Jak nie dać się okraść w sieci (3 kroki)

Screenshot from Micro Live Hacking Incident [BBC2, 02/10/83]

Ostat­nio wycie­kły dane klien­tów firmy Netia S.A., udo­stęp­niono ich adresy email, numery tele­fo­nów, czę­sto rów­nież adresy zamiesz­ka­nia. Wcze­śniej, na gwiazdkę 2011 roku wycie­kły dane klien­tów pry­wat­nej agen­cji wywiadu Strat­for. Wów­czas udo­stęp­niono dane kart kre­dy­to­wych i wszystko co potrzebne by zro­bić ostat­nie przed­świą­teczne zakupy na czyjś koszt. Nie­za­leż­nie od tego czy chcemy chro­nić nasze pie­nią­dze czy pry­wat­ność zasady postę­po­wa­nia w sieci są pra­wie takie same.

('126420946', 'home', '2016-07-02 12:58:19', '2016-07-02 13:26:02', '1', '0', '1', '201', 'Internet 1 Mb/s', 'Internet', 'Nie zweryfikowano', '0', '0', '0', '', '', '', '', '', '0', '', '', '', '0', '', '', '', '0', '', '', '', '', '', '', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', 'ahewka@plon.pl', '797720764', '1', '0', '0', '0', '1', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', '', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki', '7FF10N70AMS4', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0', '0.00', '0.00', '', '', '', '', '', '', '0', ''),
('763456785', 'home', '2015-10-18 11:31:08', '2015-10-18 12:01:01', '1', '0', '1', '210', 'Szybki Internet Max + Telefon Wieczory i Weekendy VAS - Rezygnacja', 'Promocje', 'Nie zweryfikowano', '0', '0', '0', '', 'henryk', 'Okonor', '', '', '0', '', '', '', '0', 'Warszawa', '', 'Klasyczna', '0', '5/42a', '', '01-524', 'Warszawa', '22', '212421122', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', '7ywoda@klip.pl', '652331128', '0', '0', '0', '1', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', 'a:6:{i:375;s:3:\"389\";i:305;s:3:\"306\";i:46;s:2:\"46\";i:232;i:-1;i:249;s:3:\"249\";i:254;s:3:\"254\";}', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki', '7YUE19EDNA40', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0', '0.00', '0.00', '', '', '', '', '', '', '0', ''),
('642071494', 'home', '2011-09-10 12:30:04', '2011-09-10 13:30:52', '1', '0', '0', '208', 'Internet do 100 Mb/s', 'Internet', 'Nie zweryfikowano', '0', '133', '0', '', ' - bez szczegółów', 'Poczekam', '', '', '0', '', '', '', '0', '', '', '', '0', '', '', '', '', '', '', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', 'olenia@o2.pl', '6772231126', '1', '0', '0', '0', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', 'a:5:{i:305;s:3:\"306\";i:46;s:2:\"46\";i:48;s:2:\"48\";i:232;s:3:\"232\";i:249;s:3:\"249\";}', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki Twoje zapytanie', 'L993999C0999', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0',

To tylko przy­kład ogrom­nej ilo­ści pry­wat­nych infor­ma­cji jakie udo­stęp­niono w ramach ataku na Netię (dane zostały oczy­wi­ście zmie­nione).

1. Nie poda­waj swo­ich danych byle gdzie

Adres zamiesz­ka­nia, numer tele­fonu poda­jemy tylko wtedy kiedy naprawdę musimy i ufamy danej fir­mie. Podob­nie z adre­sem email, zgod­nie z ustawą o ochro­nie danych oso­bo­wych powin­ni­śmy chro­nić go tak samo jak nasz adres zamiesz­ka­nia. NIGDY NIE PODA­JEMY ŻAD­NYCH HASEŁ, pod żad­nym pozo­rem.

