2 czerwca 2017 – Bezpieczne aplikacje internetowe to nie tylko kod

W natłoku ostatnich doniesień o atakach i co raz ciekawszych metodach phishingu postanowiłem zmierzyć się z nowym tematem i podyskutować o tym gdzie rzeczywiście znajdują się błędy, które są potem wykorzystywane wobec użytkowników.

Podczas prezentacji na Linu.X-lab przedstawię proces projektowania naszych aplikacji (UI/UX/inżynieria oprogramowania/deployment), w kontekście powszechnie zaniedbanego bezpieczeństwa zarówno naszej infrastruktury jak i użytkowników. Po prezentacji rozpocznie się dyskusja podczas, której podzielimy się naszymi opiniami, doświadczeniami i wiedzą, którą wykorzystujemy na co dzień w naszej pracy i projektach.

Zapraszam!
Wydział Elektroniki i Technik Informacyjnych, ul. Nowowiejska 15/19, sala 139 (pierwsze piętro)
data: 2.06.2017
start: 16:15 (prezentacja nie wcześniej niż o 18:00)
koniec: 21:00
Strona wydarzenia: https://linuxlab.pw/2017/05/czerwiec-2017.html

Więcej

21 września 2016 – Szkolenie z cyberbezpieczeństwa dla KPH

Szkolenie z cyberbezpieczeństwa dla pracowników ogólnopolskiej organizacji pożytku publicznego Kampania Przeciw Homofobii.

PROGRAM ZAJĘĆ WARSZTATOWYCH Z CYBERBEZPIECZEŃSTWA

Prowadzący: Marcin Karpezo
Czas trwania: 3 x 60min

I. SOCJOTECHNIKA

  • Czym jest socjotechnika. Formy, które spotykamy na co dzień;
  • Jak ją rozpoznać, zestaw pytań kontrolnych, schemat postępowania;
  • Czego możemy się spodziewać w przypadku wycieku naszych danych;
  • Sposoby reagowania w przypadku wycieku danych lub udanego ataku phishingowego/doxxingu;
  • Bezpieczne hasła, sposoby przechowywania.

II. BEZPIECZNA KOMUNIKACJA

  • Na czym polega szyfrowanie komunikacji;
  • GPG (praktyczne zastosowania, wskazanie narzędzi);
  • Minimalne bezpieczeństwo komunikacji pocztą elektroniczną;
  • Kiedy stosować szyfrowaną komunikację, a kiedy nie;
  • Alternatywne usługi oferujące bezpieczną i przystępną komunikację;
  • Bezpieczna komunikacja na urządzeniach mobilnych.

Po tej sekcji użytkownik wie kiedy i jak stosować bezpieczną komunikację.

III. BEZPIECZEŃSTWO NASZEGO KOMPUTERA

  • Korzystanie z cudzego WiFi;
  • Jak postępować z sieciami otwartymi;
  • VPN (propozycje darmowych usług lub własny VPN za kilkanaście złotych miesięcznie);
  • TOR (bezpieczne przeglądanie sieci w niebezpiecznych miejscach);
  • Przechowywanie zaszyfrowanych danych;
  • HTTPS, korzystanie, sprawdzanie certyfikatów;
  • Uruchamiamy własny hotspot;
  • Skanowanie antywirusowe, kiedy antywirus i jak go stosować;
  • Sposoby postępowania w przypadku infekcji urządzenia;
  • Postępowanie z cudzym pendrive;
  • Zabezpieczamy nasze korzystanie z przeglądarek internetowych.

Uczestnicy poradzą sobie nie tylko z zabezpieczeniem swoich urządzeń, ale również z usuwaniem szkód związanych z ewentualną infekcją.

Strona organizacji: http://kph.org.pl/

Więcej

13 sierpnia 2016 – Szkolenie z cyberbezpieczeństwa dla Emisariuszy Bezpiecznego Internetu

Szkolenie trenerskie Emisariuszy Bezpiecznego Internetu przygotowujące do prowadzenia zajęć w szkołach w ramach projektu “Cybernauci” prowadzonego przez Fundację Nowoczesna Polska.

