RSS
poniedziałek, 12 października 2009
Świadomość ludzka…

I trochę jeszcze informacji o świadomości użytkowników. tym razem elektronicznych usług bankowych.

Jak donosi portal gazeta.pl w artykule UKNF ostrzega przed fałszywą stroną internetową BZ WBK, klienci banku BZ WBK dostają e-maile z informacją iż powinni aktywować swoje konto w usłudze bankowości elektronicznej wpisując numer swojej karty kredytowej na podanej w meilu stronie.

W sytuacji gdy czytamy tą informację na blogu dotyczącym porażek bezpieczeństwa domyślamy sie o jakie negatywne zachowanie chodzi. Ba! jest to wręcz dziecinnie oczywiste. Jednak oczywiste dla wszystkich klientów banku to niestety nie jest. "Mamy dziewięć zgłoszeń od osób, które jednak podały swój numer karty" wskazuje przedstawiciel biura prasowego banku. Trudno powiedzieć czy roztargnienie, niewiedza czy też ciężki dzień w pracy spowodował że nie zwrócili uwagę na taką oczywistość.

Sytuacja przypomina trochę uczenie małych pociech, aby nie otwierały obcym drzwi w domu. Dla małego dziecka nie jest to takie oczywiste, zasadniczo pamięta przykaz rodziców, ale skoro jakaś pani chce z nim porozmawiać to dlaczego ma drzwi nie otworzyć?

Najważniejsza w tej sprawie jest ciągła edukacja ludzi, tak aby nawet do głowy im nie przyszło, żeby przekazywać numery kart kredytowych na podejrzanych stronach internetowych. Przedstawiciel banku doskonale to rozumie: "Podstawą walki [z przestępczością internetową przyp.wk]  jest jednak edukacja klientów" a nie tylko ścignie przestępców.Tylko poprzez tego rodzaju edukacyjne działania wszystkich zainteresowanych będziemy w stanie wykształcić wśród użytkowników usług bankowości elektronicznej poprawne zachowania.

Problem narysowany w artykule jest tak w ogóle nieco szerszy. Mniej popularne od wyłącznie elektronicznych kart debetowych, "wypukłe" karty kredytowe, mogą być bowiem wykorzystywane w sposób niewymagający autoryzacji kodem PIN. Bardzo często ich użytkownicy wpisują numery kart w zaufanych księgarniach internetowych, wypożyczalniach samochodów. Muszą jedynie zdawać sobie sprawę z zagrożenia jakie niesie ze sobą wpisanie takiego numeru na przypadkowej stronie, czy też w niezweryfikowanym wcześniej sklepie internetowym. Jeżeli dokonujemy zakupów za pomocą karty kredytowej w znanym serwisie internetowym, z pewnością nie ma się czego obawiać. Inaczej jednak kiedy na stronie jesteśmy pierwszy raz i nikt nigdy o tym sklepie nie słyszał.

Pamiętajmy o takich prostych zachowaniach przed wpisaniem numeru karty:

    • sprawdźmy czy połączenie z serwerem jest szyfrowane (znacznik https:// a nie http://);
    • sprawdźmy certyfikat jaki jest wystawiony dla danej strony (kliknięcie w odpowiednim miejscu w przeglądarce da nam odpowiedź dla kogo wystawiony był certyfikat (nazwa firmy, adres, adres strony www);
    • nigdy nie używamy do logowania adresu lub linku przesłanego w wiadomości e-mail przez inną osobę;
    • nie korzystamy do tego typu operacji z komputerów w kawiarenkach internetowych i innych niepewnych miejscach.

Zalecenia tego typu można z pewnością mnożyć. Najważniejsze że o klientów dbają same banki, informując na swoich stronach o prawidłowych zachowaniach pracowników. Każdy poważny bank udostępnia tego typu informacje na stronie logowania.

Gorąco zachęcam do lektury. Trzeba tylko chcieć przeczytać i spróbować się stosować chociaż do części z nich. Mówimy w końcu o naszych pieniądzach. nie o jakimś "wirtualnym bezpieczeństwie informacji" tylko o żywej gotówce.

Dla chętnych wybrane linki do bankowych zasad bezpieczeństwa:

BZ WBK - zalecenia

MBank - bezpieczeństwo

PKO BP - bezpieczeństwo

Alior Bank - wyższa kultura bezpieczeństwa

22:00, wkasprz
Link Dodaj komentarz »
Firmy niewłaściwie postępują z wrażliwymi danymi

Trochę statystyk:

Firmy niewłaściwie postępują z wrażliwymi danymi

Mniej więcej co trzeci pracownik w Wielkiej Brytanii wyrzuca wrażliwe dane do kosza zamiast zniszczyć je w niszczarce, sugerują badacze.

Według wyników badania, prawie trzy czwarte pracowników sądzi, że ich pracodawca mógłby bardziej starać się w zakresie ochrony wrażliwych danych.

Dane zostały zebrane na potrzeby Narodowego Tygodnia Zapobiegania Nadużyciom.

Kradzieże tożsamości kosztują Brytyjczyków ponad 1,2 miliarda funtów rocznie. Brytyjski Fraud Prevention Service szacuje, że w 2009 roku już 60 tysięcy ludzi padło ofiarą kradzieży tożsamości.

Kradzież tożsamości polega na uzyskaniu szczegółowych danych o osobie a następnie użyciu ich, np. w celu uzyskania kredytu lub zrobienia zakupów w imieniu ofiary.

W ankiecie zbadano 1000 osób.

  • 36% nie wiedziało lub nie było pewnych, czy firma posiada kompleksową politykę postępowania z wrażliwymi dokumentami,
  • 64% przyznało, że w domu nie niszczy dokumentów zawierających dane osobowe,
  • 12% używało Internetu bez żadnych zabezpieczeń,
  • tylko 21% sprawdza raporty kredytowe, aby sprawdzić czy nikt nie wnioskował w ich imieniu o kredyt,
  • mniej niż połowa ankietowanych poszukiwała listów, których oczekiwali, a które nie dotarły (TMK: np. wyciągi z konta, rachunki za telefon).

Tyron Hill, rzecznik Narodowego Tygodnia Zapobiegania Nadużyciom, powiedział, że ryzyko kradzieży tożsamości jest "realne i aktualne". "Ludzie są naiwni lub wciąż ignorują rady o zabezpieczeniu ich danych osobowych, finansów lub reputacji", dodał. "Nawet proste rozwiązania, jak niszczenie dokumentów zawierających nazwisko i adres pozwala zmniejszyć podatność na ataki".

16:14, tmkasprzak
Link Dodaj komentarz »
niedziela, 11 października 2009
"Straciliśmy wszystkie wasze dane. Nie wyłączajcie telefonów"

(Aktualizacje do wpisu w komentarzach - tmk)

T-Mobile Sidekick to telefon, który połączony jest z usługą przechowywania danych na serwerach firmy (nomen omen) Danger, którą wykupił później Microsoft. Wszystkie dane przechowywane są na serwerach, a na telefonie wyłącznie pliki tymczasowe.

Zły pomysł.

Administratorzy nie wykonali kopii zapasowych przed aktualizacją oprogramowania serwerów. Aktualizacja się nie powiodła. "Wciąż próbujemy odzyskać dane, ale szanse na powodzenie są bardzo małe", głosi oficjalne oświadczenie T-Mobile.

Telefony wycofano ze sprzedaży, T-Mobile zaleciło także użytkownikom, aby nie wyłączali telefonów, nie restowali ich i nie dopuszczali do rozładowania baterii.

Znalezione na blipie Ubika, o sprawie pisze PDA.pl i Engadget, ofircjalne komunikaty są publikowane na forum T-Mobile użytkowników Sidekicka.

20:28, tmkasprzak
Link Komentarze (2) »
środa, 07 października 2009
Więzień odsiadujący wyrok za włamania komputerowe zablokował system więzienia

Wydawałoby się, że wystarczy minimum zdrowego rozsądku, ale:

Więzień odsiadujący wyrok za włamania komputerowe zablokował cały system komputerowy w zakładzie karnym po tym władze więzienia zleciły mu prace programistyczne w systemie.

Władze zakładu karnego potrzebowały specjalisty do wdrożenia systemu wewnętrznej stacji telewizyjnej. Do pracy wyznaczony został Douglas Havard (27 l.) odsiadujący wyrok sześciu lat więzienia za kradzieże o wartości 6.5 miliona funtów przy użyciu podrobionych kart komputerowych przez Internet.

Pozostawiony bez nadzoru więzień włamał się do systemu zakładu karnego Ranby Prison. Następnie pozmieniał hasła w systemie, blokując dostęp innym użytkownikom.

Zamieszanie powstało tydzień po tym, jak Sunday Mirror ujawnił, że jeden z więźniów w tym zakładzie karnym zdobył klucz, którym mógł otworzyć dowolne drzwi [1].

Havard został ukarany odosobnieniem, jednak system został niedostępny dla strażników więzienia. Źródło w więzieniu mówi: "To niewiarygodne, że więzień osadzony za przestępstwa komputerowe uzyskał nienadzorowany dostęp do systemu więziennego. Założył złożony system haseł, musieliśmy wynająć specjalistyczną firmę, by przywrócić system do pracy".

Rzecznik brytyjskiej Służby Więziennej poinformował, że sprawa jest wyjaśniana. Dodał, że "więźniom nie przyznaje się nienadzorowanego dostępu do komputerów. Osadzony nie uzyskał dostępu do danych o innych więźniach".

Oryginalny artykuł: Mirror.co.uk.

[1] Prawdopodobnie chodzi o kopię klucza głównego ("master key") w tzw. systemie kluczowym.

15:45, tmkasprzak
Link Dodaj komentarz »