fbpx
Kategorie
Administracja publiczna Android Bezpieczeństwo iOS Publicystyka

Dlaczego MSWiA nie zainstaluje wszystkim swojej aplikacji

Tak więc doczekaliśmy kolejnej próby obowiązkowego instalowania aplikacji rządowej w smartfonach Polaków. A dokładniej – próby osadzenia tej aplikacji w fabrycznie nowych telefonach, zanim jeszcze trafią do rąk użytkowników. W rzadkim przypływie realizmu ustawodawca dodał do projektu ustawy zastrzeżenie „o ile jest to technicznie możliwe”. Niniejszy artykuł objaśnia, dlaczego możliwości techniczne nie zawsze przystają do rzeczywistości geopolitycznej.

Operację „preinstalacji” miałby przeprowadzać „autoryzowany sprzedawca”, terminu tego jednak nie sprecyzowano. Kim miałby on być? Kogo i w jaki sposób może naciskać polski rząd, aby wymusić ową preinstalację? Dlaczego takie zamierzenia są skazane na porażkę? Zapraszam do lektury!

Kategorie
Bezpieczeństwo Recenzja

Recenzja książki „PWNED The collected blog posts of Troy Hunt”

Chyba każdy, kto interesuje się bezpieczeństwem IT, słyszał o serwisie Have I Beed Pwned, prowadzonym przez australijczyka Troya Hunta. HIBP to agregator informacji o wyciekach danych. Każdy posiadacz e-maila lub telefonu może sprawdzić, w którym z kilkuset ujawnionych wycieków pojawił się jego adres albo numer, każdy może też zasubskrybować alerty informujące o udziale w przyszłych incydentach.

Troy Hunt znany jest również jako autor kursów na Pluralsight, mówca konferencyjny, ale przede wszystkim jako autor poczytnego bloga troyhunt.com, poświęconego tematyce bezpieczeństwa w internecie. To właśnie ów blog stał się osią książki „PWNED The collected blog posts of Troy Hunt”. Czy warto po nią sięgnąć?

Kategorie
Bezpieczeństwo Porady

Czy korzystanie z publicznego Wi-Fi jest bezpieczne?

Hotel, pub, biblioteka, lotnisko, pociąg, centrum miasta – we wszystkich tych miejscach możemy trafić na darmowy, bezprzewodowy dostęp do internetu. Czy skorzystanie z takiej usługi będzie bezpieczne? Czy ktoś nie włamie się nam na konto w banku, do Facebooka, na maila? Czy nie wykradnie z telefonu zdjęć albo SMS-ów?

Na takie pytania specjaliści zwykli odpowiadać „to zależy”, ale tym razem będzie inaczej. W niniejszym tekście postaram się objaśnić, dlaczego kilkanaście lat temu odpowiedź brzmiała „to spore zagrożenie” a dziś brzmi „nie ma się czego obawiać”. Wskażę też dwie sytuacje, w których należy mieć się na baczności.

Kategorie
Publicystyka Zrób to sam

Po 29 latach napisałem program na Commodore 64 [aktualizacja]

Pierwszy komputer PC dostałem od rodziców w roku 1993. Z dnia na dzień porzuciłem wówczas wiernego Commodore 64 ze stacją dysków Oceanic OC-118N. Nagły atak nostalgii sprawił jednak, że po 29 latach wróciłem do tego 8-bitowca, by po raz ostatni napisać coś na tę platformę.

Pomysł na aplikację był prosty – chciałem stworzyć coś, co nie mogłoby powstać w roku 1993. Coś, czego wtedy nie dałoby się nawet wymyślić! Słowem – stworzyłem na C64 program, który korzysta z API dostępnego przez protokół HTTP (specyfikacja HTTP 1.0 została zatwierdzona dopiero w roku 1996). Oto efekt kilku tygodni pracy z retro-sprzętem, na którym kurz osiadał przez dziesięciolecia.

Kategorie
Kopie bezpieczeństwa Publicystyka

Lekarzu, ulecz się sam czyli moje backupy nie działały

Do pisania tego tekstu siadam czerwony ze wstydu. Musiałem trochę powalczyć sam ze sobą, by napisać to publicznie: w ciągu minionych trzech miesięcy nie powstał ani jeden kompletny backup bloga Informatyk Zakładowy. Wstyd jest o tyle większy, że przecież rok temu opublikowałem trzyczęściowy cykl artykułów poświęconych tworzeniu kopii bezpieczeństwa (że o darmowym e-booku nie wspomnę), więc sam powinienem mieć wszystko zapięte na ostatni guzik, prawda? Aha…

W niniejszym tekście opisuję awarię mechanizmu tworzącego codzienny backup bloga oraz przyczyny, dla których nie dostrzegłem jej przez wiele miesięcy. Aby rozwiać wątpliwości – nie utraciłem danych. Wszystko wyszło na jaw, gdy wziąłem się za zupełnie inny temat. Planowałem opisać, ile czasu zajmie mi odtworzenie bloga od zera z wczorajszej kopii zapasowej. Zalogowałem się więc do AWS, by ją pobrać i wtedy…

Kategorie
Artykuł sponsorowany Bezpieczeństwo

Szkolenie Sekuraka „Co każdy powinien wiedzieć o atakach socjotechnicznych / phishingu?”

