Dane komputerowe firm są bezpieczne tylko wtedy, jeżeli pracownicy są odpowiednio zmotywowani do przestrzegania procedur bezpieczeństwa, samo oprogramowanie nie wystarczy – uważa znany amerykański hacker, obecnie konsultant do spraw zabezpieczeń Kevin Mitnick.

Na temat bezpieczeństwa informatycznego dyskutowano na konferencji prasowej w poniedziałek w Warszawie.

Najczęstszym wykroczeniem przeciwko regułom bezpieczeństwa, którego dopuszczają się pracownicy, jest zapisywanie hasła do komputera na kartce i przyklejanie jej do monitora.

„Dzieje się tak dlatego, że większość firm wymaga, aby hasło było skomplikowane. Pracownicy spełniają ten wymóg, ale trudno im zapamiętać hasło, więc je zapisują” – powiedział Mitnick.

Również zdaniem Vincenta Bieri, specjalisty ds. technologii bezpieczeństwa i marketingu firmy Cisco Systems EMEA, słabym ogniwem w łańcuchu zabezpieczeń jest człowiek.

„Z moich doświadczeń wynika, że jeżeli procedura bezpieczeństwa wpływa na tempo pracy i wydajność, to pracownik zawsze znajdzie sposób, żeby ją obejść” – wyjaśnił Bieri.

Tzw. czynnik ludzki zwiększa ryzyko nie tylko w codziennych czynnościach, stwarza też większe zagrożenie atakami z wykorzystaniem socjotechniki.

„Wyobraźmy sobie, że elegancki mężczyzna, w ładnym garniturze i z drogą teczką przychodzi do firmy. Następnie zwraca się do recepcjonistki z informacją, że właśnie znalazł banknot o nominale pięć euro i oddaje jej go. Wzbudza tym samym zaufanie. Jeżeli ten sam mężczyzna przyjdzie znowu za kilka minut i spyta, czy może skorzystać przez kilka minut z sali konferencyjnej, aby zadzwonić i sprawdzić e-mail, prawdopodobnie recepcjonistka się zgodzi” – powiedział Mitnick.

Po wejściu do sali konferencyjnej gość może bez przeszkód podłączyć tam i zostawić urządzenie pozwalające na zdalny dostęp do wewnętrznej sieci firmy z pominięciem zabezpieczeń takich jak firewall (program komputerowy zabezpieczający przed wirusami i przed włamaniami hackerów).

Aby zabezpieczyć się przed takimi sytuacjami, pracodawca musi odpowiednio motywować swoich ludzi, tak aby chcieli zawsze przestrzegać reguł bezpieczeństwa. Jak podkreślił Mitnick, jest to trudne zadanie, bo każdy pracownik potrzebuje innej motywacji, ale jest to możliwe.

Źródło: Onet.pl / PAP

Więcej informacji o Mitnicku w dziale hackers.

Zobacz również newsy dot. Kevina Mitnicka

Książki Kevina Mitnicka w polskiej wersji językowej:

Ścigany. Rozmowy z Kevinem Mitnickiem

Sztuka podstępu. Łamałem ludzi, nie hasła

Zagrożeniem dla kluczowych informacji należących do firm, są już nie tylko tradycyjne ataki hakerów czy też wirusy komputerowe, ale także ataki na telefony komórkowe – uważa Kevin Mitnick, w przeszłości jeden z najbardziej niebezpiecznych hakerów, a obecnie ekspert w dziedzinie bezpieczeństwa informatycznego.

„Telefony komórkowe są coraz bardziej skomplikowane i mają coraz więcej dodatkowych opcji. Stają się małymi komputerami i jak do każdego komputera, można się do nich włamać i ukraść zawarte w nich informacje. Słyszałem o grupie angielskich przestępców, którzy wykradali z telefonów innych osób książki telefoniczne, treść sms-ów i inne rzeczy” – powiedział Mitnick podczas dzisiejszej konferencji prasowej w Warszawie.

Zaznaczył, że w niedalekiej przyszłości telefon komórkowy może stać się kartą płatniczą i wtedy będzie jeszcze bardziej narażony na ataki.

Jego zdaniem, innym wyzwaniem w dziedzinie bezpieczeństwa informatycznego w firmach są możliwości jakie dają urządzenia pozwalające na bezprzewodowy dostęp do internetu. Mitnick pokazał podczas konferencji kilka małych urządzeń, które podłączone bezpośrednio do sieci w firmie, pozwalają potem na bezprzewodowe włamanie się do sieci z obejściem większości zabezpieczeń.

Mitnick zwrócił także uwagę na inne niebezpieczeństwa, z których nie zdają sobie sprawy firmy. Jednym z nich są – według niego – wyszukiwarki internetowe, np. Google, które odpowiednio skonfigurowane mogą wyświetlić listę kodów dostępu do sieci firmowej, czy też inne chronione przez firmę informacje.

