21:35
14/9/2015

Advertisement

Mało kto lubi, jak się o nim źle pisze. Taki Pablo Escobar, kolumbijski handlarz narkotykowy, to po prostu zabijał nieprzychylnych mu dziennikarzy (tak, tak, oglądamy Narcos i polecamy). Australijski operator GSM był na szczęście bardziej łaskawy…

Ujawniła handel danymi abonentów

Natalie O’Brien to dziennikarka koncernu Fairfax. W 2011 roku opublikowała serię artykułów obnażających niedociągnięcia operatora Vodafone na tle bezpieczeństwa jego systemu CRM (Siebel). Dane milionów klientów można było łatwo pozyskać, bo pracownicy firmy korzystali z łatwych, współdzielonych w całej firmie haseł dostępowych, które odsprzedawali osobom postronnym i przestępcom (np. w celu inwigilacji wybranych przez nich abonentów).

Kiedy Vodafone dowiedział się, że autorka nieprzychylnego firmie artykułu jest ich abonentką, jeden z pracowników w sposób nieautoryzowany pozyskał historię rozmów i SMS-ów dziennikarki. Celem tych działań było namierzenie osoby, która — jak podejrzewało Vodafone — była pracownikiem operatora i przekazała dziennikarce informacje na temat funkcjonowania firmy.

Wyciek wewnętrznej korespondencji Vodafone

Sprawa inwigilacji telefonu dziennikarki wyszła na jaw, kiedy z Vodafone wyciekła treść e-maila jakiego jeden z dyrektorów odpowiedzialnych za kontroling przesłał do globalnego dyrektora ds. bezpieczeństwa.

Jeśli sprawa naruszenia prywatności tej dziennikarki poprzez przeszukanie historii połączeń i SMS-ów z jej prywatnej komórki wyjdzie na jaw, może to dla nas stanowić poważne konsekwencje, łącznie z naruszeniem prawa telekomunikacyjnego. To zaprzepaści pracę jaką Vodafone wykonywało przez ostatnie miesiące aby odbudować zaufanie.

Co więcej, z wiadomości można było wyczytać, że dyrektorzy celowo spłycali w wypowiedziach dla prasy rozległość problemów opisywanych przez Natalie, twierdząc że nieprawidłowości w dostępie do CRM-a były incydentalnymi przypadkami.

Oburzona, ale czy z właściwego powodu?

Dziennikarka oczywiście jest zbulwersowana naruszeniem jej prywatności i nie wyobraża sobie jak ktoś może przeglądać jej SMS-y i historię połączeń. Doniesienia medialne poświęcone temu incydentowi nie precyzują jednak, czy operatorowi udało się tą partyzancką akcją namierzyć źródło wycieku. Mamy więc nadzieję, że Natalie, w przeciwieństwie do przerażającej większości jej kolegów i koleżanek dziennikarzy, jest w stanie zachować tożsamość swojego źródła w tajemnicy w tych ciężkich, w pełni zinformatyzowanych czasach, gdzie nawet “niewinne” metadane mogą ujawnić o wiele za dużo informacji na temat źródła.

Reporter TV5Monde "nakręca się" na tle ściany haseł

Dziennikarz TV5 udzielający wywiadu na tle ściany z poufnymi hasłami

Prawda jest bowiem taka, że większość dziennikarzy nie do końca odnajduje się w cyfrowym świecie, przez co naraża swoich informatorów na ujawnienie ich tożsamości. Jak bezpiecznie kontaktować się ze źródłem przez internet? O tym wsposminaliśmy w wywiadzie dla magazynu PRESS rok temu oraz w artykule poświęconym akcji CBŚ w redakcji Wprost.

Poniżej przytaczamy nasze odpowiedzi na pytania dziennikarki miesięcznika PRESS ponieważ są one przydatne nie tylko dziennikarzom, ale w zasadzie każdemu, kto chce zachować tzw. OPSEC (w sieci).

Przygotowuję artykuł dla miesięcznika “Press” na temat sposobów zabezpieczania ważnych materiałów i kontaktów przez dziennikarzy. Proszę o komentarz na temat możliwości technologicznych, jakie oferuje rynek.

Na wstępie – wszelkie praktyczne porady związane z tym jak
“zabezpieczyć” swój komputer zawarliśmy w opracowywanym przez długie
miesiące poradniku pt. “10 Porad Bezpieczeństwa od Niebezpiecznik.pl“.
Poradnik jest dostępny za darmo po wejściu na naszą stronę
(niebezpiecznik.pl) i kliknięciu w link “10 porad“. Oprócz
praktycznych wskazówek jak się zabezpieczyć znajdują się w nim linki
do darmowego oprogramowania dla każdego z systemów operacyjnych
(Windows, Linux, Mac OS X).

Z jakich programów szyfrujących najlepiej korzystać? Czy te darmowe są bezpieczne?

Jeszcze do niedawna bez wahania odpowiedzielibyśmy TrueCrypt, ale
programiści stojący za tym projektem zrobili psikusa i w dość
widowiskowy sposób zrezygnowali z rozwoju tego oprogramowania,
twierdząc, że nie jest ono już bezpieczne i odsyłając do konkurencji –
szczegóły tutaj:
https://niebezpiecznik.pl/post/koniec-truecrypta-oficjalna-strona-przyznaja-ze-truecrypt-nie-jest-bezpieczny-i-naklania-do-migracji/

Obecnie nie ma dobrego, niezależnego i otwartoźródłowego
oprogramowania tak wszechstronnego jak TrueCrypt. Pozostaje więc
korzystanie z narzędzi producentów systemów operacyjnych – w przypadku
Windows będzie to Bitlocker, a w przypadku Apple będzie to File Vault.
Tego typu szyfrowanie zabezpieczy nas przed podejrzeniem dokumentów
przez kolegę z pracy i złodzieja sprzętu, ale czy będzie równie
skuteczne w przypadku zainteresowania się służb naszą osobą? Tu
niektórzy mają wątpliwości…

[Dopisek z dziś: Niedawno pisaliśmy o klonach TrueCrypta, które się pojawiły i które są z nim kompatybilne oraz mają otwarty kod źródłowy – por. 5 darmowych narzędzi bezpieczeństwa.]

W jakim stopniu ochronią nasze dane zapory sieciowe i programy antywirusowe?

W podstawowym. Należy mieć świadomość, że oprogramowanie typu firewall
i antywirus to nie panaceum na wszystkie ataki. Antywirusy można
oszukać i tak przerobić każde złośliwe oprogramowanie, że nie zostanie
ono zauważone (por.
https://niebezpiecznik.pl/post/veil-czyli-jak-zaciemnic-kod-zlosliwego-oprogramowania-aby-nie-wykryl-go-antywirus/).
Mimo to, warto posiadać jakikolwiek system antywirusowy, bo każdy z
nich dość dobrze sprawdza się w wykrywaniu masowych, znanych, starych
i popularnych szkodników. Jednak z powodu, który przedstawiliśmy poniżej
wynika, że nie ma sensu płacić za antywirusa — wystarczy którykolwiek
z darmowych.

Korzystanie z chmur jest bezpieczne?

Pytanie jest zbyt ogólne. Są takie zastosowania, w których rodzaj
hostingu nie ma większego znaczenia, a są takie, w których chmura
zupełnie się nie sprawdzi pod kątem bezpieczeństwa. Korzystając z
rozwiązań “chmurowych” należy zdawać sobie sprawę z tego, że nasze
dane mogą zostać skopiowane do n różnych serwerowni rozsianych po
całym świecie (tracimy kontrolę) a po skasowaniu pliku nie zostaną
skasowane wszystkie jego kopie. Najlepiej wszystkie umieszczane w
internecie dane (niezależnie czy na ogólnodostępnej “ścianie”
Facebooka, czy w prywatnej wiadomości e-mail,) traktować jako
publicznie dostępne. Dla wszystkich. Na zawsze.

Ważne dane, jeśli musimy je umieścić w chmurze, należy najpierw
zaszyfrować lokalnie, przed transferem.

Jak zabezpieczyć urządzenia mobilne i komputery przed wyciekiem informacji bądź nagrywaniem rozmów? Jak skutecznie szyfrwać dyski?

Odsyłamy do poradnika, który wspomnieliśmy na początku, ponieważ odpowiedź na to
pytanie to niemalże objętość pracy magisterskiej. Przydatne będą także
te artykuły:
https://niebezpiecznik.pl/post/3-sposoby-na-podsluch-telefonu-komorkowego/
https://niebezpiecznik.pl/post/cbs-ujelo-cyberterroryste-pomimo-korzystania-przez-niego-z-tor-a/
https://niebezpiecznik.pl/post/sluzby-czytaja-nasze-sms-y-jak-zabezpieczyc-sie-przed-inwigilacja/
https://niebezpiecznik.pl/post/ten-kosz-na-smieci-cie-sledzi-ta-wtyczka-w-scianie-tez/

A w kontekście dziennikarzy polecam nasz miniporadnik, który został
opublikowany pod koniec artykułu:
https://niebezpiecznik.pl/post/abw-klonuje-dyski-komputerow-dziennikarzy-wprostu-i-ma-problem-z-macbookami-wyjasniamy-dlaczego/

Czy dostrzegają Państwo znaczącą różnicę z zakresu ochrony danych pomiędzy polskimi użytkownikami (firmami) a zagranicznymi? Na czym to polega? Które kraje najbardziej zwracają uwagę na zabezpieczenia?

Tu nie ma reguły. Są doskonale zabezpieczone firmy i w Polsce i w
innych krajach. Podobnie z firmami, które w ogóle nie dbają o
bezpieczeństwo – można je znaleźć i w Polsce jak i na świecie.
Możliwości zabezpieczenia swoich danych i danych swoich klientów każda
firma lub osoba ma dokładnie takie same, niezależnie od tego w jakim
kraju żyje. Internet w końcu jest globalnym rozwiązaniem.

Na co Niebezpiecznik.pl kładzie nacisk podczas szkoleń z zakresu bezpieczeństwa w sieci? Czy zgłaszają się na nie również dziennikarze bądź uczelnie kształcące przyszłych dziennikarzy?

Nasze szkolenia to stricte praktyczne warsztaty skierowane do
administratorów i tzw. testerów penetracyjnych, czyli osób które
zawodowo włamują się do sieci firmowych – ale robią to legalnie, za
zgodą właścicieli, w celu namierzenia potencjalnych podatności na
ataki, tzw. dziur.

Dziennikarze bardziej skorzystają z naszego szkolenia kierowanego do
każdego “pracownika biurowego“, w którym poruszane są zagadnienia
takie jak socjotechnika (najprostsza i bardzo skuteczna metoda
kradzieży danych z firm), bezpieczeństwo komunikacji w internecie,
bezpieczeństwo komputera i urządzeń mobilnych, poufność przechowywania
danych
i sposoby ich niszczenia tak, aby nie było możliwe odzyskanie
skasowanych nośników.

PS. Wszystkich dziennikarzy, którzy chcieliby pozyskać komentarz lub po prostu zasięgnąć języka w kwestiach bezpieczeństwa komputerowego zapraszamy do kontaktu pod adresem prasa@niebezpiecznik.pl. Odpisujemy szybko, a porady/wypowiedzi nic nie kosztują :-)

Przeczytaj także:



29 komentarzy

Dodaj komentarz
  1. To świetny przykład, dlaczego podmioty mające łatwy dostęp do wrażliwych informacji, powinny być intensywnie kontrolowane pod względem poszanowania prywatności dla kogokolwiek. Coś, co się wymyka spod kontroli, staje się zbyt agresywne z stosowaniem narzędzi dających władzę.

  2. Co to ten “narco” film, serial?

    • “Narcos” to serial, mega-dobry, polecam !

    • Szkoda, że już pierwszy sezon się skończył. Czekam z niecierpliwością na drugi. A tak przy okazji w tym serialu fajne techniki wywiadu z lat 80 pokazują (choćby triangulacja dzięki, której de facto Eskobar został ujęty).

  3. Narcos ;)

  4. Wszystko świetnie ale zatrzymanie się na technologii z początku lat 90 (GSM) jednak razi. Piszecie o nowych technologiach więc chyba należałoby w końcu zauważyć, że w telecomach pojawiły się już kolejne takie jak EDGE, HSPA, LTE itd. Skąd więc takie przywiązanie do nazywania telekomów schyłkową technologią GSM???

    • Z doswiadczenia developera moge powiedziec, ze najczesciej “potocznie” mowi sie GSM o dowolnym polaczeniu internetowym “mobilnym z danymi pakietowymi”. W momencie gdy wymagane jest stwierdzenie, ze np. dana aplikacja bedzie wymagala szybszego internetu mowi sie LTE. Niemniej utarlo sie mowic po prostu GSM – krotkie, proste i kazdy lapie.

      No i oczywiscie GSM ma ta zalete nad EDGE i HSPA, ze jest TLA* a kazdy inzynier kocha TLA ;)

      TLA – Three Letter Acronym

    • Zwłaszcza, że sieć GSM… nie służy i nigdy nie służyła do transmisji pakietowej!!! To jest sieć z komutacją łączy wykorzystująca centrale telefoniczne. Usługa transmisji w sieci GSM nazywa się CSD i HSCSD a działa podobne jak modem ISDN. Dopiero później wdrożyli sieci GPRS, które mają tylko to wspólnego z GSM, że korzystają z tych samych BTS-ów. Natomiast cała sieć szkieletowa jest oddzielna i działa na zupełnie innej zasadzie – komutacji pakietów.

    • GSM – Global System for Mobile Communications. Tutaj chodzi o OPERATORA KOMÓRKOWEGO, taki jest sens. Naprawdę tego nie rozumiesz?

  5. Gdybyśmy żyli w cywilizowanym świecie, to dyrektor, który wydał tą decyzję siedziałby w pierdlu. Abstrahując od tego, że wcześniej ta firma powinna zbankrutować wypłaciwszy odszkodowania klientom, których życie i zdrowie zostało narażone na skutek kryminalnej działalności jej pracowników.
    Niestety żyjemy w czasach, w których korporacje są bezkarne i prędzej czy później nas zjedzą.

    • Którą decyzję, inwigilacji? Naprawdę sądzisz że została wydana w taki sposób że nie da się jej zaprzeczyć?
      Korpocwaniak mógł palnąć w korytarzu że ciekawie by było zobaczyć jej listę połączeń, i po prostu czekał aż jakiś klakier się ‘inicjatywą’ wykaże.

  6. Schylkowa to jest tylko w Twojej glowie. Edge to standard gsm, hspa to znowu standard umts ktory wspiera gsm. Zasieg lte pozostawia wiele do zyczenia.

  7. Kontroling, serio? Na płonące jaja Belzebuba, jest takie słowo jak “kontrola”. Chyba że redaktorzy wzorem gimbusów chodzą na plażing by uprawiać opaling.

    • A może chodziło o trolling konia?

    • Do biblioteki uniwersyteckiej, na buwing :)

  8. “Obecnie nie ma dobrego, niezależnego i otwartoźródłowego
    oprogramowania tak wszechstronnego jak TrueCrypt”
    Zastanawiam sie czemu nikt nie wspominal o CheckPoint EndPoint Solutions? Czy w branzy IT (firmowej/business) takze nie ma “dobrego, niezależnego i otwartoźródłowego
    oprogramowania tak wszechstronnego jak TrueCrypt” ???

    • Checkpoint i CISCO, dwie najbardziej “zachwalane” firmy kiedy sie mowi o “security” sa dziurawe jak sito, z czego polowa stoi na zlepku “opensourcowych” modulow za ktore kaza sobie zdrowo placic
      sorki, az mnie kusilo jak uslyszalem te bzdury powyzej

  9. “Prawda jest bowiem taka, że większość dziennikarzy nie do końca odnajduje się w cyfrowym świecie” mam wątpliwości czy tylko w cyfrowym.
    Prowadził ślepy kulawego!

  10. Czemu wprowadzacie w błąd, że nie ma już dobrego i otwartoźródłowego oprogramowania szyfrującego? Jest GnuPG do komunikacji i LUKS dla dysków.

  11. Kiedy podsumowanie zartu prima aprilisowego? Mialo byc pod koniec wakaji :P

  12. Artykuł pisany ewidentnie bezpośrednio do dziennikarzy ;)
    W sumie nic dziwnego, niebezpiecznik już na tyle często w TV(N, ale jeśli też w innych, to po prostu nie widziałem), że nic dziwnego że zaczyna też dla tej grupy odbiorców kierować swoje artykuły. Aż widać różnicę, podział treści, cytowania itp ;)
    Żeby nie było, ja to uważam za pozytywne zjawisko. Wincyj czeba, większe ogarnięcie tych kwestii przez dziennikarzy nam na dobre wyjdzie.

  13. Hackerzy, pracownicy, współpracownicy, operatorzy sprzedają metadane, dane oraz informacje. Zależność jest prosta: im mniej zarabiają, tym więcej sprzedają. Welcome to the machine.

  14. “Jeszcze do niedawna bez wahania odpowiedzielibyśmy TrueCrypt, ale
    programiści stojący za tym projektem zrobili psikusa i w dość
    widowiskowy sposób zrezygnowali z rozwoju tego oprogramowania,
    twierdząc, że nie jest ono już bezpieczne i odsyłając do konkurencji”

    Dlaczego, po co i w ogóle WTF??? Ale to osobna sprawa. Ja natomiast nawiasem mam prośbę – jeżeli ktoś jest w posiadaniu source codoe do TrueCrypt 7.2 (bodajże ostatnia dobra wersja) to ja bardzo poproszę – chętnie zająłbym się tym projektem. Mam tylko binarki pod Linuxa 64bit.

  15. “Obecnie nie ma dobrego, niezależnego i otwartoźródłowego
    oprogramowania tak wszechstronnego jak TrueCrypt. Pozostaje więc
    korzystanie z narzędzi producentów systemów operacyjnych”

    A co z DiskCryptor’em?

  16. Kilka dni temu dostałem w końcu zaproszenie i założyłem konto na protonmail.com (szyfrowane, serwery ponoć tylko w Szwajcarii, niedostępne dla amerykańców itd.). Czy ktoś ma jakąś opinię o tej nowej poczcie?

    • @Robert, Mr.Robot używa protonmaila, to Ci nie wystarczy? ;-) A tak na serio, to używam od jakiegoś czasu. Żadnych problemów (była jedna “usterka”, która pozwalała na podstawienie fałszywego linku do załącznika w mailu, ale została usunięta – a znalazca bug’a nagrodzony). Ostatnio dodali możliwość ściągnięcia swojego klucza publicznego, który może służyć do szyfrowania maili przez inne osoby, nie używające protona. Ale czekam na pełną obsługę PGP.

  17. Trzeba będzie zdecentralizować telekomunikację. Ciekawym, polskim projektem jest Outernet – sieć składająca się z komunikujących się ze sobą routerów stawianych przez ochotników. Nie wiem, jak jest tam z opłatami, ale można by do tego wykorzystać jakąś kryptowalutę. Trzeba też ściśle przypisane do abonentów numery telefonu zastąpić czymś łatwiejszym do zmiany. W technologii BitMessage każdy użytkownik może paroma kliknięciami wygenerować nowy adres, nie płacąc nic za to, natomiast założenie nowego numeru telefonu w sieci komórkowej wymaga zakupu startera, w dodatku w większości aparatów można korzystać naraz z tylko jednego numeru, ewentualnie dwóch.

  18. Używanie słowa GSM można porównać do CPN.
    “-Jadę na CPN zatankować. – Na który? – Na Orlen”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: