11:20
5/11/2011

Od guzika, otrzymaliśmy taki oto list:

Drogi Niebezpieczniku!
Piszę do Ciebie ten list, gdyż uważam, że jesteś właściwą instytucją do zajęcia się tą sprawą. Szukam patrona i sponsora moich badań dot. bezpieczeństwa. Moje pomysły czekające na realizację:

1. *Ręcznik*
Inspiracją do tego był wpis u Was o otwieraniu hotelowych drzwi i ręczniku. Otóż moja wersja wygląda tak: wchodzimy do hotelu do części dla gości. Rozbieramy się i owijamy ręcznikiem. Czekamy na sprzątaczkę, której tłumaczymy, że zatrzasnęliśmy klucz gdy wyszliśmy do kolegi i nie potrafimy wrócić. Dzięki jej pomocy (sprzątaczki) wchodzimy do dowolnie wybranego pokoju.

2. *Zbiorowa eko-zbiórka*
Tu zainspirował mnie kontener przed lokalnym Tesco.

Tesco - kontener

Tesco - kontener na nośniki informacji

Można tam wrzucać baterie, butelki i uwaga – stare nośniki informacji (dyskietki, płyty CD lub DVD). Chciałbym ustawić własny kontener przed dowolnym biurowcem w większym mieście i przeanalizować co jest na zebranych płytach CD/DVD. Potrzebny jest kontener.

3. *Zbiórka door-to-door*
Razem z dziećmi (własnymi, sąsiadów, znajomych) chodzimy od drzwi do drzwi konkretnych instytucji (np. kancelarii adwokackich czy biur podatkowych) i prosimy o makulaturę, którą zbieramy, by wyjechać na wycieczkę w góry. Uwiarygodnić się możemy ubierając harcerskie mundurki. Pieniądze za makulaturę przeznaczamy na dowolny cel, ale wcześniej analizujemy powierzone nam w ten sposób dane.

Co Wy na to?

No właśnie, co Wy na to? Robimy zrzutę na “fałszywy” kontener Tesco? Ktoś chętny, aby przeprowadzić, któryś z powyższych eksperymentów w swojej okolicy? Z chęcią opublikujemy wyniki. I w razie czego, służymy wysłużonym mundurkiem harcerskim ;-)

A może macie inne pomysły na zdobycie dominacji nad (cyfrowym) światem?

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

55 komentarzy

Dodaj komentarz
  1. Na postawienie trzeba mieć zgodę zarządcy budynku / nieruchomości, co zawsze przyczynia się do pozostawienia śladu. Pomysł dobry, ale biurowiec to nie jest dobre wyjśc imho, raczej wybrałbym zagłębie małych i średnich firm.

    • Fakt. No i dobrze by było, żeby mama się na to zgodziła. Teraz nasz plan już się całkiem sypie…

  2. Pinkerton, Kroll i im podobni grzebią w śmieciach od ponad stulecia, więc można się załapać tylko na jakiś ochłap ciekawych informacji… Skądinąd przykre: ten sam sposób działania od zawsze, tylko nośnik ‘gęstszy’ i trudniejszy do mechanicznego zniszczenia niż papier. I gdzie to bezpieczeństwo? :)

  3. Polecam książkę “Tajne służby kapitalizmu” o firmach badawczych wyciągających dane o konsumentach z ich śmieci. Jest tam także ciekawy przykład eksperymentu wykonanego bodajże przez ekipę z Uniwersytetu Wrocławskiego – analizowali na wysypisku śmieci, jakie dokumenty Polacy wyrzucają. Skala lekkomyślności przeszła ich najśmielsze oczekiwania.

  4. 1. akcja ręcznik, tylko głupia sprzątaczka się na to nabierze…
    2. duże firmy utylizują takie rzeczy – nie wypali
    3. makulatury ostatnio nie przyjmują nawet za darmo, ale załóżmy że ktoś kupi historię i da wam worek ścinek papierowych z niszczarki… :]

    • Myślisz, że tylko “głupia” sprzątaczka jest podatna na socjotechnikę? :) oj ty naiwny ;)

    • Jeśli dostaniemy ścinki z niszczarki – pozostanie podkupić zwycięzcę tego niedawno ogłoszonego konkursu na syntezę dokumentów z pasków poniszczarkowych.

    • Albo jak ktoś lubi puzzle…

  5. Ja poproszę wysłużony mundurek na 190 cm wzrostu:D a tak poważnie to może to niehigieniczne, ale zawsze myślałem o przeryciu czarnych worków ze śmieciami przy drogach i lasach. Cel szczytniejszy w przypadku owocnych znalezisk

    • Znam leśniczego, który po analizie zawartości worków w przydrożnych rowach zidentyfikował kilkoro ludzi, którzy chcieli sobie zaoszczędzić na wywozie śmieci. Nie wiem, czy im się to opłacało.
      Swoja drogą, czego to ludzie nie wyrzucają do lasu czasami…

    • Według mnie getry, krótkie spodenki i zieloną koszule z chustą nie należy nazywać mundurem.

  6. Biura rachunkowe i kancelarie podatkowe z mojego doświadczenia nie przejdą. Wszystkie ważniejsze informacje które są niepotrzebne (wydruki, własne notatki) przechodzą przez niszczarkę. To nawet nie kwestia polityki, tylko dobry nawyk.
    Segregatory z dokumentami są przechowywane przez określony czas w archiwum, a potem idą na przemiał. Prędzej poszukałbym wiedzy w firmach, które zajmują się utylizacją makulatury. Niekiedy jakiś zarząd może stwierdzić, że potrzebuje pomieszczenie archiwum zagospodarować i polecą stosunkowo nowe dokumenty.

  7. Akcja w stylu troli z 4chana :D

  8. Znając ludzką głupotę i naiwność, to do uzyskania poufnych danych wystarczy strona obiecująca usuwanie danych jakie zostaną do niej wysłane (“Wyślij nam plik jaki chcesz usunąć”). Obawiam się, że strona mogła by się cieszyć zastraszającą popularnością.

  9. Mundurki, to mają ziemniaki. Harcerze mają mundury!

    • Mundurki to mają też uczniowie ;)

  10. Wystarczy przejść się do kontenera (w zasadzie to kontener – naczepa do którego się wchodzi) “elektrośmieci”. U mnie wystawiają raz w tygodniu, a kierowca sobie idzie na spacer. Chyba większość wie, co tam znaleźć można: Notebooki, desktopy, dyski zewnętrzne, kartony CD i masę innych nośników… Nie trzeba kombinować jak koń pod górkę, żeby wejść w posiadanie ciekawych informacji.

  11. Problem ludzi uświadomionych polega na tym, że zapominają o nieświadomości innych. Im bardziej świadomy jesteś zagrożeń tym bardziej niedorzeczne wydaje Ci się, że ktoś może popełnić proste błędy. Coś na zasadzie podejścia: “Przecież dziś nikt nie używa już IE, a zamiast tego FF, Chrome, Opery i inne.” Dopiero statystyki lub spotkanie z duża ilością takich osób nieuświadomionych otwiera oczy.

    Zmierzam do tego, że jak to sobie uświadomimy skalę nieświadomości to zauważymy że na bezczelnego (w stylu Kevina Mitnicka) można najwięcej utargować. Tak więc zapewne przez dwa tygodnie nikt się nie skapnie, że ten kontener tutaj stoi. Okaże się, że zamiast ścinek dokumentów dostaniemy całe segregatory z korporacji, a zamiast sprawdzonych nośników danych do utylizacji dostaniemy pełne dyski wypchane excelami.

    Ergo. Pomysł zaje..fajny, trzeba mieć trochę jaj i czasu, ale myślę że efekty będą zaskakujące.
    Podejrzewam, że zostanie wdrożony lub już bywał wdrażany przez black-haty – o zgrozo.

    • A co ma świadomość do używania IE gdy masz inny system aktualizacji (nastawiony bardziej na firmy) i to ,że już dawno nie jest “modna” gadka o kolejnych dziurach w tej przeglądarce, nie mówiąc ,że trafiły mi się już sytuacje ,że strony lepiej się ładowały i funkcjonowały pod IE 9 niż pod Chrome od 13 w górę.
      Sama zasada ludzi bardziej uświadomionych oczywiście ma sens tylko lepszy przykład byłby z używaniem typów haseł przez mniej i bardziej uświadomionych użytkowników.

  12. Pamietam, ze ktos wstawial do supermarketow “swoje” szafy – przechowalnie bagazu i zakupow z innych sklepow.

    Wystarczy wlasciwe podejscie do tematu, czyli pan Kazik z fajka w zebach, w uniformie (dajmy na to tego Tesco).

  13. Co do punktu 2: możliwe, lecz jest mały problem: taką np.: płytę można porysować specjalnie przed wrzuceniem do kontenera :D Więc już się z niej raczej za dużo nie odczyta. Tak samo z magnetyzowaniem dyskietek. Co by było z kartami pamięci- nie wiem.
    Krzysiek

    • Z płyty można zeszlifować te rysy. No chyba, że chcesz rysować od góry (CD/BD, w przypadku DVD trzeba by rozwarstwić albo mieć tytanowo-irydowy cyrkiel :P). Z HDD i FDD pewnie coś można by wymodzić. Z flashkami już nie, wystarczy jeden raz nadpisać każdy sektor i po danych (no chyba, że żyję w błędzie).

    • Płytę wystarczy połamać (pęka na mnóstwo kawałeczków), a co do SSD: https://niebezpiecznik.pl/post/dyski-ssd-ciezko-bezpiecznie-wyczyscic/

    • To się ją poskleja… skoro niejednokrotnie uzupełniają nawet ubytki. Niekiedy wystarczy tylko parę bitów informacji…

  14. Drogi Niebezpieczniku… Czy Mozg wie ze Pinki wyrwal sie spod kontroli i probuje na wlasna reke zapanowac nad swiatem? :D

    http://www.youtube.com/watch?v=W0EhlpS5_Ds

    Pozdrawiam :D

  15. Proponuje jeszcze kupować używane nośniki pamięci na allegro w celu odzyskiwania danych.

    • Drukarki z dyskami ;)

  16. Ja na to: dziecinada. Pomijając aspekt moralny.

    • Zdziwiłbyś się, ile tajnych danych da się dzięki takiej “dziecinadzie” zdobyć.
      Co jakiś czas wybucha afera że na śmietniku znaleziono furę akt sądowych, policyjnych, urzędowych albo dokumenty firmowe.

  17. Mi zażyło się co nieco wyciągnąć z takiego kontenera. Z ciekawostek było kilka sprawnych lub mniej cyfrówek z kartami pamięci pełnymi zdjęć, kilka dziesiąta sprawnych tel kom w tym książki adresowe, kart sim smsy, na płytach cd jest sporo filmów , w tesco znalazłem 20 pełnych rolek filmów już poopisywane i z napisami (pewnie ktoś z panikował w obawie przed nalotem). Dodatkowo wiele osób oddaje mi do naprawy laptopy a tam pełne dyski ;-). Mając do dyspozycji programator i podstawkę zif można rozpracować uszkodzone pen drajwy i dyski ssd. Ogólnie lista danych z recyklingu jest spora.

  18. “Co Wy na to?”

    ech .. smiem doniesc ze numer z recznikiem to wlamanie na oczach dziesiatek kamer. Glupie to a nie zabawne, zabawa jest dla prof.

    Reszta to potencjalnie niezly happening :) i niektore “biurowce” moglyby nawet zasponsorowac, by podniesc swiadomosc odnosnie bezpieczenstwa m.in. danych.

  19. Znam lepszy sposób. Mieszkając na dużym osiedlu, wystawiamy za okno jagę i udostępniamy sieć bezprzewodową niezabezpieczoną. Następnie uruchamiamy snoffer z ssl stripem…

    • Rozwalił mnie ten pomysł… Skuteczność murowana. Makabra :)

  20. Nie przejdzie, bo:
    1. Jest to już na niebezpieczniku. Jeżeli chodzi o ustawienie/zbieranie informacji od większych firm, to zazwyczaj znajduje się w nich co najmniej 1 osoba, która odwiedza ten serwis, lub osoby, które jednak są bardziej “świadome” niż reszta społeczeństwa.
    2. Dokumenty są niszczone, do w postaci niezmielonej trafia zazwyczaj tylko poranne “Metro” :-)

    Więcej informacji by zostało zebranych grzebiąc w prywatnych koszach, chociaż nie pamiętam, kiedy ostatnio wyrzuciłem płytę/dysk.

    Do co używania IE: Wiele firm nakazuje swoim pracownikom na używanie tej przeglądarki, nawet ich określonej wersji, bo po prostu zamawiają aplikację i precyzują, na jakich maszynach ma to działać.

    Pewnie nie napisałem niczego nowego, ale jeden z ciekawszych postów w ostatnim czasie (albo ja się starzeje, albo Niebezpiecznik obniżył poziom ;-) ).

  21. Drogi Niebezpieczniku,
    Czy jesteś w posiadaniu informacji n/t odpowiedzialności karnej za zrealizowanie propozycji sebastiana, czyli postawienia otwartej sieci WiFi i sniffowania podpinających się złodziei pasma?

    • Podejrzewam, iż odpowiedzialność karna duża, coś mi się kojarzy paragraf “kto wchodzi w posiadanie danych dla niego nieprzeznaczonych” z odpowiednimi wyrokami. W praktyce jednak przy działaniu z głową ciężko byłoby kogoś złapać. IMHO oczywiście.

  22. Wystarczy skupować masowo używane dyski z allegro (uważając żeby były raczej od firm) i odzyskiwac dane. Ba, odsprzedając je z dobym opisem (NIc nie stuka, nic nie puka, jak miałem ten dysk to poznałem swoją żone – wartośc sentymentala) zarobimy na całej akcji ;P

  23. Pytanie tylko czy dane, w posiadanie których wchodzimy nasłuchując we własnej sieci to dane “dla nas nie przeznaczone”. Tym bardziej, jeśli sieć nazwiemy np. “NIE PODŁĄCZAĆ SIĘ DO TEJ SIECI”, co teoretycznie powinno nas, przynajmniej częściowo, chronić (przecież grzecznie prosiliśmy żeby nikt tego nie używał), a z drugiej strony jest oczywistym wabikiem na mniej uświadomionych.

    • Wszystkich podłączających się można ścigać z prawa gospodarczego – wymuszenie usługi telekomunikacyjnej (dostępu do internetu) ;-)

  24. Nie można też przesadzać w drugą stronę – kolega ze szkoły przed wyrzuceniem do kosza ocenionej kartkówki zamazywał imię, nazwisko i klasę ;)

  25. Niestety, ale praktyka jest czasem inna. Nawet duże firmy (administracje budynków, banki, kancelarie) potrafią wyrzucać dokumenty w całości na pobliski śmietnik – były nawet tego typu znaleziska nagłaśniane w mediach. Nie wierzę, by właściciele jedno-osobowej firmy zajmującej się usługami księgowymi mieli inne podejście, skoro nawet duże firmy często nie niszczą swoich dokumentów.

  26. –Co do hotelu.

    1. Kamery są zwykle wysoko i naprawdę niewiele widać spod czapki z daszkiem.
    2. Bierzemy klucz z tego hotelu, niezaprogramowany jest łatwo “pożyczyć” z portierni (zwykle w pobliżu są też karteczki z loginem i hasłem do wifi – które daje się gościom ;) ). Jeśli śpimy w hotelu i poprosimy pozwolą nam zostawić sobie na pamiątkę taki klucz a zwykle cała sieć ma takie sama (albo prawie do naszych celów się nada). Dobrze jest mieć też czysty kartonik z portierni te jeszcze łatwiej zdobyć jak klucze – można też samemu sobie wydrukować (wpisujemy numer pokoju do którego chcemy wejść).
    3. Z kluczem próbujemy wejść do pokoju, najlepiej po godzinie 12 w dzień. Jak zobaczymy pokojówkę próbujemy otworzyć drzwi. Schodzimy na portiernię, pytamy a jakaś pierdołę i wracamy na górę. Próbujemy otworzyć drzwi. Prosimy pokojówkę że byliśmy przed chwilą na portierni i nasz został rozkodowany. Powiedzieli że zaraz będzie działał a jeszcze nie działa – zwykle nam otworzy.
    lub
    Wchodzimy do pokoju jak jest pokojówka i zachowujemy się jak u siebie. Beszczel ala Kevin to jednak jedno z najskuteczniejszych narzędzi.
    Minus widziano nas i jeśli ktoś zgłosi że grzebano mu w rzeczach to raczej będą nas szukać ale jak dyskretnie tylko chcemy coś skopiować to luz. Uwaga na wszelkie metody socjalne człowiek szybko traci instynkt samozachowawczy jak wychodzą mu coraz lepsze numery.