Mitnick pytany podczas konferencji o wykorzystanie przez terrorystów metod hakerskich, powiedział, że nigdy o takim przypadku nie słyszał. „Połączenie ataków terrorystycznych z atakami hakerskimi może być bardzo niebezpieczne. Gdyby terroryści, którzy zaatakowali 11 września Nowy Jork, wyłączyli w całym mieście telefony i elektryczność, to szkody, które by spowodowali, byłyby o wiele większe. 15 lat temu był taki moment, kiedy sam kontrolowałem sieć telefoniczną w Nowym Jorku, więc proszę sobie wyobrazić, co zrobiłaby grupa osób, wyposażona w odpowiedni sprzęt oraz pieniądze” – przestrzegł Mitnick.

Podkreślił, że z tego powodu kluczowa infrastruktura: energetyczna, telekomunikacyjna czy też informatyczna musi być szczególnie zabezpieczona.

Dyrektor zarządzający firmy IDC Polska – na jej zaproszenie Mitnick przyjechał do Polski – Andrzej Jarosz, powiedział, że wartość rynku zabezpieczeń informatycznych rośnie o wiele szybciej niż średnia całego rynku informatycznego. Według niego, związane jest to z przenoszeniem działalności „do sieci” przez coraz więcej firm, które chcą przy tym się odpowiednio zabezpieczyć.

Jarosz poinformował, że IDC szacuje wartość europejskiego rynek bezpieczeństwa informatycznego na ok. 3 mld dolarów.

Źródło: Onet.pl / PAP

Więcej informacji o Mitnicku w dziale hackers.

Zobacz również newsy dot. Kevina Mitnicka

Książki Kevina Mitnicka w polskiej wersji językowej:

Ścigany. Rozmowy z Kevinem Mitnickiem

Sztuka podstępu. Łamałem ludzi, nie hasła

Nabywając w ostatnim czasie pakiety oprogramowania antywirusowego i anti-malware, Microsoft wypowiedział wojnę złośliwym programistom. Teraz wygląda na to, że jeden z nich odpowiedział ogniem. Trojan o nazwie PWS-Banker obrał sobie za cel oprogramowanie AntiSpyware Microsoftu.

Malware, znany także jako Troj/BankAsh-A, PWSteal.Bankash.A oraz Trojan-Spy.Win32.Banker.jv usiłuje sprawić, aby oprogramowanie przestało działać, poprzez wykasowywanie plików programowych oraz blokowanie powiadomień szczególnie Microsoftu. Idzie także krok dalej, usiłując zablokować dostęp do stron antywirusowych. Szkodliwy program ma swoje haki w systemie, cały czas pozostaje uśpiony, lecz aktywuje się gdy użytkownik odwiedzi strony bankowe online. Trojan wyświetla wtedy nieprawdziwą wersję strony, zbiera hasla i po cichu wysyła informacje na zdalny serwer. Eksperci ds. bezpieczeństwa zauważyli także, że oprogramowanie kradnie z systemu Windows przechowywane hasła.

Rzecznik Microsoftu zapytany o komentarz odpowiedział, że raporty są przygotowywane. Powiedział także: BankAsh-A i ataki usiłujące wyłączyć oprogramowanie Anti-Spyware czy też Antywirusowe są dobrze znane w środowisku AS/AV, a Microsoft zachęca wszystkich użytkowników aby byli ostrożni i pobierali oprogramowanie tylko ze sprawdzonych źródeł.

Microsoft rozpoczął ofensywę przeciwko malware, gdy zdobył technologię GeCad w 2003roku. Od tego czasu, Redmond postanowił rozszerzyć swój cel ochrony klientów zakupując prawa do dodatkowych narzędzi ochronnych zawierających pakiet oprogramowania anti-spyware GIANT oraz produkty Sybari enterprise antivirus.

Oprogramowanie będące na celowniku PWS-Banker.j jest przygotowaną przez Microsoft wersją programu spyware GIANT’a, które zostało udostępnione jako wersja beta. Oczekuje się, że Microsoft ostatecznie rozwinie swoje antywirusy i spyware do usługi subskrypcji nazwanej kodem ‚A1’. Microsoft rozpoczął już informować partnerów o serwisie, wymagając poufności.

A1 może być wynikiem lekcji jakie firma wyniosła podczas dziś już nie funkcjonującego triala PC Satisfaction gdzie rozwinęły się 3-częściowe rozwiązania usług antywirusowych, firewalli, backupów i monitoringu PC health do interfejsu Web-based. Samo A1 może być włączone do przyszłych wydań Windowsa.

Źródło: Labolatorium DrWEB

Siemens przeprowadzi testy opracowanej przez Voltage Security technologii szyfrowania danych w telefonach komórkowych.

System SecureMail jest oparty o technologię IBE (Identity Based Encryption), w której rolę klucza publicznego pełni informacja o tożsamości autora informacji – adres poczty elektronicznej, numer telefonu lub numer IP. Dzięki temu rozwiązanie ma chronić dane, a równocześnie być niekłopotliwe dla użytkowników. SecureMail zostanie zaimplementowany w smartphone’ach Siemensa działających pod kontrolą systemu Windows Mobile. W testach weźmie udział dziesięciu korporacyjnych klientów niemieckiego koncernu.

Zainteresowanie ochroną danych w „komórkach” wzrosło wyraźnie, odkąd użytkownicy telefonów borykają się z zagrożeniami ze strony wirusów.

Źródło informacji: ZDNet

Insecure.Org udostępnił nową wersję popularnego Nmap (Network Mapper) narzędzia przeznaczonego do eksploracji sieci i audytów bezpieczeństwa. Nowa wersja jest oznaczona numerkiem 3.81.

Program umożliwia skanowanie systemu w celu określenia usług zainstalowanych na określonej maszynie. Nmap zawiera również narzędzie OS Fingerprinting, które umożliwia określenie systemu operacyjnego na skanowanej maszynie.

W nowej wersji poprawiono opcje fragmentacji pakietów (-f.) Wykonanie opcji -f wysyła pakiet co 8 bajtów, zaś opcja -ff co 16 bajtów. Użytkownik może również określić własną fragmentację pakietu, która jest wielokrotnością 8 przy użyciu opcji –mtu. Usprawniono również wykorzystanie opcji Idlescan dodając nowy stan „closed|filtered”. Nmap wykorzystując tego typu skanowanie nie może określić dokładnego stanu portu.

Więcej informacji można uzyskać w ChangeLogu, zaś stąd można pobrać źródła.

Źródło informacji: Insecure.org

Jak wynika z badania przeprowadzonego przez Ponemon Institute na zlecenie Vontu Inc., największym źródłem naruszeń bezpieczeństwa informatycznego firmy nie są hakerzy, wirusy czy robaki internetowe, ale nieprzestrzegający bezpieczeństwa – nieintencjonalnie albo złośliwie – pracownicy wszystkich szczebli organizacji.

W przypadku 69% firm, z grona tych, które odnotowały naruszenie bezpieczeństwa, za wydarzeniem takim stali pracownicy: czy to przez swój niezamierzony błąd, czy też celowe, złośliwe działanie na szkodę firmy. W większości zresztą, co napawa nadzieją, naruszenia wynikały z nieintencjonalnych błędów (39% wszystkich przypadków naruszeń). Dla porównania, zaledwie 16% naruszeń bezpieczeństwa IT nastąpiło w wyniku działania hakerów czy innego typu zewnętrznych włamywaczy.

Ogółem, u trzech czwartych firm w ciągu ostatnich dwunastu miesięcy doszło do poważnych naruszeń bezpieczeństwa systemów informatycznych. Najczęściej dochodziło do utraty lub wycieku poufnych informacji biznesowych, a także poufnych informacji o partnerach i klientach firmy. Uformował się z tego taki oto ranking najpopularniejszych typów złamania lub naruszenia bezpieczeństwa informatycznego:

39% – dotyczyło poufnych informacji biznesowych

27% – informacji osobistych powierzonych firmie przez klientów

14% – własności intelektualnej, w tym np. kodu źródłowego oprogramowania

10% – osobistych informacji o pracownikach firmy.

W badaniu, stanowiącym wycinek większego projektu poświęconego bezpieczeństwu w wielkich korporacjach, uczestniczyło ponad 160 firm ze Stanów Zjednoczonych. W większości objęte nim były firmy z listy Fortune 1000, ale także instytucje publiczne i firmy nie notowane na giełdzie.

Źródło informacji: CXO

Jak już informowaliśmy, Kevin Mitnick będzie gościem specjalnym organizowanej 14 lutego konferencji „IDC IT Security Roadshow CEE 2005”. Tego samego dnia Onet zaprasza na czat z tym jednym z najbardziej znanych hackerów.

Zapis czatu z Kevinem Mitnickiem z 14 lutego 2005.

Czat z Mitnickiem rozpocznie się o 14.00 w najbliższy poniedziałek na stronach Rozmowy Onetu.

Kevin Mitnick uznany został za hakera wszech czasów, stał się legendą, bohaterem filmów i książek. Mówiły i pisały o nim media na całym świecie. Jako superhakera obawiało się tysiące Amerykanów. Był jedną z najintensywniej poszukiwanych osób w historii FBI.

Mitnick wykradł kilka tysięcy plików z danymi i przynajmniej 20 000 numerów kart kredytowych. Włamał się do komputera Dowództwa Obrony Powietrznej Ameryki Północnej. Wdzierał się do central międzynarodowych korporacji. Miał dostęp do tajemnic handlowych wartych miliony dolarów. Ukradł dane dotyczące najnowszej generacji elektronicznych zabezpieczeń oraz supertajnych narzędzi używanych przez służby bezpieczeństwa. Był w stanie usunąć swoje dane z elektronicznych kartotek policyjnych.

Po aresztowaniu groziła mu kara kilkuset lat pozbawienia wolności, mimo że nigdy nie oskarżono go o czerpanie korzyści finansowych z hakerstwa. Wyrokiem sądu zakazano mu jakiegokolwiek dostępu do komputera. Sąd uzasadnił wyrok: „Uzbrojony w klawiaturę jest groźny dla społeczeństwa”.

Po zwolnieniu Mitnick zupełnie odmienił swoje życie. Stał się najbardziej poszukiwanym ekspertem w Stanach od spraw bezpieczeństwa systemów komputerowych.

Mitnick jest przykładem doskonałego socjotechnika, który dzięki sztuce manipulacji jest w stanie zdobyć niemal każdą informację. W swojej książce (2002) „Sztuka podstępu. Łamałem ludzi, nie hasła” pokazuje jak łatwo jest pokonać bariery w uzyskiwaniu ściśle tajnych informacji, jak łatwo dokonać sabotażu przedsiębiorstwa, urzędu czy jakiejkolwiek innej instytucji. Mitnick robił to setki razy wykorzystując przemyślane techniki wywierania wpływu na ludzi. Złudna jest opinia o bezpieczeństwie danych prywatnych i służbowych, istnieje wiele sposobów, by ominąć systemy warte miliony dolarów. Wystarczy wykorzystać do tego celu ludzi je obsługujących.

Więcej informacji o Mitnicku w dziale hackers.

Zobacz również newsy dot. Kevina Mitnicka

Zapis czatu z Kevinem Mitnickiem z 14 lutego 2005.

Zapis czatu z Kevinem Mitnickiem z 6 marca 2003.

Książki Kevina Mitnicka w polskiej wersji językowej:

Ścigany. Rozmowy z Kevinem Mitnickiem

Sztuka podstępu. Łamałem ludzi, nie hasła

8 marca 2005 roku w Warszawie IT Press organizuje już drugą edycję konferencji, której celem jest przybliżenie menedżerom zagadnień związanych z bezpieczeństwem dokumentów papierowych i elektronicznych, metodami ich składowania i archiwizowania.

Na konferencji uczestnicy będą mieli możliwość poznać odpowiedzi na następujące pytania:

· Jakie są prawne wymagania dotyczące przechowywania dokumentów?
· Jak stworzyć bezpieczne i dostępne archiwum dokumentów?
· Jak efektywnie zarządzać dokumentami i ich bezpieczeństwem?
· Co daje elektroniczne archiwizowanie dokumentów? Czy jest lepsze od archiwizacji dokumentów w postaci papierowej?
· Czy archiwizacja dokumentów wystarczy, czy też wdrażać systemy do backupu odtwarzania danych na wypadek katastrof?

Hacking.pl jest patronem medialnym konferencji.

Więcej informacji na stronach organizatora.

Na zlecenie organizacji rządowych, firma I-Mature, współpracując z RSA Security pracuje nad technologią, która ma umożliwić określanie wieku na podstawie cech biometrycznych.

Podawanie alkoholu osobom w wieku poniżej 18 lat (a w USA nawet poniżej 21 lat) jest przestępstwem. Barmani i właściciele lokali tłumaczą się jednak – zgodnie z prawdą – że młodzież często wygląda bardzo dojrzale, a nie zawsze jest możliwość sprawdzenia wieku, na przykład za pomocą dokumentów (nie ma przecież obowiązku noszenia dowodów osobistych przy sobie).

Jeśli badania się powiodą, w pubach zostaną zamontowane biometryczne zamki, które wpuszcza daną osobę do lokalu dopiero po upewnieniu się, że jest ona w „odpowiednim wieku”.

Przygotowano już prototyp czytnika, na którym osoba musi położyć środkowy palec. Czytnik metoda ultrasonografii bada kilkanaście cech biometrycznych, m.in. zawartość wapna w kościach – na podstawie których można określić wiek.

„Oczywiście te cechy nie zmieniają się drastycznie w dniu osiągnięcia pełnoletności, ale na pewno potrafią odróżnić 14-latka od 18 latka” – mówi Shmuel Levin, założyciel firmy I-Mature.

Dodaje, że kolejnym zastosowaniem tego wynalazku może być przystawka komputerowa umożliwiająca np. logowanie się na erotycznych czatach tylko osobom dorosłym.

Źródło: Interia.pl, RSA Security