2. Zacho­waj zimną krew i czuj­ność czy­ta­jąc pocztę

Nie­za­leż­nie od tego jak nagląca i pilna może wyda­wać się wia­do­mość, którą wła­śnie otrzy­ma­li­śmy. Czy jest to infor­ma­cja o zablo­ko­wa­niu dostępu do naszego konta w BZ WBK, czy wezwa­nie do aktu­ali­za­cji danych oso­bo­wych. Podob­nie z super ofer­tami przy­go­to­wa­nymi spe­cjal­nie dla nas w for­mie pli­ków PDFDOC. Warto zadać sobie kilka pytań spraw­dza­ją­cych:

  • Czy jestem klien­tem tej firmy?
  • Czy poda­wa­łem im wła­śnie ten numer tele­fonu albo adres email do kon­taktu?
  • Czy jestem zain­te­re­so­wany jaką­kol­wiek ofertą od tej firmy?
  • Czy adres email, z któ­rego przy­szła wia­do­mość rze­czy­wi­ście należy do firmy za którą się podaje? 

W razie jakich­kol­wiek wąt­pli­wo­ści zawsze kon­tak­tu­jemy się z info­li­nią firmy.

3. Nie otwie­ramy pli­ków pocho­dzą­cych z nie­zna­nego źró­dła

Jeden spre­pa­ro­wany doku­ment PDF lub DOC, albo dobrze przy­go­to­wany skró­cony odno­śnik” (na przy­kład https://​tiny​url​.com/​y​dtcvhp) może dopro­wa­dzić do infek­cji naszego kom­pu­tera lub konta na face­bo­oku (por. Nie buty, tylko wirusy. Roz­dają wirusy na fej­sie.). Według dotych­cza­so­wych infor­ma­cji dokład­nie w taki spo­sób padła Netia S.A., spre­pa­ro­wany załącz­nik DOC został otwarty na kom­pu­te­rze pra­cow­nika z odpo­wied­nimi dostę­pami.

4. Do każ­dej usługi sto­suj inne hasło

To jest krok, który jest znacz­nie cięż­szy do wpro­wa­dze­nia w naszym codzien­nym korzy­sta­niu z sieci. Nie jest jed­nak tak źle jak mogłoby się wyda­wać, jeśli sko­rzy­stamy z jed­nej z tych dwóch metod:

  • KeePassX to opro­gra­mo­wa­nie, które pozwala nie tylko na gene­ro­wa­nie bez­piecz­nych haseł, ale rów­nież na prze­cho­wy­wa­nie ich w dosko­nale zaszy­fro­wa­nej bazie, do któ­rej możemy uzy­skać dostęp nie tylko z kom­pu­tera ale rów­nież z naszego smart­fona.
  • Nie­peł­nym zastęp­stwem, ale świet­nym uzu­peł­nie­niem dla usług, do któ­rych hasła po pro­stu musimy pamię­tać jest stwo­rze­nie kilku stref bez­pie­czeń­stwa i przy­pi­sa­nie dla nich bez­piecz­nych, haseł, które zapa­mię­tu­jemy i odpo­wied­nio sto­su­jemy. W razie wycieku podob­nego, do tego który przy­da­rzył się Google z usługą Gmail możemy być pewni, że naj­waż­niej­sze usługi, z któ­rych korzy­stamy pozo­staną zabez­pie­czone, bo dla zacho­wa­nia bez­pie­czeń­stwa wystar­czy nam zmiana hasła w gar­stce usług. Pierw­szym kro­kiem jest przy­go­to­wa­nie kilku bez­piecz­nych haseł, następ­nie przy­dzie­lamy je do grup usług takich jak ban­ko­wość elek­tro­niczna”, poczta”, media spo­łecz­no­ściowe” i tym podobne. 

5. Uży­waj bez­piecz­nych haseł

Spo­koj­nie. Bez­pieczne hasła to nie tylko nie­moż­liwe do zapa­mię­ta­nia ciągi zna­ków i cyfr pokroju:

 ^/mY;sCC+q&D-:9}B4G7AJV56kUt,@?[d+u

Znacz­nie bez­piecz­niej­sze przy­kłady to:

  • Sle­dzW­Bi­tej­Smie­ta­nie
  • Tru­skaw­ka­Okra­szo­na­Slu­chaw­ka­mi15
  • MojMonitorToLG543!@

Podane przy­kłady są znacz­nie łatwiej­sze do zapa­mię­ta­nia. Jakie są główne zasady przy­go­to­wa­nia takiego hasła? Sta­ramy się by nie były to hasła słow­ni­kowe, to zna­czy takie, które wystę­pują po sobie na przy­kład w przy­sło­wiach. Zle­pie­nie ze sobą kilku słów z naszego oto­cze­nia pozwoli nam nie tylko na stwo­rze­nie bez­piecz­nego hasła, ale też uła­twi przy­po­mnie­nie go sobie, gdy pono­wie się w nim znaj­dziemy.

Wyszło aż 5, ale już pierw­sze 3 kroki wpro­wa­dzone w życie bar­dzo popra­wią nasze bez­pie­czeń­stwo. Nie­stety musimy być przy­go­to­wani na to, że to socjo­tech­nika, a nie poja­wia­jące się co raz to nowe zagro­że­nia sta­no­wią naj­więk­sze nie­bez­pie­czeń­stwo. Jak­kol­wiek wymyślne nie byłyby wirusy, to naj­czę­ściej wpusz­czamy je do naszych urzą­dzeń sami. Tylko i wyłącz­nie wyszko­le­nie w sobie takiego fil­tra przy­cho­dzą­cych do nas infor­ma­cji możne nas obro­nić przed tra­gicz­nymi w skut­kach wycie­kami pry­wat­nych infor­ma­cji, a w naj­gor­szym przy­padku kra­dzieży gotówki.

Więcej

Nie buty, tylko wirusy. Roz­dają wirusy na fej­sie.

Screenshot 2016-06-14 14:28:28

Jeśli widzi­cie jakiś link w ser­wi­sie face­book, ale nie zna­cie domeny naj­le­piej nie kli­kaj­cie na niego wcale. Jeśli jed­nak chce­cie zoba­czyć co się pod nim kryje, korzy­stamy z opcji otwórz w try­bie inco­gnito”. Mają go Fire­fox i Chrome.
W prze­ciw­nym wypadku nara­ża­cie się na kilka prze­kie­ro­wań i prze­ję­cie konta na face­bo­oku. W Waszym imie­niu będą roz­sy­łane zapro­sze­nia do grupy z fał­szy­wym lin­kiem oraz zamiesz­czane komen­ta­rze.

Jeśli już to masz:
– w usta­wie­niach swo­jego pro­filu cof­nij auto­ry­za­cję wszel­kich apli­ka­cji,
– wylo­guj wszel­kie aktywne sesje,
– zmień hasło,
– zba­daj swój sys­tem opro­gra­mo­wa­niem adwc­le­aner.
Powinno pomóc.

PS Jak wspo­mniał Alek­san­der dobrym roz­wią­za­niem jest też sto­so­wa­nie wty­czek takich jak NoScript, Pri­va­cy­Bad­ger albo zwy­kły Adblock (lub przy­jem­niej­szy uBlock).

Więcej

Dźwięki natury: kar­mie­nie małych pta­ków

DSC_0221

Zna­leź­li­śmy gniazdo małych siko­rek (Parus major) zlo­ka­li­zo­wane w środku jabłonki sto­ją­cej przed naszym domem na wsi. Miej­sce czę­sto uczęsz­czane, ale za to chro­nione przed kotami. Za pomocą mojego Zooma h2n udało mi się nagrać porę kar­mie­nia. Może­cie usły­szeć nie tylko pisz­czące małe (które hała­so­wały tak cały dzień), ale rów­nież wla­tu­ją­cych i wyla­tu­ją­cych regu­lar­nie z dziu­pli rodzi­ców.

Nagra­nie udo­stęp­ni­łem na licen­cji Cre­ative Com­mons Uzna­nie autor­stwa-Uży­cie nie­ko­mer­cyjne-Na tych samych warun­kach 3.0 w ser­wi­sach SoundC­loudArchive​.org. Może­cie je mik­so­wać i wyko­rzy­sty­wać w swo­ich wła­snych pra­cach.

fot. Marek Kar­pezo

Więcej

Moja książka o Word­Press już w kio­skach

Zajawka-KSB_2016_2-wersja2

4 maja w kio­skach zna­la­zła się moja ksią­żla zaty­tu­ło­wana​„Word­Press – od insta­la­cji do roz­bu­do­wa­nego ser­wisu WWW”. Znaj­dziesz tam zbiór porad i tri­ków, które wyko­rzy­stuję na co dzień w swo­jej pracy:

  • wybrać wła­ściwy motyw i wtyczkę;
  • dobrze zabez­pie­czyć swoją stronę;
  • wyko­nać porządną kopię zapa­sową;
  • zarzą­dzać SEO;
  • uru­cho­mić pro­fe­sjo­nalny new­slet­ter;
  • zadbać o wyświe­tla­nie na urzą­dze­niach mobil­nych;
  • opty­ma­li­zo­wać ser­wis

… i wiele innych.