PROGRAM ZAJĘĆ WARSZTATOWYCH Z CYBERBEZPIECZEŃSTWA

Prowadzący: Marcin Karpezo
Czas trwania: 3 x 60min

I. SOCJOTECHNIKA

  1. Czym jest socjotechnika. Formy, które spotykamy na co dzień;
  2. Jak ją rozpoznać, zestaw pytań kontrolnych, schemat postępowania;
  3. Czego możemy się spodziewać w przypadku wycieku naszych danych;
  4. Sposoby reagowania w przypadku wycieku danych lub udanego ataku phishingowego/doxxingu;
  5. Bezpieczne hasła, sposoby przechowywania.

Sekcja oparta o konkretne przykłady wycieków i socjotechnik.

II. BEZPIECZNA KOMUNIKACJA

  1. Na czym polega szyfrowanie komunikacji;
  2. GPG (konfigurujemy w thunderbird na wielu systemach);
  3. OTR (zakładamy darmowe konto XMPP i konfigurujemy do szyfrowanych rozmów);
  4. Kiedy stosować szyfrowaną komunikację, a kiedy nie;
  5. Alternatywne usługi oferujące bezpieczną i przystępną komunikację;
  6. Bezpieczna komunikacja na urządzeniach mobilnych.

Po tej sekcji użytkownik wie kiedy i jak stosować bezpieczną komunikację.

  • Key signing party – wspólnie utworzyliśmy klucze, czas je podpisać i stworzyć naszą pierwszą sieć zaufania.

III. BEZPIECZEŃSTWO NASZEGO KOMPUTERA

  1. Korzystanie z cudzego WiFi;
  2. Jak postępować z sieciami otwartymi;
  3. VPN (propozycje darmowych usług lub własny VPN za kilkanaście złotych miesięcznie);
  4. TOR (bezpieczne przeglądanie sieci w niebezpiecznych miejscach);
  5. HTTPS, korzystanie, sprawdzanie certyfikatów;
  6. Uruchamiamy własny hotspot;
  7. Skanowanie antywirusowe;
  8. Sposoby postępowania w przypadku infekcji urządzenia;
  9. Postępowanie z cudzym pendrive;
  10. Maskowanie swojej obecności w sieci, co zrobić żeby się za bardzo nie wyróżniać.

Uczestnicy poradzą sobie nie tylko z zabezpieczeniem swoich urządzeń, ale również z usuwaniem szkód związanych z ewentualną infekcją.

Projekt “Cybernauci” finansowany jest ze środków MEN.
Strona projektu: cybernauci.edu.pl

Więcej

8 sierpnia 2016 – Kompleksowy warsztat z cyberbezpieczeństwa dla NGO

Już w poniedziałek 8 sierpnia wspólnie z Dr Ewą Infeld, Pawłem Chojnackim i cześkiem hakerem poprowadzimy bardzo wymagające warsztaty z bezpiecznego prowadzenia działalności organizacji pozarządowych w dobie wszechobecnego internetu i technologii.

  • Wektory zagrożeń;
  • Hasła i dostępy;
  • Doxxing, phishing, socjotechniki i BHP internauty;
  • Przeglądarki;
  • Systemy i antywirusy;
  • Przechowywanie danych;
  • Szyfrowanie dysków i dostęp do danych;
  • Komunikatory;
  • Emaile;
  • Bezpieczne prowadzenie stron internetowych (zabezpieczanie WordPress);
  • VPNy i TOR;

Miejsce: Menora
Wstęp: po uprzednim zgłoszeniu się do organizatorów, polityka safe space
Czas: 8 sierpnia 2016, 18:00

Fot: CC BY-NC Brian Klug

Więcej

15 października 2016 – BSidesWarsaw‬

Po raz piąty wystąpię z prezentacją podczas świetnego cyklu konferencji Security BSIDEs Edycja Polska.

Temat prelekcji: Podstawy cyberbezpieczeńśtwa
Socjotechniki są obecnie największym zagrożeniem, które dotyka nas jako użytkowników technologii. Co gorsza, niezaleznie od tego czy naszym telefonem jest nowy „smart-flagowiec”, czy Nokia 3310 – każdego dnia możemy stać się ofiarami wycieku wrażliwych danych. Słyszymy o nich niemal codziennie, a zbagatelizowanie takiego wirtualnego wydarzenia może sprowadzić na nas wiele problemów w realnym świecie. Podczas prelekcji przedstawię: przewodnik po najpowszechniejszych socjotechnikach, podstawy higieny związanej z wykorzystywaniem otaczających nas technologii oraz szybki kurs działania w przypadku wycieku danych.

Nagranie prelekcji:

Więcej

W Kontestacji o OSmediach i Diasporze i WiOO

W ubiegłą niedzielę, w raz z Borysem Musielakiem byliśmy gośćmi audycji Geek cloud poprowadzonej przez Krzysztofa Maczyńskiego. W ponad dwugodzinnej rozmowie zaprezentowaliśmy projekty w których na co dzień uczestniczymy, opowiedzieliśmy o grupie OSmedia oraz zdradziliśmy kilka planów wiążących się z najbliższą przyszłością grupy.

Geek cloud to audycja poświęcona nowym technologiom, podczas rozmowy szerzej omówiliśmy temat Diaspory, zdradziłem również jak efektywnie poprowadzić na niej profil komercyjny i jak efektywnie poruszać się w niej by odkryć bogatą społeczność serwisu kryjącą się na jego podach. Michuk rozwinął temat grupy OSmedia, zdradził czemu zdecydowaliśmy się na zamknięcie OSbloga oraz opowiedział o powstaniu i rozwoju Filmastera. Płynnie przeszliśmy do omówienia nowego projektu grupy, czyli Wolnej Kultury oraz tematu własności intelektualnej. Podczas audycji nie udało się uniknąć licznych problemów technicznych, jednak nagranie poddane montażowi przez unfę większości z nich nie zdradza. Gorąco zachęcam do wysłuchania!

Więcej

W „Talking Heads” o ACTA

W lutym miałem przyjemność wystąpić w programie „Talking Heads” w doborowym towarzystwie Michała Gembickiego – CEO CD Projektu oraz Piotra Gnypa – redaktora naczelnego serwisu Polygamia.pl. Wyszła nam z tego interesująca rozmowa. Od znajomych usłyszałem, że trochę mało się odzywałem, ale z drugiej strony nie było za bardzo czego prostować. W tym składzie wszyscy się ze sobą zgadzaliśmy.

Więcej

Wywiad w CNN iReport na temat ACTA

Kilka dni temu zostałem przepytany przez Chris Morrow na temat podpisania przez Polskę ACTA 26 stycznia. Mówiłem między innymi o protestach przeciwko naszemu rządowi, który wtedy jeszcze tylko planował podpisać ACTA bez właściwych konsultacji z organizacjami pozarządowymi. Szczególnie tymi walczącymi o prawa i interesy obywateli.

Całej sprawie udało się dostać do polskich mediów dzięki atakom na serwery rządowe organizowanym przez cyberprzestępców nazywających się „Polskie Anonymous” lub „Polskie Podziemie”. Było to dla nas – organizacji pozarządowych słodko-gorzkie. Straciliśmy pozycję do rozmów prowadzonych z rządem. Ataki całkowicie zagłuszyły wszelkie nasze próby ponownego ich podjęcia z politykami. 

Niestety ponieśliśmy klęskę w próbach rozmów z wymienionymi organizacjami w związku z tym podjęliśmy próby kontaktu z zagraniczną organizacją Anonymous. Po kilku godzinach ciężkich rozmów udało nam się opublikować wspólne oświadczenie:

Ataki na strony polskich władz MUSZĄ zostać zaprzestane
——————————————————–
 
Mówiliśmy to już wcześniej i powiemy jeszcze raz. Ataki na strony zarówno Polskiego rządu jak i Unii Europejskiej nie pomagają w walce z ACTA. Jesteśmy w stałym kontakcie z polskimi organizacjami pozarządowymi które poinformowały nas o tym, że ataki niszczą ponad trzy lata ich trudnej współpracy z rządem w tworzeniu prawodawstwa odpowiednio odnoszącego się do internetu i chroniącego podstawowe wolności internautów oraz możliwości negocjacji wstrzymania podpisu Polski pod ACTA. Jeśli potrzebujecie kolejnych dowodów przeczytajcie słowa wygłoszone przez Polskiego premiera Donalda Tuska:
 
  – Nie ustąpimy w żadnym wypadku wobec szantażu – oświadczył premier, odnosząc się do ataków na niektóre strony internetowe administracji państwowej. Szef rządu zapewnił, że jak na razie nie możemy mówić o zagrożeniach dla funkcjonowania państwa. – Nie wyobrażam sobie, aby polski rząd, polski parlament, polski premier ustępował przed kimś, kto mówi: “nie podpisuj, bo inaczej opublikujemy kompromitujące dane o twoich urzędnikach”. Tego typu metody uważam za niedopuszczalne – powiedział Tusk.
 
Poinformował, że sprawdzane są zabezpieczenia stron, które zostały lub mogą zostać zaatakowane. Dodał, że jak na razie nie możemy powiedzieć o zagrożeniu dla funkcjonowania państwa ze względu na ataki na strony internetowe. Według niego są one raczej dokuczliwe i skuteczne propagandowo. – Nie ma żadnego powodu, żeby wzniecać alarm – uspokajał premier.
 
http://wiadomosci.gazeta.pl/wiadomosci/1,114884,11024567,Tusk__Dalem_upowaznienia_ambasador__by_podpisala_ACTA.html
 
Ataki DDOS zwróciły uwagę świata na toczącą się sprawę podpisania ACTA przez Polskę. Teraz tysiące Polaków wyszły na ulicę po to by manifestować swój przeciw. Nadszedł czas by pozwolić działać procesom politycznym i społecznym skierowanym przeciwko ACTA. Wszelkie ataki na strony polskiego rządu jak i Unii Europejskiej powinny zostać wstrzymane. Strony te służą przecież komunikacji krajowych i unijnych władz ze społeczeństwem. Jeśli lubisz DDOSować dla samego DDOSowania prosimy wybierz zamiast tego stronę swojej szkoły/uczelni.
 
Anonymous

Po jego publikacji ataki zarówno na strony naszego rządu, jak i Parlamentu Europejskiego prawie ustały! Nareszcie mieliśmy czas i możliwość by rozpocząć rozmowy z rządem. Następnego dnia poprosiliśmy premiera by nie podpisywał ACTA (nawet ambasada USA domagała się w tej sprawie więcej informacji), ale niestety nie było to wystarczające.

Posłowie Ruchu Palikota w maskach z wizerunkiem Guy’a Fawkesa (Fot. Wojciech Olkuśnik)

O trzeciej w nocy nasz ambasador w Tokio podpisał ACTA, wraz z prawie całą resztą Unii Europejskiej. Cypr, Słowacja, Estonia, Niemcy i Holandia pokazały, że można nie ulegać międzynarodowej presji i działać jak należy. A nam przecież nie chodziło tylko o to, żeby ACTA po prostu odrzucić. Chcieliśmy by dokument został wysłany do Europejskiego Trybunału Sprawiedliwości w celu sprawdzenia zgodności z prawem europejskim. Niestety nasz rząd pozostał głuchy na protesty tysięcy protestujących obywateli i karnie podpisał ACTA.

Co nam jeszcze pozostało i wciąż się dzieje?

Dopiero teraz nasz rząd chce rozpocząć konsultacje, których nie podjął przed podpisaniem ACTA. Wciąż czekamy na kolejne newsy i propozycje spotkań. W międzyczasie zastanawiamy się i dyskutujemy co zrobić jako strona zdradzona przez rząd (organizacje pozarządowe). Przez ostatnie trzy lata w ramach grupy Dialog prowadziliśmy wspólne rozmowy dotyczące prawodawstwa związanego z internetem. Niestety podczas ich trwania ACTA zostało prawie całkowicie pominięte. Temat ten pojawił się zaledwie na kilka minut, pół roku temu…

Póki co jednak musimy skupić się na blokowaniu ratyfikacji acta przez Parlament Europejski. Jeśli chcesz pomóc podpisz tę petycję oraz skontaktuj się ze swoim reprezentantem w PE. Powiedz mu co myślisz na ten temat. Wciąż jeszcze jest szansa na to, żebyśmy wspólnie powstrzymali ACTA.

Więcej