18:56
10/11/2012

Kilku pracowników SEC, czyli amerykańskiej komisji papierów wartościowych i giełd wybrało się na konferencję BlackHat. Nie było by w tym nic dziwnego, gdyby nie to, że zabrali ze sobą służbowe laptopy, które miały na swoich dyskach ważne, lecz niezaszyfrowane dane… Samobójcy?

Audyt ze strachu

Wykłady, które pracownicy SEC zobaczyli na konferencji musiały ich nieźle przerazić, bo zaraz po powrocie zlecono analizę bezpieczeństwa swojego sprzętu. Obawiano się bowiem, że któryś z hackerów z konferencji mógł uzyskać do nieautoryzowany dostęp do laptopów SEC i skopiować z nich m.in. szczegóły związane z systemami obsługującymi giełdę.

BlackHat

Konferencja BlackHat

Reuters podaje, że za audyt laptopów zapłacono 200 000 dolarów, a pracownicy SEC za kuszenie losu i brak szyfrowania dysków dostali naganę. Na szczęście, zgodnie z raportem z audytu, podobno nikt niepowołany nie uzyskał dostępu do danych znajdujących się na laptopach SEC…

Czy sprawdzono też telefony?

Historia z laptopami jest śmieszna i interesująca, ale mnie bardziej zastanawia, czy ci pracownicy zabrali ze sobą także służbowe telefony komórkowe, i czy one również były szyfrowane? Oraz jakie dane na nich się znajdowały? Albo raczej, do jakich danych aplikacje znajdujące się na tych telefonach umożliwiały dostęp? VPN? E-mail?

Ataki MITM na sieć GSM to przecież standard na konferencjach poświęconych bezpieczeństwu, a to że pakietową transmisję danych (GPRS/EDGE/3G) da się podsłuchiwać, to też żadna nowość… Może pora na kolejne 200 000 dolarów na audyt urzadzeń mobilnych? Jakby co, możemy machnąć taki za pół ceny :-)

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Alez oczywiscie ze tymczasowe laptopy nie wyobrazam sobie inaczej.

    • Z tymczasowymi danymi oczywiście.

  2. Swoją drogą – co na takiej konferencji robili pracownicy komisji papierów wartościowych ? :>

    • Przyszli zwiększyć świadomość dot. bezpieczeństwa obchodzenia się z służbowym sprzętem i podnieść umiejętność szyfrowania danych ;)

    • I się udało :D

    • Ja zwiększałem świadomość na wykładzie Piotra.

    • Szkoda tylko, że ta świadomosć kosztowała tyle ile kosztowała :P

      A może i nie szkoda ? Za głupotę się płaci, ponoć ;)

    • SEC jest rządowa, więc pewnie nie bardzo ich obchodziło ile to kosztuje ;)
      A tak btw. kto audytuje tych, którzy robią audyty bezpieczeństwa w takich agencjach, czy sobie przypadkiem nie powynoszą drugiej wypłaty.

  3. Dobrze. że dodałeś emota w ostatnim zdaniu bo by Cię zlinczowali jak Marczaka …;).

  4. Obawiano się bowiem, że któryś z hackerów z konferencji mógł uzyskać do nieautoryzowany dostęp do laptopów (…)

    Jedno “do” za dużo ;)

  5. Swoja droga, niby w czym pomaga szyfrowanie “laptopa lub telefonu” w takim przypadku? (Wlamanie bez fizycznego dostepu do maszyny)

    • Pomaga jesli dostep do tych danych nastepuje dopiero po zalogowaniu na konkretne konto lub logowanie jest dwustopniowe.

    • Filmów nie oglądasz? Pobierasz zaszyfrowany plik a masz w nim same krzaczki. :D

  6. Przebili się przez potrójną ścianę ognia? Emacsem przez sendmail -.-

    • twój wykop ląduje sam wiesz gdzie

    • Jak dziura w ziemi może lądować?

  7. Jeśli jest to FDE to… w niczym nie pomaga, bo chroni dane przed zabootowaniem maszyny. No chyba, że np. wingrozowy EFS. To może i owszem – chroni w trakcie pracy. A i to bardzo ryzykowne, bo… W sumie sami powinniście wiedzieć dlaczego ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.