Już w najbliższy czwartek, 15 kwietnia 2021, odbędzie się sekurakowe szkolenie „Co każdy powinien wiedzieć o atakach socjotechnicznych / phishingu?”. Naprawdę warto poświęcić czas i pieniądze, aby nie mówiono o nas kiedyś „mądry Polak po szkodzie” – tym bardziej, że prawdopodobnie będzie to jedyna edycja tego szkolenia.

Szkolenie będzie poprowadzone przez Dorotę Kulas. Dorota pracuje od 10 lat w Red Teamie globalnej korporacji, gdzie zajmuje się kwestiami inżynierii społecznej, symulując ataki w cyberprzestrzeni przeciwko bardzo kompetentnemu Blue Teamowi. To ceniona w branży specjalistka, posiadająca certyfikat Social Engineering Pentesting Professional, organizatorka x33fcon.

Kategorie
Android Bezpieczeństwo iOS Komunikatory

Aplikacja mobilna nie wie, czy telefon jest zhackowany

Poufność komunikacji prowadzonej przy użyciu popularnych komunikatorów mobilnych jest przedmiotem wielu badań i analiz. Omawiane i implementowane są takie koncepcje, jak „forward secrecy” („utajnianie z wyprzedzeniem”), „plausible deniability” („wiarygodna wykręcalność”?), wiele uwagi poświęca się też poprawności implementacji protokołów szyfrowania. Modelowanie zagrożeń pozwala ocenić, czy dane i metadane zbierane przez dostawców usług stanowią rzeczywiste lub potencjalne zagrożenie.

Żaden z najbardziej znanych komunikatorów, jak Signal, Whatsapp, Messenger czy Telegram, nie oferuje jednak funkcji nadzorowania bezpieczeństwa telefonu. Powód jest prosty – apka na komórce nie ma możliwości wiarygodnego sprawdzenia integralności systemu operacyjnego. Pokażemy, że złośliwe oprogramowanie działające z uprawnieniami superużytkownika może skutecznie ukrywać swoją obecność przed „zwykłymi” (pobranymi ze sklepu) aplikacjami uruchamianymi na zainfekowanym urządzeniu.

Kategorie
Bezpieczeństwo Zrób to sam

Kanarek czyli system późnego ostrzegania

Kanarek, Serinus canaria, gatunek małego ptaka z rodziny łuszczakowatych. W XIX i XX wieku używany w kopalniach do wykrywania toksycznych gazów ścielących się przy podłodze (dwutlenek węgla) lub gromadzących pod sufitem (metan, tlenek węgla). Gdy kanarek zachowywał się nietypowo lub tracił przytomność, było to sygnałem dla górników, że bieżące warunki zagrażają życiu i należy opuścić niebezpieczny obszar.

Kanarek (ang. canary token) jako pojęcie z obszaru bezpieczeństwa IT – nazwa systemu późnego ostrzegania, który informuje o przełamaniu zabezpieczeń i nieautoryzowanym dostępie do zasobów. Zasada działania jest prosta – pośród chronionych danych umieszczamy zasób, którego otworzenie wywoła cichy alarm. Na przeciwdziałanie jest już za późno, ale dzięki wiedzy o włamaniu i przejęciu danych możemy wdrożyć procedury awaryjne i przeciwdziałać skutkom nieautoryzowanego ujawnienia informacji.

Kategorie
Publicystyka

Polemika ze sprostowaniem

Polemika redakcji „Informatyka Zakładowego“ ze sprostowaniem otrzymanym od spółki V440 SA.

Kategorie
Bezpieczeństwo Zrób to sam

Zagnieżdżamy wolumeny VeraCrypta

Skoro VeraCrypt pozwala na bezpieczne przechowywanie danych w szyfrowanych wolumenach, to umieszczenie wewnątrz jeszcze jednego szyfrowanego wolumenu podwoi bezpieczeństwo, prawda? Będzie tak samo, jak gdyby jeden sejf zamknąć w drugim, nie?

Na to pytanie odpowiem na końcu tekstu, tymczasem zaś przyjrzymy się wydajności takiego rozwiązania – przy zagnieżdżeniu dwu-, trój-, aż do sześciopoziomowego. Startujemy z szybkim dyskiem SSD Samsung 970 EVO i sprawdzamy, kiedy wydajność zapisu i odczytu spadnie do poziomu zwykłego dysku talerzowego.