    –Co do dysków
    Kiedyś była afera bo z jednego z ministerstw, zezłomowano dyski w taki sposób że kupili je studenci handlujący na giełdzie hurtem. Dyski były tylko skasowane. Jak studenci zobaczyli co można wygrzebać to postanowili zarobić na skarbie. Kupiło to “Nie” Urbana. Nie ujawnili nic ważnego a wyraźnie sugerowali a może nawet napisali co mają. Ministerstwo było w panice jak pamiętam. W końcu oddali ale przez jakiś czas drukowali wycinki prywatnych rozmów na ircu (ach kiedy to było) i maile pracowników. Pani jakaś tam z pionu X rozmawia ze znajomą, o tym jaka bluzkę i gdzie kupić. Wymieniają się radami, gdzie jak targować itd. itp..

  27. Jak autor listu ma dość odwagi to niech “pożyczy” płyty z tego kontenera z Tesco. :) Chociaż w tym kraju nie wiadomo, i za kradzież śmieci mogą ścigać pewnie… :E

    Ew. niech się przebierze w jakieś łachy 20-letnie, nieco podziurawione i idzie zbierać “skarby” z tego kontenera Tesco.

    Reasumując: po co płacić samemu za stawianie kontenera, uzyskanie zgody na jego postawienie etc. etc. skoro zrobiło to już Tesco za autora? :P Po prostu niech skorzysta z tej okazji. ;D

  28. Najłatwiej chyba jednak kupować używane dyski twarde. Z jakiegoś eksperymentu którego wyniki opublikowano wynikało, że chyba 30% z dysków zawierało “ciekawe” informacje o poprzednim właścicielu, a z większości udało się odzyskać cokolwiek. Ciekawe byłyby też dyski z urządzeń wielofunkcyjnych wyrzucanych przez firmy.

  29. Hehh, pracuję w dużej korporacji i w zasadzie nie ma polityki niszczenia danych… A że ja części pilnuję to jak miałem nośniki i telefony….. to wziąłem sztaplarkę :D – Dane usunięte, jazda po telefonach – bezcenna.

  30. Na jakie konto przelewać datki?? :D

  31. Nie mówiąc o ciekawych popsutych urządeniach wielofunkcyjnych, zawierających wszystkie ostatnie wydruki.

    A mundurkiem też służę:)

  32. A propos dominacji nad światem i takich numerów:
    http://www.youtube.com/watch?v=rbJpx_6fYgE
    Old school :>

  33. Co do Tesco – wrzucasz płytę, walisz się w głowę z wyrazem “co ja zrobiłem?” i zaczynasz grzebać :) Jeśli ktoś podejdzie to przecież szukasz płytę, bo przez pomyłkę nie tą wrzuciłeś, a jeśli nie podejdzie to wyciągasz to co chcesz ;)

  34. Chyba mundurkiem hackerskim. ;)

    • Ja też tak przeczytałem :]

  35. Co do hotelu to IMHO powinno przejść coś dużo prostszego. Po prostu prosimy o nie swój klucz na recepcji. Jeszcze mi się nie zdarzyło żeby recepcjonist(k)a weryfikował(a) dane osoby proszącej o klucz. Często na recepcji jest kilka kluczy do jednego pokoju, więc może się ten myk udać nawet jeśli nasz cel zabrał klucz ze sobą.

    • W razie czego możemy się tłumaczyć że pomyliliśmy numer pokoju.

  36. A dysk można nawet w domowych warunkach rozwalić tak, aby nikt nie widział danych. Wystarczą kombinerki (najlepiej do metalu), otwieramy do talerzy i je tłuczemy :-) Danych nie ma a bałagan po tym – bezcenne :D

  37. A ja polecam zwykłą śmieciologię. W kontenerach osiedlowych można czasem znaleźć nośniki (płyty CD i DVD) z prywatnymi danymi, albumami fotograficznymi czy dokumentacją medyczną, dowody osobiste, paszporty, legitymacje i innego typu dokumenty i właściwie wszystko, co można sobie wyobrazić. Wszystkie te znaleziska znajdowały się w zwykłych kontenerach. Nic specjalnie wartościowego, niemniej ja przed wywaleniem jakiejkolwiek płyty CD-R czy DVD niszczę ją na tyle, by odczytanie danych nie było możliwe. To samo z papierologią. Nawet nie wyobrażacie sobie, co ludzie potrafią wyrzucić do śmieci, bez sprawdzenia zawartości. W tamtym roku stałem się na przykład posiadaczem szkatułki z aktualnymi pieniędzmi, nowych nieczytanych książek czy całkiem interesującej kolekcji audiobooków, nie licząc przegrywanych płyt z różną zawartością.

Odpowiadasz na komentarz sebastian

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: