzucać odpowiedzialności za rozprzestrzenianie wirusa na kogokolwiek innego, jak hakerów, jednak główny prawnik Microsoftu powiedział, że „to właśnie NSA opracowało kod używany w ataku.”. Ostrzegł też rządy przed gromadzeniem zapasów danych o lukach w oprogramowaniu, które mogą być wykorzystane przez hakerów. Takie informacje nie powinny być sprzedawane, przechowywane lub wykorzystywane, gdyż łatwo mogą wpaść w złe ręce.

 

7. Jak się zabezpieczyć przed WannaCry:

 

Przede wszystkim należy dokonać aktualizacji systemu Windows. Dodatkowym zabezpieczeniem będzie instalacja firewalla. Jak zwykle w takich przypadkach przyda się również zdrowy rozsądek - nieodwiedzanie podejrzenie wyglądających stron i nieotwieranie maili niewiadomego pochodzenia.

 

https://www.tabletowo.pl/2017/05/15/czym-jest-wannacry-faq/

 

Czy to wam trochę nie przypomina scenariusza z Mr Robot? :) 

 

4d7.png

 


Warto też obejrzeć filmik na yt o wirusach

 

 

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

51 minut temu, Selqet napisał:

Oczywiście nie można przerzucać odpowiedzialności za rozprzestrzenianie wirusa na kogokolwiek innego, jak hakerów

 

Chyba raczej panie Krysie z recepcji, które otwierają załączniki z maili z dupy. Obsługując ponad 10 skrzynek pocztowych to prawie codziennie jakiegoś podejrzanego maila dostaje. 

Raz tylko wkręciłem się, gdy dostałem jakieś zawiadomienie od prawnika - emocje. Po uruchomieniu pliku nie zezwoliłem na przejście w tryb administracyjny, ale na wszelki wypadek wyłączyłem od razu komputer i poleciałem po nowy dysk ;)

Odnośnik do komentarza
Udostępnij na innych stronach

@radeq hakerzy by nie mieli takiej "władzy" gdyby nie ludzie, którzy w nieodpowiedzialny sposób korzystają z technologii. 

 

Piętą achillesową firm są przede wszystkim nieodpowiedzialni ludzie, którzy obsługują korespondencje z zewnątrz - recepcja, działy obsługi klienta itd. 

 

Słyszałam o plikach o rozszerzeniach .doc .pdf - czyli powszechnych, które też mogą narobić kuku.

Odnośnik do komentarza
Udostępnij na innych stronach

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.