Jak nie dać się okraść w sieci (3 kroki)

Ostatnio wyciekły dane klientów firmy Netia S.A., udostępniono ich adresy email, numery telefonów, często również adresy zamieszkania. Wcześniej, na gwiazdkę 2011 roku wyciekły dane klientów prywatnej agencji wywiadu Stratfor. Wówczas udostępniono dane kart kredytowych i wszystko co potrzebne by zrobić ostatnie przedświąteczne zakupy na czyjś koszt. Niezależnie od tego czy chcemy chronić nasze pieniądze czy prywatność zasady postępowania w sieci są prawie takie same.

('126420946', 'home', '2016-07-02 12:58:19', '2016-07-02 13:26:02', '1', '0', '1', '201', 'Internet 1 Mb/s', 'Internet', 'Nie zweryfikowano', '0', '0', '0', '', '', '', '', '', '0', '', '', '', '0', '', '', '', '0', '', '', '', '', '', '', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', 'ahewka@plon.pl', '797720764', '1', '0', '0', '0', '1', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', '', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki', '7FF10N70AMS4', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0', '0.00', '0.00', '', '', '', '', '', '', '0', ''),
('763456785', 'home', '2015-10-18 11:31:08', '2015-10-18 12:01:01', '1', '0', '1', '210', 'Szybki Internet Max + Telefon Wieczory i Weekendy VAS - Rezygnacja', 'Promocje', 'Nie zweryfikowano', '0', '0', '0', '', 'henryk', 'Okonor', '', '', '0', '', '', '', '0', 'Warszawa', '', 'Klasyczna', '0', '5/42a', '', '01-524', 'Warszawa', '22', '212421122', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', '7ywoda@klip.pl', '652331128', '0', '0', '0', '1', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', 'a:6:{i:375;s:3:\"389\";i:305;s:3:\"306\";i:46;s:2:\"46\";i:232;i:-1;i:249;s:3:\"249\";i:254;s:3:\"254\";}', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki', '7YUE19EDNA40', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0', '0.00', '0.00', '', '', '', '', '', '', '0', ''),
('642071494', 'home', '2011-09-10 12:30:04', '2011-09-10 13:30:52', '1', '0', '0', '208', 'Internet do 100 Mb/s', 'Internet', 'Nie zweryfikowano', '0', '133', '0', '', ' - bez szczegółów', 'Poczekam', '', '', '0', '', '', '', '0', '', '', '', '0', '', '', '', '', '', '', '0', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '', '', '', 'olenia@o2.pl', '6772231126', '1', '0', '0', '0', '0', '', '', '', '', '0', '', '', '', '', '', '0', '', '', '', '', '', '', '0', '', '0', '0', '0', '', '', '0', '0', '0', '0', '', 'a:5:{i:305;s:3:\"306\";i:46;s:2:\"46\";i:48;s:2:\"48\";i:232;s:3:\"232\";i:249;s:3:\"249\";}', '0', '', '', '0000-00-00 00:00:00', '0', 'krótki Twoje zapytanie', 'L993999C0999', '', '', 'zamowienie', '', '', '', '', '0', '', '', '0', '', '0', '', '', '0000-00-00 00:00:00', '0000-00-00 00:00:00', '', '0', '0', '0000-00-00 00:00:00', '', '0',

To tylko przykład ogromnej ilości prywatnych informacji jakie udostępniono w ramach ataku na Netię (dane zostały oczywiście zmienione).

1. Nie podawaj swoich danych byle gdzie

Adres zamieszkania, numer telefonu podajemy tylko wtedy kiedy naprawdę musimy i ufamy danej firmie. Podobnie z adresem email, zgodnie z ustawą o ochronie danych osobowych powinniśmy chronić go tak samo jak nasz adres zamieszkania. NIGDY NIE PODAJEMY ŻADNYCH HASEŁ, pod żadnym pozorem.

2. Zachowaj zimną krew i czujność czytając pocztę

Niezależnie od tego jak nagląca i pilna może wydawać się wiadomość, którą właśnie otrzymaliśmy. Czy jest to informacja o zablokowaniu dostępu do naszego konta w BZ WBK, czy wezwanie do aktualizacji danych osobowych. Podobnie z super ofertami przygotowanymi specjalnie dla nas w formie plików PDF i DOC. Warto zadać sobie kilka pytań sprawdzających:

  • Czy jestem klientem tej firmy?
  • Czy podawałem im właśnie ten numer telefonu albo adres email do kontaktu?
  • Czy jestem zainteresowany jakąkolwiek ofertą od tej firmy?
  • Czy adres email, z którego przyszła wiadomość rzeczywiście należy do firmy za którą się podaje?

W razie jakichkolwiek wątpliwości zawsze kontaktujemy się z infolinią firmy.

3. Nie otwieramy plików pochodzących z nieznanego źródła

Jeden spreparowany dokument PDF lub DOC, albo dobrze przygotowany „skrócony odnośnik” (na przykład https://tinyurl.com/ydtcvhp) może doprowadzić do infekcji naszego komputera lub konta na facebooku (por. Nie buty, tylko wirusy. Roz­dają wirusy na fej­sie.). Według dotychczasowych informacji dokładnie w taki sposób padła Netia S.A., spreparowany załącznik DOC został otwarty na komputerze pracownika z odpowiednimi dostępami.

4. Do każdej usługi stosuj inne hasło

To jest krok, który jest znacznie cięższy do wprowadzenia w naszym codziennym korzystaniu z sieci. Nie jest jednak tak źle jak mogłoby się wydawać, jeśli skorzystamy z jednej z tych dwóch metod:

  • KeePassX to oprogramowanie, które pozwala nie tylko na generowanie bezpiecznych haseł, ale również na przechowywanie ich w doskonale zaszyfrowanej bazie, do której możemy uzyskać dostęp nie tylko z komputera ale również z naszego smartfona.
  • Niepełnym zastępstwem, ale świetnym uzupełnieniem dla usług, do których hasła po prostu musimy pamiętać jest stworzenie kilku stref bezpieczeństwa i przypisanie dla nich bezpiecznych, haseł, które zapamiętujemy i odpowiednio stosujemy. W razie wycieku podobnego, do tego który przydarzył się Google z usługą Gmail możemy być pewni, że najważniejsze usługi, z których korzystamy pozostaną zabezpieczone, bo dla zachowania bezpieczeństwa wystarczy nam zmiana hasła w garstce usług. Pierwszym krokiem jest przygotowanie kilku bezpiecznych haseł, następnie przydzielamy je do grup usług takich jak „bankowość elektroniczna”, „poczta”, „media społecznościowe” i tym podobne.

5. Używaj bezpiecznych haseł

Spokojnie. Bezpieczne hasła to nie tylko niemożliwe do zapamiętania ciągi znaków i cyfr pokroju:

 ^/mY;sCC+q&D-:9}B4G7AJV56kUt,@?[d+u

Znacznie bezpieczniejsze przykłady to:

  • SledzWBitejSmietanie
  • TruskawkaOkraszonaSluchawkami15
  • MojMonitorToLG543!@

Podane przykłady są znacznie łatwiejsze do zapamiętania. Jakie są główne zasady przygotowania takiego hasła? Staramy się by nie były to hasła słownikowe, to znaczy takie, które występują po sobie na przykład w przysłowiach. Zlepienie ze sobą kilku słów z naszego otoczenia pozwoli nam nie tylko na stworzenie bezpiecznego hasła, ale też ułatwi przypomnienie go sobie, gdy ponowie się w nim znajdziemy.

Wyszło aż 5, ale już pierwsze 3 kroki wprowadzone w życie bardzo poprawią nasze bezpieczeństwo. Niestety musimy być przygotowani na to, że to socjotechnika, a nie pojawiające się co raz to nowe zagrożenia stanowią największe niebezpieczeństwo. Jakkolwiek wymyślne nie byłyby wirusy, to najczęściej wpuszczamy je do naszych urządzeń sami. Tylko i wyłącznie wyszkolenie w sobie takiego filtra przychodzących do nas informacji możne nas obronić przed tragicznymi w skutkach wyciekami prywatnych informacji, a w najgorszym przypadku kradzieży gotówki.

Więcej

Nie buty, tylko wirusy. Rozdają wirusy na fejsie.

Jeśli widzicie jakiś link w serwisie facebook, ale nie znacie domeny najlepiej nie klikajcie na niego wcale. Jeśli jednak chcecie zobaczyć co się pod nim kryje, korzystamy z opcji „otwórz w trybie incognito”. Mają go Firefox i Chrome.
W przeciwnym wypadku narażacie się na kilka przekierowań i przejęcie konta na facebooku. W Waszym imieniu będą rozsyłane zaproszenia do grupy z fałszywym linkiem oraz zamieszczane komentarze.

Jeśli już to masz:
– w ustawieniach swojego profilu cofnij autoryzację wszelkich aplikacji,
– wyloguj wszelkie aktywne sesje,
– zmień hasło,
– zbadaj swój system oprogramowaniem adwcleaner.
Powinno pomóc.