Do kupie­nia w kio­skach oraz na stro­nach Kom­pu­ter Świat zarówno w wer­sji papie­ro­wej, jak i elek­tro­nicz­nej.

Więcej

Na Wigi­lię roku 2015

Świąt spo­koj­nych i rado­snych, bo w rodzi­nie jest narodu siła. Zdala od akwa­riów i ostrych, rybich prób podzia­łów. Bo czy podob­nie, czy ina­czej myśląc, razem wciąż żyjemy.
To w zróż­ni­co­wa­niu tym od zawsze naszą moc znaj­dziemy. Pre­zent szczery i życze­nia niech brat z sio­strą, matką, ojcem swym wymie­nia. A gdy naza­jutrz znów obu­dzisz się, pomyśl, słońce, dzień dziś dłuż­szy jest. 

Życzy
Mar­cin

Więcej

Migra­cja z ZSH do BASH

Ostat­nio posta­no­wi­łem wró­cić do basha, w związku z tym sta­ną­łem przed pro­blem migra­cji histo­rii. Oka­zał się on tro­chę cięż­szy ze względu na dokła­dane przez zsh pre­fiksy do komend, np.:

: 2145123543:0;git push origin master

Ciąg cyfr przy­pad­kowy, cho­dzi o poka­za­nie wzorca. Nie wiem do końca czy robi tak każda kon­fi­gu­ra­cja zsh. Ja aku­rat korzy­sta­łem z oh-my-zsh. By się go pozbyć i mieć swoją histo­rię w bashu pole­cam nastę­pu­jącą komendę:

cat ~/.zsh_history | sed 's/\:...........\:.\;//g' > ~/.bash_history

Usuwa ona pre­fix i po prze­ła­do­wa­niu basha mamy dostęp do naszej histo­rii. Dodat­ko­wym uła­twie­niem, które lubię sto­so­wać w swoim korzy­sta­niu z kon­soli jest dopeł­nia­nie komendy na pod­sta­wie histo­rii, na dowol­nym eta­pie jej budo­wa­nia za pomocą kla­wi­szy strza­łek „↑” i „↓”. Roz­wią­za­nie to znaj­dzie­cie w moim repo­zy­to­rium z pli­kami kon­fi­gu­ra­cyj­nymi, w pliku .initrc, który należy umie­ścić w kata­logu domo­wym.

Więcej

Komu­ni­kat o zmia­nie klu­cza GPG

Data: 8 paź­dzier­nika 2015

(Możesz rów­nież pobrać poniż­szy komu­ni­kat pod­pi­sany oboma klu­czami)

Z wielu powo­dów stwo­rzy­łem ostat­nio nowy klucz OpenPGP, któ­rego od teraz będę uży­wał, porzu­ca­jąc klucz stary.

Stary klucz będzie nadal ważny przez jakiś czas, ale wolał­bym, by wszelka przy­szła kore­spon­den­cja korzy­stała już z nowego klu­cza. Chciał­bym też, by nowy klucz został zin­te­gro­wany do sieci zaufa­nia. Niniej­sza wia­do­mość pod­pi­sana jest oboma klu­czami, by ją uwia­ry­god­nić.

