Wesołych Świąt

WARTO WIEDZIEĆ

arrow
Po alkoholu zabrania się prowadzenia pojazdów mechanicznych, czyli rowerowa jazda bez trzymanki dla Pentesterów

Jacek Rembikowski, e-QSM Informatyczne Systemy Zarządzania, Poznań 2017 Skazany za prowadzenie, choć nie za jazdę rowerem po spożyciu - ten obrazek jest nam znany, na szczęście tylko z ekranów telewizorów. Problem leżał w słowie "prowadzić" i braku synonimu w pełnym zakresie znaczeń tego słowa:  zamiast "prowadzić" mamy "kierować", ale niestety "pchać" już nie pasuje, podobnie jak nie pasuje "opierać się". Zatem rower okazał się być brzemieniem, zamiast być podporą. A co robiły nasze sądy? Niezależnie od logiki, wydawały wyroki, takie, jakie wydawały, ale w zgodzie z prawem.   Po wielu Wisłach, które ostatecznie przepłynęły z gór do morza prawo się zmieniło i ponoć (bo nie testowałem) rower znowu stał się podporą cywilizacji i już nie wsadzają. Ale nie każda zmiana prawa, oznacza korzyści.   I w tym tkwi sedno, czyli powód powstania tego artykułu, gdyż wiedziony przez gen poznania, napędzany nadczynnością modułu dociekliwości, natrafiłem w sieci na ciekawą dyskusję w temacie Kodeks Karny a życie Pentestera.   (...)   Pobawmy się trochę językiem polskim i odrzućmy zbędne elementy zdania, które wielu z nas nie dotyczą, a mianowicie kwestie produkcji i dystrybucji narzędzi, ale pozostawmy najsmaczniejszą część paragrafu. Co otrzymamy?   "Kto udostępnia innym osobom hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej podlega karze pozbawienia wolności do lat 3." Robi wrażanie, co?   Pełna treść artykułu, czyli co dalej z testami, dostępna jest pod adresem: http://demo.eqsm.com.pl

arrow
Wizja do rewizji…. czyli dylematy podglądacza

Bernadeta Gronowska, e-QSM Informatyczne Systemy Zarządzania, Poznań 2015 Złowrogie Widmo Wielkiego Brata straszy za każdym rogiem coraz bardziej przerażonych wszechobecnym podglądactwem i inwigilacją obywateli… Z kosmosu satelity zdolne namierzyć każdy ruch, zidentyfikować najmniejszy szczegół ubioru, prześledzić trajektorię trasy ogarniętych wyprzedażowym amokiem zakupoholików. Na ulicy dla większej ostrości przejmują podglądactwo kamery miejskie, policyjne, zewnętrzne poszczególnych budynków…. W końcu poinformowany tabliczką na granicy miejscowości obywatel powinien mieć świadomość, że miejscowość monitorowana, że dla bezpieczeństwa, dla ochrony, że z prawdziwej troski to wszystko i dla jego szeroko pojętego dobra… A i uciec przed tą przymusową opieką trudno, bo dobrotliwe oko Wielkiego Brata wyśledzi ile bułek w piekarni, ile bluzek w butiku, ile burgerów w Burger Kingu, ile banknotów w Banku obywatel brał do ręki….   I chociaż w dobie ostatniej terrorystycznej aktywności pewnych grup ekstremistycznych i rosnącego poczucia społecznego zagrożenia, potrzeba istnienia i sprawnego funkcjonowania zamontowanych w wielu miejscach kamer kontrowersji wielkich nie wzbudza, o tyle ich obecność w niektórych miejscach rodzi pytania o cel, o potrzebę; wzbudza nawet pewne podejrzenia…. Bo, jak to możliwe, że duży samolot z 239 pasażerami na pokładzie zaginął bez najmniejszego nawet śladu pomimo radarów, zapisów z satelity, wyposażenia w zaawansowany sprzęt, a jednocześnie na co dzień w przeciętnym obywatelu rośnie wrażenie coraz większej inwigilacji i funkcjonowania w państwie policyjnym, gdzie prywatność i prawo do ochrony tego, czego nie chce podawać do publicznej wiadomości jest pustym sloganem i fikcją, nie mającą nic wspólnego z rzeczywistością.   Powszechna obecność kamer monitoringu na ulicach, skrzyżowaniach, placach, na zewnątrz budynków, wewnątrz instytucji, sklepów, firm, urzędów skłania do refleksji, ale również wzbudza obawy o zapisy z tych urządzeń, o dostęp do nich, o zabezpieczenie, przekazywanie do innych podmiotów… Obawy tym większe, że monitoring stał się tak powszechny i dostępny, że może go stosować właściwie każdy… choćby do ochrony własnego domu.   Zaistniała stąd potrzeba stworzenia uregulowań prawnych, które z jednej strony umożliwią stosowanie monitoringu jako metody zwiększającej bezpieczeństwo i zabezpieczania dowodów dochodzeniowo-procesowych, ale z drugiej strony zapewnią w maksymalnym osiągalnym stopniu ochronę danych, obrazów i informacji zapisywanych i przetwarzanych w ten sposób.   Podstawowym składnikiem technologii rejestracji obrazu jest kamera, która sprowadza obraz najbliższego otoczenia do postaci sygnałów elektrycznych analogowych lub cyfrowych. Przekształcony w ten sposób obraz może być zarówno przekazywany i odtwarzany na monitorach, jak i zapisywany na nośnikach danych. W niektórych przypadkach – oprócz obrazu rejestrowany jest również dźwięk. Różnice w technologiach i organizacji monitoringu mają kluczowe znaczenie z punktu widzenia ochrony i zabezpieczania przetwarzanych danych w postaci obrazu, co również w opracowywanym projekcie Ustawy o monitoringu wizyjnym znalazło swoje odzwierciedlenie (Projekt ustawy o monitoringu wizyjnym z dnia 07.07.2014.).   Szeroko konsultowany i dyskutowany projekt ustawy obejmuje także zagadnienia ochrony danych osobowych, przy czym stanowisko Generalnego Inspektora Ochrony Danych Osobowych zostało przekazane w obszernym dokumencie: Wymagania w zakresie regulacji monitoringu. Oczywiście zauważyć należy, że Ustawa jest w dalszym czasie na etapie uzgodnień międzyresortowych i jej ostateczny kształt poznamy dopiero po opublikowaniu w Dzienniku Ustaw, niemniej jednak wydaje się, że już na obecnym etapie należałoby zwrócić uwagę na pewne aspekty zagadnienia monitoringu wizyjnego stosowanego w Bankach w aspekcie przetwarzania i ochrony danych osobowych.   Pierwszym problematycznym zagadnieniem jest kwestia zakwalifikowania obrazu rejestrowanego przez kamery jako informacji będącej danymi osobowymi. Problematyczna, ponieważ rejestrowany obraz obejmuje zarówno budynki, sprzęty, pojazdy, otoczenie, jak i osoby pojawiające się w polu rejestracji kamery. Ponieważ w myśl Ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań, pojawia się pytanie, czy obraz rejestrowany przez kamery monitoringu zawiera dane osobowe?   Pełna treść artykułu, czyli co dalej z monitoringiegm, dostępna jest pod adresem: http://demo.eqsm.com.pl

arrow
Skrzydełko, czy nóżka…

Jacek Rembikowski, e-QSM Informatyczne Systemy Zarządzania, Poznań 2014   Konieczność radzenia sobie w świecie IT, który w żadnym z kierunków nie jest światem jednoznacznych odpowiedzi, jest naturalnym czynnikiem, zmuszającym nas do poszukiwania najbardziej optymalnych rozwiązań. Ten czynnik leży np. u podstaw odwiecznej wojny Linux’a z Windows’em.   Ale zaczynając od początku…   Potrzeba kontrolowania ruchu w sieci, a w szczególności niewłaściwych zachowań użytkowników zarówno wewnętrznych, jak i zewnętrznych, to jeden z podstawowych wymogów bezpieczeństwa.   Niestety, nie jest prawdą, że włamania mają miejsce jedynie na kierunku: sieć publiczna – sieć wewnętrzna. Także w ramach wewnętrznej sieci i wydzielonych obszarów mogą i mają miejsce nadużycia lub wręcz włamania, które są o tyle mniej przyjemne, że dzieją się na naszym podwórku, do którego chcielibyśmy mieć 100% zaufania. Tych z zewnątrz spodziewamy się w naturalny sposób. Liczymy się ze złodziejem ale nie zakładamy, że okradną nas goście, czy wręcz domownicy. Dlatego systemy wykrywania włamań, powinny być instalowane na stykach sieci, jak i podsieci.   Zacznijmy od przypadku, czyli od sytuacji gdy nie mamy nic lub prawie nic.   Dość oczywista sprawa. Ale co jeżeli na dodatek nie chcemy, nie możemy lub nie stać nas na drogie rozwiązania w pełni komercyjne, oferowane przez znanych z nazwy i opinii na rynku producentów zabezpieczeń?   Możemy skorzystać z rozwiązań klasy Open Source, co do których mamy prawo do ich użycia w trybie: na użytek własny.   Takim rozwiązaniem jest Snort, który posiada szeroki zakres mechanizmów detekcji ataków oraz umożliwia, dokonywanie analizy ruchu i rejestrowanie pakietów przechodzących przez sieci oparte na protokołach IP/TCP/UDP/ICMP. Snort potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, (więcej na ten temat można przeczytać w Wikipedii lub pod adresem http://www.snort.org)   Co mówi licencja?   „Ten program jest wolnym oprogramowaniem; możesz go rozprowadzać dalej i/lub modyfikować na warunkach Powszechnej Licencji Publicznej GNU opublikowanej przez Free Software Foundation;(…). (…) program jest rozpowszechniany w nadziei, że będzie użyteczny, ale BEZ ŻADNEJ GWARANCJI; bez nawet domyślnej gwarancji PRZYDATNOŚCI HANDLOWEJ albo PRZYDATNOŚCI DO OKREŚLONYCH ZASTOSOWAŃ. (…)”;   tyle wolnego tłumaczenia…   Pełna treść artykułu, czyli jak podejść do kwestii wyboru rozwiązania, dostępna jest pod adresem:   http://demo.eqsm.com.pl

arrow
Zasada naczyń połączony, czyli jak testować aby nie zwariować

Jacek Rembikowski, E-QSM Informatyczne Systemy Zarządzania, Poznań 2014   Okazuje się, że niektóre tematy stanowią dość żywy organizm, który co jakiś czas przypomina o swoim istnieniu. Jednym z nich jest np. kwestia testowania oprogramowania, kto i dlaczego powinien się tym zajmować oraz w jakich warunkach powinno się testować oprogramowanie.   Generalnie problem z tym zagadnieniem ma swoje źródło w czymś, co można nazwać procesowym kołem zamachowym, które swój początek bierze w znajomości własnego środowiska (ocena kluczowości i krytyczności elementów składowych), a koniec w ocenie ryzyka. Po drodze nie bez znaczenia pojawia się trzeci składnik układanki, jakim jest proces zarządzania zmianami i/lub rozwój oprogramowania.   „Wprowadzenie nowego systemu informatycznego, jak również znacznej zmiany do już istniejącego systemu, powinno być poprzedzone przeprowadzeniem analizy ryzyka wynikającego z zastosowanych technologii informatycznych oraz dokonaniem oceny wpływu wprowadzanych zmian na środowisko teleinformatyczne i procesy biznesowe banku, ze szczególnym uwzględnieniem aspektów bezpieczeństwa. (…)   Zarówno nowe oprogramowanie, jak i zmiany wprowadzane do już funkcjonujących rozwiązań informatycznych, powinny być testowane adekwatnie do swojej złożoności oraz wpływu na pozostałe elementy środowiska teleinformatycznego banku. Bank powinien posiadać metodologię testowania oprogramowania (...)” tyle Rekomendacja D…   Przeprowadzenie analizy ryzyka z zastosowanych technologii, na pierwszy rzut oka wydaje się być dość proste. Jeżeli jednak rzucimy tym okiem dalej może okazać się, że niekoniecznie. Powodów jest kilka. Jednym z nich jest znajomość danej technologii, jej możliwości i ograniczeń. Drugim jest znajomość (dobra) własnej infrastruktury jej potrzeb i zagrożeń, przed którymi się bronimy.   Najbardziej obrazowym przykładem jest w tym miejscu np. dobór Smart Phone’ów – jeżeli nasza infrastruktura wymaga stosowania antywirusa, to nie możemy dobrać takich urządzeń, dla których systemów nikt nie napisał jeszcze stosownego oprogramowania, bo jest to sprzeczne z zasadami przyjętymi w organizacji PBI. Ale w zakresie sprzętu to w sumie nie jest trudne. Co natomiast z oprogramowaniem?   Tu w pierwszej kolejności pojawiają się na pozór banalne elementy, takie, jak wymagania stricte użytkowe z zakresu: „do czego będę tego używał”. Inne będą wymagania do przetwarzania danych osobowych, inne - do przetwarzania informacji poufnych. Czyli już na początku powinienem umieć określić czy dany element pozwala mi zachować ten zakres bezpieczeństwa, jaki nakłada na mnie prawo i zasady użytkowania.   Kolejna kwestia to technologia – są zwolennicy starych rozwiązań – bo pewne i przetestowane, są miłośnicy nowinek. Są też tacy, co lubią środek. Każdy z nich w określonych warunkach będzie miał rację, ale…   Znam firmę, która nagle postanowiła oszczędzić na drodze obrażenia się na Microsoft i przeszła na Linuksy, także dla użytkowników. Gdyby dokonali analizy ryzyka, to stwierdziliby co następuje:   Nie mam specjalisty od Linuksa i nie wiemy co i jak się potoczy jak nam coś wysiądzie Współpracujemy z zewnętrznymi firmami a OpenOffice;y nie są w 100% kompatybilne z MS Office Itp.;   Z wnioskiem na końcu – czy to nie będzie, że zamienił Stryjek siekierkę na kijek i czy nie wygeneruje to dodatkowego kosztu?   Inny przykład – firmie zaproponowano przejście z oprogramowania instalowanego na dzierżawione. W wyniku oceny działania (stabilności) łącza władze doszły do wniosku, że ryzyko braku dostępu do systemu jest zdecydowanie większe i groźniejsze niż w razie awarii czekanie na serwis.   Każdy z tych elementów pokazuje inny zakres ryzyk i inne spojrzenie wynikające wprost z potrzeb i środowiska, w jakim funkcjonują. Bez tej wiedzy naprawdę trudno o jednoznaczną odpowiedź. Dlatego też należałoby zacząć od rzetelnego opisania zbioru ryzyk i sposobu szacowania (oceniania) nowych lub rozwijanych elementów IT.   Ale co z testowaniem?... Pełna treść artykułu dostępna jest pod adresem: http://demo.eqsm.com.pl  

arrow
Nu pagadi czyli, a nam wsio rawno…

Jacek Rembikowski, Bernadeta Gronowska, e-QSM Informatyczne Systemy Zarządzania, Poznań 2014   Niektórzy z nas pamiętają doskonale bajkę rodem z ZSRR. Inne bajki o podobny charakterze tu nie pasują bo ani Pixi i Dixi, ani Tom i Jerry nie prezentują tak wyrazistych postaci, jak Wilk i Zając. No, ale czasy się zmieniają. Zając, nadal jest Zającem, a Wilk? No cóż, czy ktoś zna zbroczyńcę, który nie doskonaliłby swojego warsztatu? Złodziej to prawie taki sam fach, jak inne - tyle, że prowadzony w opozycji do ogólnie przyjętych w społeczeństwie reguł. Podlega jednak temu samemu prawu, co praca wykonywana przez wszystkich z nas. Oznacza to dokładnie tyle, że również w jego przypadku mamy do czynienia z procesem ciągłego doskonalenia – prawie jak w ISO. Skoro nie mogę się dostać tędy, to spróbuję inną drogą…   Nasz Wilk, czyli haker, też podlega ewolucji. Patrząc wstecz można by powiedzieć: „Kiedyś to byli hakerzy – były jakieś zasady.  Nie to, co teraz!”. Tak naprawdę dawnego hakera można porównać do drobnego złodziejaszka, małego oszusta, a właściwie takiego chochlika, który sam wiele złego nie robił – on bardziej do złego namawiał. Dlaczego? Jeżeli haker złamał kod gry, programu itd., a plik tzw. crack zachował dla siebie, to w 100% moglibyśmy mówić o znikomej szkodliwości czynu. No, ale nasz haker chciał pokazać światu swoje osiągnięcie i taki plik umieszczał w sieci, z domyślnym hasłem: „bierzcie i grajcie na tym wszyscy”. No i klops – jeżeli gra kosztowała 100zł, a 15 tysięcy użytkowników pobrało ów plik i skorzystało z gry bez jej kupowania, to łatwo wyliczyć stratę. I tu pojawia się kłopot. Wielu producentów wychodziło bowiem z założenia, że nie będzie zbyt wiele z tym robić, bo to kosztowne, a poza tym, jeżeli kradną nasz produkt – znaczy, że jest dobry, a my już i tak jesteśmy bogaci. Przecież nie od dziś wiadomo, że gdyby prawa autorskie przestrzegano od samego początku, to Internet by się nie rozwinął. Sam Microsoft nie kwapił się aż nadto do ścigania łamiących klucze systemu Windows, ba - robił programy amnestyjne: zgłoś, że masz wersję piracką, a my tobie krzywdy nie zrobimy itd. Obecnie, dzięki temu, mamy cały przemysł gier, no i blisko 90% „zarażonych” Windowsem, którzy dziś - z uwagi na zmianę polityki - są legalni. I tak - w dużej mierze do rozprzestrzenienia się przyzwyczajeń i upodobań użytkowników do danego środowiska przyczyniła się jego dostępność. Konkludując - paradoksalnie można by powiedzieć: „nie taki Wilk straszny, bo nie ma tego złego…”   Pełna treść artykułu dostępna jest pod adresem: http://demo.eqsm.com.pl