PS Jak wspomniał Aleksander dobrym rozwiązaniem jest też stosowanie wtyczek takich jak NoScript, PrivacyBadger albo zwykły Adblock (lub przyjemniejszy uBlock).

Więcej

Dźwięki natury: karmienie małych ptaków

Znaleźliśmy gniazdo małych sikorek (Parus major) zlokalizowane w środku jabłonki stojącej przed naszym domem na wsi. Miejsce często uczęszczane, ale za to chronione przed kotami. Za pomocą mojego Zooma h2n udało mi się nagrać porę karmienia. Możecie usłyszeć nie tylko piszczące małe (które hałasowały tak cały dzień), ale również wlatujących i wylatujących regularnie z dziupli rodziców.

Nagranie udostępniłem na licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Na tych samych warunkach 3.0 w serwisach SoundCloud i Archive.org. Możecie je miksować i wykorzystywać w swoich własnych pracach.

fot. Marek Karpezo

Więcej

15 października 2016 – BSidesWarsaw‬

Po raz piąty wystąpię z prezentacją podczas świetnego cyklu konferencji Security BSIDEs Edycja Polska.

Temat prelekcji: Podstawy cyberbezpieczeńśtwa
Socjotechniki są obecnie największym zagrożeniem, które dotyka nas jako użytkowników technologii. Co gorsza, niezaleznie od tego czy naszym telefonem jest nowy „smart-flagowiec”, czy Nokia 3310 – każdego dnia możemy stać się ofiarami wycieku wrażliwych danych. Słyszymy o nich niemal codziennie, a zbagatelizowanie takiego wirtualnego wydarzenia może sprowadzić na nas wiele problemów w realnym świecie. Podczas prelekcji przedstawię: przewodnik po najpowszechniejszych socjotechnikach, podstawy higieny związanej z wykorzystywaniem otaczających nas technologii oraz szybki kurs działania w przypadku wycieku danych.

Nagranie prelekcji:

Więcej

Moja książka o WordPress już w kioskach

4 maja w kio­skach znalazła się moja ksią­żla zaty­tu­ło­wana ​„Word­Press – od insta­la­cji do roz­bu­do­wa­nego ser­wisu WWW”. Znaj­dziesz tam zbiór porad i tri­ków, które wyko­rzy­stuję na co dzień w swo­jej pracy:

  • wybrać właściwy motyw i wtyczkę;
  • dobrze zabezpieczyć swoją stronę;
  • wykonać porządną kopię zapasową;
  • zarządzać SEO;
  • uruchomić profesjonalny newsletter;
  • zadbać o wyświetlanie na urządzeniach mobilnych;
  • optymalizować serwis

… i wiele innych.

Do kupienia w kioskach oraz na stronach Komputer Świat zarówno w wersji papierowej, jak i elektronicznej.

Więcej

Migracja z ZSH do BASH

Ostatnio postanowiłem wrócić do basha, w związku z tym stanąłem przed problem migracji historii. Okazał się on trochę cięższy ze względu na dokładane przez zsh prefiksy do komend, np.:

: 2145123543:0;git push origin master

Ciąg cyfr przypadkowy, chodzi o pokazanie wzorca. Nie wiem do końca czy robi tak każda konfiguracja zsh. Ja akurat korzystałem z oh-my-zsh. By się go pozbyć i mieć swoją historię w bashu polecam następującą komendę:

cat ~/.zsh_history | sed 's/\:...........\:.\;//g' > ~/.bash_history

Usuwa ona prefix i po przeładowaniu basha mamy dostęp do naszej historii. Dodatkowym ułatwieniem, które lubię stosować w swoim korzystaniu z konsoli jest dopełnianie komendy na podstawie historii, na dowolnym etapie jej budowania za pomocą klawiszy strzałek „↑” i „↓”. Rozwiązanie to znajdziecie w moim repozytorium z plikami konfiguracyjnymi, w pliku .initrc, który należy umieścić w katalogu domowym.

Więcej

Komunikat o zmianie klucza GPG

Data: 8 października 2015

(Możesz również pobrać poniższy komunikat podpisany oboma kluczami)

Z wielu powodów stworzyłem ostatnio nowy klucz OpenPGP, którego od teraz będę używał, porzucając klucz stary.

Stary klucz będzie nadal ważny przez jakiś czas, ale wolałbym, by wszelka przyszła korespondencja korzystała już z nowego klucza. Chciałbym też, by nowy klucz został zintegrowany do sieci zaufania. Niniejsza wiadomość podpisana jest oboma kluczami, by ją uwiarygodnić.

Stary klucz to:

pub   2048R/DBAB60F2 2012-09-08
      Key fingerprint = 99A7 D000 D012 7BD7 F497  BC51 C277 D526 DBAB 60F2

Nowy klucz to:

pub   4096R/3F332AEF 2015-10-08 [wygasa: 2017-10-07]
      Key fingerprint = 39FB 5452 5236 AB4E 886E  BA75 CE97 A663 3F33 2AEF

By pobrać cały klucz z publicznego serwera kluczy, możesz zwyczajnie:

gpg --keyserver pgp.mit.edu --recv-key 3F332AEF

Jeśli zaś masz już mój stary klucz, możesz upewnić się, że nowy klucz jest podpisany kluczem starym:

gpg --check-sigs 3F332AEF

Jeśli nie masz mojego mojego starego klucza, lub chcesz się dodatkowo upewnić, że wszystko gra, możesz porównać odciski palca kluczy:

gpg --fingerprint 3F332AEF

Gdy jesteś usatysfakcjonowany i pewny, że masz właściwy klucz, i że UIDy kluczy zgadzają się z oczekiwanymi, byłbym zobowiązany za podpisanie mojego nowego klucza. Można to zrobić za pomocą komendy:

**
UWAGA: jeśli mój klucz jest już przez Ciebie podpisany, ale wyłącznie lokalnie (lsign), użyj komendy —lsign-key zamiast tego, co poniżej, i nie wysyłaj podpisów na serwer kluczy
**

gpg --sign-key 3F332AEF

Chciałbym w miarę możliwości otrzymać Twoje podpisy mojego klucza. Możesz mi je wysłać mailem, jeśli masz działające MTA na swoim systemie):

gpg --armor --export 3F332AEF | mail -s 'Podpisy OpenPGP' marcin@karpezo.pl

Przy okazji — mocno sugeruję wdrożenie mechanizmu automatycznego odświeżania kluczy w celu otrzymywania na bieżąco rewokacji i innych aktualizacji stanów kluczy. Można do tego użyć parcimonie — daemona, który powoli, w tle, odświeża klucze z serwerów kluczy przez Tora. Używa losowego czasu przerw pomiędzy kolejnymi akcjami, i oddzielnych tras w sieci Tor dla każdego z kluczy. Oznacza to, że ciężko byłoby komukolwiek skorelować aktualizacje kluczy z Twoim zestawem kluczy.

Gorąco też zachęcam do zapoznania się z najlepszymi praktykami dotyczącymi GPG, zebranymi przez RiseUp; stamtąd bezczelnie ukradłem większość angielskiego tekstu niniejszej wiadomości. 😉

https://help.riseup.net/en/security/message-security/openpgp/best-practices

Jeśli pojawią się jakieś pytania bądź problemy, proszę o sygnał i przepraszam za zamieszanie.

P.S. – ogromne dzięki dla ryśka, za wykonanie polskiej wersji tego tekstu i jego publikację na CC BY-SA.

Więcej

Tani, własny i wygodny VPN

tl;dr

Zbiór informacji o sposobie na uruchomienie własnej VPN z wykorzystaniem taniego serwera VPS (już od kilku zł miesięcznie) oraz integracji z NetworkManager w systemie Linux, a także telefonami pod kontrolą Androida.

Co to?

VPS – wirtualny serwer. Z punktu widzenia użytkownika zachowuje się jak zwykła maszyna, z reguły jest na niej uruchomiony. Z tego względu jest sporo tańszym rozwiązaniem. Wirtualizacja niesie ze sobą trochę ograniczeń, np. częsty brak dostępu do interfejsów kryptograficznych hosta, jednak z pomocą poniższego tutoriala uzyskamy pożądany efekt.

Więcej

Responsywne szablony aukcji Allegro

tl;dr

Skeleton i normalize.css przystosowane do pracy z szablonami Allegro.pl. Repozytorium z kodem znajdziesz w serwisie GitHub.

Czemu

Lubię, gdy nawet te pozornie najnudzniesze i bezsensowe zadania prowadzą do czegoś kreatywnego. Tym razem zaimplementowałem w szablonach allegro system gridów Skeletona.

Dzięki temu strona aukcji będzie wyglądała dobrze zarówno na telefonach, jak i tabletach. Coś co często mi doskwiera, gdy chcę coś na allegro sprawdzić lub kupić będąc w drodze.

Więcej