Stary klucz to:

pub   2048R/DBAB60F2 2012-09-08
      Key fingerprint = 99A7 D000 D012 7BD7 F497  BC51 C277 D526 DBAB 60F2

Nowy klucz to:

pub   4096R/3F332AEF 2015-10-08 [wygasa: 2017-10-07]
      Key fingerprint = 39FB 5452 5236 AB4E 886E  BA75 CE97 A663 3F33 2AEF

By pobrać cały klucz z publicz­nego ser­wera klu­czy, możesz zwy­czaj­nie:

gpg --keyserver pgp.mit.edu --recv-key 3F332AEF

Jeśli zaś masz już mój stary klucz, możesz upew­nić się, że nowy klucz jest pod­pi­sany klu­czem sta­rym:

gpg --check-sigs 3F332AEF

Jeśli nie masz mojego mojego sta­rego klu­cza, lub chcesz się dodat­kowo upew­nić, że wszystko gra, możesz porów­nać odci­ski palca klu­czy:

gpg --fingerprint 3F332AEF

Gdy jesteś usa­tys­fak­cjo­no­wany i pewny, że masz wła­ściwy klucz, i że UIDy klu­czy zga­dzają się z ocze­ki­wa­nymi, był­bym zobo­wią­zany za pod­pi­sa­nie mojego nowego klu­cza. Można to zro­bić za pomocą komendy:

**
UWAGA: jeśli mój klucz jest już przez Cie­bie pod­pi­sany, ale wyłącz­nie lokal­nie (lsign), użyj komendy —lsign-key zamiast tego, co poni­żej, i nie wysy­łaj pod­pi­sów na ser­wer klu­czy
**

gpg --sign-key 3F332AEF

Chciał­bym w miarę moż­li­wo­ści otrzy­mać Twoje pod­pisy mojego klu­cza. Możesz mi je wysłać mailem, jeśli masz dzia­ła­jące MTA na swoim sys­te­mie):

gpg --armor --export 3F332AEF | mail -s 'Podpisy OpenPGP' marcin@karpezo.pl

Przy oka­zji — mocno suge­ruję wdro­że­nie mecha­ni­zmu auto­ma­tycz­nego odświe­ża­nia klu­czy w celu otrzy­my­wa­nia na bie­żąco rewo­ka­cji i innych aktu­ali­za­cji sta­nów klu­czy. Można do tego użyć par­ci­mo­nie — daemona, który powoli, w tle, odświeża klu­cze z ser­we­rów klu­czy przez Tora. Używa loso­wego czasu przerw pomię­dzy kolej­nymi akcjami, i oddziel­nych tras w sieci Tor dla każ­dego z klu­czy. Ozna­cza to, że ciężko byłoby komu­kol­wiek sko­re­lo­wać aktu­ali­za­cje klu­czy z Twoim zesta­wem klu­czy.

Gorąco też zachę­cam do zapo­zna­nia się z naj­lep­szymi prak­ty­kami doty­czą­cymi GPG, zebra­nymi przez RiseUp; stam­tąd bez­czel­nie ukra­dłem więk­szość angiel­skiego tek­stu niniej­szej wia­do­mo­ści. 😉

https://​help​.riseup​.net/​e​n​/​s​e​c​u​r​i​t​y​/​m​e​s​s​a​g​e​-​s​e​c​u​r​i​t​y​/​o​p​e​n​p​g​p​/​b​e​s​t​-​p​r​a​ctices

Jeśli poja­wią się jakieś pyta­nia bądź pro­blemy, pro­szę o sygnał i prze­pra­szam za zamie­sza­nie.

P.S. – ogromne dzięki dla ryśka, za wyko­na­nie pol­skiej wer­sji tego tek­stu i jego publi­ka­cję na CC BY-SA.

Więcej

Tani, wła­sny i wygodny VPN

maxresdefault

tl;dr

Zbiór infor­ma­cji o spo­so­bie na uru­cho­mie­nie wła­snej VPN z wyko­rzy­sta­niem taniego ser­wera VPS (już od kilku zł mie­sięcz­nie) oraz inte­gra­cji z Network­Ma­na­ger w sys­te­mie Linux, a także tele­fo­nami pod kon­trolą Andro­ida.

Co to?

VPS – wir­tu­alny ser­wer. Z punktu widze­nia użyt­kow­nika zacho­wuje się jak zwy­kła maszyna, z reguły jest na niej uru­cho­miony. Z tego względu jest sporo tań­szym roz­wią­za­niem. Wir­tu­ali­za­cja nie­sie ze sobą tro­chę ogra­ni­czeń, np. czę­sty brak dostępu do inter­fej­sów kryp­to­gra­ficz­nych hosta, jed­nak z pomocą poniż­szego tuto­riala uzy­skamy pożą­dany efekt. 

Więcej